Kategori arşivi: Azure Security

Bilgi sistemleri bağımsız denetim zorunluluğu bulunmayan halka açık şirketler için birincil sistemlerin yurt içinde bulundurulması zorunluluğu için SPK güncelleme yayınlamıştır

Herkese merhaba, bildiğiniz gibi SPK’ nın Bilgi Sistemleri Bağımsız Denetim Tebliği (BSD) 05.01.2018 tarih 30292 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmişti. Burada SPK ya tabi olan kuruluşların alışkın olduğu bir takım yaptırımların halka açık tüm şirketleri kapsayacak şekilde özellikle bulut sistemleri kullanımında bir genişleme olduğunu görmüştük. Yani daha özetle finans kuruluşu olmasanız bile halka açık bir şirket olmanız halinde merkezi sistemlerinizi bulut üzerinde tutamıyordunuz. Tabiki Türkiye de halka açık gerek yerel gerekse global firmaları düşününce aslında bu kadar bir hayli ses getirdi. Çok büyük yapıların birden bulut ortamından inmesi söz konusu oldu ki zaten bundan dolayı tebliğ yayınlandığın beri gerçekleşen görüşmeler sonucunda ilerleme kat edildi ve yine yeni yayınlanan sermaye piyasası kurulu bülteninde bu konuda bir düzeltme geldi.

 

Bu kapsamda; BSD hükümleri kapsamında, bilgi sistemleri bağımsız denetim zorunluluğu bulunmayan halka açık ortaklıkların BSY’nin 26/1 maddesi uyarınca, bu aşamada birincil sistemlerini yurtiçinde bulundurma zorunlulukları bulunmamaktadır.

http://www.spk.gov.tr/Bulten/Goster?year=2018&no=10

 

Evet bu hali hazırda bulut üzerinde çalışan ve bundan son derece memnun olan pek çok kurumu rahatlatan bir açıklama oldu. Bu konuyu yakından takip eden müşterilerimiz olduğu için bunuda sizlerle paylaşmak istedim.

 

Azure Advanced Threat Protection ATP

Her geçen gün değişen ve gelişen ataklar nedeni ile mevcut güvenlik ürünlerimizin de sürekli olarak kendini geliştirmesi gerekmektedir. Böylesi bir ortamda gelişim gösteremeyen güvenlik ürünleri ne yazık ki sistemlerimizi korumak için yeterli olmayacaktır. Microsoft sahip olduğu milyonlarca müşteri ve bulut üzerindeki milyarlarca bağlantı, veri trafiği, ataklar ve benzeri bilgileri yine bizim güvenliğimiz için kullanmaktadır. Sahip olduğu bu büyük veri ambarı sayesinde pek çok atak henüz Dünya geneline yayılmadan fark ediliyor ve pek çok müşteri bu tarz ataklardan korunabiliyor.

Microsoft’ un güvenlik ürünleri arasında gerek on-prem sistemler gerekse bulut sistemler için pek çok çözüm yer almaktadır. Bunlardan özellikle on-prem’ de çalışan ve kimlik avı dolandırıcılığı, kullanıcı davranış analizi özelinde çalışan Advanced Threat Analytics (ATA) pek çok müşterimde hali hazırda kurulu ve çalışmaktadır.

Ürün gerçekten çok başarılı olup pek çok müşteri tarafından da 2018 yılı planları içerisine alınmıştır. Microsoft bu ürün ile yakaladığı başarıyı şimdi Azure üzerindeki kullanıcıları içinde sunmaya hazır. Evet biraz garip gelebilir, malum bulut çağındayız ve genelde ürünler hep bulut için çıkıyorken ATA ilk olarak on prem için çıkmış ve gösterdiği başarılı sonuçlar sonrasında artık Azure üzerinde de müşterilere sunulmaktadır.

Tabiki ürünün ismi biraz farklı, Azure üzerindeki sürümü Azure Advanced Threat Protection (ATP), kısaca Azure ATP olarak geçiyor.

Ürün hakkında daha fazla bilgi için aşağıdaki makaleyi inceleyebilirsiniz, veya bende şu anda ürün hakkında makale yazıyorum biraz beklerseniz Türkçe bir içerikte sağlamış olacağım.

https://cloudblogs.microsoft.com/enterprisemobility/2018/03/01/introducing-azure-advanced-threat-protection-2/

 

Meltdown ve Spectre – speculative execution side-channel vulnerabilities Nedir? Nasıl Korunuruz?

Malum her geçen gün yeni bir güvenlik açığı ile karşı karşıya kalıyoruz, Meltdown ve Spectre da bunlardan birisi aslında. Fakat etkisi ve sonuçları bir hayli üzücü olduğundan sektörde yine çok ses getirdi. Peki öncelikle bu olay nedir onu özetlemek istiyorum, çünkü pek çok bilgi var internet üzerinde, aslında benimkisi de onlardan birisi olacak ama genelde çok net olan konuları bende hızlı paylaşırım, fakat bu konuda çok kirli bilgiler olduğu için özellikle biraz bekledim. Örneğin sadece intel işlemciler dendi, sonra AMD ve ARM işin içine girdi vb durumlar var, hala bu farklı bilgileri bulabilirsiniz.

işlemci mikro kodu güvenlik zafiyeti olarak özetleyebiliriz. Malum işlemci çekirdeği demek aslında sistem içerisindeki bilgilerin korunması, şifrelenmesi veya doğru kullanımının yönetilmesi demektir ki buradaki bir zafiyet tüm bu bileşenlerin güvenliğini tehdit etmektedir.

Peki böyle bir zafiyet açıklandıktan sonra biz neler yapabiliriz? Öncelikle her üretici hızlı bir şekilde kendi sistemleri için bu zafiyetin etkilerini minimum a indirmek için yama çıkardı. Microsoft tarafındaki yamalar işletim sistemlerine göre aşağıdaki gibidir;

Operating System Version Update KB
Windows Server, version 1709 (Server Core Installation) 4056892
Windows Server 2016 4056890
Windows Server 2012 R2 4056898
Windows Server 2012 Not available
Windows Server 2008 R2 4056897
Windows Server 2008 Not available
Windows 10 (RTM, 1511, 1607, 1703, 1709), Windows 8.1, Windows 7 SP1 ADV180002  (Multiple KBs, it’s  complicated)

Ama burada zafiyetin Microsoft sistemlerine özel olmadığını unutmayın, yani kullandığınız diğer işletim sistemleri için mutlaka yamalarınızı güncelleyin. Hatta bazı donanım üreticileri bu zafiyet için firmware çıkardılar, bunlarında yüklenmesi tavsiye edilmektedir. Meltdown için OS yamaları yeterlidir, ancak Spectre atakları için donanım tarafında güncelleme önerilmektedir.

Burada önemli bir konu ise yamaları geçmeden önce anti virüs tarafında sorun yaşama olasılığınız. Bazı AV’ ler ( bu yazıyı hazırlerken bile güncelleme geliyordu) buna hazırlıklı olmadığı için örneğin ben şahsi laptop’ ım da yamayı yükledikten sonra bir mavi ekran sorunu yaşadım. Bu bilinen bir sorun yani aşağıdaki listeden öncelikle mevcut AV için yamalar ile bir sorun yaşayıp yaşamayacağınızı kontrol edin.

https://docs.google.com/spreadsheets/d/184wcDt9I9TUNFFbsAVLpzAtckQxYiuirADzf3cL42FQ/htmlview?usp=sharing&sle=true

Bu konudaki yazı aşağıdaki gibidir;

https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software

Özetle yazıda der ki, siz eğer yamaları yüklemez, AV yazılımınız da kayıt defteri değerini aşağıdaki gibi güncellemez ise bu ataktan zarar görebilirsiniz

Key=”HKEY_LOCAL_MACHINE” Subkey=”SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat” Value=”cadca5fe-87d3-4b96-b7fb-a231484277cc” Type=”REG_DWORD”
Data=”0x00000000”

Peki mevcut durumu nasıl kontrol ederiz, aşağıdaki PS komutu ile ilgili makine için durumu analiz edebiliriz, SCCM ile tabi tüm makineler için bir bilgi almanız mümkün

Install-Module SpeculationControl

Set-ExecutionPolicy Bypass

Get-SpeculationControlSettings

Peki yukarıdaki sonuç ne demek? OS yamasını yüklemişsin yani Meltdown için koruman tamam ama spectre için hala zafiyet mevcut. Google spectre için zafiyet kullanımının gerçekten çok zor olduğunu söylüyor ancak bunun için koruma da zor, yani tüm makinelerin bios update yapması. Bu biraz kurumların vereceği bir karar aslında, özellikle sunucu sistemleri için yapılıp son kullanıcı için zamana yayılabilir.

Not: komut seti için işiniz bittikten sonra mutlaka PS komutunu çalıştırın

Set-ExecutionPolicy Restricted

Birde kullandığım ürünün hızlıca firmware yükseltmesini kontrol edelim;

Dell XPS laptop kullanıyorum ve gördüğünüz gibi makaleyi kaleme aldığım sırada BIOS update çıkmış.

Burada önemli olan şu, sizin masa üstü bilgisayarlarınız veya sunucularınız için bir bios güncellemesi gelmiş olabilir ama açıklamasında bu CPU açığına vurgu var mı? Çünkü tüm CPU’ lar bundan etkilenmiyor. Ben bu BIOS yamasını kontrol ettiğimde bu açıkları görebiliyorum

Kontrol edeceğimiz açıkların başlıkları aşağıdaki gibidir;

“bounds check bypass” (CVE-2017-5753/Spectre),
“branch target injection” (CVE-2017-5715/Spectre)
“rogue data cache load” (CVE-2017-5754/Meltdown)

Kaynak: https://www.onmsft.com/news/meltdown-and-spectre-a-closer-look-at-the-recent-cpu-security-flaws-and-how-to-protect-yourself

https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-emergency-updates-to-fix-meltdown-and-spectre-cpu-flaws/

Investigate Incidents and Alerts in Azure Security Center

Bildiğiniz gibi Azure Security Center Azure kaynaklarınızın ( yada agent yüklediğiniz on-prem sunucuların) güvenliğini artırmak ve bu kaynakları kontrol altına almak için tehditleri önlemeye, algılamaya ve bunlara yanıt vermenize yardımcı olur. Azure aboneliklerinizde entegre güvenlik izleme ve politika yönetimi sağlayarak fark edilmeyebilecek tehditleri tespit etmenize yardımcı olur.

Azure Security Center üzerinde tabiki pek çok alt başlık olup bu konuda hali hazırda pek çok makale yazmış, webcast düzenlemiş durumdayım. Bu yazımda ise kısaca sizlere henüz preview olan Investigating özelliğinden bahsetmek istiyorum.

Güvenlik Merkezi’ndeki soruşturma özelliği, olası bir güvenlik sorununun Önceliklendirilmesi, kapsamını anlaşılması ve olası kök nedeninin saptanmasına olanak tanır.

Araştırmak olduğunuz olayla ilgili olarak security center ilişkili olan güvenlik uyarıları, kullanıcılar, bilgisayarlar ve olayları birbirine bağlayarak (kolerasyon) araştırma sürecini kolaylaştırır. Security Center bu kolerasyonu görsel olarak canlı bir grafik kullanarak bizlere sunduğu için kök analizi yapmak kolaylaşır.

Daha fazla bilgi için aşağıdaki makaleyi inceleyebilirsiniz

https://docs.microsoft.com/en-us/azure/security-center/security-center-investigation

Bu konuda vermiş olduğum webcastlere aşağıdaki linklerden ulaşabilirsiniz;

http://tv.cozumpark.com/video/920/Microsoft-Azure-Security-Center-Data-Collection-and-Storage

http://tv.cozumpark.com/video/914/Microsoft-Azure-Security-Center-Security-Roles-and-Access-Controls

 

Microsoft shared responsibility model

Microsoft, güvenlik ve operasyonel sorumluluklarını tanımlamak için Azure hizmetlerinde paylaşılan bir sorumluluk modelini kullanmaktadır. Yani her bir bulut servisi için belirli sorumluluk alanlarını aslında Müşteri ile paylaşmaktadır. Örneğin aşağıda bu konuyu güzel bir şekilde özetleyen bir görsel bulabilirsiniz.

Örneğin On-Prem bir sistemde bulut oyuncusunun hiç bir sorumluluğu yokken SaaS örneğin Office 365 gibi bir platform için Application Level Control noktasına kadar tüm sorumluluk Microsoft veya bulut oyuncusunda iken üst katmanlarda ise sorumluluk shared mantığı ile yani paylaşımlı olarak gösterilmektedir. Bir nevi ne tüm sorumluluk müşteride ne de üreticide olmaktadır. Karşılıklı olarak her iki tarafında yerine getirmesi gereken sorumlulukları vardır.

Güvenlik Zafiyet Uyarısı – Permissions Flaw Found on Azure AD Connect

Merhaba arkadaşlar, öncelikle hepinize güzel bir hafta diliyorum. Malum sürekli güvenlik açıkları ile ilgili bilgiler veriyoruz, bu sefer bulut müşterileri için bir bilgilendirme yapmak istiyorum. Microsoft Azure AD Connect yazılımını “express settings” olarak yapılandıran müşteriler için bir güvenlik açığı duyuruldu. Şu anda bir fix yok ama hızlıca bir PS ile eğer bu şekilde bir kurulum yaptıysanız önlem alabilirsiniz.

https://gallery.technet.microsoft.com/prepare-active-directory-ef20d978

Daha fazla bilgi için

https://blog.preempt.com/advisory-flaw-in-azure-ad-connect

suspicion of identity theft based on abnormal behavior

Microsoft ATA üzerinde alabileceğiniz güvenlik uyarılarından birisidir. Bu uyarı temel olarak bir kullanıcının anormal davranışlar sergilediğini gösterir. Örneğin hiç oturum açmadığı bir bilgisayardan oturum açması, hiç erişmediği bir kaynağa erişmesi ve benzeri. Tabiki bu uyarı için ATA ürününün en az ortamda 3 hafta tüm Domain controller makinelerden sağlıklı bir şekilde bilgi toplaması gereklidir. Bu süreden önce bu hatayı alıyorsanız ATA için 1.6 sürümü için bir yama yayınlandı;

https://support.microsoft.com/en-us/help/3172500/description-of-update-1-for-microsoft-advanced-threat-analytics-v1-6

Diğer sürümlerde böyle bir sorun görülmemektedir.

Burada önemli olan bu hatanın altındaki abnormal resources kısmıdır, yani burayı inceleyip gerçekten kullanıcının bu bilgisayarlara veya kaynaklara erişip erişmediğini kontrol edebilirsiniz.