Tanıdık olsun ya da olmasın, bir olay meydana geldiğinde, yas tutma sürecini başlatır. Ama keder kötü bir şey değil: duygusal tepkilerimizi nasıl işliyoruz ve devam ediyoruz. Siber bir olayın ardından güvenlik ekiplerinin yapması gereken tam olarak budur – ve olay tepkisinin aşamalarının ünlü “Beş Keder Aşaması” na ne kadar iyi bir şekilde eşleşmeniz şaşıracaksınız.
İnkardan başlayarak ve öfke, pazarlık, depresyon ve kabul yoluyla hareket eden güvenlik uzmanları, yas tutma sürecinden birkaç ders alabilir:
İnkar (analiz)
Birçok yönden, inkar kederin en zor aşamasıdır. Diyelim ki bir güvenlik ya da profesyonel. Bu durumda, bir davetsiz misafirin savunmalarınızı ihlal etmiş olabileceğini ve sistemlerinize girebileceğini kabul etmek zor olabilir – ve devam eden bir olayın kanıtını ilk gördüğünüzde, önce alternatif açıklamaları düşünebilirsiniz. Yanlış bir alarm mı? Bir çalışan yanlış uygulamayı yanlışlıkla açtı mı? Belki otomatik bir süreç yanlış işlenir veya yanlış yapılandırma bir uyarının tetiklenmesine neden olur. En kötüsünü varsaymadan önce seçeneklerinizi göz önünde bulundurmak istiyorsunuz.
Ama kalbinizde, muhtemelen gerçeği biliyorsunuz. Saldırıların% 100’ünü durdurmak imkansızdır, bu yüzden olaylar sonunda olacak. İnkar aşamasını aşmak, olayın nerede meydana geldiğini, neler olduğunu ve saldırganın hedeflerinin ne olabileceğini anlamak için bilgi toplamakla başlar. Bir güvenlik olayının devam ettiğini kabul ettikten sonra, ele almak için bir sonraki adımı atabilirsiniz.
Öfke (muhafaza)
Öfke ve hayal kırıklığı devam eden bir olaya yaygın yanıtlardır, ancak CISOS ve diğer güvenlik liderleri bu tepkileri harekete geçirmeye yardımcı olabilir. Bunun yanlış bir alarm olmadığını ve aslında sistemde mevcut olan bir saldırgan olduğunu doğruladıktan sonra, ilk düşünceniz muhtemelen “Bu, önümüzdeki birkaç gün, haftalar veya hayatımın ayları tüketecek.” Güvenlik yönergelerine uymadığı veya bir süreci kısaltmadığı için belirli bir ekibe kızabilirsiniz. Umarım saldırı, önemli hasar verilmeden önce olayı hafifletecek kadar hızlı tespit edilmiştir – ancak saldırı şiddetliyse, muhtemelen düzeltilmesi zaman alacaktır. Bu kimseyi kızdırmak için yeterli.
Bu öfkenin muhafazaya yönelik kanalize edilmesi esastır. Sistemlerinizde bir saldırgan tespit edildikten sonra, önleme aşamasını geçtiniz ve şimdi patlama yarıçapını ve daha fazla yanal hareketi azaltmaya odaklanmanız gerekiyor. Bu, müdahale kanıtının bulunduğu ağın belirli sistemlerin kapatılması veya ağın karantina alanlarının kapanması anlamına gelebilir. Attığınız belirli adımlar, güvenlik olayının doğasına ve ne kadar şiddetli olduğuna bağlı olacaktır, ancak hayal kırıklığınızın sizi yavaşlatmasına izin vermemek önemlidir. Olay daha da kötüleşirse, bu sadece sizi kızdırır – ama sizi kör etmesine izin veremezsiniz.
Kimse bir olayın meydana gelmesini istemese de, bazı olumlu sonuçlar vardır. Örneğin, çoğu zaman, ekipler arasındaki ortak öfke iletişim silolarını veya siyasi engelleri parçalayacak ve daha önce güvenlik ile sürtünme yaşayan departmanlar artık ortak bir düşmana karşı kilitleniyor.
Unutmayın, ihlal edilen verilerle uğraşırken, asıl amaç “değeri sıfıra çıkarmak”. Bu, tehdidi teknik açıdan içermenin yanı sıra, maruz kalan verilerin ekonomisini değerlendirmek ve onu etkisiz hale getirmek için harekete geçmek önemlidir. Örneğin, saldırı bir SQLI içeriyorsa (umarım karma) şifreler içeren bir tablo çalması, bu işlem sırasında bir şifre değişikliği ve kimlik doğrulaması zorlamak, verileri işe yaramaz hale getirecektir.
Pazarlık (eradikasyon)
Sisteminizde ne olursa olsun çıkarılması gerekir ve geri dönemediğinden emin olmanız gerekir. Bir önceki aşamada olayı başarıyla içeriyorsanız, bu bir sonraki mantıklı adımdır. Ama her zaman kolay değildir. Bazı verilerin şifrelenmiş veya çalınmış olması veya belirli sistemlerin onarmanın ötesinde bozulduğu gerçeğiyle başa çıkmanız gerekebilir. Bazılarının yedekleme sistemleri olabilir, diğerleri olmayabilir. Bazılarının restore edilmesi kolay olabilir, diğerleri zaman alabilir. Her zaman hızlı ve kolay bir çözüm yoktur ve güvenlik ekiplerinin kabul etmesi zor olabilir.
Devam eden bir olayı durdurmak her zaman bir miktar pazarlık gerektirir. Keşke bu sistemlere XYZ ajanı dağıtmış olsaydım, bu olmazdı. Geçen yıl reddedilen bu bütçe talebi bana daha fazla personel sayısı verecekti. Lütfen, lütfen, lütfen tüm bu çalışmalardan sonra başka bir kalıcılık yöntemi bulmama izin vermeyin.
Ne yazık ki, bir davetsiz misafir sisteminizden çıkarmak nadiren hızlı ve kolay bir süreçtir. Ancak dijital manzaranızın düzenini anlamak ve kuruluş genelinde paydaşlarla çalışmak, doğru kararları doğru zamanda aldığınızdan emin olabilir. Olayı ilk etapta neyin durdurabileceğini veya durdurabileceğini düşünmek için bir zaman var, ancak eradikasyon aşaması o zaman değil – bu noktada sadece sizi rahatsız edecek.
Depresyon (iyileşme)
Olay onaylandı ve içerildi ve tehdit oyuncusu kaldırıldı. Şimdi, sistemleri doğru bir şekilde çevrimiçi hale getirmek için diğer paydaşlarla çalışma zamanı.
Yedeklemelerden geri yüklenmesi gereken sistemler var mı? Bunu kim yapabilir ve ne kadar sürer? Diğer sistemler hemen çevrimiçi olarak geri getirilebilir mi, yoksa BT ekibinin temiz ve güvenli olduklarından emin olmak için atması gereken adımlar var mı? Danışılması gereken harici ortaklar var mı? Etkilenen müşterileri bilgilendirmek için protokoller nelerdir? Yedeklemelerden geri yüklersek, ne kadar veri kaybedeceğiz? Entegre sistemlerde veri yanlış hizalamasının aşağı akış etkileri nelerdir? Artık kuruluş biraz daha kolay nefes almaya başladığına göre, bu endişeleri ele almak esastır.
Ve kriz iletişim protokollerini unutmayalım – kurulun bilgilendirilmesi, müşteriler ve düzenleyicilerle iletişim kurma, denetimler için belgeleme ve olayı bütünlükle doğru bir şekilde ele almak için başka adımlar atma. İyi haber, olayların gerçekleşmesidir ve endüstri bunu genellikle bir gerçek olarak benimsemiştir. Bazı müşteriler üzülebilir ve verilerinin güvenliğini sorgulayabilir, ancak işletmeler bir olaya etkili ve etik olarak yanıt verdiğinde, çoğu şeffaflığı takdir edecektir – özellikle sorunu çözmek için atılan açık adımları özetleyen proaktif iletişimi. İşletmeler ve müşteriler olayların gerçekleştiğini giderek daha fazla kabul ediyor.
Kabul (Postmortem)
Sonunda kabul. Kurtarma süreci devam ederken, öğrendiklerinizi alıp uygulamanın zamanı geldi. Şimdi eski aşamalardan bastırılmış tüm düşünceleri getirmeye başlama zamanı.
Bu neyin yanlış gittiğini anlamakla başlar. Siber öldürme zinciri neydi? Belirli sistemlere erişmek için hangi güvenlik açıklarından yararlandılar? Tespit çözümlerinden nasıl kaçtılar? Bazı çözümler olması gerektiği kadar iyi değil mi? Beklenmedik kör noktalarımız var mıydı? Telafi etmek için ek kontroller gerekiyor mu? Herhangi bir düzenleyici veya uyumluluk standartları etkilendi ve rapor edilmeleri veya ele alınmaları gerekiyor mu? Olay müdahale sürecimiz işe yaradı ve nasıl daha iyi hale getirebiliriz? Neyin yanlış gittiğini anlamak, tekrar gerçekleşemeyeceğinden emin olmanın ilk adımıdır.
Her saldırıyı durduramayabilirsiniz, ancak aynı hile için iki kez düşmekten kaçınabilirsiniz. Bu, yeni güvenlik çözümlerinin uygulanması anlamına gelebilir. Güvenlik mimarinizi daha iyi bölümlere ayırmak anlamına gelebilir. Aynı zamanda ihlalde yer alan insanlara ve süreçlere bakmak ve iyileştirme fırsatlarının nerede olduğunu belirlemek anlamına gelebilir.
İhlallerin gerçekleştiğini kabul etmek önemlidir, ancak kabul, gönül rahatlığı anlamına gelmez. Kendinizi bilgi ile silahlandırmak, daha sonraki ihlalin durdurulması çok daha kolay olacak şekilde veri odaklı proaktif bir yaklaşım benimsemenizi sağlar.
Kederi harekete geçirme
Keder evrensel bir deneyimdir, yani bunu nasıl işleyeceğimiz ve avantajımıza nasıl kullanacağımız konusunda oldukça iyi bir anlayışa sahip olduğumuz anlamına gelir – bazen zor olsa bile. Olay müdahalesi kederinin her aşamasında düşünceli ve dikkatli bir şekilde hareket etmenize izin vermek, size devam eden bir olayı içermeye ve benzer olayları önlemek için iyi konumlandırılmanıza yardımcı olabilecek değerli bir kontrol listesi verir.
“Öfke” ve “Depresyon” gibi aşamalar, iyileşme sürecinin gerekli bir parçasıdır, ancak sizi rahatsız etmelerine izin vermeyin – bunun yerine, gelecekte daha güçlü ve daha güvenli bir ortam yaratmak için gereken eylemleri yapmaya motive etmelerine izin verin.