Olay Müdahalesinin Önemi ve Adımlarının Belirlenmesi

Olay Müdahale(Incident Response) Adımları Belirlenirken Takip Edilmesi Gerekenler

Günümüzde çok fazla sayıda siber saldırı olduğunu göz önünde bulundurursak, olay müdahale adımlarını belirlemek ve nasıl bir yol izlemek gerektiğini bilmek kurumların risklerini en düşük seviyeye indirme konusunda çok önemli bir yere sahip oluyor . Bu makalede belirli bir plana göre olay müdahale adımlarını nasıl belirlendiği örneklerle anlatılmıştır.

Habib Aydoğmuş - VOID-SOC L2 Uzmanı

1. Olay Müdahalesi (Incident Response) Tanımı ve Avantajları

Kurum içerisinde yaşanılan bir güvenlik ihlali, veri kaçakçılığı veya siber saldırıyla karşılaşılması durumunda takip edilmesi gereken adımların belirlenmesine, yaşanılan bu olayın tanımlanmasından başlayarak tespit edilip gerekli önlemler ve aksiyonlar alınmasına kadar takip edilen süreç Olay Müdahalesi olarak adlandırılır. Hazırlanan bu süreç dokümanındaki ana amaç, karşılaşılan vakayı etkili bir şekilde yönetmek ve farklı olaylara karşı aksiyon alınması gereken adımları belirlemektir. Bu adımların takip edilmesi durumunda ilgili kuruluşun alacağı zarar minimuma indirilir ve işleyiş olduğu gibi devam eder.

Olay Müdahalesi hazırlamanın en temel avantajı mevcut Siber Güvenlik ekibinizin bir şekilde şirketten ayrılması durumunda, olay tespit ve müdahale konusunda ekibe görece yeni katılan kişiler olsa bile hazırlanan Olay Hazırlama dokümanı ile ne yapacağını bilir ve süreci yönetebilir. Böylelikle kurum hafızası güçlendirilerek güvenlik bakış açısı ile kendini güvenceye almış olur. Bundan dolayı tüm kuruluşlar en az bir tane Olay Müdahalesine sahip olmalı ve adımları detaylı bir şekilde belirtilmelidir. Bunun yanında belirtilmek de fayda olmakla beraber farklı olaylara karşı hızlı çözüm almak ve olayı bir an önce açığa kavuşturup gerekli aksiyonları almak için çoğu zaman tek bir olay müdahale raporuna bağlı kalmak doğru olmaz. Bunun nedeni ise, bir Malware-kötü amaçlı yazılım (Spyware, Virüs, Ransomware vb.) ile içeriden erişim hakkı olan Insider Threats ’lara karşı ya da Network-ağ saldırıları (Botnets, DDoS, IP Spoofing vb.) için farklı senaryolar takip edilmelidir. Aksi takdirde kaybedilen zamanın getireceği maliyetler çok yüksek olabilir. Maliyetin yanı sıra kurumların itibarının zedelenmesi daha büyük bir sonuç olduğu aşikardır. Tam olarak bu konuda, Soitron olarak gelen saldırıların yapılış biçimi ve hedef aldığı sistemlere göre farklı Olay Müdahalesi raporlarına sahibiz.

https://www.soitron.com.tr/blog/kapsamli-bir-siber-guvenlik-hizmeti-soc-ile-mumkun

Tüm kurum ve kuruluşların dijitalleşme sürecinin hızla devam ettiği günümüz dünyasında kendimizi siber tehditlerden korumak için her türlü önlemi almamız aşikardır. Yapılan istatistikler göstermektedir ki ortalama bir kurum yılda 100’den fazla kritik güvenlik olayı yaşamakta ve ciddi ekonomik bedeller ödemektedir. Tamamen dinamik olan iç ve dış saldırılara karşı oluşturacağımız Olay Müdahalesi adımları ile her an tehdit altında olabilecek kuruluşumuzun iyi bir cevap vermesini sağlarız. Ayrıca, Olay Müdahale planları kurumlar için kritik olan verileri korumak için yaptığı uyarılar ve güvenli yedeklemeler ile yaptırdığı yönlendirmeler için de iyi bir araçtır. Oluşturacak iyi bir takım ile hazırlanan Olay Müdahalesi, tehdit aktörlerinin her türlü saldırıya karşı en etkili çözümü sunmaktadır. Saldırılardan dolayı oluşacak maliyetleri düşürmek, şirket itibarını en üst seviyede tutmak ve mevcut verileri en üst düzeyde korumak için bir Olay Müdahalesi planı vazgeçilmezdir.

Belirlenen planın basit ve etkili bir dille anlatıldığı, mevcut yönetim tarafından desteklenen, içerdiği paydaşların kim olduğunun bilindiği, ayrıntılarının sorunun çözümü için yeterli olduğu ve hazırlanan planın testlere tabi tutulup etkinliğinin ölçüldüğü bir Olay Müdahale planın başarılı olmaması söz konusu bile değildir.

1.1. Olay Müdahalesinin İçeriği

Bir Olay Müdahale raporunun içeriğinde mutlaka olması gereken unsurlar vardır. Bu unsurların detaylarının iyi açıklanması ve tanımlamaların net bir şekilde belirtilmesi alınacak aksiyonların kalitesini direkt olarak etkilemektedir. İlk olarak, saldırı olduğu sırada bu olayı değerlendirecek ve yönetecek kişilerin görev ve sorumlulukları net bir şekilde belirlenmesi gerekmektedir. Böylelikle olayın False/Positive ayrımını yapacak ekip, olayı derinlemesine inceleyecek ekip ve müdahale edecek ekip vb. gibi ekipler doğru zamanda müdahale edebilirler. Diğer taraftan kurumlar olay müdahale stratejilerini belirleme ve mevcut iş hedeflerine göre bunların nasıl değerlendirileceği açıklanmalıdır. Bunun yapılması ile birlikte olay müdahale sürecinin her aşaması için gerekli prosedürler yazılabilir. Bir diğer taraftan bir Olay Müdahalesi içerisinde mutlaka bir iletişim matrisi barındırır. Böylelikle müdahaleyi yapacak kişiler ile çok hızlı ve direkt bir bağlantı sağlanmış olur. Son olarak da daha önce yaşanılan olaylardan çıkarılan dersler ve uygulanan metotlar mutlaka kurum hafızasına işlenmelidir. Tekrarı olmasının çok olağan olduğu günümüz dünyasında, yaşanılan olay çok daha çabuk bertaraf edilebilir. Bu yüzden bir Olay Müdahalesinin içerisinde eğer daha önce karşılaşmış ve çözüme kavuşturulmuş bir vaka var ise mutlaka eklenmelidir.

2. Olay Müdahalesinin Adımlarının Belirlenmesi

Bir Olay Müdahalesinin adımlarını belirlerken oluşan olaydan bağımsız olarak ortak bir kavram haritası izlenmelidir. Bu kavram haritasının genel başlıkları aynı kalmak koşuluyla içeriğini farklı olaylar için çeşitlendirilebilir. Aşağıdaki kavram haritasından da görüleceği üzere bir olay ile karşılaşıp tehdit olarak şüphelendiği zaman öncelikle gerekli hazırlıkların yapıldığı bir başlangıç aşaması olur. Daha sonra bilgi sızıntısının ya da zarar gören sistemlerin tanımlamaları yapılır ve tespitler belirlenir. Bir sonraki aşama tehditler tamamen ortadan kaldırılıncaya dek gerekli görülen sistemlere sınırlama getirmektir ve hemen akabinde aksiyonları almaktır. Aksiyonlar alındıktan sonra kurtarma ve onarma işlemleri yapılır ve sistemler güvenli hale getirdiğine emin olunur. Son kontroller yapıldıktan sonra yaşanan olay ile ilgili dersler çıkarılır ve şirket hafızasına işlenir. Şimdi bu adımları daha detaylı inceleyelim.

Olay Müdahalesi Adımları 2.1 Hazırlık/Başlangıç Aşaması

Genel olarak en fazla eforun harcanması gereken adımdır. Bu adımda kurumun güvenlik politikaları detaylı olarak gözden geçirilir ve risk değerlendirilmesi yapılır. Bu değerlendirme sonucunda kritik varlıkların bir listesi çıkartılır ve tüm varlıklar içerisinde gruplandırılır. Daha sonra oluşabilecek her türlü saldırı veya bilgi kaçağını göre de alınması gereken tüm önlemler belirlenir. Önlemlerin hızlı ve etkili bir şekilde alınması için ilgili ekibe gerekli tüm eğitimler verilmiş olması gerekmektedir. Böylelikle bu ekip içinde yer alan arkadaşlar bilgilerini sertifikalarla desteklemiş ve sanal ortamlarda testlerini tamamlanmış olmaları gerekmektedir. Böylelikle Olay Müdahale kısmında gereken görev alan kişilerin yetkinlikleri ispatlanmış olur. Bunun yanında şirket içerisinde yer alan diğer çalışanlara da siber güvenlik farkındalık eğitimi verilmesi gerekmektedir. Kurumların en fazla karşılaştığı saldırılardan biri olan Oltalama saldırıları genel de siber güvenlik konusunda hiç bilgisi olmayan kişilerin yakalandığı bir saldırıdır.

Hazırlık aşamasında yapılması gereken diğer bir konu ise sık sık tatbikat senaryoları yapmaktır. Mevcut planın yeterliliğini canlı tutmak ve uygulama aşamasında görev alacak insanların el çabukluğu kazanması açısından bu tarz aktivitelerinin artırılması önemlidir. Bunu yaparak Olay Müdahale planınızın tüm yönlerini planlamış ve ileri de bir sürprizle karşılaşma şansınızı azaltmış olursunuz. Bu aşamada yapılması gereken bir diğer adım ise kullanılan ve kullanılacak tüm kaynakların üst yönetim tarafından finansmanları sağlanmalıdır. Mevcut kaynaklarının yedekli yapıda olup gerektiğinde aynı anda devreye alınacak şekilde tasarlanmış olması gerekmektedir. Böylelikle hasar veya saldırı altındaki kaynaklar gerek inceleme için gerekse de mevcut zararı azaltmak için güvenli hale getirilmiş olur.

2.2 Analiz ve Tespit Etme

Oluşan olayın boyutu ve kapsamı ne olursa olsun öncelikle yapılması gereken, olayı inceleyen kişilerin sakin olmaları ve panik yapmamalarıdır. Sistemlere aniden yapılacak müdahaleler farklı sonuçlar çıkarabileceği için analiz ve tespit aşamasında alınacak aksiyonlar detaylı araştırmadan sonra uzman ekip tarafından yapılmalıdır. Meydana gelen aktivite hangi yönden geldiğini, içeriden bir sızıntı olup olmadığı, olayın ciddiyet derecesi, olay ile ilgili kayıtların toplanması, sorunun çözümü için birinci kontağın kim olacağı vs. Tüm olaylarda yapılması gereken ilk adım F/P(Yanlış/Pozitif) analizini iyi yapmaktır. Yapılan değerlendirmelere göre gelişi güzel kurallar yazıldığı ve korelasyonlar yapılmadığı için SIEM ürünleri çok fazla sayıda F/P üretmektedir. Dolayısıyla doğruluğu ve zararı olmayan bu olayları incelemek büyük kaynak harcanmasına neden olmaktadır. Bu kısımda Tehdit İstihbaratı hizmeti geniş olan sağlayıcılar tercih edilmelidir. İlk defa karşılaşan bir olay için ise mutlaka bir üst düzeyde görev alan yöneticilerden yardım alınmalıdır. Olay ile ilgili toplanan tüm veriler birlikte kullanılan ürün ( SIEM , Firewall, IDS vb.) üzerinden analiz edilip tespit edildikten sonra alınacak aksiyonlar belirlenebilir.

Zararlı yazılım analizinin statik ve dinamik basamakları yine olayın türüne göre değişiklik gösterebilir. Bundan dolayı Tehdit avcılığı ile ilgili derin bilgisi olan ekiplerin bu aşamada yaptıkları bulgular son derece önemlidir. Ayrıca bu ekiplerin analiz aşamasında OpenVAS, Maltego, Nessus, NMAP, Wireshark gibi bilgi toplama araçlar hakkında bilgi sahibi olması ve bunları kullanma becerisi olması önemlidir.

2.3 Sınırlama ve Aksiyon Alma

Yapılan analizlerin bitmesinden ve olayın detayları net bir şekilde ortaya çıkmasında sonra yapılacak olan iş ilgili birimlerin gerekli aksiyonları alıp sınırlamaların belirlenmesidir. Sunuculara yapılacak bir saldırısı sonrası içeride zararlı bir dosyanın bulunmasından sonra iç ağ trafiğinde diğer kullanıcılara yayılmaması için sistem bir süreliğine kapatılmak üzere sınırlama getirilebilir. Dolayısıyla bu aşamada hem olayı çözüme kavuşturacak teknik ekip hem de olası sonuçlarına göre görev alacak diğer ekipler hazır olmalıdır. Örneğin yaşanan olay, bir şirket çalışanının içeriden bilgi kaçırmasıysa, öncelikle DLP ekiplerinin politikalarını güncelleyip sızıntının olduğu yerde gerekli aksiyonları almaları gerekmektedir. Bunun yanında kuruma ait özel verileri dışarı çıkmasından ötürü ilgili kişi hakkında hukuksal konular devreye alınmalıdır.

2.4 Kurtarma ve Onarma İşlemleri

Sistemlerin tamamen temizlendiğinden emin olduktan ve içerideki zararlılar tamamen yok edildikten sonra sınırlama getirilen tüm sistemler tekrar aktif edilebilir. Aktif edilen sistemler bir süre izlenip çalışma mekanizmasında bir aksaklık olmadığında emin olunur. İzleme aşamasında görev alan kişilerin anormal olan tüm hareketlere karşı her daim şüphe ile yaklaşması gerekmektedir. Takip edilen sistemlerde yapılan tüm anormal hareketleri, ilgili aktiviteyi gerçekleştiren kişiden teyit etmelidir. Kurtarma işleminin bu adımda yapılan saldırıya karşı önlem alınmalıdır. Örneğin, yapılan saldırı bir DDoS saldırısı ise içerideki yönetici hakkına sahip kullanıcıların parolalarını değiştirmeye gerek yoktur fakat yapılan saldırı eğer Brute-Force saldırısı ise burada başarılı olma ihtimaline karşın öncelikle sistem yöneticileri olmak üzere diğer kullanıcıların da parolalarını değiştirmesi gerekmektedir. Dolayısıyla olayları kategorize etmeli ve ihtiyaca göre onarma işlemleri yapmalıyız.

2.5 Gözden Geçirme ve Alınan Dersler

Bu aşamada oluşan olaydan alınan aksiyonlara kadar tüm süreç gözden geçirilir. Gözden geçirilme, sürece dahil olan tüm ekipler tarafından yorumları alınarak bir toplantıda yapılır. Bu yorumlar resmi bir dille daha sonra kullanılmak için olay örgüsü şeklinde raporlanır. Hazırlanan bu rapor Olay Müdahale planlamasının içerisine dahil edilerek daima kullanılacak şekilde hazır tutulur. Böylelikle daha önce yapılan yanlışlar düzeltilecek ya da sistemde güvenlik açığı olan kısımlar güvenli hale getirilebilecektir.

Kurumunuzun karşılaşabileceği saldırıların yapılış biçimi ve hedef aldığı sistemlere göre farklı Olay Müdahalesi raporları ile desteklenen VOID SOC Paketleri'miz hakkında bilgi almak için hemen ziyaret edin!

Kapsamlı Bir Siber Güvenlik Hizmeti SOC ile Mümkün!

Kodlaması herkes tarafından okunabilen ve düzenlenip paylaşılabilen bir yazılım türü olan açık kaynak araçlar ile ilgili blog yazımızı okuyabilirsiniz.

Devamını Oku

Siber Güvenlik Neden Önemli?

Cisco Türkiye, UN Women, BinYaprak, Habitat ve TOG’un katkılarıyla genç kadınları siber güvenlik ile tanıştırmak amacıyla düzenlenen Siber Güvenliğe Katılım Etkinliği'nde, Soitron Siber Güvenlik Servisleri Satış Müdür Didem Önol konuşmacı olarak katılarak, değerli bilgiler aktardı.

Devamını Oku

Siber Riskleri “Yeni” Ofisinize Taşımayın

2020 yılında dünyanın kutusundan herkes için kötü bir sürpriz çıktı: Covid-19. Bu kötü sürpriz öyle bir etki yarattı ki tüm sistemler alt üst oldu ve tabii süreçleri işletebilmek için de değişim kaçınılmaz hale geldi.

Devamını Oku

Kariyer Fırsatları

Size uygun kariyer imkanlarını keşfedin.

İletişim

Tüm sorularınızı cevaplamak için buradayız.