Olay Müdahale Planı Nasıl Oluşturulur?
Siber tehdit aktörlerinin hedefinde olan her kuruluş, yani günümüzde dijitalleşmeye adım atan her kuruluş, gerçekleşebilecek bir saldırı için hazırlıklı olmalı ve olay müdahalesi planına sahip olmalıdır. Siber saldırılardan %100 korunmak çok güzel olurdu ancak bu mümkün değil. Aslında her kuruluş bir siber saldırıya maruz kalmıştır, henüz farkında değildir ya da yakın gelecekte maruz kalacaktır. Bunun farkında olan ve belirli bir olgunluğa ulaşmış kuruluşların belirlemiş olduğu bir siber olay müdahale (Incident Response) planı bulunmaktadır.
Olay müdahale planını anlamak için olay müdahalesinin ne olduğunu bilmek önemlidir. Olay müdahalesi, bir siber güvenlik ihlalini tespit edip ortadan kaldırmayı ve saldırıdan kurtarmayı amaçlayan bir dizi eylemdir. Olay müdahalesinde başarılı olmak için sistematik yani olaya planlı bir şekilde yaklaşmak gerekir.
Olay müdahale planı yapan kuruluşların amacı, bir siber saldırıya maruz kaldığı andan itibaren saldırının etkisini en aza indirmek ve olaya olabildiğince hızlı bir şekilde cevap vermektir. Yani kaçınılmaz bir siber saldırıda kuruluş üzerindeki olumsuz etkileri en aza indirmek istenir. Bir olayı bildirmek ya da izlemek, olay müdahalesi ekibinin işi değildir, ancak ilgili uyarıların uygun şekilde incelenmesini ve analiz edilmesini sağlamak olay müdahalesi ekibinin görevidir. Sistemi izleme ister kurum içinde olsun ister dışarıda isterse de hibrit bir yapıda olsun, olay müdahalesi planı doğrultusunda olay müdahalesi ekip liderine doğru ve hızlı bir şekilde hareket etmesini sağlamak için olayı ele alma, inceleme ve analiz süreçleri tanımlı olmalıdır. Olay müdahalesi (IR) planında, iyi iletilen ve koordine edilen özlü, metodik eylemler, etkiyi azaltmanın anahtarıdır.
Kuruluşun bir olay müdahale planının olması önemlidir çünkü stres ve baskı altında durumu kontrol altına alarak doğru kararlar ve aksiyonlar almasını sağlar.
Siber Olay Müdahale Planını tasarlamak için yapılması gerekenler
Hazırlık aşaması: Siber olay müdahale planındaki en önemli ilk adımdır. Bu adımı alt adımlara ayırmak daha doğru bir yaklaşım olacaktır.
- Ekip içerisinde kaliteli bir iletişim kurmak için planlı iletişim kanalı oluşturulmalıdır: Bir IR planının, hem planlı iletişimini hem de bir olaya yanıt vermek için gereken adımları gerçekleştirmesi gereken bir süreç akışı taslağına ihtiyacı vardır. Akış başlangıç izleme ekibinde ve resmi olay bildirim sürecinden gelen artıştır. Bir olay bildirilirse akış, tehdidi içerme ve kurtarma adımlarını ana hatlarıyla belirtir.
- Kim, ne, ne zaman, nerede, nereden ve nasıl sorularına cevap verebilen kontrol listeleri ve gerekli kılavuz oluşturulmalıdır.
- Siber olaya müdahale edecek ekibin daha önceden sistem üzerinde gerekli izinlerin verilmiş olması kontrol edilmelidir.
- Olay müdahalesi ekibinin kendi içerisinde kullanacağı araçları önceden test etmiş olması gerekmektedir.
- Bir olayı bir kişi üstlenmelidir: IR ekibi lideri, daha geniş siber güvenlik ekibiyle iş birliği içinde, olay bildiriminden sorumludur. Plan, IR ekibinin bunu yapması için gereken sürecin ana hatlarını verecektir. İlk olarak, IR sorumlusu, izleme ekibinden toplanan verileri gözden geçirerek ve gerektiğinde yeni bilgiler alarak olayı daha da doğrulamalıdır. Daha sonra lider, bir olayı ilan etmek amacıyla tanımlanmış paydaşlarla bir toplantı düzenleyebilir. Bu toplantı için sanal veya fiziksel bir savaş odası ve birincil yöntemler mevcut değilse geri dönüş iletişim yöntemleri belirlenir.
- IR ekibinin kimlerin dahil olduğunu, sürece ne zaman dahil olduklarını ve hangi eylemlerin yapılması gerektiğini hızlı bir şekilde belirleyebilmesi için her olay türü için kilit paydaşların bir listesini oluşturulmalıdır. Yalnızca rolleri değil, gerçek isimleri ve mevcut kişileri listelemek, hesap verilebilirliği sağlamak ve IR planının güncel kalmasını sağlamak için en iyi uygulamadır. IR ekibi, plan belgesinin sahibi olmaktan ve sürdürmekten sorumludur.
Olayı belirleme: Bu aşama, çeşitli kaynaklardan ilgili tüm verileri toplayarak, anomali tespiti olup olmadığının tespit edildiği aşamadır. Gerçekten bir olay olduğu belirlenirse, olay müdahale ekibi kanıt toplamak ve sonraki adımlara hazırlanmak için olayı rapor etmelidir. Bir olay ilan edildiğinde, IR liderinin ve ekibinin harekete geçme zamanı gelmiştir. Ekip etkilenen kullanıcıları, sistemleri, uygulamaları veya diğer kaynakları izole etmeye çalıştığından, kapsam öncelikli olmalıdır. IR planı, çevreleme stratejisini belirlemek için saldırının aşamasını ve ciddiyetini göz önünde bulundurmalı ve çevreleme stratejisinin nasıl uygulanacağını ve yetkinin kimde olduğunu tanımlamalıdır.
Toplanan delilleri muhafaza etme: Bu aşamada çeşitli yöntemler ile elde edilen deliller zarar görmeden, yok edilmeden ve gerçekliğini kaybetmeden gerekli mercilere sunulmalıdır.
Sisteme sahip olan saldırganları dışarı atma: Bu aşamada, etkilenen tüm sistemlere örneğin bir malware bulaşmış ise temizlenir, saldırının kök nedeni belirlenir ve tespit edilen güvenlik açıkları kapatılır.
Sistemi eski haline getirme: Kurtarma aşaması olarak da adlandırılabilir. Bu aşamada zarar görmüş sistemler dikkatli ve kontrollü bir şekilde eski haline getirilir. Sistemlerin başka yollarla yeniden enfekte olmadıklarını doğrulamak için sistemleri test etmek, izlemek ve doğrulamak önemlidir.
Yaşanılan olay ile ilgili ders çıkarmak: Bu aşama olaya müdahale edildikten sonra uygulanılan son adımdır. Bu kritik aşamanın amacı, olay sırasında yapılamayan ve gelecekteki olaylar için faydalı olabilecek her türlü tedbiri planlamak ve hayata geçirmektir.
- Kapsamlı olarak belgeleri güncellemek önemlidir. Bir olay raporu yayınlamak: Belge, öğrenilen dersler toplantısı sırasında ortaya çıkabilecek soruları cevaplayabilecek bir rapor şeklinde yazılmalıdır.
- Alınan dersler toplantısı oluşturulmalıdır: Olayı ve hemen uygulanabilecek öğrenilen dersleri tartışmak için olay müdahalesi ekibi ve diğer paydaşlarla düzenli aralıklarda toplantı yapılmalıdır.
- Geniş bir IR planı, tekrarlama olasılığını azaltmayı amaçlayan resmi bir olay sonrası öğrenme sürecini içermelidir. Aynı olayı iki kez yaşamaktan kaçınmaya çalışmanın yanı sıra, öğrenme, bir olayı bildirmek veya eyleme geçmek için koordinasyon ve karar verme konusunda ince ayar yapmanıza olanak tanıyan ekip hazırlığı için gözetim sağlar. IR sürecindeki herhangi bir değişikliğin plan belgesinde güncellendiğinden emin olunmalıdır.
CyberArts Siber Güvenlik Ekibi’nin Önerileri
- Oluşturmuş olduğunuz siber olay müdahale planını test edin.
- Belirli aralıklarda siber tatbikatlar düzenleyin.
- Manuel delil toplamak yerine 7X24 ve uzaktan hızlı delil toplayan ve olay müdahalesine otomatik başlamanızı sağlayan Otomatik Olay Müdahale teknolojisine yatırım yapın.
- Kurumunuzdaki varlıkların keşfini yapın.
- Varlık envanterleri ve veri sınıflandırmasını yapın.
- SOC analistlere çeşitli olayların nasıl önceliklendirileceği ve ilgili kanıtların nasıl toplanacağı konusunda yol gösterin.
- Bir siber olay yaşandıktan sonra bu soruların cevabını arayın:
– Mevcut olmayan veya etkinleştirilmesi atlanmış bir günlük var mı?
– Güvenlik ekibinin becerilerinde bir boşluk var mı?
– Şirketin yama politikasının gözden geçirilmesi gerekiyor mu? - İzinsiz girişi önleme ve dosya bütünlüğü izleme sistemlerinizin ne kadar doğru sonuç verdiğini test edin.
- Belirli periyotlarda yedek alın.
- Olay müdahalesi ekibini sorumlulukları konusunda uygun ve düzenli bir şekilde eğitin.
- Siber olay yaşandıktan sonra alınan yeni tedbirleri test edin.
- Şunları tekrar gözden geçirin: Plan, Ekip ve Araçlar.
KVKK, ISO 27001, Bilgi ve İletişim Güvenliği Rehberi, ISO 27701, Bilgi Güvenliği, Siber Güvenlik ve Bilgi Teknolojileri konularında destek ve teklif almak için lütfen