Harici bir olay müdahale ekibinden görüşler: Siber güvenlik saldırılarının etkisini azaltma stratejileri

   Mart 13, 2023  Posted in CyberSecurity-Insiders


[ This article was originally published here ]

Bu yazının içeriği tamamen yazarın sorumluluğundadır. AT&T, yazar tarafından bu makalede sağlanan görüşlerin, konumların veya bilgilerin hiçbirini benimsemez veya desteklemez.

“Verilerimizin şifresini çözemiyorsan neden buradasın?” İnsanlar bazen harici olay müdahale ekibinin gelişine bu şekilde tepki verir. Bu yazıda bu soruyu cevaplamaya çalışacağım ama aynı zamanda olay müdahalesinin aşamalarını anlatacağım, bilgisayar korsanlarının işine gelen ana hataları listeleyeceğim ve nasıl cevap verileceği konusunda temel tavsiyeler vereceğim.

Güvenlik olayının ne olduğunu tanımlayarak başlayalım. Konsept basit olmasına rağmen, çeşitli şirketler bunu farklı şekilde yorumlayabilir. Örneğin, bazı şirketler olayların güç kaynağı arızası veya sabit sürücü arızası gibi durumları içerdiğini düşünürken, diğerleri yalnızca kötü niyetli eylemleri olay olarak sınıflandırabilir.

Teorik olarak olay, istenmeyen bir olayın meydana geldiği andır. Uygulamada “istenmeyen olay” tanımı her şirketin kendi yorumuna ve bakış açısına göre yapılmaktadır.

Bir kuruluş için, araştırmayı gerektiren şey bir e-postanın bulunmasıdır. Diğer şirketler bu tür olaylar hakkında endişelenmenin anlamını görmeyebilir. Örneğin, acil bir tehdit oluşturmadığından, ana altyapıya bağlı olmayan uzak bir konumdaki bir çalışan cihazında açılan bir kimlik avı e-postasından endişe duymayabilirler.

Burada da ilginç durumlar var. Örneğin, çevrimiçi tüccarlar, çevrimiçi borsa ile etkileşim hızında %1’lik bir düşüşü ciddi bir olay olarak kabul eder. , uygun olay müdahale adımları ve genel olarak siber güvenlik fazla tahmin edilemez. Ancak ciddi olaylardan bahsediyorsak, bunlar genellikle bir saldırganın kurumsal ağa sızmasıyla ilgili olaylardır. Bu, iş liderlerinin büyük çoğunluğunu rahatsız ediyor.

Olay müdahale aşamaları

Belirli olayların güvenlik olayı olarak yorumlanması, bağlam ve tehdit modeli gibi çeşitli faktörlere bağlı olarak değişebilse de müdahale adımları genellikle aynıdır. Bu yanıt adımları, temel olarak, birçok güvenlik uzmanı tarafından yaygın olarak kullanılan eski standardı temel alır.

SANS, olay yanıtının altı aşamasını tanımlar:

  1. Hazırlık
  2. Tanılama
  3. muhafaza
  4. yok etme
  5. İyileşmek
  6. Dersler öğrenildi

Dış müdahale ekibinin bu sürece hemen dahil olmadığına dikkat etmek önemlidir.

Hazırlık

Hazırlık, organizasyonel ve teknik süreçlerin uygun şekilde hizalanmasını içerir. Bunlar, tüm alanlarda etkili bir şekilde uygulanması gereken evrensel önlemlerdir:

  • Envanter ağları
  • Alt ağları doğru şekilde oluşturun
  • Doğru güvenlik denetimlerini ve araçlarını kullanın
  • Doğru insanları işe alın

Bütün bunlar doğrudan dış müdahale ekibi ile ilgili değildir ve aynı zamanda çalışmalarını önemli ölçüde etkiler. Yanıt, hazırlık adımlarına dayanmaktadır. Örneğin, büyük ölçüde politikaya dayanır.

Her saldırının kendine ait bir süresi vardır – bir saldırganın ağa girmesinden etkinliği tespit edilene kadar geçen süre. Saldırının uzun bir bekleme süresi varsa (üç-dört ay) ve günlükler yedi gün boyunca tutulursa, soruşturma ekibinin “giriş noktasını” bulması çok daha zor olacaktır. Gerekli veriler artık mevcut olmayacak. Böyle bir durum ortaya çıkarsa müdahale ekibi harekete geçebilir ancak %100 başarılı bir sonuca ulaşma olasılığı önemli ölçüde azalır.

Tanılama

Bu aşama tamamen ilk aşamada hazırlığın ne kadar iyi yapıldığına bağlıdır. Her şey doğru yapılırsa, potansiyel olarak kabul edilemez bir olaya yol açabilecek bir şeyi önceden keşfetme şansınız yüksektir.

İlkel ve temel adımlar bile bir siber tehdidin erken tespit edilme olasılığını büyük ölçüde artırabilir. Kendi SOC’nizi oluşturarak veya yetenekli bir üçüncü taraf sağlayıcıyla anlaşarak ve etkili izleme uygulamaları uygulayarak, potansiyel güvenlik olaylarını tespit etme şansınızı büyük ölçüde artırabilirsiniz. Dikkatli hazırlık, saldırgan herhangi bir zarar vermeden önce bir saldırıyı erken aşamalarında tespit etmenizi sağlar.

İdeal olarak, müdahale süreci bu aşamada başlatılmalıdır. Ne yazık ki, pratikte, olayın tespit edilmesini sağlayan tek şeyin bir saldırının üzücü sonuçları olduğu birçok durum vardır. Her şey mantıksal zincir boyunca ilerliyor: hazırlık berbat, tespit ve analiz başarısız oluyor ve bir olay meydana geliyor. Ve bu durumda soruşturmanın önemsiz bir görev olduğu ortaya çıkıyor.

muhafaza

Bu aşama, dış müdahale ekibi ile müşteri arasındaki yakın işbirliği içinde gerçekleştirilir. BT personeli genellikle harici olay müdahale ekibi gelmeden önce bilgisayarları yeniden başlatır. Evet, bu aynı zamanda en zarif olmasa da bir kontrol altına alma yöntemidir.

Sorun şu ki, bu durum müdahale ekibini pek çok önemli veriden mahrum bırakıyor. Ve daha da önemlisi, her zaman işe yaramıyor. Bugün bilgisayar korsanları nadiren tek bir . Genellikle yanal hareket için (RDP) kullanırlar ve onları durdurmak her zaman kolay değildir. Bu nedenle, ortak analitik, hangi bağlantının yasal olduğunu ve hangisinin olmadığını anlamak için hayati önem taşır. Dış müdahale ekibi ve müşterileri yakın işbirliği içinde çalıştığında, durumu anlamak ve belirli tehditleri kontrol altına almak için etkili taktikler geliştirmek daha kolay hale gelir.

yok etme

Bu aşamada genellikle olay müdahale ekibinin müşteriye kötü amaçlı yazılım analizi vb. dahil olmak üzere bir olay analizi sunmuş olması beklenir. Kapsamlı bir ağ taraması süreci devam etmekte ve ardından tespit edilen tüm anormallikler kaldırılmaktadır.

İyileşmek

Bu aşamada, müşterinin BT sistemlerinin tutarlı ve doğru bir şekilde restorasyonu gerçekleştirilir. Yalnızca yedeklemelerden kurtarmayı değil, aynı zamanda bilgi güvenliği araçlarının yeniden etkinleştirilmesini ve test edilmesini de içerir.

Genellikle, korumaları geri yüklemek oldukça basit bir iştir. Gerçek şu ki, saldırganlar, kural olarak, sadece koruma mekanizmalarını atlayarak hareket ederler. Yönetici ayrıcalıklarına sahip olurlar ve mümkünse güvenlik çözümlerini “kapatırlar”. Evet, bilgisayar korsanları Windows günlük kaydına müdahale eden veya Kritik Olay Yönetimini bozan kötü amaçlı yazılım kullanabilir, ancak bu tür durumlar nispeten nadirdir.

Yaygın bir durum olmasa da, bazı saldırganlar tekrarlanan saldırıları etkinleştirmek için yer işaretleri bırakabilir. Görünüşte basit bir saldırı durumunda bile uyanık kalmak ve bu tür yer imlerini kontrol etmek çok önemlidir.

Dersler öğrenildi

Olay müdahale ekibinin ana görevi her şeyi önceki durumuna döndürmek gibi görünebilir, ancak bu bir basitleştirmedir. Müdahale ekibi farklı bir amaç için davet edilir. Görevleri anlamaktır:

  • Bilgisayar korsanları tarafından kullanılan saldırı vektörü.
  • BT sistemlerine yetkisiz erişim elde etmek için kullanılan özel giriş noktası.
  • Saldırının nasıl ilerlediğine dair ayrıntılı bir zaman çizelgesi.
  • Farklı aşamalarda uygulanmış olabilecek potansiyel önleme tedbirlerinin belirlenmesi.
  • Gelecekteki saldırıları önlemek için olayın temel nedenini ele almaya yönelik öneriler.

Yanıtlar daha iyi önerilerde bulunmanıza yardımcı olur. Örneğin:

  • Saldırı kimlik avı ile başladıysa, bir e-posta korumalı alanı oluşturmanız, spam filtrelerini ayarlamanız ve çalışanları eğitmeniz önerilir.
  • Bir güvenlik açığı sorumlu tutulacaksa, güncelleme yaması ve ağ izleme prosedürlerinin değiştirilmesi önerilir.

Son aşama neden bu kadar önemli? İlk olarak, çoğu saldırı çok yaratıcı değildir. Aslında formülseldirler. Bu nedenle, bir saldırıdan sonuçlar çıkarabilir ve bir düzine benzer saldırıyı önleyebilirsiniz.

İkincisi, bilgisayar korsanları genellikle geri gelir. İşte gerçek hayattan bir örnek. IR ekibi bir giriş noktası belirledi, o bilgisayarı inceledi ve bazı dosyaların olaydan bir yıl önce şifrelenmiş olduğunu buldu. Müşterilerin olaydan haberdar olduğu ancak ilk andan itibaren olaya dikkat etmediği, neredeyse hiçbir zarara yol açmadığı ortaya çıktı. Sonuç olarak, aynı giriş noktasından ikinci bir saldırı gerçekleşti. Bu sefer bilgisayar korsanları zamanlarının biraz daha fazlasını harcadılar ve her şeyi şifrelediler ve tüm etki alanını yok ettiler.

Üçüncüsü, yeterli müdahale prosedürleri olmadan, bir şirketin güvenlik sisteminin temeli olarak hizmet eden güvenlik farkındalığı eğitimini ve olay tespitini geliştirmek imkansızdır.

güvenlik nasıl geliştirilir

Temel bilgi önemlidir

Muhtemelen zaten bildiğiniz temel şeyler zaten harika ve çok kullanışlı. Her yıl binlerce şirket en sıradan sebeplerden dolayı saldırıların kurbanı oluyor. En yaygın durumlar, yama uygulanmamış güvenlik açıklarının kullanılmasıdır. İkinci yaygın şey kimlik avıdır.

Bu nedenle, etkili yama yönetimine öncelik verilerek, doğru bir altyapı envanteri tutularak ve personele dijital hijyen konusunda eğitim verilerek önemli sayıda potansiyel güvenlik sorunu azaltılabilir.

Zaten tüm temel şeyleri yapmış olan birçok kuruluş var. Ancak, olayların tamamen yokluğunu garanti etmez. Çalıştırmaları önerilebilir. Ancak, bu tür şeyler için “büyümeniz” gerekir. Altyapının yalnızca %20’si (IDRIDS) çözümleri ile kaplıyken sızma testi yapmanın bir anlamı yoktur.

Trendleri ve sektör raporlarını takip edin

Çok sayıda güvenlik raporu ve haberi, bilgisayar korsanlarının hangi araçları ve saldırıları kullandığını size söyleyebilir. Bu şekilde, şirketiniz için ilgili güvenlik kriterlerini oluşturabilirsiniz. Raporlar genellikle belirli bir saldırıdan nasıl korunulacağına ilişkin özel öneriler sunar. Bu tür bilgiler için en iyi kaynaklardan biri .

Panik yapmayın ve aceleci şeyler yapmayın

Tipik bir hata, saldırıya dahil olan tüm bilgisayarları yeniden başlatmaktır. Evet, bunun çok önemli olduğu acil durumlar vardır, ancak mümkünse lütfen virüs bulaşmış makinelerin kopyalarını oluşturun. Bu, daha sonraki herhangi bir soruşturma için kanıtları korumanıza olanak sağlayacaktır.

Genel olarak, düşünmeden hareket etmeyin. Çoğu zaman, çalışanlar şifrelenmiş dosyaları keşfettiklerinde hemen güç kaynağının bağlantısını keserler. Bu yaklaşım kumara benzer. Bundan sonra hiçbir şey garanti edilemez. Evet, şifreleme durur ve muhtemelen birkaç dokunulmamış dosyayı kaydedebilirsiniz. Öte yandan, böyle ani bir durma, şifreleme işleminden etkilenen diski ve verileri bozar. Güvenlik topluluğu bir fidye bulsa veya bir fidye () ödeseniz bile, şifrelemesi kesintiye uğrayan verileri geri yüklemek mümkün olmayabilir.

Uzmanlarla iletişim kurmak

Kendi başımıza bir saldırı ile başa çıkmak mümkün mü? Evet, köklü prosedürleriniz varsa. Azaltma çabalarına öncelik verilebilir. Etkili yama yönetimi prosedürlerini korumak, uygulamak veya ayarlamak çok zor değil. Mali açıdan, yedeklemelere güvenmek ve kurtarma süresini en aza indirmek kabul edilebilir bir strateji olabilir. Ancak, saldırıyı derhal durdurmak, olayın tam mahiyetini belirlemek, kimin suçlanacağını anlamak ve etkili bir eylem planı belirlemek gerektiğinde – başka alternatif yoktur – dış müdahale ekibini arayın.

reklam





Source link