Tuesday, May 26, 2020

Bayram Sonrası Yapılması Gereken 7,5 Siber Güvenlik Kontrolü




Bayramınız kutlu olsun! Sağlıklı, huzurlu ve mutlu bir Bayram geçirmiş olmanızı dilerim. 
Fırsatını bulmuşken Bayram rehaveti veya telaşesi nedeniyle gözden kaçırmış olabileceğimiz aşağıdaki noktalara yarın ilk iş bakılması gerektiğini hatırlatmak isterim:
  1. Active directory kullanıcı sayısı: Normal kullanıcı ve domain admin yetkilerine sahip kullanıcıların sayısının değişmemiş olması lazım.
  2. Kullanıcı yetkileri: Kullanıcıların yetkileri yükseltilmiş olabilir, değişmiş olabilir veya üye olmamaları gereken gruplara dahil edilmiş olabilirler.
  3. Antivirüs alarmları: Antivirüsler çeşitli zararlı yazılımlar yakalamış olabilir. Antivirüs zararlı yazılımı yakalamış olabilir ancak "dropper" dediğimiz zararlı yazılımı indiren yazılımı görememiş olabilir. Öte yandan aynı zararlı yazılımın bir sistemde tespit edilebilirken, başka bir sistemde gözden kaçtığını da sıklıkla görüyoruz. Bu nedenle antivirüs alarmı veren sistemlerin yakından incelenmesinde fayda var.
  4. Firewall/UTM kural değişiklikleri: Bayram süresince yapılmış kural değişiklikleri ve güncellemeleri gözden geçirmek lazım.
  5. Web sayfası/uygulaması kaynak kodları: Özellikle çok ziyaretçi alan veya e-ticaret yaptığınız bir siteniz veya uygulamanız varsa bunun kaynak koduna dahil edilmiş olabilecek yabancı javascript betiklerine karşı bir kontrol yapmakta fayda var.
  6. Paylaşımdaki dosyalar: Muhasebe ve bilgi işlem gibi kritik birimlerde paylaşılan dosyalara ve içeriklerine bakmak iyi olacaktır.
  7. Trafik incelemesi: Kuruluşunuzdan çıkan trafiğin yapısı ve gittiği yerleri incelemek, özellikle veri sızıntılarını tespit etmenize yardımcı olacaktır. Pek çok firewall bunu istatistik olarak verebilmektedir, veremiyorsa trafiği başka bir araçla yakalayıp Wireshark, vb. bir uygulamayla incelemeniz gerekebilir.
7,5. Kullanıcılarla sohbet etmek: Muhasebe veya üst düzey yönetici gibi kritik ve hedef olabilecek kullanıcılarla "herhangi bir sorun var mı?" gibi basitçe sohbet etmek gözden kaçabilecek başka saldırı belirtilerini tespit etmenize yardımcı olabilir. Çalışanlar evden RDP ile bağlanıyorsa "geçenlerde bağlanamadım ama sonra düzeldi" demeleri bile VPN kullanıcı bilgilerinin sızmış olabileceğine işaret edebilir (tecrübeyle sabit), bu nedenle vakit bulursanız bunu değerlendirin. 

Bunlarla birlikte veya ötesinde bilişim altyapınızın ayrıntılı bir değerlendirilmesinin yapılmasını isterseniz, benimle iletişime geçebilirsiniz.

Süreç sonrası çok daha keyifli bayramlar geçirmek dileğiyle. 

MITRE ATT&CK Gerçek Hayatta Ne İşimize Yarar?

  Rusya kaynaklı siber saldırılar webinarı sırasında üzerinde durduğum önemli bir çalışma vardı. MITRE ATT&CK matrisini ele alıp hangi...