Incident Response Plan
Incident Response Plan
Günümüzde neredeyse
her gün karşılaşmış olduğumuz siber saldırıların yıkıcı etkisi her geçen gün
artmaktadır, bu siber saldırılara karşı meydan okumak, müdahale adımlarını
belirlemek ve nasıl bir yol izlemek gerektiğini bilmek saldırıdan en az hasarla
kurtulma konusunda önemli bir yere sahiptir.
Bilişim sistemlerinde
güvenliği ihlal edilmiş, veri hırsızlı veya siber saldırıyla karşılaşılması
durumunda yapılması gereken adımların belirlenmesine, olayın türünü
belirlenmesinden başlayarak tespit edilip gerekli önemler ve aksiyonlar
alınmasına kadar takip edilen süreç Olay
müdahalesi olarak tanımlanır. Olay müdahale süreçleri Incident Response
Plan olarak bilinir. Incident response, bir siber güvenlik olay sürecini
yönetmeye yönelik bir yaklaşımdır. Bu yaklaşımdaki amaç karşılaşılan vakayı
etkili bir şekilde yönetmek ve farklı olaylara karşı aksiyon alınması gereken
adımları belirlemektedir. Olay müdahalesi sayesinde sistemdeki zarar minimuma indirilmesi
ve işleyiş olduğu gibi devam eder. Farklı vakalar ile karşılaşılabileceği için
sadece bir olay müdahalesi sürecine bağlı kalmak doğru olmaz. Bunun nedeni ise
bir malware ile içeriden erişim hakkı olan ya da networksel saldırılara için
farklı senaryolar takip edilmelidir. Kısacası Siber olay yaşandığında
sistematik ilerlemek için bir siber olay müdahale planına ihtiyaç vardır.
Incident Response
planları NIST ve SANS tarafında belirlenen belirli bir standarta oturtulmuştur.
Bu standart başlıklar altında saldırılara ilişkin playbook’ların hazırlanması
önerilmektedir. .
NIST ve SANS Incident
Response bileşenleri yan yana karşılaştırdığımız zaman bileşenlerin hemen hemen
aynı olduğunu ancak ifade ve gruplamaların farklılık olduğunu söyleyebiliriz.
En önemli fark NIST’in sınırlama, yok etme ve kurtarmanın benzer olduğuna savunduğu
3.adımı birleştirdiğini görebiliriz yani NIST’e göre ortandan kaldırmaya
başlamadan önce tüm tehditleri içermeyi beklememeliyiz. Bazıları bu tür
karşılaştırmayı sürekli olarak tartışmaktadır ancak bu bir tercih meselesi ve kuruluşun
kaynaklarına bağlıdır.
SANS Incident Response
SANS Enstitüsüne göre
etkili bir Incident Response Plan göre 6 adımdan oluşmaktadır. 6 adımın her
adımı bir önceki adım üzerine kurulduğu için sırala takip edilmelidir.
1-
Preparation
(Hazırlık)
2-
Identification
(Tanımlama)
3-
Scope
(Kapsam)
4-
Eradication
(Eradikasyon)
5-
Recovery
(İyileştirme)
6-
Lessons
Learned Alınan dersler)
Preparation
Olay müdahalesinin en
önemli aşamasıdır. Kuruluş bir saldırı durumunda ne kadar iyi yanıt verebileceğini
belirlediği aşamadır. Bu aşama olmadığı zaman diğer aşamalara geçmek zor ve
zaman gerektirmektedir. Kuruluşun bir olayı ele alabilmesini sağlamak için
birkaç temel unsurun uygulanması gerekir.
1.
Policy
yani politika belirlenmeli, bir kuruluş içinde yazılı bir dizi ilke, kural veya
uygulama sağlar. Vaka oluştuğunda rehberli sunan önemli bir eylemdir.
2.
Response
planı/stratejisi: Müdahale planın tek bir iş istasyonunun başarısız olması gibi
küçük olaydan sunucunun çökmesi orta bir riske veya bir departmandan veri
çalınması gibi yüksek riskli konulara kadar organizasyonel etkiye dayalı olarak
olayların önceliklendirilmesini içermesi gerekir. Olaya müdahale edecek ekibin
envanter hakkında bilgi sahibi olmalıdır, Cihazlar, işletim sistemleri, yama
sürümleri ve kritik durum gibi bilgilerin olduğu belge bulunmalıdır.
3.
İletişim,
olaya müdahale edecek ekibin kiminle, ne zaman ve neden iletişim kuracağını
bilmesini saplamak için önemlidir. İletişim hazırlığı sayesinde doğru kişiler
hızlı bir şekilde ulaşıp hızlı müdahaleler sağlanacaktır. Güvenli iletişim
ortamı kurum networkünden bağımsız iletişim kanalı oluşturulmalıdır.
4.
Erişim
kontrolü, olaya müdahale edecek ekibin uygun izinlere sahip olması gerekir. Olaya
müdahale edecek ekibin görev ve sorumlulukları belirlenir.
5.
Toollar,
yazılım ve donanım olaya müdahale edecek ekibe yardımcı olacaktır. Hazırlık aşamasında,
merkezi noktandan yönetim oluşturulması gerekmektedir yani bir monitoring tool
kullanılmalıdır bu monitoring tool sayesinde elde edilen eventları (alarm log
kayıtları vs.) tek bir noktadan incelenmesi zaman tasarrufu açısından önemlidir
bilgisayarın parça sökmesine yarayacak tornavida setine kadar bulunmalıdır.
Identification
Bir vakanın meydana
gelip gelmediğini tespit etmek ve belirlemekle ilgilidir. Bu kararı vermek için
Muhtemel bir şüpheli olay için olayla ilgili ön bilgiler toplanmalıdır izinsiz
giriş tespit sistemler, network trafiği, log dosyaları, memory imajı,
artifackler log dosyalarını, monitoring araçlarını, hata mesajlarını ve firewall
logları toplanmalıdır. Hızlı bir şekilde olayın belirlenmesi maliyetleri ve
zararlı azaltmak için olayın tespit edildiği süreçtir. Ardından durum
değerlendirmesi yapılmalıdır. Olaya
müdahalesinde bulunacak ekibin olayı ve kapsamını belirlemek için gereken
veriler toplanmalıdır,
Scope
Vaka değerlendirmesi
soncunda tehdit tespit edildiğinde kuruluşa olan zararlı sınırlamalı ve
önlemelidir. Sınırlamanın asıl amacı hasarı kontrol etmek ve daha fazla
yayılmasını engellemektir. Bir vakanın zararlını azaltma ve saldırganın
erişimlerinin kesilmesini sağlamak için birkaç gerekli adım vardır;
1-
Kısa
süreli sınırlama; Bu hasarı olabildiğince çabuk sınırlamayı amcalar. Güvenliği
ihlal edilen makinenin izole edilmesi
2-
Sistem
yedekleme; Forensics teknikleri uygulanılarak kanıtları korumak ve sistemin
nasıl ele geçirildiğini anlamak için gerekli triyajları almak
3-
Uzun
süreli sınırlama: Temiz sistemin yeniden
kurulması, saldırgan tarafından ele geçirilen ve oluşturulan hesapların
sıfırlanıp silinmesi, kalıcılık mekanizmaların temizlenmesi, ip engellemesi
gibi önemlerin alınması.
4-
Olayın
karakterize edilmesi gerekmektedir, örneğin sisteme malware bulaşması, veri
sızıntısı olmuş olması gibi durumlar belirlenmelidir.
Eradication
Root cause
belirlenmeli ardından saldırganın tüm kalıcılıklar sistemden atılmalıdır. Savunmayı
geliştirilmesi işletim sistemleri kullanılan uygulamalar, network alanlardaki
savunma eksikleri belirlenmeli ve nasıl iyileştirme yapılacağı konusunda
çalışmalar yapılmalıdır. Güvenlik olayından etkilen sistemlerin kaldırılmasın ve
geri yüklenmesi Güvenlik açığı taraması, ağalar ve sistemler üzerinde olası
saldırı noktaları tespit edilmeli ve zafiyet taramaları yapılarak
düzeltilmelidir Bu aşamada, Kuruluş ayrıca, yeniden bulaşma riskini önlemek
için kötü amaçlı içeriğin etkilenen sistemlerden kaldırıldığından ve
sistemlerin tamamen temizlendiğinden emin olmalıdır. Etkilenen sistemlerin daha
sonraki saldırılara açık olmadığından emin olunması için ikincil bir takip
gerektirebilir.
Recovery
Bu aşama,
kuruluşların etkilenen sistemleri dikkatli bir şekilde üretim ortamına geri
getirmelerine yardımcı olur ve başka bir olayın meydana gelmemesini sağlar. Kötü
amaçlı yazılımlardan yeniden etkilenmemeleri veya güvenliği ihlal edilmemeleri
için sistemler üretime geri dönerken test edilmeli, izlenmeli ve
doğrulanmalıdır. Buradaki önemli kararlar şunları içerir:
1-
Olay
müdahalesi ekibinin tavsiyeleri uygulanmaları işlemleri geri yüklendiği saat ve
tarih kesinleşmeli.
2-
Güvenliği
ihlal edilmiş sistemlerin temiz ve tamamen işlevsel olduğunu test edilir ve
doğrulanır.
3-
Anormal
davranışların izlenmesi gereken süre
4-
Sistem
davranışını test etmek, izlemek ve doğrulamak için kullanılan araçlar.
Lessons Learned
Kuruluşların olay
yanıtlarını gözden geçirmek ve yaklaşımlarını gelecekteki saldırılara uyarlamalarını
önem taşımaktadır. Olay sırasında tamamlanmayan tüm belgelerin gelecekteki
olaylara fayda sağlayabilecek ek bilgilerle birlikte eklenmesi gerekir. Olay
müdahalesinin son ve etkili adımıdır gelecekte ki bir vaka yaşanması engellemesini
sağlar. Kurumun eksik kısımların raporlandığı, sürece ilişkin öneriler yer
aldığı kısımdır. Raporun kapması gereken
başlıklar;
1-
Vakanın
ilk ne zaman, nasıl ve kim tarafından tespit edildiği
2-
Vakanın
temel nedeni
3-
Sorunun
nasıl kontrol altına alındığı ve ortadan kaldırıldığı
4-
Kurtarma
süreci boyunca gerçekleştirilen eylemler
5-
Olay
müdahalesi ekibinin etkili olduğu alanlar ve iyileştirilmesi gereken alanlar
6-
Nasıl
iyileştirilmesi gereken öneriler
NIST Incident Response
National Institute of
Standards and Technology yani diğer adıyla NIST, Amerika Birleşik Devletleri
Ticaret Bakanlığı tarafından işletilen ve birçok teknoloji sektörü için
standartlar ve tavsiyeler sağlayan bir kurumdur.
SP 800-61olarak
bilinen Bilgisayar güvenliği Olay yönetimi Kılavuzun da (Computer Security
Incident Handling Guide) Siber güvenlik olay yönetimi ve Müdahale
(Cybersecurity Incident Management and Response) ile
ilgili tavsiyelerini detaylandırmaktadır. Kılavuz bir siber güvenlik olayı
müdahale planının nasıl oluşturulması gerektiği ve olağanüstü durumlarda hangi
adımları içermesi gerektiği konusunda talimat vermektedir. NIST IR adımlar 4
ana temelden oluşur;
1-
Preparation,
2-
Detection/analysis
3-
Containment/eradication,
and recovery
4-
Preparation
Preparation,
Hiçbir kuruluş bir
anda bildirilen vakayı etkili bir şekilde başlatamaz. Vakaya hem müdahale etmek
hem de önlemek için bir plan hazırlığı olmalıdır. Bunun alt başlıklarına bakacak
olursak;
1-
Olay
müdahale ekibini belirleyin
Tüm
ekibin hızlı ve eksiksiz hareket etmek için herkesin sorumluluklarını
belirlemesi gerekir. Üyeler olarak yönetim, teknik, hukuk ve iletişim disiplinlerinde
kişiler bulunmalıdır. Bir olayda etkilenen tüm departmanlar döngüde olmalı ve
herkesin olay esnasında bir karara dahil olması gerekmektedir.
2-
Planın
belirli periyotlarla güncellenmesi gerekemektedir
3-
Uygun
altyapı ve araçları edinme ve bakımının yapılması: Olayları tespit etme ve soruşturmanın yanı sıra kanıt
toplama ve koruma yeteneklerine sahip olun. Ortamınızda bir saldırganın olup
olmadığını belirlemek için, uç noktalarınıza tam görünürlük sağlayan ve olay
verilerini toplayan uç nokta güvenlik teknolojisine sahip olmanız çok
önemlidir.
4-
Güncel
tehdit istihbarat yeteneklerine sahip olun. Tehdit istihbaratı sayesinde bir
kuruluşun yanıt vermeye hazır olması gereken tehdit türlerini anlamasına
yardımcı olur.
Detection and Analysis
IR ikinci aşaması bir
olayın meydana gelip gelmediğini meydana gelen olayın risk derecesi ve türünü
belirlemektir. NIST bu genel aşamadaki beş adımı özetlemektedir;
1-
Bir
olayın kesin işareti (precursors and indicators): Olay meydana gelmek üzere olduğuna
veya zaten meydana geldiğine dair özel sinyalledir.
2-
Keşfedilen
işaretleri analiz edin. Bir kez tanımlandığında IR ekibi bir öncünün veya
göstergesinin bir saldırı parçası olup olmadığını veya false-postivie olup
olmadığını belirlemelidir.
3-
Incident
dokümanları: Oluşan vaka gerçek bir vaka olduğu kanıtlanırsa BT ekibi olayla
ilgili tüm gerçekleri belgelemeye başlamalı ve süreç boyunca gerçekleştirilen
tüm eylemleri kaydetmeye devam etmelidir.
4-
Incident
prioritization: IR sürecinde en kritik karar noktası olarak belirler. IR ekibi
olaylara gelene ilk hizmet esnasında göre öncelik veremez. Bunun yerine
olayların işlevselliğine etkilenen bilgilerin gizliğini ve olayın
kurtarılabilirliği üzerinde etkisine göre skorlama yaparak müdahale etmeli.
5-
Incident
notification: Bir olay analiz edildikten ve önceliklendirildikten sonra IR
ekibi uygun departmanları bilgilendirmelidir. Kapsamlı bir IR planı belirli bir
raporlama gerekliliklerini zaten içermelidir.
Containment, Eradication,
Recovery
Sınırlama aşamasının amacı bir olayın etkilerini daha fazla hasara yol
açmadan önce durdurmaktır. Bir olay kontrol altına alındığında IR ekibi sonraki
adımlarını uyarlamak için gerekli zamanı alabilir. Bunlar olayın temel nedeni
ele almak ve sistemleri normal çalışmaya döndürmek için gerekli her türlü
önlemi almayı içermelidir.
Aşağıdaki kriterlere dayalı olarak kapsam, eradikasyon ve kurtarma
staratejileri geliştirilebilir;
-
Etkilenen
varlıkların kritikliği
-
Olayın
türü ve ciddiyeti
-
Kanıtları
koruma ihtiyacı
-
Etkilenen
sistemlerin kritik iş süreçleri için önemi
-
Stratejiyi
uygulamak için gereken kaynaklar
Post – Incident Activity
Yaşanan her olay
öğrenmek ve gelişmek için bir fırsat olmalıdır. Siber saldırganlar sürekli olarak
gelişiyor ve farklı teknik ve taktikleri uyguluyor yakalamak ve önlem almak
için bizlere fırsat sunmakta. Önemli olaydan sonra bütün taraflar içeren öğrenilen
dersler toplantısı yapılmalı ve bütün güvenliği iyileştirmek adına çalışmalar
yapılmalıdır. Toplantı ve rapor sırasında gözden geçirilmesi gerekenler;
-
Ne oldu
ve ne zaman oldu
-
IR
ekibi performansı nasıldı
-
Belgelenmiş
prosödürler izlendi mi
-
Prosedürler
yeterli mi ,yeterli değilse hangi bilgiler eklenmeli
-
Farklı
neler yapılabilirdir
-
Gelecekte
aynı veya benzer olayları önlemek için ne yapılabilir
-
Gelecekte
hangi IOC değerleri aranabilir.
-
Gelecekte
benzer olayları önlemenin yollarını öğrendik mi?
Kaynaklar:
https://www.sans.org/white-papers/641/
https://www.exabeam.com/incident-response/incident-response-plan/
https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf
https://www.crowdstrike.com/cybersecurity-101/incident-response/incident-response-steps/
https://www.cynet.com/incident-response/nist-incident-response/
