SWIFT Sistemlere Yönelik SIEM Korelasyon Yaklaşımı

SWIFT (Society for Worldwide Interbank Financial Telecommunication), tüm dünya çapında uluslararası para transfer işlemleri için geliştirilmiş bir sistemdir. 1973 yılında 240 banka ile başladığı büyük para transferlerine günümüzde 10.000 üzeri finans kurumu ile bir gün içerisinde yaklaşık 24 milyon mesaj aktarmaktadır. Bu rakamlar doğal sonucu olarak saldırgan kişi veya kişilerce öncelikli hedef olarak bu sistemler seçilmektedir.

Günümüzde gözlemlediğimiz kadarıyla SWIFT kullanan kurumlar, sistemlerinde yüklü olan bu yapıyı korumak amacıyla zararlı yazılımlara yönelik güvenlik çözümleri, işletim sistemlerinde sıkılaştırmalar gibi bazı önleyici adımlar atmaktadır. Peki, kurum bünyesinde SIEM (Security Information and Event Management) alt yapısı bulunan ve aktif olarak kural/korelasyon geliştirmeleri yapan bir ekibin SWIFT sistemindeki olası şüpheli aktiviteleri takip edebilmesi mümkün müdür? Bu sorunun cevabı olarak her kurumun kendi ihtiyaçları doğrultusunda yapılandırdıkları bu sistemlerden aşağıdaki başlıklarda logların toplanmasıyla belli oradan başarılabileceği söylenebilir;

  • SWIFT yazılımının yüklü olduğu sunuculara ait işletim sistemi logları,
  • SWIFT yazılımının çalıştığı işletim sistemi üzerinde FIM(dosya bütünlük/değişiklik izleme) loglarının alınması
  • SWIFT ‘in bulunduğu sistemlerde yer alan güvenlik çözümlerinin logları,
  • SWIFT sistemi üzerinde işlem yapabilme yetkisine sahip kullanıcılara ait iz kayıtları,
  • SWIFT alt yapısında kullanılan varlıkların listesi,
  • SWIFT işlemlerinde oluşan aktivite logları,
  • SWIFT için Routing hizmeti veren ana hizmet uygulamasına ait işlem log detaylarının loglarının parse edilerek SIEM üzerine alınması (Alliance Access veya PayGate Maestro gibi),
  • SWIFT’in çalışma saatleri hakkında bilgiler

Genel hatlarıyla belirttiğimiz bu ihtiyaçlar büyük oranda ihtiyacı karşılayabileceği gibi kurumdan kuruma tasarlanan alt yapılara göre değişiklik gösterebilir. SIEM üzerine toplanacak olan yukarıdaki loglar ve elde edilecek bilgiler doğrultusunda aşağıdaki şekilde kural/korelasyonlar geliştirilebilir;

  • SWIFT sistemlerine bilinen çalışma saatleri dışında erişimlerin sağlanması durumunun takip edilmesi.
  • FileAct veya InterAct kapsamında fon transfer işlemleri için risk tabanlı alarmların oluşturulması
  • Alliance Access, PayGate Maestro gibi processlerin güvenlik çözümleriyle iz kayıtları alınarak injection risklerine karşı alarm üretilmesi,
  • İşletim sistemin türüne göre tanımlı konfigürasyonlarda değişiklikler yapılması (MS Windows Audit Policy, Unix sistemlerde kritik dosya değişikliği, vb.).
  • Kurum bünyesindeki güvenlik çözümlerinden oluşan alarmlarda SWIFT sistemlerinin öncelik seviyesinin arttırılması ve aktif olarak ilgili ekiplere SIEM üzerinden alarm oluşturulması
  • İşletim sistemleri üzerinde kullanıcı oluşturulması, yetkili gruplara eklenmesi gibi durumlar için alarm oluşturulması.
  • SWIFT sistemleri arasındaki haberleşmede envanter dışında bir kaynak tespit edilmesi.
  • SWIFT üzerinde gerçekleşen işlemlerde tanımlı olmayan BIC tanımlayıcılarıyla denemelerin tespit edilmesi.
  • SWIFT üzerinde gerçekleşen işlemlerde kurumun akfit olarak kullanmadığı mesaj tiplerinin kullanılması durumunun yakalanması.

SWIFT sistemlerini bünyesinde barındıran kurumların yukarıdaki başlıkları tespit edilmesi sağlıklı şekilde log entegrasyonlarını yapmasına bağlıdır. Bununla birlikte, kurumdan kuruma değişiklik gösterebilecek bu yapılardaki anormalliklerin tespit edilmesi bu şekilde sağlanabilir. Oluşacak olan alarmların ilgili ekiplerce kontrol edilmesiyle olası saldırı durumları ciddi kayıplar vermeden tespit edilebilir.

Yazar: Mehmet Kılıç