Olay Müdahale Planı Nasıl Oluşturulur?

Siber tehdit aktörlerinin hedefinde olan her kuruluş yani günümüzde dijitalleşemeye adım atan her kuruluş gerçekleşebilecek bir saldırıda olay müdahalesi planına sahip olmalıdır. Siber saldırılarından %100 korunmak çok güzel olurdu ancak bunun pek mümkün olmadığını üzülerek söylemek durumundayız. Bundan dolayı her kuruluş bir siber saldırıya maruz kalacaktır. Bunun farkında olan ve belirli bir olgunluğa ulaşmış kuruluşların belirlemiş olduğu bir siber olay müdahale (Incident Response) planı bulunmaktadır çünkü ne tür bir önlem almış olsalar bile ciddi bir siber olay ile karşılaşacaklarını bilirler bundan dolayı siber saldırılarına ilişkin planlarını belirleyen belgelere sahiptirler.

Olay müdahale planın anlamak için Olay müdahalesinin ne olduğunu bilmek önemlidir. Olay müdahalesi, bir siber güvenlik ihlalini tespit edip ortadan kaldırmayı ve saldırıdan kurtarmayı amaçlayan bir dizi eylemlerdir. Olay müdahalesinde başarılı olmak için sistematik yani olaya planlı bir şekilde yaklaşmak gerekir.   

Olay müdahale planı yapan kuruluşların amacı, bir siber saldırıya maruz kaldığı andan itibaren saldırının etkisini en aza indirmek ve olaya olabildiğince hızlı bir şekilde cevap vermeyi hedefler yani kaçınılmaz bir siber saldırıda kuruluş üzerindeki olumsuz etkileri en aza indirmektir. Bir olayı bildirmek izleme olay müdahalesi ekibinin işi değildir, ancak ilgili uyarıların uygun şekilde incelenmesini ve analiz edilmesini sağlamak olay müdahalesi ekibinin görevidir. Sistemi izleme ister kurum içinde olsun ister dışarda isterse de hibrit bir yapı olsun olay müdahalesi planı doğrultusunda olay müdahalesi ekip liderine doğru ve hızlı bir şekilde hareket etmesini sağlamak için olayı ele alma, inceleme ve analiz sürecini tanımlamalıdır.  Olay müdahalesi (IR) planı iyi iletilen ve koordine edilen özlü, metodik eylemler, etkiyi azaltmanın anahtarıdır.

Kuruluşun bir olay müdahale planın olması önemlidir çünkü bir stres ve baskı altında durumu kontrol altına alarak doğru kararlar ve aksiyonlar almasını sağlar. 

 

Siber Olay müdahale planını tasarlamak için yapılması gereken aşamalar; 

 

1.      Hazırlık aşaması: Siber olay müdahale planındaki en önemli ilk adımdır. Bu adımı alt adımlara ayırmak daha doğru bir yaklaşım olacaktır.

i)       Ekip içerisinde kaliteli bir iletişim kurmak için planlı iletişim kanalını oluşturulmalıdır: Bir IR planının, hem planlı iletişimini hem de bir olaya yanıt vermek için gereken adımları gerçekleştirmesi gereken bir süreç akışı taslağına ihtiyacı vardır. Akış başlangıç izleme ekibinde ve resmi olay bildirim sürecinden gelen artıştır. Bir olay bildirilirse akış, tehdidi içerme ve kurtarma adımlarını an hatlarıyla belirtir.

ii)    Kim, ne, ne zaman, nerede, nereden ve nasıl sorularına cevap verebilen kontrol listeleri ve gerekli kılavuz oluşturulmalıdır.

iii)  Siber olaya müdahale edecek ekibin daha önceden sistem üzerinde gerekli izinlerin verilmiş olması kontrol edilmelidir.

iv)   Olay müdahalesi ekibinin kendi içerisinde kullanacağı araçları önceden test etmiş olması gerekmektedir.

v)      Süreç akış taslağı oluşturulmuş olmalıdır. Bir IR planının, hem planın iletişimini hem de bir olaya yanıt vermek için gereken adımları gerçekleştirmesi gereken bir süreç akışı taslağına ihtiyacı vardır. Akışın başlangıcı, izleme ekibinden ve resmi olay bildirim sürecinden gelen artıştır. Bir olay bildirilirse akış, tehdidi içerme ve kurtarma adımlarını ana hatlarıyla belirtir.

vi)   Bir olayı bir kişi üstlenmelidir: IR ekibi lideri, daha geniş siber güvenlik ekibiyle işbirliği içinde, olay bildiriminden sorumludur. Plan, IR ekibinin bunu yapması için gereken sürecin ana hatlarını verecektir. İlk olarak, IR sorumlusu, izleme ekibinden toplanan verileri gözden geçirerek ve gerektiğinde yeni bilgiler alarak olayı daha da doğrulamalıdır. Daha sonra lider, bir olayı ilan etmek amacıyla tanımlanmış paydaşlarla bir toplantı düzenleyebilir. Bu toplantı için sanal veya fiziksel bir savaş odası ve birincil yöntemler mevcut değilse geri dönüş iletişim yöntemlerini belirleyin.

vii) IR ekibinin kimlerin dahil olduğunu, sürece ne zaman dahil olduklarını ve hangi eylemlerin yapılması gerektiğini hızlı bir şekilde belirleyebilmesi için her olay türü için kilit paydaşların bir listesini oluşturun. Yalnızca rolleri değil, gerçek isimleri ve mevcut kişileri listelemek, hesap verebilirliği sağlamak ve IR planının güncel kalmasını sağlamak için en iyi uygulamadır. IR ekibi, plan belgesinin sahibi olmaktan ve sürdürmekten sorumludur.

2.      Olayı belirleme:Bu aşamada, çeşitli kaynaklardan ilgili tüm verileri toplayarak, anomali tespiti olup olmadığını tespitiyle ilgilidir. Belirli bir olayın bir olay olduğu belirlenirse, olay müdahale ekibi kanıt toplamak ve sonraki adımlara hazırlanmak için yeterli zaman tanımak için mümkün olan en kısa sürede rapor etmelidir. Bir olay ilan edildiğinde, IR liderinin ve ekibinin harekete geçme zamanı gelmiştir. Ekip etkilenen kullanıcıları, sistemleri, uygulamaları veya diğer kaynakları izole etmeye çalıştığından, kapsam öncelikli olmalıdır. IR planı, çevreleme stratejisini belirlemek için saldırının aşamasını ve ciddiyetini göz önünde bulundurmalı ve çevreleme stratejisinin nasıl uygulanacağını ve yetkinin kimde olduğunu tanımlamalıdır.

3.      Toplanan Delileri Muhafaza Etme:Bu aşamada çeşitli yöntemler ile elde edilen delillerin zarar görmesini engellemek, yok edilmesini önlemek ve gerçekliğini kaybetmeden gerekli mercilere sunmalıdır.

4.      Sisteme Sahip olan Saldırganları dışarı atma: Bu aşama, etkilenen tüm sistemlere bir malware bulaşmış ise bunu kaldırmak ve almış olduğu saldırın nedenini belirlemek ve güvenlik açığı var ise gerekli önlemleri alarak kapatmalıdır.

5.      Sistemi Eski Haline Getirme:Kurtarma aşaması olarak da adlandırılabilir bu aşamada zarar görmüş sistemleri dikkatli ve kontrollü bir şekilde eski haline getirmesi adımıdır. Sistemlere başka yollarla yeniden enfekte olmadıklarını doğrulamak için test etmek, izlemek ve doğrulamak önemlidir.

6.      Yaşanılan Olay İle İlgili Ders Çıkarmak: Bu aşamada siber olay yaşandı ve olaya müdahale edildikten sonra uygulanılan son adımdır. Bu kritik aşamanın amacı, olay sırasında yapılamayan ve gelecekteki olaylar için faydalı olabilecek her türlü dokümantasyonu tamamlamaktır.

                                i.            Devam eden bir olayın tüm yönlerini belgelemek mümkün olmayabilir ve kapsamlı belgelere ulaşmak, gelecek için dersleri belirlemek açısından çok önemlidir. Bir olay raporu yayınlamak: Belge, öğrenilen dersler toplantısı sırasında ortaya çıkabilecek soruları cevaplayabilecek bir rapor şeklinde yazılmalıdır.

                             ii.            Alınan dersler toplantısı oluşturulmalıdır: Olayı ve hemen uygulanabilecek öğrenilen dersleri tartışmak için Olay müdahalesi ekibi ve diğer paydaşlarla düzenli aralıklarda toplantı yapılmalıdır.

                           iii.            Geçiş bir IR planı, tekrarlama olasılığını azaltmayı amaçlayan resmi bir olay sonrası öğrenme sürecini içermelidir. Aynı olayı iki kez yaşamamaktan kaçınmaya çalışmanın yanı sıra, öğrenme, bir olayı bildirmek veya eyleme geçmek için koordinasyon ve karar verme konusunda ince ayar yapmanıza olanak tanıyan ekip hazırlığı için gözetim sağlar. IR sürecindeki herhangi bir değişikliğin plan belgesinde güncellendiğinden emin olun.

 

 

 

 

Öneriler

         Oluşturmuş olduğunuz siber olay müdahale planını test edin.

         Belirli aralıklarda siber tatbikatlar düzenleyin.

         Manuel delil toplamak yerine tam ve doğru olarak otomasyon düzeni kullanılmalıdır.

         Kurumunuzdaki varlıkların keşfi yapılması gerekmektedir. Varlık envanterleri veya veri sınıflandırması ve yönetimi gibi şeylerin üstesinden gelememek birçok hataya yol açabilir.

         SOC analistlere çeşitli olayların nasıl önceliklendirileceği ve ilgili kanıtların nasıl toplanacağı konusunda yol gösterilmelidir.

         Bir siber olay yaşandıktan sonra bu soruların cevaplanması kurum için önemlidir; mevcut olmayan ve etkinleştirilmesi gereken herhangi bir ek günlük var mı? Güvenlik ekibinin becerilerinde bir boşluk var mı?
Şirketin yama politikasının gözden geçirilmesi gerekiyor mu?

         İzinsiz girişi önleme ve dosya bütünlüğü izleme sistemlerinizin ne kadar doğru sonuç verdiğini test edin.

         Belirli periyotlarda yedek alın.

         olay müdahalesi ekibinin sorumlulukları konusunda uygun ve düzenli bir şekilde eğitin.

         Siber olay yaşandıktan sonra alınan dersler uygulandığını test edin.

         Olay Müdahalesinden bulunacaksanız bu üç unsura önem vermelisiniz; Plan, Ekip ve Araçlar