YORUM
Bir olay müdahale (IR) kütüphanesini tartışırken mesele, olay müdahale planlamasıyla ilgili raftaki kitap sayısı, planların ve taktik kitapların nasıl oluşturulacağı veya en son teoriler veya çerçevelerle ilgili değildir. Bu senin hakkında gerçek olay müdahale planı ve ona eşlik eden taktik kitapları. Kuruluşunuzda bunlara sahip mi, yoksa bir şey olursa, bunun üstesinden gelmesi için sadece BT departmanından birine mi güveniyorsunuz? Ne yazık ki, ikinci senaryo sıklıkla söz konusudur. Başucu kitapları mevcut olsa bile, genellikle yıllardır güncellenmedi – ve eğer biri onları bulabilirse veya nerede tutulduklarını hatırlayabilirse. Çeşitli IR planları ve taktik kitapları arasındaki farkı keşfedelim, taktik kitaplarının önemini vurgulayalım ve bunların nasıl oluşturulacağı konusunda bazı temel rehberlik sunalım.
Olay Müdahale Planı Nedir?
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bir Yİ planını “doğrulanmış veya şüphelenilen bir güvenlik olayı öncesinde, sırasında ve sonrasında kuruluşunuza yardımcı olan, üst düzey liderlik ekibi tarafından resmi olarak onaylanmış yazılı bir belge” olarak tanımlamaktadır. Yİ planınız rolleri netleştirecektir. ve sorumluluklar ve kilit faaliyetler hakkında rehberlik sağlamalı, aynı zamanda bir kriz sırasında ihtiyaç duyulabilecek kilit kişilerin bir listesini de içermelidir.” Temel olarak, bir olay meydana geldiğinde iş akışı için genel rehberlik sağlar.
Öte yandan olay taktik kitapları, IR planının bir parçası olmalı. Belirli olaylar için prosedürel rehberlik sağlar, müdahalelerin standartlaştırılmasına yardımcı olur ve belirli olayların iyileştirilmesine yönelik eylemlerin ayrıntılarını verir. Çoğu kuruluşun genellikle bir yerde saklanan bir tür IR planı vardır, ancak belgelerin eksik olduğu yerler genellikle taktik kitaplarıdır.
Başucu kitaplarının gerekli olmasının çeşitli nedenleri şunlardır:
-
Standardizasyon: Belirli bir olaya yönelik eylemlerin standartlaştırılmasına yardımcı olurlar. Her olayın benzersiz nitelikleri olsa da, bazı standart adımlar belgelenebilir ve neredeyse her duruma uygulanabilir. Örneğin, bir e-posta hesabının ele geçirilmesi durumunda, ele geçirilen hesabın genellikle devre dışı bırakılması gerekir.
-
Yeterlik: Başucu Kitapları, bir hesabı nasıl devre dışı bırakacağını veya bir ana bilgisayarı nasıl izole edeceğini bilen tek kişiyi bulma ihtiyacını ortadan kaldırarak kesinti süresinin azaltılmasına yardımcı olur. İyi yazılmış bir taktik kitabı, benzer rollerdeki çoğu kişinin bu eylemleri tamamlamasına olanak tanır.
-
Güven ve güven: Olayların tutarlı ve uygun bir şekilde ele alınacağına dair organizasyon içinde güven ve güven oluştururlar.
-
Hazırlık: Başucu kitapları genel hazırlığı artırır ve şirketlerin raporlama yönergelerine uymasına yardımcı olur.
-
Maliyet azaltma: Kesinti süresinin sınırlandırılması, bir olayın parasal maliyetini (örneğin para cezaları, cezalar, yasal maliyetler) azaltır ve itibarın zarar görmesini azaltır. IBM’in “2023 Veri İhlalinin Maliyeti Raporu”na göre, taktik kitap oluşturma da dahil olmak üzere IR planlama ve testleri, en etkili maliyet azaltıcılar arasında ilk üç arasında yer alıyor. Raporda, bir ihlalin ortalama maliyetinin şu anda 4,45 milyon dolar olduğu ve yüksek düzeyde IR planlaması olan kuruluşlarla çok az veya hiç olmayan kuruluşlar arasında 1,49 milyon dolarlık (%34,1) bir fark olduğu belirtiliyor. Ayrıca işleyen ve test edilmiş bir Yİ planına sahip kuruluşlar, bekleme süresini 54 gün kısalttı.
Başucu Kitapları Oluşturma
En temel haliyle, taktik kitapları prosedürel belgelerdir; genel bir olaya bağlı belirli eylemlerin nasıl tamamlanacağı konusunda adım adım kılavuzdur. Örnek olarak tipik bir kullanıcı iş istasyonundaki kötü amaçlı yazılım bulaşmasını ele alalım. Kötü amaçlı yazılım tespitine ilişkin bir bildirim alırsınız; şimdi ne olacak?
-
İlk analiz: İlk analizi kim yapıyor ve hangi araçları/kaynakları kullanıyor? Sonraki adımları belirlemek için bu aşamada hangi soruların yanıtlanması gerekiyor?
-
Sınırlama: Bunu nasıl ve kim yapıyor? Muhafazayı sağlamak için süreci ve kontrolleri belgeleyin.
-
Yedekleme kontrolü: Yedeklemeleri geri yüklemeden önce enfeksiyon ve temizlik açısından kontrol edin. Geri yüklemenin ne kadar geriye yapılacağını, nasıl geri yükleneceğini ve hangi araçların kullanılacağını belirleyin.
-
Kaldırma: Kötü amaçlı yazılımın nasıl kaldırılacağı, hangi araçların kullanıldığı, adım adım kılavuz ve kaldırmanın nasıl doğrulanacağı. Görüntüyü silip yeniden oluşturacağınıza veya manuel olarak kaldırmayı deneyeceğinize karar verin.
Yukarıdakiler her şeyi kapsamamaktadır ancak kötü amaçlı yazılım temizleme taktik kitabında yer alabilecek bilgi türleri, adımlar ve hususlara ilişkin kısa bir örnek sunmaktadır. Bu örnek genişletilebilir ve genişletilmeli ve daha ayrıntılı hale getirilmelidir. Başucu kitaplarınızda ekran görüntüleri kullanmanız da önerilir. Genel olarak, bir taktik kitabı oluştururken aşağıdaki gibi bir taslağı takip edebilirsiniz:
-
Giriiş: Ne için çözüyorsun? Başucu kitabı ne için?
-
Roller ve sorumluluklar: Kim ne yapıyor ve adımları tamamlamaktan kim sorumlu?
-
Olay müdahale aşamaları: Kullanılan araçlar, nasıl yapılır, tanımlama, kontrol altına alma, yok etme, kurtarma, eylem sonrası.
-
İletişim Planı: Kime bilgi verilmeli, farklı ekiplere ne zaman bildirimde bulunulmalı, hukuk müşaviri ve avukat müvekkil imtiyazı hususları, üst düzey bildirim vb.
Bu taslağın yapısı değiştirilebilir bir taktik kitabı geliştirdiğiniz spesifik olay türüne bağlı olarak.
Başucu Kitapları Hazırlama Konuları
Akla gelebilecek her potansiyel güvenlik sorunu için taktik kitapları geliştirin. Bazı senaryolar arasında kötü amaçlı yazılım bulaşması, kimlik avı saldırıları, hesabın ele geçirilmesi, veri ihlali, veri kaybını önleme, içeriden gelen tehditler, hizmet reddi saldırıları, kaybolan veya çalınan cihazlar, yetkisiz erişim olayları ve yanlış yapılandırmalar yer alır.
Başucu kitapları yerleştirildikten sonra, bunları kullanması gereken kişilerin bunları nerede bulabileceklerini bilmelerini sağlayın. İhtiyaç duyulduğunda nerede olduklarını kimse bilmiyorsa işe yaramazlar. Araçların ve süreçlerin hala uygulanabilir olduğundan emin olmak için bunları düzenli olarak test edin ve gözden geçirin. Bunu yılda en az iki kez yapın.
Sonuçta, Yİ planınıza eşlik edecek taktik kitaplarının önemi küçümsenemez. Yanıtlarda verimlilik ve tutarlılık sağlar, kesinti ve bekleme sürelerinin azaltılmasına yardımcı olur ve kuruluşunuz için maliyet tasarrufu ve itibar tasarrufu sağlayan bir önlem olabilir.