Albaraka Türk Albaraka Türk Shell Control Box ile Yetkili kullanıcı oturum yönetimi

Albaraka Türk, İstanbul merkezli öncü finansal kuruluşlardan biri olup bireysel ve kurumsal müşterilerine çeşitli finansal ürün ve hizmetler sunmaktadır. 1984’te Al Baraka Bankacılık Grubu’nun bir parçası olarak kurulan banka günümüzde 200’den fazla şubesiyle Türkiye’de faaliyetlerini sürdürmektedir.

Problem

Finansal hizmet konusunda önemli kuruluşlardan biri olan Albaraka Türk, geniş BT altyapısıyla BDDK’nın yayımladığı yerel yönetmelikler (Bilgi Sistemleri Denetimine İlişkin Yönetmelik) kadar PCI DSS ve COBIT gibi uluslararası düzenlemelere de uymak zorunda.

PCI DSS kayıt tutma yöntemlerini ve kart sahibi bilgilerinin tutulduğu kritik sistemlerde kullanıcı işlemlerini takip etmeyi zorunlu kılıyor. BDDK’nın yayımladığı yönetmelik ise yetkili kullanıcılara ait işlemler için ilave denetim geçmişlerinin kaydedilmesini ve bunların belirli aralıklarla yeniden incelenmesini şart koşuyor.

Bu tarz yönetmeliklere ve gerekliliklere uyum sağlamak adına sistem yöneticilerinin ve bankanın BT sistemlerine erişim hakkı olan anlaşmalı diğer tarafların işlemlerinin izlenmesi, kayıt altına alınması ve gözden geçirilmesi gerekiyordu. Bankanın bilgi güvenliği uzmanları bu durum için bir çözüm arayışına girdi.

Bankanın beklediği en belirgin özellikler şöyle sıralandı:

  • Uzaktan erişim oturumlarını (RDP, SSH) kayıt altına almak ve gerektiğinde tekrar izlemek,
  • Sorun çözme ve olay yönetimi süreçlerini kolaylaştırmak
  • Yetkiyi kötüye kullanmadan kaynaklı veri kaybı riskini azaltmak
Ankara Üniversitesi

Çözüm

Aralarında CyberArk, Dell, Centrify ve BalaBit gibi şirketlere ait ürünler incelendikten sonra, Albaraka Türk Balabit’in ürünü olan Shell Control Box’tan yana seçimini yaptı.

Proje BalaBit’in iş ortağı olan, teknik uzmanlık sunan Profelis tarafından hayata geçirildi. Planlama, kurulum ve test aşamaları sadece bir hafta gibi kısa bir sürede tamamlandı. Şu an SCB 250 civarı kullanıcının SSH ve RDP tabanlı oturumlarını kontrol ediyor ve kaydediyor.

Bazı ürünler ajan yazılım kurulumunu gerektiriyor ki bu durum her sisteme uygulanamaz. Diğerleri ise kullanıcıların başka makinalara geçmeden istedikleri sisteme erişim hakkı vermiyor. Bu yöntem iş akışını bozuyor ve bizim tercih etmeyeceğimiz bir duruma yol açıyor. BalaBit, kolay kurulum, konfigürasyon ve yönetim konularında aradığımız özelliklere sahip.

Yılmaz AKBilgi Güvenliği Yöneticisi, Albaraka Türk

Sonuç

Albaraka Türk, BT altyapısında yüzlerce Windows ve Linux sunucu barındırıyor. Tüm sunucular Active Directory yapısı içinde düzenlenmiş. SCB ayrıca Lieberman şirketinin Enterprise Random Password Manager ürünüyle entegre olmuş durumda. SCB tarafında kimlik doğrulama yapılırken parola ERPM’in kasasından otomatik olarak geliyor. Bu yöntem yetkili kullanıcıların erişimini kaydederken parolaların güvenli bir kasada saklanmasını ve her oturum sonunda değiştirilmesini sağlıyor.

SCB sadece bankanın sistem yöneticilerini değil anlaşmalı diğer tarafları da gözetliyor. Kullanıcılar yaptıkları her işlemin kaydedildiğini bildikleri için daha büyük bir sorumluluk bilinciyle çalışarak insan kaynaklı hataları düşürmeye yardımcı oluyorlar. Bu da veri sızdırma durumlarının oluşma riskini düşürmek ve ilgili yönetmeliklere uymak konusunda bankaya destek sağlıyor. Ek olarak, SCB esnek arama özelliğiyle sorunun kaynağını bulmayı ve bunu hızlı ve masrafsız bir şekilde çözmeyi sağlıyor.

SCB’de tutulan metadata sayesinde bankanın kritik BT sistemlerinde yönetimsel işlerin aranabildiği bir veritabanı oluşturuldu. Yanlış giden bir durum halinde, kaydedilen denetim geçmişi taranarak hızlıca analiz yapılabilir. Böylece SCB delil bulma ve sorun giderme konularında ilgili bilgileri ortaya çıkararak Albaraka Türk’ün işini kolaylaştırıyor.

SCB’nin en önemli özellikleri ajan kurulumu gerektirmeden çalışabilmesi ve tüm oturumları taranabilir şekilde denetim geçmişine kaydetmesi. Ayrıca istemci uygulamalarında değişiklik yapmaya da gerek kalmıyor. SCB sayesinde protokol kanallarını da yönetebiliyoruz. Bu yöntemle hangi kullanıcının dosya aktarmaya izni olup olmadığını granüler bir şekilde kontrol edebiliyoruz. Diğer ürünlerle bunu başarmak imkansız.

Yılmaz AKBilgi Güvenliği Yöneticisi, Albaraka Türk