Olay Müdahale Planı Nasıl Oluşturulur?
Siber tehdit aktörlerinin hedefinde olan her kuruluş
yani günümüzde dijitalleşemeye adım atan her kuruluş gerçekleşebilecek bir
saldırıda olay müdahalesi planına sahip olmalıdır. Siber saldırılarından %100
korunmak çok güzel olurdu ancak bunun pek mümkün olmadığını üzülerek söylemek
durumundayız. Bundan dolayı her kuruluş bir siber saldırıya maruz kalacaktır. Bunun
farkında olan ve belirli bir olgunluğa ulaşmış kuruluşların belirlemiş olduğu bir
siber olay müdahale (Incident Response) planı bulunmaktadır çünkü ne tür bir
önlem almış olsalar bile ciddi bir siber olay ile karşılaşacaklarını bilirler
bundan dolayı siber saldırılarına ilişkin planlarını belirleyen belgelere
sahiptirler.
Olay müdahale planın anlamak için Olay müdahalesinin
ne olduğunu bilmek önemlidir. Olay müdahalesi, bir siber güvenlik ihlalini
tespit edip ortadan kaldırmayı ve saldırıdan kurtarmayı amaçlayan bir dizi
eylemlerdir. Olay müdahalesinde başarılı olmak için sistematik yani olaya
planlı bir şekilde yaklaşmak gerekir.
Olay müdahale planı yapan kuruluşların amacı, bir
siber saldırıya maruz kaldığı andan itibaren saldırının etkisini en aza
indirmek ve olaya olabildiğince hızlı bir şekilde cevap vermeyi hedefler yani
kaçınılmaz bir siber saldırıda kuruluş üzerindeki olumsuz etkileri en aza
indirmektir. Bir olayı bildirmek izleme olay müdahalesi ekibinin işi değildir,
ancak ilgili uyarıların uygun şekilde incelenmesini ve analiz edilmesini
sağlamak olay müdahalesi ekibinin görevidir. Sistemi izleme ister kurum içinde
olsun ister dışarda isterse de hibrit bir yapı olsun olay müdahalesi planı
doğrultusunda olay müdahalesi ekip liderine doğru ve hızlı bir şekilde hareket
etmesini sağlamak için olayı ele alma, inceleme ve analiz sürecini
tanımlamalıdır. Olay müdahalesi (IR)
planı iyi iletilen ve koordine edilen özlü, metodik eylemler, etkiyi azaltmanın
anahtarıdır.
Kuruluşun bir olay müdahale planın olması önemlidir
çünkü bir stres ve baskı altında durumu kontrol altına alarak doğru kararlar ve
aksiyonlar almasını sağlar.
Siber Olay müdahale planını tasarlamak için
yapılması gereken aşamalar;
1. Hazırlık aşaması:
Siber olay müdahale planındaki en önemli ilk adımdır. Bu adımı alt adımlara
ayırmak daha doğru bir yaklaşım olacaktır.
i) Ekip
içerisinde kaliteli bir iletişim kurmak için planlı iletişim kanalını oluşturulmalıdır:
Bir IR planının, hem planlı iletişimini hem de bir olaya yanıt vermek için
gereken adımları gerçekleştirmesi gereken bir süreç akışı taslağına ihtiyacı
vardır. Akış başlangıç izleme ekibinde ve resmi olay bildirim sürecinden gelen
artıştır. Bir olay bildirilirse akış, tehdidi içerme ve kurtarma adımlarını an
hatlarıyla belirtir.
ii) Kim,
ne, ne zaman, nerede, nereden ve nasıl sorularına cevap verebilen kontrol
listeleri ve gerekli kılavuz oluşturulmalıdır.
iii) Siber
olaya müdahale edecek ekibin daha önceden sistem üzerinde gerekli izinlerin
verilmiş olması kontrol edilmelidir.
iv) Olay
müdahalesi ekibinin kendi içerisinde kullanacağı araçları önceden test etmiş
olması gerekmektedir.
v) Süreç
akış taslağı oluşturulmuş olmalıdır. Bir IR planının, hem planın iletişimini
hem de bir olaya yanıt vermek için gereken adımları gerçekleştirmesi gereken
bir süreç akışı taslağına ihtiyacı vardır. Akışın başlangıcı, izleme ekibinden
ve resmi olay bildirim sürecinden gelen artıştır. Bir olay bildirilirse akış,
tehdidi içerme ve kurtarma adımlarını ana hatlarıyla belirtir.
vi) Bir
olayı bir kişi üstlenmelidir: IR ekibi lideri, daha geniş siber güvenlik
ekibiyle işbirliği içinde, olay bildiriminden sorumludur. Plan, IR ekibinin
bunu yapması için gereken sürecin ana hatlarını verecektir. İlk
olarak, IR sorumlusu, izleme ekibinden toplanan verileri gözden geçirerek ve
gerektiğinde yeni bilgiler alarak olayı daha da doğrulamalıdır. Daha sonra
lider, bir olayı ilan etmek amacıyla tanımlanmış paydaşlarla bir toplantı
düzenleyebilir. Bu toplantı için sanal veya fiziksel bir savaş odası ve
birincil yöntemler mevcut değilse geri dönüş iletişim yöntemlerini belirleyin.
vii) IR
ekibinin kimlerin dahil olduğunu, sürece ne zaman dahil olduklarını ve hangi
eylemlerin yapılması gerektiğini hızlı bir şekilde belirleyebilmesi için her
olay türü için kilit paydaşların bir listesini oluşturun. Yalnızca rolleri
değil, gerçek isimleri ve mevcut kişileri listelemek, hesap verebilirliği
sağlamak ve IR planının güncel kalmasını sağlamak için en iyi uygulamadır. IR
ekibi, plan belgesinin sahibi olmaktan ve sürdürmekten sorumludur.
2. Olayı belirleme:
Bu aşamada, çeşitli kaynaklardan ilgili tüm verileri toplayarak, anomali
tespiti olup olmadığını tespitiyle ilgilidir. Belirli bir olayın bir olay
olduğu belirlenirse, olay müdahale ekibi kanıt toplamak ve sonraki adımlara
hazırlanmak için yeterli zaman tanımak için mümkün olan en kısa sürede rapor
etmelidir. Bir olay ilan edildiğinde, IR liderinin ve ekibinin harekete geçme
zamanı gelmiştir. Ekip etkilenen kullanıcıları, sistemleri, uygulamaları veya
diğer kaynakları izole etmeye çalıştığından, kapsam öncelikli olmalıdır. IR
planı, çevreleme stratejisini belirlemek için saldırının aşamasını ve
ciddiyetini göz önünde bulundurmalı ve çevreleme stratejisinin nasıl
uygulanacağını ve yetkinin kimde olduğunu tanımlamalıdır.
3. Toplanan Delileri Muhafaza Etme:
Bu aşamada çeşitli yöntemler ile elde edilen delillerin zarar görmesini
engellemek, yok edilmesini önlemek ve gerçekliğini kaybetmeden gerekli
mercilere sunmalıdır.
4. Sisteme Sahip olan Saldırganları
dışarı atma: Bu aşama, etkilenen tüm sistemlere bir
malware bulaşmış ise bunu kaldırmak ve almış olduğu saldırın nedenini
belirlemek ve güvenlik açığı var ise gerekli önlemleri alarak kapatmalıdır.
5. Sistemi Eski Haline Getirme:
Kurtarma aşaması olarak da adlandırılabilir bu aşamada zarar görmüş sistemleri
dikkatli ve kontrollü bir şekilde eski haline getirmesi adımıdır. Sistemlere
başka yollarla yeniden enfekte olmadıklarını doğrulamak için test etmek,
izlemek ve doğrulamak önemlidir.
6. Yaşanılan Olay İle İlgili Ders
Çıkarmak: Bu aşamada siber olay yaşandı ve olaya müdahale
edildikten sonra uygulanılan son adımdır. Bu kritik aşamanın amacı, olay
sırasında yapılamayan ve gelecekteki olaylar için faydalı olabilecek her türlü
dokümantasyonu tamamlamaktır.
i.
Devam eden bir olayın tüm yönlerini
belgelemek mümkün olmayabilir ve kapsamlı belgelere ulaşmak, gelecek için
dersleri belirlemek açısından çok önemlidir. Bir olay raporu yayınlamak: Belge,
öğrenilen dersler toplantısı sırasında ortaya çıkabilecek soruları
cevaplayabilecek bir rapor şeklinde yazılmalıdır.
ii.
Alınan dersler toplantısı
oluşturulmalıdır: Olayı ve hemen uygulanabilecek öğrenilen dersleri tartışmak
için Olay müdahalesi ekibi ve diğer paydaşlarla düzenli aralıklarda toplantı
yapılmalıdır.
iii.
Geçiş bir IR planı, tekrarlama
olasılığını azaltmayı amaçlayan resmi bir olay sonrası öğrenme sürecini
içermelidir. Aynı olayı iki kez yaşamamaktan kaçınmaya çalışmanın yanı sıra,
öğrenme, bir olayı bildirmek veya eyleme geçmek için koordinasyon ve karar
verme konusunda ince ayar yapmanıza olanak tanıyan ekip hazırlığı için gözetim
sağlar. IR sürecindeki herhangi bir değişikliğin plan belgesinde
güncellendiğinden emin olun.
Öneriler
-
Oluşturmuş olduğunuz siber olay müdahale
planını test edin.
-
Belirli aralıklarda siber tatbikatlar
düzenleyin.
-
Manuel delil toplamak yerine tam ve
doğru olarak otomasyon düzeni kullanılmalıdır.
-
Kurumunuzdaki varlıkların keşfi
yapılması gerekmektedir. Varlık envanterleri veya veri sınıflandırması ve
yönetimi gibi şeylerin üstesinden gelememek birçok hataya yol açabilir.
-
SOC analistlere çeşitli olayların nasıl
önceliklendirileceği ve ilgili kanıtların nasıl toplanacağı konusunda yol
gösterilmelidir.
-
Bir siber olay yaşandıktan sonra bu
soruların cevaplanması kurum için önemlidir; mevcut olmayan ve etkinleştirilmesi
gereken herhangi bir ek günlük var mı? Güvenlik ekibinin becerilerinde bir
boşluk var mı?
Şirketin yama politikasının gözden geçirilmesi gerekiyor mu?
-
İzinsiz girişi önleme ve dosya bütünlüğü
izleme sistemlerinizin ne kadar doğru sonuç verdiğini test edin.
-
Belirli periyotlarda yedek alın.
-
olay müdahalesi ekibinin sorumlulukları
konusunda uygun ve düzenli bir şekilde eğitin.
-
Siber olay yaşandıktan sonra alınan
dersler uygulandığını test edin.
-
Olay Müdahalesinden bulunacaksanız bu üç
unsura önem vermelisiniz; Plan, Ekip ve Araçlar
