Teknolojiden Sorumlu Başkan Yardımcısı Jeff Chan,
Bir fidye yazılımı saldırısı yaşamadıysanız, muhtemelen an meselesidir. Yaralanmaya hakaret de eklenince uyarı almayacaksınız. Bir dakika ekip günü bitirmek için çok çalışıyor, bir sonraki dakika SaaS uygulamalarınız çalışmayı durduruyor, ağ erişimi kayboluyor ve güvenlik ekibinin her bir üyesinin telefonu çalmaya başlıyor.
İşte o zaman tüm akşam planları iptal edilir ve kahve demlenir çünkü sistemleri yeniden düzene sokmak muhtemelen bütün gece sürecek bir mesele olacaktır. Sistemlerin çalışmadığı her saniye işi felç ettiği için bu tepki doğaldır.
Takımlar tam olarak mücadele etmeye başladığında hatalar yapılır. Kendi deneyimlerime göre, defalarca gördüğüm iki kritik yanlış adım var. İlk olarak, bir olaya yanıt verirken takip edilmesi kritik olan üç temel protokolü gözden kaçırırlar: çevreleme, adli tıp ve kurtarma.
İkincisi, sanki kontrol altına alma, adli tıp ve kurtarma birbirinden bağımsız varlıklarmış gibi silolara ayrılmış bir koruma yaklaşımı benimsiyorlar. Örneğin, bir saldırı meydana geldiğinde, bir grup yalnızca iyileşmeye odaklanır ve mantra “ne pahasına olursa olsun iyileş” şeklindedir. Buna paralel olarak, geri kalan ekipler adli tıp ve çevreleme konularına dalarlar ve odak noktaları, verileri soruşturma için olduğu gibi tutmaktır. Kendi adalarında faaliyet gösteren her grup bir hasar değerlendirmesi yapar, altta yatan nedenleri belirler, hasarı kontrol altına almaya başlar ve kaçınılmaz olarak tüm dış iletişimi keser.
Bu yaklaşım yanlış değil. Tüm bu müdahale faaliyetleri geçerli ve gereklidir. Eksik olan, bu üç temel işlev arasındaki dengedir. Sezgilere aykırı görünse de, üçünü birleştirmek nihayetinde süreci hızlandıracak ve daha sorunsuz bir çözüm sağlanmasına yardımcı olacaktır. Aşağıdakiler, çevrelemeden başlayarak her alana eşit odaklanmanın neden bu kadar hayati olduğunu göstermeyi amaçlamaktadır.
muhafaza: Daha önce hiç adli soruşturma yürütmemiş herkes için amaç, temelde kötü niyetli faaliyetin var olduğuna dair kanıt olan Uzlaşma Göstergelerini (IOC’ler) bulmaktır. Bu, sistemdeki tanınmayan dosyalar veya olağandışı trafik şeklinde gelebilir ve daha fazla hasarı önlemek için tasarlanmış sınırlama önlemlerine rehberlik etmeye yardımcı olur. Adli tıp ekibinin neyin etkilendiğini belirleyebilecek bir Uç Nokta Tespiti ve Müdahalesi (EDR) çözümü dağıtması olası bir eylem olabilir. Bu ekip daha sonra bulgularını çevreleme grubuyla paylaşır ve grup daha sonra çalışmaya başlar. Bu süreç, daha önce kopmuş olabilecek ekipleri birbirine bağlamaya ve daha kapsamlı bir yanıt sunmaya yardımcı olur.
İyileşmek: Etkilenen sistemleri kurtarmak için çevreleme ekibinden girdi almanız gerekir. Daha spesifik olarak, EDR’yi yeniden üretime sokmadan önce geri yüklenen bir sisteme kurmak gibi çabalarına ilişkin içgörüler. Böylece, bu IOC’ler adli tıp ekibi tarafından tanımlandıkça, çevreleme ekibi tarafından diğer tüm uygulamalarla birlikte EDR çözümüne beslenirler. Oradan, kurtarma ekibi potansiyel yeniden bulaşma konusunda endişelenmeden sistemleri geri yüklemeye başlayabilir. Ardından, sistemi tekrar üretime sokmadan önce bu göstergelerden herhangi birinin sistemde tetiklenip tetiklenmediğini görmek için EDR’yi kullanabilirler. Herhangi bir gösterge olmadan iyileşmek çok daha risklidir. Öte yandan, sistemler tekrar çevrimiçi hale gelmeden önce tüm IOC’lerin toplanmasına yönelik bir iş kararı verilirse, BT altyapısının çalışır duruma getirilmesi daha uzun sürecek ve bu da artan gelir kaybına neden olacaktır.
Adli: Kurtarma sırasında, tüm adli verilerin toplanması kurtarma ekibi tarafından yapılır ve herhangi bir sistem geri yükleme çalışması başlatılmadan önce tamamlanmalıdır. Bu, adli tıp ekibinin mevcut olabilecek diğer IOC’leri belirlemesine ve ardından çevreleme ekibiyle bağlantı kurmasına ve ekiplerin çevreyi sıkılaştırmak için gerekli adımları atabilmesi için ne olduğunu ve nasıl başladığını belirlemesine yardımcı olur.
Bu sürecin teması, bu ekiplerin her birinin birbirine bağlı olması, her alanın eşit derecede dengelendiği devam eden bir süreçte işbirliği yapması ve olay tamamen çözülene kadar sürecin durmamasıdır. Bir grup diğerlerine göre öncelikli olduğunda, bu süreç bozulmaya başlar ve bu da iş üzerinde zararlı bir etkiye sahip olabilir.
reklam