Siber güvenlik ekiplerinin şu anda muhtemelen çok fazla işi var, sadece Fidye Yazılımı Saldırılarına bakıldığında bile. Her 14 Saniyede Bir İşletme Fidye Yazılımı Saldırısının Kurbanı Oluyor.
Her gün 560.000’den fazla yeni kötü amaçlı yazılım parçası tespit ediliyor. ABD’de her gün yaklaşık 2.200 siber saldırı gerçekleşiyor. Devam etmemiz gerekiyor mu?
Yani, ayrıcalıklı erişime sahip siber güvenlik ekiplerinin olası bir ihlale nasıl tepki vermesi gerektiği meselesi değil; olası bir ihlale karşı sonunda nasıl davranmaları gerektiği meselesidir. Son 12 ayda, büyük işletmelerin %74’ü siber saldırı veya güvenlik ihlali bildirdi. Geriye kalan %26’nın bunu yapması ne kadar sürecek?
Güvenlik ekiplerinin olası bir ihlale nasıl tepki vermesi gerektiğini öğrenmek için okumaya devam edin.
Saldırı Türünü Belirle
Saldırının ne tür olduğunu bilmiyorsanız harekete geçemezsiniz. En yaygın saldırılardan bazıları şunlardır:
- Kötü amaçlı yazılım
- Fidye yazılımı
- Tedarik zinciri saldırıları
- Hizmet Reddi
- E-dolandırıcılık
- Sosyal mühendislik
Tahmin edebileceğiniz gibi, bazıları diğerlerinden daha kolay yönetilebilir. Bir tedarik zincirine yapılan saldırı, bir sistemi yalnızca geçici olarak kapatabilecek bir kötü amaçlı yazılım saldırısından çok daha kapsamlı ve pahalıdır.
Saldırının türünü anlamak, onun neden olduğu hasarın boyutunu belirlemeye yardımcı olur; dediğimiz gibi, bazıları diğerlerinden daha kapsamlı olacaktır.
Hızlı ve Etkin Hareket Edin
Siber güvenlik ekibi ne kadar hızlı hareket ederse o kadar iyi olur. Verimli bir şekilde hareket etmek, olay müdahale planı olarak bilinen şeyin bir parçası olmalıdır. Bunu okuduktan sonra bir olay müdahale planınız yoksa bunu yapacaksınız. Adından da anlaşılacağı gibi, bir plan bir siber güvenlik ekibinin bir olaya nasıl tepki vereceğini belirler.
İlk adım, daha fazla hasarı önlemek için ihlali (açıkçası) sınırlamaktır. Bize güvenin, kelime olabilir. Kötü amaçlı yazılım indirildikten veya veri ihlal edildikten sonra, güçlü bir siber güvenlik ekibi olmayan bir KOBİ için bir saldırıyı sınırlamak zor olabilir. Genellikle etkilenen sistemleri izole etmeyi vb. içerir.
Ekipler daha sonra güvenlik açıklarını yamalama, sistemleri güncelleme, yapılandırmaları değiştirme vb. adımlara geçmelidir. Bu gönderide bu konular daha ayrıntılı olarak ele alınmaktadır.
Bazı KOBİ’ler saldırı analizi ve eğitimi için veri korumayı unutur. Bu aşamada, üst düzey yönetim ekibi üyeleri, yasal temsilciler ve harici BT Uzmanları dahil olmak üzere gerekli tüm taraflarla iletişim kurmak da önemli olacaktır. En kötüsü de etkilenen insanlara söylemektir.
Bir İhlal Olursa Ne Yapılmalı
Soruşturmalar bir ihlal gösteriyorsa, siber güvenlik ekibi yanıtını yoğunlaştırmalıdır. Verimli davranma bölümünde tartışılan adımları izledikten sonra, ekipler ihlal bildirim yasalarına uyumu sağlamak ve yasal etkileri azaltmak için yasal ve düzenleyici kurumlarla iletişim kurmalıdır. Şeffaflık en önemli unsur olmalıdır.
Ardından, tehditi sistemden kaldırın. Bu, kötü amaçlı yazılımları ortadan kaldırmayı, güvenlik açıklarını kapatmayı ve arka kapılar veya devam eden tehditlerin olmadığından emin olmayı gerektirir; bahsettiğimiz yama güvenlik açıkları. Ekip ne yaparsa yapsın, durum kontrol altına alınana kadar sistem kapalı kalmalıdır.
Siber saldırıların markalara çok pahalıya mal olmasının nedenlerinden biri iş kesintileridir, ancak aynı zamanda mutlak bir zorunluluktur.
Gelecekteki Güvenlik Önlemleri
Bize güvenin; öğrenilecek dersler olacak. Dikkat, güvenlikteki benzer ihlallerin tekrarlanmasına karşı sağlam savunma mekanizmalarına doğru kaydırılmalıdır. Birisi veya bir şey bu güvenlik açığına neden oldu – ister bariz güvenlik açıkları olan zayıf bir sistem olsun, ister bir çalışanın açmaması gereken bir e-postayı açması olsun.
İşte tam bu noktada araştırma ve öğrenme için veri kaydetme devreye giriyor. Kapsamlı bir olay sonrası analizi yapmak esastır. Siber güvenlik ekipleri, öğrenilen derslere dayanarak olay yanıt planlarını güncellemelidir.
Çok faktörlü kimlik doğrulama, şifreleme ve saldırı önleme sistemleri ve Bulut güvenlik duruşu yönetimi gibi gelişmiş güvenlik önlemlerine sahip olmak esastır. İyi bir siber güvenlik ekibi bunların zaten yerinde olduğundan emin olacaktır, ancak tüm markalar iyi bir siber güvenlik ekibiyle çalışmaz. Düzenli denetimler de yardımcı olabilir.
Asla Yapmamanız Gereken Hatalar
Siber güvenlik ekipleri, olası bir ihlal sonrasında bazı kritik hatalardan kaçınmalıdır.
Öncelikle, olayı görmezden gelmeyin veya tepkiyi geciktirmeyin. En önemlisi zamandır. İkincisi, bilgi sahibi olmadan kamuoyuna açıklama yapmayın – bu yanlış bilgi verebilir veya insanları paniğe sürükleyebilir. Bu daha çok büyük markalar için geçerlidir – KOBİ’lerin siber saldırılar hakkında büyük basın bültenleri yaptığını göremezsiniz.
Sorunu hızla çözmek için delilleri bozmamak da hayati önem taşır. Bu, konuyla ilgili adli analiz ve yasal soruşturmalara müdahale eder.
Son bir uyarı: Ekibiniz ihlal olaylarını ele alma konusunda uzmanlığa sahip değilse, bunlar tamamen departman sınırları içinde ele alınmamalıdır. Harici siber güvenlik uzmanlarıyla çalışmak değerli içgörüler ve yardım sağlayabilir.
Bu olaydan ders çıkarılmaması ve güvenlik önlemlerinin iyileştirilmemesi, kuruluşların gelecekte daha fazla saldırıya maruz kalmasına neden olacaktır… Ama bunu size söylememize gerek yoktu, değil mi?
Siber tehditler büyük bir tehdit olmaya devam ediyor – onları görmezden gelmek neredeyse imkansız. Ve en kötüsü, siber tehditler sürekli olarak gelişiyor. Bugün size söylediklerimiz yarın doğru olmayabilir. Siber güvenlik ekipleri tarafından kullanılan stratejiler ve uygulamalar, tehdit ortamı değiştikçe sürekli olarak güncellenmelidir.