12 May, 2020

Adli Bilişim ve Olay Müdahale

Adli Bilişim; suçun aydınlatılabilmesi için bilimsel metotlar kullanılarak, dijital delillerin bütünlüğü bozulmadan ve zarar görmeden, anlaşılabilir bir şekilde bilişim suçları davalarında sunulmaya hazır hale getirilmesini sağlayan inceleme sürecinin bütünüdür. Bilişim suçları davalarında, hukuki prosedürlere uygun kanıt toplamak için kullanılması nedeniyle siber güvenlik alanıyla da etkileşim içindedir. Adli bilişimin temel amacı, bilgisayarların zararlı veya illegal durumlara karşı incelemeye alındığı bilişim suçlarında, izlerin incelenmesi ile dijital delil ve olay arasındaki bağlantıyı açığa çıkartmaktır.

İngilizce’de Computer Forensics olarak geçer ve  Türkçe’de Bilgisayar Kriminalistiği anlamı taşır. Ancak dilimizde Adli Bilişim diye adlandırılmaktadır. Kriminalistik bilimindeki gibi 4N1K sorularının yanıtlarını dijital delil üzerinde arar ve ülkemizde cep telefonu, bilgisayar, usb bellek incelemeleri dışında; delil üzerinde casus yazılım  tespiti, stenografi, şifre çözme gibi bilgisayar incelemesi dışında birçok inceleme çeşidini de içermektedir.

Olay müdahale aşamasında, delil barındırdığı düşünülen cihazların adli analiz sürecine uygun olarak taranıp delil niteliği taşıyan verilerin elde edilme işlemleri gerçekleştirilmektedir. Olay müdahale aşaması aynı zamanda canlı bir sistemin, üzerinde komutlar çalıştırılması suretiyle incelenmesi işlemlerini de kapsamaktadır. Olay müdahale adımları genel olarak sırasıyla; sızma yönteminin tespit edilmesi, saldırının adımlarının tespiti, adli bilişim süreç ve standartlarına uygun olarak delillerin elde edilmesi, açıklıkların kapanması şeklinde ilerlemektedir.

Olay müdahale sürecinde en önemli konulardan biri zararlı yazılımın bulaştığı cihazın tespit edilip diğer cihazlardan izole edilmesidir. Böylelikle meydana gelebilecek zararlar en aza indirilir ve normal sürece dönmek için zaman ve maliyet azaltılır.

Olası bir olay gerçekleşme ihtimaline karşı kullanılan çözümler büyük önem taşımaktadır. Olay müdahale sürecini hızlandırmak (hızlı aksiyon almak) için kullanılan çözümlerin sürecin kontrol altında tutulmasında da büyük bir önemi bulunmaktadır. Kullanılan çözümlerde SOC analistlerinin incelemelerinde ve olaya müdahale etme konusunda büyük hız kazandıracak trigger özelliğinin bulunması da önemlidir. Trigger entegre olduğu çözümlere alarm üretmesi ile  SOC analistleri anlık olarak hızlı bir şekilde gerçekleşen saldırıdan haberdar olabilirler.

İzole edilen cihaz üzerinde yapılan incelemelerin en iyi şekilde yapılabilmesi için kullanılan ürünün hızlı, SIEM/SOAR/EDR ürünleri ile entegre olabilmesi, trigger özelliğinin bulunması analistlerin incelemelerinde olumlu etkiler yaratmakta ve işlerini kolaylaştırmaktadır.

Hız, entegrasyon ve bu entegrasyonlarla beraber gelişmiş trigger özelliklerinin devrede olduğu Adli Bilişimde “Tactical” olarak değerlendirilebilecek çözümler, uzmanlarının ve SOC yönetici ve çalışanlarının imdadına yetişmektedir. Geleneksel Adli Bilişimde yer alan imaj alma gereksinimine Tactical çözümlerde gerek duyulmaz ve bu nedenle çok kısa süre zarfında istenilen alanlar derinlemesine incelenebilir. Browser, Registry, Eventlogs, Content, Prefetch, Clipboard, DNS Cache ve RAM içeriği gibi son derece önemli dosyaların içerisinden gerekli kanıtlar toplanarak ön raporlama ve inceleme için zaman ve kaynak tasarrufu sağlanır.

Güvenle kalın..


Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.

İçerik Hakkında:
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram