İyi bir olay müdahale planı, kilit rolleri, özel planları ve taktikleri, açık ve kesin iletişimle iyi prova edilmiş eylemleri gerektirir. En iyi olay müdahale planları kurşun kalemle yazılmış, iyi revize edilmiş ve müdahalede ön saflarda yer alması gereken kişilerin derinlemesine aşina olduğu planlardır.
Herhangi bir olay müdahale planının birkaç önemli yönü vardır; bunlardan ilki değerlendirmedir. Olan bitenin bir envanterini çıkarın. Bu yanlış bir pozitif mi? Sistem tehlikeye mi girdi, yoksa bu sadece bir girişim mi? Bu konuda ne yapacağınızı bilmek için ne olduğunu ve olacağını anlamalısınız. Teknik düzeyde, bu genellikle günlüklerle ilgilidir; tüm sistemlerde sağlam bir oturum açma işlemi yaptığınızdan emin olmak, yakın zamanda bir siber saldırıya maruz kalan şirketlerin, olayı geriye dönük olarak incelerken çok yaygın bir “bulgusu”dur. İyi bir günlük kaydı yaptığınızı düşünebilirsiniz. Teste tabi tutun.
Olay müdahale planının bir sonraki unsuru kontrol altına almadır. Tıpkı bir kamu sağlığı acil durumuna müdahale etmek gibi, kaynağı anlamanız ve enfeksiyonu izole etmeniz gerekir. Bir saldırgan sistemlerinize sızdıysa bu erişim noktalarını tanımlayın ve internetten kaldırın. Komuta ve kontrol sunucularıyla iletişimi engelleyin. Bunu söylemek çoğu zaman yapmaktan daha kolaydır, ancak sürecin bu adımı olgun organizasyonları kötü hazırlanmış organizasyonlardan ayıracaktır. Hatalar olabiliyor ve geçtiğimiz birkaç yılda gördüğümüz gibi kimlik avı ve sosyal mühendislik taktikleri, büyük kimlik sağlayıcılar gibi güvenli kuruluşlarda bile oldukça etkili olmaya devam ediyor. Önemli olan, hasar dalgasını ne kadar çabuk durdurabildiğinizdir.
İyi bir olay müdahale planının üçüncü unsuru, müdahaleyle ilgilenecek ekibi oluşturmaktır. Bazen bunlar, yalnızca IR’nin sorumluluğunda olan özel olarak atanmış personeldir ve diğer zamanlarda ise bunlar, bir olay meydana geldiğinde IR rolünü yerine getirmeye yetkili olan personeldir. Ekip hazır olduğu ve rollerine iyi bir şekilde çalıştığı sürece her ikisi de gayet iyi. Bunun kritik bir kısmı, olayla ilgili tek karar verici olan ve hızlı hareket etme konusunda teknik liderlik tarafından yetkilendirilen tek bir yönetici olan Olay Müdahale Liderinin belirlenmesidir. Bu, zor kararlar alma konusunda yetki açısından herhangi bir soru işaretinin kalmamasını sağlamaya yardımcı olur; çünkü bu kararların genellikle normal raporlama hatlarının çalışmadığı, zamanın çok kritik olduğu durumlarda alınması gerekir.
Özel bir olay yönetimi lideriyle birlikte ekibinizi oluşturduktan, durumu değerlendirdikten ve salgını kontrol altına aldıktan sonra, sıra felaket kurtarmaya gelir. Birlikte çalıştığım kuruluşlar için mümkün olduğu kadar çok sayıda otomatik yedekleme/kurtarma süreci çalıştırmanızı öneririm; örneğin, her hafta bir web uygulamasını alan, kaynak kodundan yeni bir sürüm oluşturan, ilgili altyapıyı çalıştıran, verileri kopyalayan otomatik bir görev yapın. veritabanı bir yedekten alınır ve ardından trafik yeni sisteme yönlendirilerek başlatılır. Yazılım geliştirme açısından bakıldığında, kod olarak altyapının devreye girdiği yer burasıdır. Bu planların büyük ölçüde kodla yazılmasını ve yürütme raporlarıyla ve (umarız) üst düzey teknik liderlikle paylaşılacak başarı ölçümleriyle düzenli olarak çalıştırılabilmesini istiyorsunuz.
Bir olay müdahale planının en sık gözden kaçırılan kısımlarından biri, bunun uygulanmasıdır. Çoğu zaman kuruluşlar planlar yapar, ancak bunu yalnızca felaket kurtarma veya risk yönetimine bakan ekiplerle yaparlar. Bu planlar daha sonra bir olay meydana geldiğinde planı uygulaması gereken ekiplerden uzakta bir siloda tutulur. Ve şunu kabul edelim ki, saldırıların ve uzlaşma vakalarının sıklığının artmasıyla birlikte, zihniyetimizi “uzlaşma olursa” yerine “uzlaşma olursa” şeklinde değiştirmemiz gerekiyor. Uzlaşmanın gerçekleşeceğini kabul etmek, daha güçlü bir güvenlik duruşuna ve daha dirençli bir organizasyona doğru atılan ilk adımdır.
Bir sonraki adım, uygulayabileceğiniz bir plan oluşturmaktır ve bunu uygulamanız da gerekir. Temelleri kapsayan küçük bir planla başlayın: Yedeklemeleri nasıl yapıyorsunuz? Bunlar genel BT ve üretim ortamlarınızdan ayrı bir sistemde tutuluyor mu? İhtiyaç duyulduğunda bu yedeklerden ne kadar hızlı geri yükleme yapabilirsiniz? Bunu test ettin mi?
Bir kuruluşun olaylarla başa çıkma konusundaki olgunluğunu ölçmeye gelince, saha güvenilirliği mühendisliği disiplininden alınacak gerçekten yararlı bir ders vardır. Sistemlerin kırılma noktalarını anlamak ve onları daha iyi bir şekilde yeniden inşa etmek için etkili bir şekilde kasıtlı hata testi yapan ‘kaos mühendisliği’ adı verilen bir kavram vardır. Mühendisler, sanal makine kümelerinin veya kapsayıcıya alınmış hizmet kümelerinin dayanıklılığını, bunlardan bazılarını kasıtsız yükleme veya bazen bir güvenlik hatası yoluyla kasıtlı olarak devre dışı bırakarak ve genel sistem ağının kendini ne kadar iyi yeniden dengeleyip onarabildiğini görerek test edecekler. Aynı prensibi olay müdahalesine de uygulayabiliriz. Bu modeli kullanarak, felaket kurtarmadan sorumlu ekipten farklı bir ekibin, teknolojinize enjekte etmek için ölçülmüş bazı “kaos” parçaları bulmasını sağlayın ve planınızın pratikte ne kadar iyi çalıştığını görün. Bunlar, “ihbar edilmeyen” bir yaklaşıma sahip olduğunuzda en bilgilendiricidir; yani olay müdahalesini yapan ekipler, işi bitirene kadar bunun bir tatbikat olduğunu bilmezler. Bu stresli görünebilir, ancak halihazırda başarılı alıştırma çalışmaları yürüttüyseniz bu, kuruluşunuzun bilinmeyene yanıt verme yeteneğini büyük ölçüde artıracak mantıklı bir sonraki adımdır.
Afet müdahale uygulama oturumlarına liderliğin dahil edilmesi, üst düzey yöneticilerin desteği konusunda büyük fark yaratabilir. Masa üstü tatbikatlar veya fiili müdahale planı testleri yaparak, teknik olmayan liderleri afet planlama ve olay müdahale çalışmalarına dahil etmek önemlidir. Yönetim kurulunun bu doğrudan katılımı, durumun ciddiyetini anlamalarına, eylem planını onaylamalarına ve siber olaylar ortaya çıktığında programın başarılı olması için ihtiyaç duyduğu kurumsal desteği ve finansmanı aldığından emin olmalarına olanak tanıyor.
Elliott Wilkes, Gelişmiş Siber Savunma Sistemleri’nin teknolojiden sorumlu yöneticisidir.