Siber Güvenlik Olay Yönetimi Nasıl Düzgün Bir Şekilde Kullanılır?


[By Chris Debigh-White, Chief Security Officer at Next DLP]

Güvenlik uzmanlarının çoğunluğu, bir saldırganın bir kuruluşa erişmesinin kaçınılmaz olmasa da olasılığını kabul eden “ihlal olduğunu varsayalım” paradigmasına bağlı kalıyor. Bu ihlal, yamalanmamış güvenlik açıkları, kimlik avı saldırıları, içeriden gelen tehditler veya önceki ihlallerden elde edilen milyarlarca çalıntı kimlik bilgilerinin kullanılması gibi çeşitli yollarla gerçekleşebilir.

“İhlal olduğunu varsayma zihniyetiyle” bir savunmacının öncelikli hedefi, bu ihlalleri mümkün olduğu kadar çabuk tespit etmek ve azaltmaktır. 2023 IBM Veri İhlalinin Maliyeti Raporu’na göre, bir veri ihlalinin küresel ortalama maliyeti 4,45 milyon dolardı (saldırı içeriden kötü niyetli biri tarafından yapılmışsa 4,9 milyon dolar). İlk ihlalden itibaren 200 gün içinde tespit edilen ve kontrol altına alınan ihlaller, kuruluşlara 200 günden fazla süre gerektiren ihlallere kıyasla 1 milyon dolardan daha az maliyete neden olur. Bir ihlali ele almak için gereken süre, hasarın boyutu ve kuruluş üzerindeki mali etkiyle doğru orantılıdır.

Aynı IBM raporu, resmi ve düzenli olarak prova edilen bir olay müdahale planına (IR planı) sahip kuruluşların, herhangi bir planı olmayanlara göre ihlalleri 54 gün daha erken tespit edebildiğini ortaya çıkardı. Ayrıca, güçlü IR planlama ve test prosedürlerine sahip kuruluşlar, ihlalle ilişkili maliyetleri %34’ün üzerinde azaltmayı başardı.

Olay Müdahale Planı Tanımlama

IR planı, siber güvenlik olaylarını veya saldırılarını ele almak ve yönetmek için belgelenmiş bir yaklaşımdır. İyi tanımlanmış bir Yİ planı, bir olay sırasında izlenecek rolleri, sorumlulukları ve prosedürleri özetleyerek koordineli ve etkili bir müdahaleye olanak sağlar. Veri ihlallerini, siber saldırıları veya verileri ve sistemleri tehdit eden her türlü yetkisiz etkinliği tanımlamayı, araştırmayı, hafifletmeyi ve bunlardan kurtarmayı içerir.

Siber Güvenlik Olayına Müdahale

Olay müdahalesi ve yönetimi için iyi bilinen bir süreç, hazırlık, tespit ve raporlama, değerlendirme ve karar verme, müdahale ve öğrenilen derslere odaklanan beş adım sağlayan ISO/IEC Standardı 27035’tir. Kuruluşların bunu bir adım daha ileri götürmesi ve önerilen her adımı daha derinlemesine incelemesi önemlidir:

  1. Hazırlık

Güçlü bir Yİ planının temel taşı kapsamlı bir hazırlıktır. Bu aşama, gerekli tüm kaynakların tahsisinin yanı sıra, özel olarak belirlenmiş, açıkça tanımlanmış bir Yİ ekibinin oluşturulmasını içerir. Düzenli tatbikatlar ve eğitim oturumları, potansiyel zayıflıkları ortaya çıkarmak ve ekibin etkili bir şekilde yanıt verme yeteneğini geliştirmek için simüle edilmiş kimlik avı saldırıları gibi etkinliklerle ekibin hazırlıklılığını sürdürmek için hayati öneme sahiptir.

Hazırlık aşamasında en iyi uygulamaların benimsenmesi, kuruluşun ağ altyapısının kapsamlı bir şekilde belgelenmesini ve hayati varlıkların ayrıntılı bir envanterinin derlenmesini içerir. Hukuk departmanları, halkla ilişkiler ekipleri ve kolluk kuvvetleri de dahil olmak üzere ilgili paydaşlarla iletişim yollarının oluşturulması da zorunludur. Ayrıca, harici olay müdahale uzmanlarıyla ilişkiler kurulması ve karmaşık siber güvenlik sorunlarıyla karşılaşıldığında ek uzmanlık sağlanması tavsiye edilir.

  1. Tespit ve Tanımlama Aşaması

Tespit ve tanımlamanın temel amacı, izinsiz giriş tespit sistemleri (IDS) ve güvenlik bilgileri ve olay yönetimi (SIEM) araçları gibi araçlar tarafından desteklenen potansiyel güvenlik olaylarını hızla tespit etmektir. Ayrıca veri kaybı önleme (DLP) ve İçeriden Tehdit Yönetimi araçları, hassas verileri riske atabilecek etkinlikleri belirlemek ve onaylamak için verilerle gerçekleştirilen tüm eylemleri gözlemler ve analiz eder.

Güvenlik ekipleri, önceden tanımlanmış kurallara veya anormal davranışlara dayalı uyarılar oluşturarak günlük dosyaları, ağ trafiği verileri ve sistem anlık görüntüleri gibi ilgili bilgileri toplayabilir ve olayın kapsamını ve ciddiyetini belirlemek için durumu analiz edebilir.

  1. Sınırlama Aşaması

Sınırlama aşamasında, etkilenen sistemlerin izole edilmesi, daha fazla hasarın azaltılması açısından hayati öneme sahiptir. Bu, ağ mimarisinin, sistem karşılıklı bağımlılıklarının ve ağ bağlantısının kesilmesi veya hesabın devre dışı bırakılması gibi hızlı izolasyon için yerleşik protokollerin derinlemesine anlaşılmasını gerektirir. Veri koruma araçlarının kullanılması bu süreci geliştirerek kuruluşların cihazların bağlantısını kesmesine, kullanıcı oturumlarını sonlandırmasına, kanıt toplamasına, yüklemeleri engellemesine ve zararlı süreçleri durdurmasına olanak tanır ve böylece olayın tırmanmasına karşı etkin bir koruma sağlar.

  1. Eradikasyon Aşaması

Her türlü kötü amaçlı yazılımın, arka kapının ve yetkisiz erişimin kaldırılması zorunludur. Bu genellikle sistemin temiz yedeklerden geri yüklenmesini veya güvenlik yamalarının uygulanmasını gerektirir. Gelecekteki analizler için her eylemin belgelenmesi çok önemlidir. Gelişmiş saldırganların ısrarı göz önüne alındığında, bu aşama ihlalin temel nedeninin belirlenmesini içerir.

  1. İyileşme Aşaması

Olay sonrası kurtarma aşamasında odak noktası, etkilenen sistemleri geri yüklemek ve sistem bütünlüğünün doğrulanması, veri kullanılabilirliğinin sağlanması ve yeniden entegrasyon öncesinde kapsamlı testlerin yapılmasını içeren normal operasyonların sürdürülmesidir. Etkili kurtarma, kritik sistemlerin önceliklendirilmesini, net kurtarma süresi hedeflerinin (RTO’lar) belirlenmesini ve kesinti süresini en aza indirmek için düzenli veri yedeklemelerini gerektirir. Kapsamlı test ve izleme, kalan sorunları çözmek ve gelecekteki riskleri azaltmak için çok önemlidir. Aynı zamanda, paydaşlarla iyileşme süreci ve zaman çizelgeleri hakkında şeffaf iletişim, güvenin ve netliğin korunması açısından çok önemlidir.

  1. Düşünme/Öğrenme Aşaması

Olay müdahale planının son adımı, ayrıntılı bir olay sonrası analiz yapmak ve bir şirketin Yİ sürecinin ve genel güvenliğinin iyileştirilebileceği yolları belirlemek için öğrenilen dersleri belgelemektir. Bu parmakla işaret etmek ve suçlamak anlamına gelmez. Düşünme, müdahale ekibinin ihlali kapsamlı bir şekilde araştırmasını, etkilenen verileri veya varlıkları değerlendirmesini ve hasarın boyutunu değerlendirmesini içerir. Bu tür bir analiz, müdahale sürecindeki boşlukların belirlenmesi ve iyileştirme alanlarının belirlenmesi açısından çok önemlidir; müdahale ekibi, BT personeli ve yönetim de dahil olmak üzere ilgili tüm paydaşların katılımını gerektirir. Ayrıca, bu aşamanın sadece bir onay kutusu egzersizi olmamasını sağlamak için tüm katılımcıların psikolojik güvenliği çok önemlidir.

Tüm eylemleri ve zaman çizelgelerini kapsayan kapsamlı olay müdahale dokümantasyonu, gelecekte referans alınması, uyumluluk ve planın geliştirilmesi açısından hayati öneme sahiptir. Olay müdahale planının bu öngörüleri entegre ederek düzenli olarak güncellenmesi ve gözden geçirilmesi, sürekli etkililiğin sağlanması açısından önemlidir. Kuruluşların, ekiplerin olay kategorizasyonu ve raporlama protokolleri de dahil olmak üzere gerekli eylemler konusunda bilgili olmasını sağlamak için iyi hazırlanmış bir politika ve süreç kılavuzu ve düzenli uygulama tatbikatlarıyla olaylara derhal müdahale etmesi gerekir.

Olay Müdahalesi Güvenlik Ekibinin Ötesine Geçiyor

Etkili siber güvenlik olaylarına müdahale etmek yalnızca bilgi güvenliği ekiplerinin sorumluluğunda değildir. Olay müdahale ekipleri, saldırının türüne bağlı olarak bir kuruluştaki birden fazla disiplin arasında koordineli bir çaba gerektirir. Müşteriler, kolluk kuvvetleri ve hizmet sağlayıcılar gibi kuruluş dışındaki kişiler de büyük rol oynayacaktır. Güvenlik ekipleri saldırıyı doğrulayacak ve iyileştirme faaliyetleri önerecek, hukuk ekibi ise veri ihlali bildirimi gerekliliklerini, veri koruma yasalarına uygunluğu ve olası sorumlulukları yönlendirecektir. İK, içeriden gelen tehditleri dikkate alırken iç müdahaleleri planlamak için hukuk ve yönetimle birlikte çalışacaktır. IR Planınız uyarınca, her bir katılımcının ve ekiplerinin, bir olaydan önce uygulanması gereken belirli sorumlulukları olacaktır.

Etkili Olay Müdahalesi İçin Olması Gerekenler

Olay müdahale planları, etkilenen varlıklara, kurumsal kaynaklara ve düzenleyici gerekliliklere bağlı olarak değişecektir ancak birkaç temel parça her zaman gerekli olacaktır. Eğitim her zaman en etkili ilk savunma hattı olacaktır ve pratik, olaylara müdahaleyi mükemmelleştirir. Ayrıca ekipler, kontrol altına alma yeteneklerini sürekli olarak test ederken içeriden gelen tehditleri de dikkate almayı asla unutmamalıdır.

İhlal durumunda, soruşturma için daima veri toplayın. Yeterli günlük kaydı ve izleme, bu verilerin kullanılabilirliği açısından çok önemlidir. Yapılmadığı takdirde toplanacak hiçbir şey kalmayacaktır. Bu durum hazırlık aşamasında ele alınmalı ve iyileştirme alanlarını belirlemek için ölüm sonrası incelemeler ve değerlendirmeler yapılarak öğrenilen dersler aşamasına yansıtılmalıdır.

Güvenlik ekipleri ve tüm kuruluş için, bir IR planına sahip olmak ve bu planı düzenli olarak test edip geliştirmek, bir ihlalin potansiyel maliyeti ne olursa olsun her kuruluşun yapması gereken şeydir. Şirketler, kuruluş çapındaki olay müdahale ekibini iyi koordine edilmiş bir Yİ planıyla birleştirerek veri ihlallerinin etkilerini etkin bir şekilde azaltabilir.

Reklam



Source link