Barikat Siber Güvenlik Logo
+90 (216) 504 53 30 +90 (312) 235 44 41 bilgi@barikat.com.tr EN Barikat Grup

SOC Faaliyet Raporu – Ağustos 2021

  1. Ana Sayfa
  2. Blog
SOC Faaliyet Raporu – Ağustos 2021 | Barikat Siber Güvenlik

SOC Faaliyet Raporu – Ağustos 2021

01/08/2021

1.GENEL DURUM

Günümüzde küresel ve ulusal ölçekte siber güvenliği tehdit eden faktörler, çoğu zaman yakalanması zor bir şekilde hızla artmakta ve şekil değiştirmektedir.

Barikat Siber Güvenlik Operasyon Merkezi (SGOM) kapsamında Ağustos 2021 Ayı’na ilişkin detaylı analizler bu raporda paylaşılmaktadır.

2021 yılı Ağustos ayı bir çok açıdan siber güvenlik tehditleri konusunda hareketli geçmiş, amatör saldırganlar tarafından küçük sağlık kuruluşlarının verileri sızdırılmış, T-Mobile gibi büyük şirketlerin de saldırganların hedefinde olduğu ve sızıntılar yaşadığı açığa çıkmıştı.

2.TEMEL FAALİYET KALEMLERİ, BULGULAR VE RAKAMLAR

Aşağıda detaylarını da bulacağınız SGOM bünyesinde Ağustos 2021 ayı içinde yapılmış çalışmaların özeti, bilgilendirme ve siber güvenliğin karanlık yüzündeki trendleri ülkesel çapta ele almak amacıyla dikkatinize sunulmuştur.

Edinilen veriye göre belirtilmiş olan olaylar Seviye-1 (L1) analistlerimiz tarafından geçtiğimiz ay yapılan olay analiz sonuçları muhataplarına bildirilmiş ve gerekli aksiyonların alınması sağlanmıştır. Ayrıca tespit edilen bu olaylardan %8’i Seviye-2 (L2) analizine yönlendirilmiş, Seviye-2 (L2) raporlarına göre de gerekli güvenlik operasyonları tetiklenmiştir.


Şekil-1 Olay Kritikliğine Göre Dağılım Grafiği

Ağustos 2021 ayı istatistiklerine bakıldığında; aşağıda detayları verileceği üzere, özellikle orta ve yüksek kritikliğe sahip olayların büyük bir kısmının Suspicious Network Activities kategorisinde olduğu görülmektedir.


Şekil-2 Olay Kategorilerine Göre Dağılım Grafiği

Yukarıdaki grafikte Barikat SGOM tarafından Ağustos 2021 ayı içinde, izleme hizmeti verilen kurum/kuruluşların hangi tehdit kategorileri ile yüzleştiği özetlenmiştir. Kategorileri kısaca açıklamak gerekirse;

Suspicous Network Activities: Ağ kullanımı sırasında oluşan şüpheli durumları tanımlayan ve anomalileri içinde barındıran kategori.

Account Management: Kurum/Kuruluşun obje yönetiminde kullandığı araçların üzerinde yapılan şüpheli değişiklikler.

Suspicious Web Communications: Proxy ya da url filtreleme kaynaklarından alınan ve alarma neden olan aktiviteler.

Authentication and Authorization: Merkezi sunucular veya yerel sistemler üzerinde meydana gelen yetkilendirme sorunlarını içeren kategori.

Malware: Uç noktalarda zararlı yazılım tespitini ifade eder.

Suspicious network activities kategorisi alarmları sınıflandırıldığında tahmin edilebileceği üzere en fazla olay potansiyel tarama aktivitesi ve kara liste IP’lerine erişim olarak görünmektedir. Ayrıca bu kategorinin altında zaman zaman sistem ve ağ yöneticileri tarafından yapılan legal işlemler de görünmektedir. Bu tip işlemler için analist ekibimiz müşteri ile direkt bağlantıya geçerek geri dönüşleri analiz etmek suretiyle durumu false/pozitif olanlar belirlenmekte ve kurallar ile ilgili iyileştirmeler gerçekleştirilmektedir.


Şekil-3 Şüpheli Aktivitelerin Dağılım Oranı

3.KÜRESEL ÇAPTA KARŞILAŞILAN TRENDLER

CVE-2021-36958 RCE in Windows Print Spooler Service

CVE-2021-36958 zaafiyeti, Microsoft'un güvenlik açıklıklarına ayrılmış sayfasına göre, bir sistemin yazdırma işlerini yöneten yazılım modülünün uygun olmayan dosya işlediği durumlarda ortaya çıkan Windows yazdırma biriktirici yazılımındaki bir uzaktan kod yürütme (RCE) güvenlik açığıdır.

Bu güvenlik açığından başarıyla yararlanan bir saldırgan, SYSTEM ayrıcalıklarıyla rasgele kod çalıştırabilir. Saldırgan daha sonra programlar yükleyebilir, verileri görüntüleyebilir, değiştirebilir veya silebilir ya da tam kullanıcı haklarına sahip yeni hesaplar oluşturabilmektedir.

Lockfile Ransomware Ailesi

LockFile yeni keşfedilmiş bir ransomware olarak bildirilmektedir. Dizayn olarak güvenliği atlatmak amacıyla aralıklı şifreleme adı verilen bir tekinkten yararlanmaktadır. Bu tekniğin dosyayı başlangıcından itibaren şifrelemeyen, yalnızca bazı kısımlarını şifreleyerek çalıştığı belirtiliyor. LockFile, Windows sunucularında yerleşmek için ProxyShell ve PetitPotam gibi yakın zamanda zafiyetlerden yararlanıyor.

Kaynak: https://thehackernews.com/2021/08/lockfile-ransomware-bypasses-protection.html

4.AYIN ZAFİYETLERİ

Barikat SGOM tarafından Ağustos 2021 ayı içerisinde bildirimi yapılan zafiyetler aşağıda yer almaktadır.

Sistem CVE ID CVE SKORU (CVSS 3.x)
Trend Micro CVE-2021-32463
CVE-2021-32464 		7.8
7.8
IBM QRadar SIEM CVE-2021-20399
CVE-2021-20337 		9.1
7.5
IBM QRadar UBA CVE-2021-29757 8.8
IBM Security SOAR CVE-2021-29704
CVE-2021-29802 		7.5
7.5
IBM Security Guardium CVE-2021-20427 7.5
Fortinet CVE-2020-29015
CVE-2021-22123
CVE-2021-32588 		9.8
8.8
9.8
Palo Alto Networks CVE-2021-3050 8.8
F5 (BIG-IP) CVE-2021-23031 8.8
Microsoft Windows Print Spooler CVE-2021-36936 9.8
Microsoft Windows TCP/IP CVE-2021-26424 9.8
Microsoft Windows Network File System/NFS CVE-2021-26432 9.8

5.AYIN ÖNERİSİ

Son dönemde kamu kurumlarına karşı boyutu büyüyen saldırılar olmaktadır. Bu saldırılarda bir çok giriş vektörü kullanılmaktadır. Bu vektörler tespit mekanizmalarında erken dönemde tespit edilemezse bir çok veri sızıntısı ve yetkisiz erişim olaylarına sebebiyet vermektedir.

Bu durumlardan korunmak için :

  • SIEM üzerinde belirli periyotlarda sağlık kontrolünün yapılması
  • Dinamik olarak varlık yönetiminin yapılarak SIEM’e girdi olarak verilmesi.
  • SIEM üzerindeki tespit kurallarının güncel emareler ile güncellenmesi ve zenginleştirilmesi
  • Tespit mekanizmasının bir süreç olarak işletilmesi

    • önerilmektedir.

    Sosyal Medyada Paylaş
    Linkedin