Kuruluşlar, güvenlik olaylarından anında haberdar olmalarını sağlamak için Olay yanıtına güvenir ve hasarı en aza indirmek için hızlı eyleme olanak tanır. Ayrıca, saldırıları takip etmekten veya gelecekteki ilgili olaylardan kaçınmayı da amaçlarlar.
SANS Enstitüsü, bilgi güvenliği konusunda araştırma ve eğitim sağlar. Yaklaşan web seminerinde ana hatlarıyla açıklayacağızayrıntılı olarak, hazırlık, tanımlama, kontrol altına alma ve yok etme gibi unsurları içeren bir SANS olay müdahale planının altı bileşeni.
Tam bir IR’nin 6 adımı
- Hazırlık: Bu ilk aşamadır ve mevcut güvenlik önlemlerinin ve politikalarının gözden geçirilmesini içerir; potansiyel güvenlik açıklarını bulmak için risk değerlendirmeleri yapmak; ve protokolleri düzenleyen ve personeli potansiyel güvenlik risklerine karşı uyaran bir iletişim planı oluşturmak. Tatiller sırasında, IR planınızın hazırlık aşaması, size tatile özgü tehditleri iletme ve bu tür tehditleri tespit edildikleri anda ele almak için çarkları harekete geçirme fırsatı verdiği için çok önemlidir.
- Tanılama: Tanımlama aşaması, meydana gelen veya şu anda devam etmekte olan bir olayın tanımlandığı zamandır. Bu, çeşitli şekillerde olabilir: kurum içi bir ekip, üçüncü taraf bir danışman veya yönetilen hizmet sağlayıcı tarafından veya en kötü senaryo, çünkü olayın bir veri ihlali veya ağınıza sızmayla sonuçlanması. Tatil siber güvenlik saldırılarının çoğu son kullanıcı kimlik bilgilerini içerdiğinden, ağlarınıza nasıl erişildiğini izleyen güvenlik mekanizmalarını çevirmeye değer.
- muhafaza: Sınırlama aşamasının amacı, bir güvenlik olayının neden olduğu hasarı en aza indirmektir. Bu adım, olaya bağlı olarak değişir ve bir cihazı izole etme, e-posta hesaplarını devre dışı bırakma veya savunmasız sistemleri ana ağdan ayırma gibi protokolleri içerebilir. Sınırlama eylemlerinin genellikle ciddi iş sonuçları olduğu için, hem kısa vadeli hem de uzun vadeli kararların önceden belirlenmesi zorunludur, böylece güvenlik sorununu çözmek için son dakika mücadelesi olmaz.
- yok etme: Güvenlik olayını kontrol altına aldıktan sonra, bir sonraki adım tehdidin tamamen ortadan kaldırıldığından emin olmaktır. Bu, olayın kim, ne, ne zaman, nerede ve neden meydana geldiğini bulmak için soruşturma önlemlerini de içerebilir. Yok etme, disk temizleme prosedürlerini, sistemleri temiz bir yedek sürüme geri yüklemeyi veya tam diski yeniden görüntülemeyi içerebilir. Yok etme aşaması ayrıca kötü amaçlı dosyaları silmeyi, kayıt defteri anahtarlarını değiştirmeyi ve muhtemelen işletim sistemlerini yeniden yüklemeyi içerebilir.
- İyileşmek: İyileşme aşaması, tünelin sonundaki ışıktır ve kuruluşunuzun her zamanki gibi işine dönmesini sağlar. Muhafaza etme ile aynı şekilde, kurtarma protokolleri en iyi şekilde önceden oluşturulur, böylece sistemlerin güvenli olmasını sağlamak için uygun önlemler alınır.
- Dersler öğrenildi: Öğrenilen dersler aşamasında, olanları belgelemeniz ve her adımda IR stratejinizin nasıl çalıştığını not etmeniz gerekecektir. Bu, olayı tespit edip kontrol altına almanın ne kadar sürdüğü gibi ayrıntıları değerlendirmek için önemli bir zamandır. Silme işleminden sonra kalıcı kötü amaçlı yazılım veya güvenliği ihlal edilmiş sistemlere dair herhangi bir işaret var mıydı? Bir tatil hacker planına bağlı bir dolandırıcılık mıydı? Ve eğer öyleyse, gelecek yıl bunu önlemek için ne yapabilirsiniz?
Bir Olay Müdahale Uzmanı Olun!
Kurşun geçirmez olay müdahalesinin sırlarını açığa çıkarın – Cynet’in IR Lideri Asaf Perlman ile 6 Aşamalı süreçte ustalaşın!
Fırsatı Kaçırmayın – Koltuğunuzu Kaydedin!
Yalın güvenlik ekipleri nasıl daha az strese girebilir?
En iyi uygulamaları IR stratejinize dahil etmek bir şeydir. Ancak, zamanınız veya kaynaklarınız olmadığında, bu en iyi uygulamaları oluşturmak ve uygulamak, söylemesi yapmaktan daha kolaydır.
Daha küçük güvenlik ekiplerinin liderleri, bu kaynak eksikliğinin tetiklediği ek zorluklarla karşı karşıyadır. Güvenlik operasyonlarını yönetmek için yeterli personele sahip olmamakla birleşen çıplak kemik bütçeleri, birçok yalın güvenlik ekibinin, kuruluşlarını çok yaygın saldırı saldırılarına karşı koruyamayacakları fikrine boyun eğmiş hissetmesine neden oluyor. Neyse ki, tam olarak bu çıkmazda güvenlik ekipleri için kaynaklar var. Cynet Incident Response Services, Cynet’in güvenlik deneyiminin özel bir teknoloji ile birlikte benzersiz bir kombinasyonunu sunar ve hızlı ve doğru olay yanıtı sağlar.