Koç Sistem - Soc bülten 08.2016
0 likes392 views
Güvenlik Yönetilen Hizmetler olarak Nisan 2014’ten beri faaliyet gösterdiğimiz SOC ekibimizin sahipliğinde aylık güvenlik bültenimiz.
Koç Sistem - Soc bülten 08.2016
- 2. Akıllıtelefonlar,tabletlervediğermobilcihazlar kesinlikle yaşamımızı daha kolay ve daha eğlenceliyaptığıbirgerçektir.Uygulamalar,akıllı cihazlarımızıdahakullanışlıveüretkenhalege- tirmektedir.İndirdiğimizuygulamalar,herbir mobilcihazısadecesahibininisteyeceğişekilde tümüyle eşsiz birbilgive eğlence kaynağı yapmayapmaktadır.Akıllıtelefonlarıvetabletleribu kadarinovatifkılan,uygulamalarınücretsizve ucuz olduğu kadar üretken olmasıyla cihazlarımızıkişiselleştirebilmemizdir. Maalesef,uygulamalarınbukadarharikaolması onlarıaynızamandabiro kadardatehlikeli yapabilmektedir.Çoğutüketiciiçin,uygulamalar ikiyerden indirilmektedir:iPhone ve iPad kullanıcılarıiçin Apple’ın uygulamamağazası olanAppStoreveyaAndroidişletim sisteminin kullanıldığıcihazlariçinGooglePlayStore. Ancak, Android kullanıcılarının Apple kullanıcılarının halihazırda pek yüzleşmediği gizlitehlikebeklemektedir,bu tehlike3.parti uygulamamağazalarıolarakadlandırılmaktadır. Apple,cihazlarınıngarantisinisonlandıranjail- breakişlemiyapılmadıkçadışarıdanherhangibir web sitesinden içerik indirilmesine izin ver- memektedir. Diğer yandan, herhangi biri Android cihazlarda çalışabilecekuygulamaları birwebsitekuraraksatabilmektedir,Amazon’un uygulama mağazası gibi diğer uygulama mağazalarından bazılarıtanınmıştır.Dünyanın heryerinde Android uygulamalarısunan bazı şüpheliwebsitelerbulunmaktadırvebuweb sisiteleroldukçagüvensizolabilmektedir. Denizcan Uysal SOC Analisti
- 3. Backdoor,TürkçesiyleArkaKapı,birsistemeizin- sizgirişyapmayavesistemüzerindekikaynakları istenilenşekildekullanmayanedenolankötü amaçlıbiryazılımtürüdür. Başlangıçta birçok sistemci ve programcı tarafından sadece gerektiğinde kullanılan Backdoor’lar,sistemlergenişledikçe ve daha karmaşık birhalalmaya başladıkça tehlikeli güvenlikaçığıkonumunageldiler.Bunedenle artıkBackdoorfarklıbiranlam kazanarakteh- likelibirterim oldu.Çoğuvirüsünbirbilgisayar vveyasistemebulaştığındadenediğibuyöntem- le,genelliklebazıportlarıaçarakvirüsyayıncısı veyabaşkakötüamaçlıbiryazılımiçinçokrahat erişimimkanısağlamaktadır. Backdoor farklı şekillerde gerçekleştirilebilir. Örneğinbirwebsunucusunasızmakiçinport üzerindenbiryöntem kullanılırkenbirbilgisayar sisteminielegeçirmekiçin crackvb.yazılım hilesikullanılabilmektedir. Hackerların sanal ajan olarak kullandıkları Backdoor’lar,programlarıniçineyerleştirilerek bulaştığıbilgisayarınveyasisteminkullanıcısının haberiolmadansessizceçalışıpbilgilerihacker- laraaktarabilmekte,büyükgüvenliktehditlerine yolaçabilmektevesizibirsibersaldırıyaortak halegetirebilmektedir. EnsıkkarşılaşılanBackdooryöntemiise,hedef sistemdebirportuaçıktutmaktır.Bilinenenünlü Backdoor'laraörnekolarakNetbus,OptixPro, Subseven,BackOrifice,ZbotveZeuSverilebilir. Backdoorlardan kurtulmak ve korunmak için antivirüs yazılımları haricinde bir araç kullanılmaz.Antivirüsyazılımlarıdiğerzararlı yazılımlarıyazılımlarıtemizlemektenekadarbaşarılıise arkakapılariçindebirokadarbaşarılıolabilmek- tedir “WikiBackdoor”https://goo.gl/ZtmN76
- 4. “IBM XForce”http://www-03.ibm.com/security/xforce/ 13Temmuz2016 Amerika’da birsüre önce başlatılan popüler mobilgerçeklikoyunununsunucularıbirDDoS saldırısıilekesintiyeuğramıştır. 18Temmuz2016 AmerikaAmerika’dabirSQLigüvenlikaçığı,popülerbir Linux distribütörünün resmi forumundan kullanıcıtablolarınınsızdırılmasınanedenoldu. Toplamda2milyonubulane-postaveIPadresi sızdırıldı. 20Temmuz2016 KanadaKanada’dagerçekleşenolaydabirDrupalSQL exploit,popülerbirçevrimiçioyununşifrelerini vee-mailadreslerinieldeetmekiçin kötüye kullanıldı. 22Temmuz2016 KKorelibire-ticaretportalındanphishingsaldırısı sonucuisim,adresvetelefonnumaralarıçalındı. Saldırganlar $2.6 (USD) Bitcoin değerinde 10.300.000sayıdaveriyigerivermekiçinfidye istediler. 24Temmuz2016 WikiLeaks,WikiLeaks, Amerika’da bir siyasi partiden çalınmışhassase-postaadresleriniyayınladıve halkaaçıkbirwebsiteüzerindenafişeetti. 25Temmuz2016 ÇinÇin’depopülerbirmobiloyunvBulletinforttu- mundan kullanıcıverilerişifreler,IP adresleri, sosyalmedyakimlikdoğrulamabilgilerivee- postaadresleriniiçeren1.597.717veriçalındı. 3Temmuz2016 Kuzey Carolina Üniversitesi'nde,birçalışanın e-postahesabınayapılanbirphishingsaldırısı, isim,adresvesosyalgüvenliknumaralarıdahil 38.000 öğrenci verisinin kaybına neden olmuştur. 44Temmuz2016 Amerika’dapopülerbirsohbetuygulamasının forumu,birvBulletingüvenlikaçığınedeniyle ihlaledilmişve toplamda3.827.238 sayıdaki kullanıcıadları,e-postalar ve diğer veriler sızdırılmıştı. 7Temmuz2016 PPolonyalıbirtelekom şirketinden14GB’lıkveri, birforumaaktarıldı.Sızdırılanveriler,müşteri bilgilerini,IP adreslerini,oturum çerezlerive diğerhassasbilgileriiçeriyordu. 8Temmuz2016 BirBirMichigansağlıkağı,3.partimedikalkayıt sistemininde22.000verininsızdırıldığıpotansi- yelbirveriihlaliolduğunumüşterilerinebildirdi. Amerika’dayaygınolarakkullanılanveriölçüm- leriSaaSplatformu,müşteriverilerinibarındıran üretim sunucularıetkileyen yetkisiz etkinliği keşfettiğini açıkladı. Önlem olarak, tüm kullanıcınaşifrelerinisıfırlamayıvemüşterilerin bulutkimlikbilgilerinideğiştirmesinitavsiyeetti. 10Temmuz2016 Amerika’da birMüslüman partnersitesinden 2,035,020e-postaveşifrelersızdırıldı.
- 5. CVE-2016-3610 SummaSummary:UnspecifiedvulnerabilityinOracle JavaSE8u92andJavaSEEmbedded8u91allows remoteattackerstoaffectconfidentiality,integ- rity,and availability via vectors related to Libraries, a different vulnerability than CVE-2016-3598. Published:7/21/20166:14:43AM CVSSSeverity:v3-9.6CRITICAL v2-9.3HIGH Özet:OracleJavaSE8u92veJavaSEEmbedded 8u91sürümlerindekütüphanelerleilgiligizliliğin bütünlüğünvekullanılabilirliğinuzaksaldırgan tarafındanetkilendiğibirzafiyetortayaçıkmıştır. Detaylıbilgiiçin:Detaylıbilgiiçin: http://www.oracle.com/technetwork/security- advisory/cpujul2016-2881720.html CVE-2016-4177 SummaSummary:AdobeFlashPlayerbefore18.0.0.366 and19.xthrough22.xbefore22.0.0.209onWin- dowsand OSX and before11.2.202.632on Linuxallowsattackerstoexecutearbitrarycode orcauseadenialofservice(stackmemorycor- ruption)viaunspecifiedvectors,adifferentvul- nerabilitythanCVE-2016-4176. Published:7/12/20169:59:46PM CVSSSeverity:v3-9.8CRITICALv2-10.0HIGH ÖzetÖzet:WindowsveLinuxplatformlarındaAdobe FlashPlayer'ınbazısürümlerisaldırganınisteğe bağlıhazırladığıkodlarıçalıştırmasınayadahiz- metin kullanıamaz hale gelmesine imkan sağlamaktadır. Adobe Security Bulletin’de yapılanupdatelerleilgilibilgibulunmaktadır. Detaylıbilgiiçin: https://helpx.adobe.com/security/products/flas h-player/apsb16-25.html BUNUBİLİYORMUYDUNUZ? Matrix3filmindeki"kahin"karakteribiryapayzekayazılımıyken,kendisinegiderkenkullanılankapılar isegerçektebirerBackdoor'du. “NationalVulnerabilityDatabase”https://goo.gl/ZtmN76
- 6. GüvenlikİzlemeveYönetim (SecurityOperationsCenter) GüGüvenlikteknolojivetehditlerininçeşitlendiği günümüzdünyasındagerçekseviyedegüvenlik iyikurgulanmışbirgüvenlikizlemealtyapısıile mümkün hale gelmiştir.KoçSistem Güvenlik izleme ve yönetim hizmetimizle, güvenlik cihazlarınınperformansvetrafikizlemesinden tüm sistemlerden toplanan logların güvenlik bakışbakışaçısıylakoreleedilmesive7×24izlenmesi sağlanmaktadır.Tamamıylamühendiskadrosun- danveyerelinsankaynağındanoluşanbuekiple vardiyalıdüzendeyapılanolayyönetimisaye- sinde,güvenlik cihazlarıyla adreslenemeyen güvenliktehditleritespitvemüdahaleedilebilir halegelmektedir. Yukarıdakiistatistiklerde de görüldüğü gibi Türkiye’ninsibersaldırıriskininyüksekolduğu düşünüldüğünde,kurumsalgüvenlikdöngüsü “İzle-TestEt-Geliştir-GüvenliKıl”mantığıylave- rilen hizmetimiz,7x24 güvenlik cihazlarının ürettiğilogvealarmlarınizlenmesivebeklen- medikaktivitelerleilgilidurumlarınınincelenip önleyiciönleyici faaliyetlerde bulunulması ilkesini taşımaktadır.
- 7. İleriseviyeverilenhizmetteisestandartseviyeye ekolarak,dahagenişkapsamlıolacakşekilde globaldeIBM ilebirlikte,korelasyonlarsonucu üreyen çağrıların incelenmesi ve gerekli aksiyonlarınalınmasısağlanır.Bukapsamdatüm alarmlaraktifbirekiptarafındansürekli(7x24) olarakizlenir. SOChizmetitemel(L1),standart(L2)veileri(L3) seviyeolmaküzereüçtipteverilebilmektedir. TemelseviyeSOChizmeti,müşteriningenelan- lamdatüm güvenlikcihazlarınınSNMPtabanlı olarak7x24izlenmesiyoluylasağlanmaktadır. SOC StandartSeviye Hizmeti,SIEM sistemi temelindeyürütülmektedir.Müşteriileanlaşma sağlanansağlanangüvenlikcihazlarıiçinSIEM sisteminde yazılankorelasyonlarlaüreyençağrılariçinilk seviyevakaincelemesiveaksiyonalımısağlanır.
- 8. CiscoHostedSecurityServicesİşOrtaklığı GüvenlikYönetilenHizmetlerservislerimizlebu seneiçerisindeIBM veFortinet’ten aldığımız ödüllersonrasıCiscotarafındadaTürkiye’ninilk “BulutGüvenlikÇözümleriİşOrtağı”ünvanını kazandık. TTürkiye’debualandailkolmak,sektördefarklı birdeğeroluşturmaktadır.BudeğeriCiscoile yapılacak ortak bir lansmanda duyurmayı planlıyoruz. Müşterilerimizedahagenişkapsamdavedaha iyihizmetverebilmekiçinçalışmalarımızdevam ediyor.