Selam arkadaşlar, bugün Incident Response (Olay Müdahalesi) hakkında bir şeyler karalamak istedim. Giriş bölümünü uzun tutmadan doğrudan konuya gireyim.
Nedir Bu Olay Müdahalesi?
Olay müdahalesi, bir kuruluşun saldırı veya ihlalin sonuçlarını yönetmeye çalışma biçimi de dahil olmak üzere, veri ihlali veya siber saldırıyı ele alma sürecini tanımlamak için kullanılan bir terimdir. Nihayetinde amaç, olayın etkili bir şekilde yönetilmesi, böylece hasarın sınırlı olması ve hem toparlanma süreci hem de maliyetlerin yanı sıra marka itibarı gibi hasarların asgari düzeyde tutulmasını sağlamaktır.
Kuruluşlar en azından bir olay müdahale planına sahip olmalıdır. Bu plan, şirket için bir olayı neyin oluşturduğunu tanımlamalı ve bir olay meydana geldiğinde izlenecek açık ve yönlendiirlmiş bir süreç sağlanmalıdır. Ayrıca, hem olay müdahalesini yöneten hemde olay müdahale planında belirtilen her eylemi gerçekleştirmekten sorumlu ekipleri, çalışanları veya liderleri belirtmeniz gereklidir.
Olay Müdahalesini Kimler Yönetir?
Olay müdahalesini yurtdışında Computer Incident Reponse Team (CIRT) bizde ise Siber Olaylara Müdahale Ekibi (SOME) yönetir. CIRT-SOME’ler genellikle hukuk, insan kaynakları ve halkla ilişkiler departmanlarının üyeleri ile birlikte güvenlik ve genel BT personelinden oluşur.
Etkili Olay Müdahalesi İçin Neler Yapılabilir?
Sans Enstitüsü etkili olay müdahalesi için önemli altı adım önerir:
1- Hazırlık: Olay müdahalesinin en önemli aşaması, kaçınılmaz bir güvenlik ihlaline hazırlanmaktır. Hazırlık, kuruluşların CIRT-SOME ekiplerinin bir olaya ne kadar iyi müdahale edebileceklerini belirlemerine yardımcı olur ve politika,müdahale planı/stratejisi, iletişim, dökümantasyon, CIRT-SOME üyelerini belirleme, erişim kontrolü, araçlar ve eğitimi içermelidir.
2- Teşhis: Teşhis, hızlı bir şekilde müdahale etmek ve dolayısıyla maliyetleri ve zararları azaltmak için hızlı bir şekilde olayların tespit edildiği süreçtir. Olay müdahalesinin bu adımı için BT personeli, olayları ve kapsamlarını tespit etmek ve belirlemek için günlük dosyalarından, izleme araçlarından, hata mesajlarından, saldırı tespit sistemlerinden (IDS, IPS vb.) ve güvenlik duvarlarından logları toplar.
3- Sınırlama: Bir olay tespit edildikten veya tanımlandıktan sonra uygulanması gereken bölümdür. Sınırlamanın temel amacı hasarı kontrol etmek ve daha fazla hasar oluşmasını önlemektir. Özellikle “olay müdahalesi için daha sonra ihtiyaç duyulabilecek herhangi bir kanıtın imha edilmesini önlemek için” SANS’ın tavsiye ettiği tüm adımların atılması gereklidir. Bu adımlar arasında kısa süreli yedeklemeler,uzun süreli yedeklemeler vb. bulunur.
4- Tehdidin Ortadan Kaldırılması: Veri kaybını en aza indirirken, tehdidin ortadan kaldırılmasını ve etkilenen sistemlerin önceki durumlarına geri döndürülmesini içeren aşamadır.
5- Kurtarma: Sistemlerin tamamen temizlenip temizlenmediği test etme, izleme ve doğrulama gibi aşamaların yer aldığı kısımdır.
6- Alınan Ders: Alınan ders olay müdahalesinin kritik bir aşamasıdır çünkü gelecekteki olay müdahale yöntemlerini geliştirmeye yardımcı olur. Bu aşama kuruluşlara olay sırasında, olay müdahalesi planlarında bulunan eksik kısımların belirlenmesi sağlar.
Doğru hazırlık ve planlama etkili olay müdahalesinin anahtarıdır. Kapsamlı bir olay müdahale planı oluşturmak için zaman ayırmak, kaçınılmaz bir ihlal oluştuğunda derhal sistemleriniz ve verileriniz üzerinde kontrol sahibi olmanızı sağlayacaktır. Bu yazımıda burada bitiriyorum, görüşmek üzere
Sans’ın yayınladığı kitapçığa erişmek için tıklayınız.