Olay müdahale aracı, bir güvenlik ihlali durumunda, tehditle etkin bir şekilde başa çıkmak için doğru personelin ve prosedürlerin uygulanmasını sağlar. Bir olay müdahale aracına sahip olmak, tehdidi kontrol altına almak ve düzeltmek için hedeflenen bir müdahale sağlamak için yapılandırılmış bir soruşturmanın başlatılmasını sağlar. Bir tehditle karşılaştığınızda ne kadar etkili müdahale edeceğiniz, “Bir olay müdahale aracınız var mı?” Sorusunun cevabına bağlıdır.

Neden Bir Olay Müdahale Aracına İhtiyacınız Var?

Bir kurumun olay müdahale aracına sahip olması çok önemlidir, çünkü bir tehdit karşısında durumu kontrol altına almak için kurumun doğru kararlar almasını sağlar. Bir siber güvenlik olayı çok tehlikeli bir hal alabilir, eğer bir olay müdahale aracınız yoksa, kurumunuzun itibarına ciddi zararlar verebilir.

Siber saldırı ile etkin bir şekilde başa çıkmak için şirketinizin olay müdahalesinde uzmanlaşmış bir ekibe ihtiyacı olacaktır. Bazı kurumlar bu ekibi Bilgisayar Güvenliği Olay Müdahale Ekibi (CSIRT) olarak adlandırır. Bu kısaltmanın Güvenlik Olayı Müdahale Ekibi (SIRT) veya Bilgisayar Olayı Yanıt Ekibi (CIRT) gibi başka permütasyonları da vardır. Bu ekibin görevi, adı ne olursa olsun aynıdır.

Veri güvenliğinde çalışıyorsanız, güvenlik olaylarıyla günlük olarak ilgilenirsiniz. Bazen küçük bir güvenlik sorunu gerçek bir panik durumuna dönüşür.

Bilgisayar Güvenliği Olay Müdahale Ekibi (CSIRT), potansiyel olarak yüksek stresli bir durumla başa çıkacak becerilere ve deneyime sahip olmalıdır. Dijital Adli Tıp uzmanları, Malware Analistleri, Olay Yöneticileri ve SOC Analistlerinin tümü, büyük ölçüde dahil olacak ve durumla ilgili olarak sahada ön ayak olacaklar. Sonuç olarak üst yönetime durumun kontrol altında olduğuna dair güvence vereceklerdir.

Hepsinden öte, genellikle bir zaman konusu söz konusudur. Veri ihlalleri gün geçtikçe daha yaygın hale geliyor: Örneğin Genel Veri Koruma Yönetmeliği (GDPR), şirketlerin veri güvenliği olaylarını keşiften sonraki 72 saat içinde rapor etmesini gerektiriyor.

Olay müdahale aracı, doğru becerilere ve deneyime sahip doğru kişilerin bu çağrıda bulunacağı, her birinin kendilerinden ne beklendiğini ve tehdidi başarılı bir şekilde kontrol altına almak ve düzeltmek için hangi prosedürlerin izlenmesi gerektiğini bilir. Bu yapıya sahip olmak her zaman çok değerli olmuştur.

Olay Müdahale Aracına İlişkin Hususlar

Olay müdahale aracı, bir şirketin güvenliğe olan ihtiyacı arttıkça geliştirilebilecek temel kriterlerden biri olacaktır. Bir olay müdahale aracı oluştururken dikkat edilmesi gereken birkaç husus vardır.

Üst yönetimden destek çok önemlidir. Üst yönetim tarafından desteklenmezse, ihtiyaç duyulana kadar dosyalama riski altında olacaktır. Bir olay müdahale planı oluşturmak, bir bağlantıyı tıklayan bir hareketten ibaret olmamalıdır. Üst düzey liderlik, bir süreç ve insanlar açısından neyin gerekli olduğunu özetlemeli ve gerekli desteği sağlamalıdır.

Hedef kitleyi tanınması önemlidir. Çalışma saatleri içindeki ve dışındaki kilit kişiler ve ekipler için iletişim bilgilerinin belgelenmesi gerekir.

Hızlı bir şekilde iletişime geçilmesi önemlidir. İletişime geçme, görev atama ve uygun eylemlerin mülkiyeti oluşturulmalıdır. Ayrıca, herhangi bir olay iletişimine kimlerin dahil edilmesi gerektiği ve izleyiciye bağlı olarak ne kadar ayrıntı gerektiği düşünülmelidir. Güvenlik ekiplerine atanan görevlerin kesin ve teknik olması gerekirken, panoda yapılan güncellemelerin açık ve herhangi bir teknik bilgi içermemesi gerekir.

• ÖNEMLİ İPUCU: Bir siber saldırı anında hızlı müdahale önceliklerini belirleme sistemi (triyaj matrisi), hızlı ve doğru bir şekilde önceliklendirilebilmesi için bir olayın ciddiyetinin anlaşılmasını sağlayacaktır.

Planlar ve prosedürler önemlidir. Ancak olay müdahale aracını yürütecek ve olay kurtarmayı gerçekleştirecek olan CSIRT’tır. İnternet reklam paketinin (IRP) başarılı bir şekilde yürütülmesi için doğru kişilerin bir işi gerçekleştirmesi için bir bilgi, yetenek ve deneyime sahip olması gerekir.

CSIRT, çeşitli ekiplerden oluşacaktır ve her rol, bir olayı olası bir felaketten bir başarı hikayesine dönüştürmenin anahtarıdır. CSIRT, olayın kapsamını, nasıl hafifletilebileceğini ve nihayetinde düzeltilebileceğini anlamak için birlikte çalışan deneyimli, teknik bilgiye sahip olan ve teknik bilgiye sahip olmayan personelin bir karışımıdır. Doğru kişilerin işe alınması ve yerleştirilmesi gerekir.

Otomasyon aynı zamanda olay müdahale aracının da anahtarıdır; yetenekleri ve kapsamları ile birlikte hangi güvenlik araçlarının yerinde olduğunu anlamak, belirli bir otomasyon seviyesinin mümkün olacağı anlamına gelir. Hassas bir şekilde ayarlanmış güvenlik kontrolleri, ilk savunma hattınız olan Güvenlik Operasyonları Merkezi’nin (SOC) anlamlı ve meşru uyarılara yanıt vermesini sağlar. Güvenilir ve ince ayarlı uyarılara sahip olmak, olay müdahale sürecinin bazı alanlarının otomatik olarak başlatılabileceği ve bir olay için ilk sınırlandırmanın ve kanıtların toplanmasının otomatik olarak oluşturulmasının mümkün olabileceği anlamına gelir.

Bir şirketin olay müdahale aracının yanı sıra, bir tehdit istihbaratı aracına sahip olmayı da düşünmesi gerekir. Bir IRP, bir olay tehdidini gidermek için tasarlanırken, Dağıtım Kaynağı Planlaması (DRP) bir işletmenin işlevselliğini geri yüklemek ve büyük bir doğal veya insan kaynaklı felaketin ardından onu tekrar çevrimiçi duruma getirmek için tasarlanmıştır. İşletme çalışamazsa, DRP şirketi tekrar çevrimiçi duruma getirmek için gereken adımları özetleyecektir.

Bir şirketin, Ödeme Kartı Sektörü Veri Güvenliği Standardından (PCI DSS) etkilenip etkilenmediğini de düşünmesi gerekebilir. Bu, bir işin müşteri kredi kartı ayrıntılarının kayıtlarını işlemesi ve iletmesi durumunda geçerlidir.

Olay Müdahale Aracından Kim Sorumlu?

Güvenlik Operasyon Merkezleri (SOC) ilk savunma hattıdır. Haftanın 7 günü 24 saat görev yapan askerlerdir. Her güvenlik uyarısını önceliklendirmek, kanıtları toplamak ve uygun eylemi belirlemek onların görevidir. Vardiyalı olarak çalışan SOC Analistleri, siber güvenlik tehditleri konusunda geniş bir anlayışa sahip olmalı, SIEM (Güvenlik Olayı Olay Yöneticisi) ve EDR (Uç Nokta Tespiti ve Yanıtı) çözümleri gibi çeşitli güvenlik platformlarına ve araçlarına erişebilmelidir. Bu araçlar, DDoS saldırılarından bir cihazda çalıştırılan kötü niyetli komutlara kadar değişebilen çok çeşitli uyarılar oluşturabilir; SOC analistlerinin bu verileri anlayabilmesi ve yorumlayabilmesi gerekir. Bir olayın yüksek öncelikli olduğu kabul edilirse veya SOC’nin beceri setinin dışında kalıyorsa, sorumlu personel Olay Yönetimi ekibidir.

Olay Yöneticisinin görevi bir olayı çevrelemek, kilit paydaşları bir araya getirmek ve en iyi eylem planını belirlemek için tartışmayı yönlendirmektir. Olay Yönetimi ekibi, kendilerine kanıt, tavsiye ve görüşler sağlayarak ve bir olayın hızını belirler. Hangi görevlerin tamamlanması gerektiğini, bunları kimin tamamlaması gerektiğini ve ne zaman tamamlanması gerektiğini belirlerler. Planlanması gereken tüm olay çağrıları ve iletişimler Olay Yönetimi tarafından tamamlanır.

CIRT ekibi Özel Harekat askerleridir, sadece yüksek profilli ve yüksek öncelikli olaylara katılırlar ve olaylara karışmadıklarında becerilerini geliştirirler. SOC analistleri geniş bir beceri setine sahip olacakken, CIRT ekibi, kötü amaçlı yazılım analistleri ve dijital adli tıp uzmanları gibi özel beceri ve ilgi alanlarına sahip bireylerden oluşacaktır. Bu ekip, uzman teknik danışmanlık ve analiz sağlar. Toplum tarafından gerçekleştirilemeyen Olay Yönetimi tarafından görevlendirilir.

Tehdit İstihbarat ekibi siber tehdit ortamını değerlendiren ve anlayan izcilerdir. Olay, hassas veriler içeren güvenliği ihlal edilmiş bir sunucuyla ilgiliyse, o zaman satışa sunulan verilerin kanıtını aramak için karanlık web’i araştıracaklar. Olay bir kötü amaçlı yazılım bulaşmasıyla ilgiliyse, istihbarat ekibi kötü amaçlı yazılım ailesi üzerinde OSINT (Açık Kaynak İstihbaratı) araştırması yapacak ve bunun kuruluşunuza yönelik hedefli bir saldırı olma olasılığı hakkında tavsiyelerde bulunacaktır.

Olay Müdahale Aracı Oluşturmak için 6 Adım

Oltala, Olay Müdahale (IR) aracı için tercih edilmeye devam ediyor.

İşte, Olay Müdahale aracını oluşturmak için 6 Adım!

1. Hazırlık

Herhangi bir potansiyel güvenlik olayına hazırlık, başarılı bir müdahalenin anahtarıdır. Bir olayı önceliklendirirken SOC’a rehberlik eden bazı oyun kitapları geliştirmenizi şiddetle tavsiye ederim, bunlar bir olayın nasıl önceliklendirileceğine ve ne zaman yükseltilmesi gerektiğine dair net talimatlar verecektir. Bunlar yüksek düzeyde olmalı ve DDoS, Kötü Amaçlı Yazılım, İçeriden Tehdit, Yetkisiz erişim ve Oltalama saldırısı gibi belirli alanlara odaklanmalıdır. Oyun kitapları ve prosedürler, onları kullanacak kişi ve ekipler üzerinde test edilmelidir. Masa üstü egzersizler, bilgiyi sağlamlaştırmanın ve herhangi bir iyileştirme yapılıp yapılamayacağını görmenin mükemmel bir yoludur.

2. Kimlik

Bir güvenlik tehdidini yalnızca olayın boyutunu ve kapsamını öğrendikten sonra başarıyla kaldırabilirsiniz. İlk tehlikeye atılan cihaz olan ‘endeks vakası’ ile başlayın. Amaç, uzlaşmanın temel nedenini anlamaktır, ancak sadece tek bir cihaza odaklanmayın, tehdit yayılabilir ve yanlara doğru hareket edebilir mi?

Bir olayın gerçek tanımlanması, yararlı uzlaşma göstergelerinin (IOC’ler) toplanmasından gelir. Virüs bulaşmış orijinal cihazı yeniden inşa etmek yerine, daha fazla uzlaşma kanıtı için kurumunuzda arama yapmak için kullanılabilecek benzersiz IOC’leri belirleyin. Olay kötü amaçlı yazılım bulaşması ile ilgili ise, aşağıdaki soruları sorun;

• Kötü amaçlı yazılım hangi ağ bağlantılarını oluşturur?
• Kötü amaçlı yazılım herhangi bir etki alanına bağlanıyor mu?
• Diskte hangi dosyalar oluşturulur?
• Hangi çalışan işlemler oluşturulur?
• Oluşturulmuş benzersiz kayıt defteri anahtarları var mı?

Bu veriler daha sonra daha fazla uzlaşma kanıtı aramak ve kurumunuzdaki diğer virüslü makineleri belirlemek için kullanılabilir.

3. Muhafaza

Bir olayın kapsamı başarıyla belirlendikten sonra, çevreleme süreci başlayabilir. Burası, bir saldırının yayılmasını durdurmak için kurum içindeki güvenliği ihlal edilmiş cihazların ağın geri kalanından izole edildiği yerdir.

Saldırı trafiği tarafından hedeflenen bir cihazı izole etmek için kısa süreli koruma kullanılabilir. Zaman alıcı bir analiz gerektiğinde uzun vadeli çevreleme gerekli olabilir. Bu, aygıtın bir görüntüsünün alınmasını ve sabit disk adli incelemelerinin yapılmasını içerebilir. Bu, daha fazla IOC oluşturabilir ve tanımlama aşamasının yeniden gözden geçirilmesi gerekebilir.

4. Yok Etme

Olay başarıyla kontrol altına alındığında, tehdidin ortadan kaldırılması başlayabilir. Bu, bir cihazın güvenliğinin ihlal edilmesine neyin sebep olduğuna bağlı olarak değişecektir. Cihazlara yama uygulamak, kötü amaçlı yazılımları devre dışı bırakmak, güvenliği ihlal edilmiş hesapları devre dışı bırakmak, bir olayın ortadan kaldırılması aşamasında nelerin gerekli olabileceğinin örnekleridir.

5. Kurtarma

Bir olayın kurtarma aşamasının amacı, kuruma normal hizmeti geri vermektir. Temiz yedeklemeler varsa, bunlar kuruma geri yüklemek için kullanılabilir. Alternatif olarak, temiz bir kurtarma sağlamak için güvenliği ihlal edilmiş herhangi bir cihazın yeniden oluşturulması gerekecektir. Etkilenen cihazların ek izlemesinin uygulanması gerekebilir.

6. Alınan Dersler

Tehdit tamamen ortadan kaldırıldıktan sonra, bir sonraki adım ‘bunun tekrar olmasını nasıl durdurabiliriz?’ Sorusunun yanıtlanmasını içerecektir. Olay Sonrası İnceleme (PIR) olarak bilinen bir toplantı yapılmalı ve olaya dahil olan tüm ekiplerin temsilcilerini içermelidir. Bu, olay sırasında neyin iyi gittiğini ve neyin geliştirilebileceğini tartışmak için bir platformdur. Bu, olay müdahale aracının PIR’ın sonucuna göre geliştirildiği prosedürler ve oyun kitaplarının uygun olan değişiklikleri yansıtacak şekilde değiştirildiği yerdir.

Olay Müdahale Aracının En İyi Uygulamaları

Başucu kitapları oluşturun. Oyun kitapları oluşturmak, SOC’ye çeşitli olayların nasıl önceliklendirileceği ve ilgili kanıtların nasıl toplanacağı konusunda yol gösterecektir. Şirketlerin karşılaştığı ana saldırı senaryolarına odaklanın; Kötü Amaçlı Yazılım, DDoS, yetkisiz erişim, Oltalama Saldırısı ve içeriden bilgi alma tehdidi. Bu belgeler, Olay Yönetimi ekibine bir iletimi neyin tetiklediğini özetlemeli ve hangi kanıtların toplanması gerektiği konusunda tavsiyede bulunmalıdır. Onları yüksek düzeyde tutun, fazla karmaşık hale gelmemeleri için çok ayrıntılı olmamalarına dikkat edin.

Siber saldırı alıştırmaları yapın. Bazı saldırı simülasyonları ile savaşarak gerçek saldırılara hazırlanabilirsiniz. Bu, bazı masa üstü uygulamaları düzenlemek kadar basit olabilir. İlgili ekipler tarafından konuşulabilecek bazı saldırı senaryoları oluşturmak, yerleştirilmiş olan oyun kitaplarını test etmenin harika bir yoludur, bu aynı zamanda bir olay müdahale aracındaki boşlukları belirlemeye yardımcı olur.

Tehdit avına başlayın. Yeni bir platformda bir alarmın ateşlenmesini beklemek başka bir şeydir, proaktif olarak şüpheli etkinliği aramak, olay müdahale ekiplerinin olgunlaşmaya başladığı yerdir. Bu beceriler ve bu tür bir zihniyet, bir olayın tanımlanması, ağ trafiğinin sorgulanması, nadiren kullanılan bağlantı noktalarına ve bir olayın boyutunu anlamak için olağandışı işlemlere bakma aşamasında tam olarak gerekli olan şeydir. SOC’nin ‘normal’ neye benzediğini güçlü bir şekilde anlaması halinde, kötü niyetli faaliyetleri tespit etmek çok daha kolay hale gelir.

“Bu gönderi orijinal olarak www.oltala.com.tr adresinde yayımlanmıştır.”