Teknolojinin modern iş ortamında çok önemli bir rol oynadığı göz önüne alındığında, kuruluşların yıkıcı bir siber saldırı yaşadıktan sonra uzun süre çevrimdışı kalmayı göze almaları mümkün değildir.
Dijital ürünler ve hizmetler sunan şirketler için, bir internet ürünü veya hizmeti ne kadar uzun süre çevrimdışı kalırsa, kullanıcılar hızla hayal kırıklığına uğrayacak ve potansiyel olarak rakiplere akın edeceklerdir.
Günümüzde pek çok çalışanın işlerini tamamlamak için internet tabanlı cihaz ve yazılım kullandığı göz önüne alındığında, bir şirketin siber saldırıya uğraması durumunda tüm iç operasyonları durma noktasına gelebilir.
Son örnekler arasında Londra’daki Hackney Konseyi ve Britanya Kütüphanesi yer alıyor; her ikisinde de fidye yazılımının saldırısı sonucu sistemleri uzun süre çevrimdışı kaldı.
Açıkçası, işletmelerin siber saldırıları kontrol altına almak, düzeltmek ve bozulan BT sistemlerini mümkün olan en kısa sürede yeniden başlatmak için ellerinden geleni yapması gerekiyor. Maalesef bu karmaşık bir süreçtir; işletmeler genellikle sistemleri temiz bir yedekten geri yüklemek veya tamamen yeniden oluşturmak arasında kalır.
Bir saldırının ardından güvenliği ihlal edilen sistemlerin geri yüklenmesi, işletmeler için yeni siber tehditlere ve BT sorunlarına da yol açabilir. Ancak güvenlik uzmanları, basit en iyi uygulamaları takip etmenin büyük bir yardım olabileceği konusunda hemfikir.
Siber saldırıdan kurtulmak kolay değil
Siber güvenlik şirketi Sygnia’nın İngiltere ve Kuzey Avrupa genel müdürü Azeem Aleem’e göre, bir siber saldırının ardından bir kuruluşun BT sistemlerini tekrar çevrimiçi hale getirmek kasırga kurtarmadan farklı değil.
“BT ekibi ve üst düzey yöneticiler zihinsel bir maraton koştular ve şimdi işi bir kez daha nasıl işler hale getireceklerini düşünmeleri gerekiyor. Analiz-felç sendromundan kaçınmak için yönetimin bu konuda bilinçli olması gerekiyor” diyor.
Aleem, bir siber saldırının ardından sistemleri ve verileri geri yüklemenin ve süreçteki herhangi bir karışıklık veya belirsizliği önlemenin anahtarının, kuruluş çapında net beklentileri iletmek ve bir “geri yükleme kullanıma sunma protokolü” oluşturmak olduğunu söylüyor.
Bu sürecin bir parçası olarak BT ekiplerine kurtarma ve araştırma çalışmalarına hemen başlamalarını tavsiye ediyor. Şöyle diyor: “Tehlikeli yöntem ortadan kaldırılmadan önce temel hizmetlerin yeniden oluşturulduğu ‘güvenli ada’ ortamından yararlanılarak kuruluş, tam iş operasyonlarına çok daha hızlı geri dönebilir. İyileştirme çabası güvenliği tespit edip kapatıyor ve saldırganın ortamdaki varlığı ortadan kaldırılıyor.”
Aleem ayrıca işletmelerin, operasyonlarının daha az önemli unsurlarını ele almadan önce kritik uygulamaları ve süreçleri geri yüklemek için gerekli adımları atacağı iki adımlı bir iyileştirme süreci de öneriyor.
Siber saldırı sonucu tehlikeye giren BT sistemlerinin yeniden başlatılması hayati önem taşırken, firmaların siber ihlaller konusunda personelini, müşterilerini ve diğer paydaşlarını bilgilendirmesinin önemini de ihmal etmemesi gerekiyor. Aleem, yöneticilerin siber saldırılar konusunda tamamen şeffaf olmalarını, “ne olduğunu bildirmelerini ve yeniden inşa edilmesi gereken birçok uygulama ve süreç nedeniyle kurtarma sürecinin nasıl sinir bozucu olabileceğine dair önceden uyarıda bulunmalarını” tavsiye ediyor. Bunu yapmak, kuruluşların kurtarma çabalarını ilerletirken “çalışanlarının zihniyetini çözüm odaklı hale getirmelerine” yardımcı olacaktır.
Şunları ekliyor: “Aynı zamanda, müşterilerin ve iş ortaklarının daha önce olduğu gibi aynı hizmeti beklemesi nedeniyle baskı da artabilir. Çalışanların, ihlalin dış tarafları nasıl etkilemiş olabileceğini yeterince değerlendirebilmeleri ve ihlallerini düzenleyici gerekliliklere uygun olarak bildirebilmeleri için şirketin durumunun farkında olmaları gerekir”.
İki kurtarma seçeneği
Google Cloud destekli tehdit istihbaratı uzmanı Mandiant’ın olay müdahalesi ve iyileştirmeden sorumlu kıdemli yöneticisi Nader Zaveri’ye göre işletmeler bir siber saldırı yaşadıktan sonra genellikle iki seçenekle karşı karşıya kalıyor.
İlk seçenek, geri yükleme çalışmalarını başlatmak için bozulmamış bir yedekleme kullanmaktır. Veya siber güvenlik firmaları bozulan sistemleri sıfırdan yeniden oluşturma seçeneğine sahiptir. Her iki durumda da Zaveri, firmaların kimlik yönetimi, ağ segmentasyonu ve uç nokta doğrulamaya odaklanan kapsamlı bir kurtarma planı oluşturması gerektiğini söylüyor.
Zaveri, kimlik yönetimi çalışmalarının bir parçası olarak yeni kullanıcı hesapları oluştururken kuruluşların güçlü şifreler belirlemesi gerektiğini söylüyor. Ve eğer bir siber güvenlik olayı hala devam ediyorsa şifrelerin her gün sıfırlanmasını öneriyor.
Zaveri, ağ bölümlemenin, güvenliği ihlal edilmiş ortamlar için “kırmızı bir ağ”, temiz ortamlar için “yeşil bir ağ” ve şu anda yedeklenen ve çalışan sistemleri etkileyen risklerin tanınması için “sarı bir ağ” dahil olmak üzere üç farklı ortam gerektirdiğini söylüyor. Şöyle ekliyor: “Bu sarı veya aşamalı ortam, internet erişimini ve ağlar arası trafiği kısıtlıyor ve yalnızca belirli güvenlik uygulamaları için istisnalara izin veriyor.”
Son olarak işletmelerin iki önemli senaryoyu göz önünde bulundurarak uç nokta doğrulamasını ele alması gerektiğini söylüyor. Risk altındaki sistemleri yeniden inşa etmeleri gerekiyorsa işletmelerin “olay müdahale ekibi tarafından onaylanmış temiz bir altın imaj kullanmasını” tavsiye ediyor.
Ancak bir sistemi yeniden inşa etme ihtiyacı yoksa işletmelerin onu “sarı ağ” içinde izole etmesi ve orada yeniden etkinleştirmesi gerektiğini söylüyor. Bu, olay müdahale ekibinin, sistemlerin güvenlik ihlali göstergelerinden etkilenmemesini sağlamak için uç nokta tespit araçlarını kullanmasına olanak tanıyacak.
Veri kurtarma kritik öneme sahiptir
Rubrik Zero Labs başkanı Steve Stone’a göre veri kurtarmaya odaklanmak, bir siber saldırının ardından önemli sistemleri geri yüklemede bir başka kritik adımdır. “Bu kurtarma hareketleri ya görünürlük, önceliklendirme ve mevcut saldırgan erişiminin anlaşılmasıyla yönlendirilecek ya da ‘kör’ olaylar olarak yürütülecek” diyor.
İşletmeleri kör kurtarmayı seçmemeleri konusunda uyarıyor çünkü “gerekli olandan daha uzun bir süre boyunca” kurtarma veya “kurtarma noktası saldırganların erişim kazanmasından sonraysa saldırganları yeniden devreye sokma” nedeniyle önemli veri kaybı riski taşıyorlar.
Onun görüşüne göre firmalar bunun yerine “her şeyin bir anda kurtarılamayacağı” anlayışına dayalı, bilgiye dayalı kararlar almalı. İşletmeler bu nedenle “saldırganların izinsiz girişten önceki durumu kurtararak erişimi kaybetmelerini” sağlamayı hedeflemeli ve “izinsiz girişe mümkün olduğunca yakın” kurtarma çalışmaları yürüterek kapsamlı veri kayıplarını önleyebilirler.
Siber saldırı öncesinde kurtarma planları uygulayan işletmelerin, sistemleri olmayanlara göre çok daha hızlı yeniden başlatılacağını söylüyor. Bir siber saldırıdan kurtulmaya hazır olmayan firmalar, olay sırasında keşif ve iş akışı haritalaması yaptıkları için “görünürlüğün azalması” nedeniyle kısıtlanacak. Taş şunu ekliyor: “En başarılı kuruluşlar, planlarının uygulanabilirliğini sağlamak için toparlanmayı daha önce test etmiş ve öğrenilen derslere göre ayarlamalar yapmış olacak.”
Stone, işletmelerin fidye yazılımı saldırılarının şifreleme tehdidiyle başa çıkmanın, şantaj unsuruyla karşılaştırıldığında nasıl daha kolay bulduğunu gözlemliyor. Şöyle açıklıyor: “Bu, özellikle bir ortamın aktif olarak şifrelendiği ve/veya izinsiz girişe maruz kaldığı durumlarda zordur. Verilerin çalınıp çalınmadığını, bu verilerin ne içerdiğini ve olası bir veri kaybı gaspı tehdidiyle nasıl başa çıkılacağını değerlendirme yeteneği, modern fidye yazılımı saldırılarında kritik öneme sahiptir.”
Başarılı sistem kurtarma
Veri kaybını önleme platformu Next DLP’nin güvenlik şefi Chris Denbigh-White’a göre, siber saldırı durumunda sistem kurtarmanın başarılı olup olmadığını belirleyen çeşitli faktörler var.
Öncelikle güvenlik ekipleri, tehlikeye atılmış sistemleri kurtarmaya çalışırken temel iş hedeflerini ihmal etmemelidir. Denbigh-White, siber suçluların kimliklerini bulmak ve gelecekte sistemlere yeniden erişememelerini sağlamak gibi hedeflerin temel iş hedefleriyle uyumlu olması gerektiğini söylüyor. Şöyle ekliyor: “İş açısından bakıldığında, bazı BT ve güvenlik hedefleriyle çelişiyor gibi görünse bile, temel amaç aksaklıkları ve mali kayıpları en aza indirmektir.”
İkincisi, işletmelerin bir siber saldırı meydana geldikten sonra son derece dikkatli olmaları gerekir. Bu nedenle, temizleme çabalarını tercih etmek yerine tehlikeye atılmış altyapıyı yeniden inşa etmek en iyi sistem kurtarma çözümü olabilir.
Denbigh-White şöyle açıklıyor: “Temizleme yaklaşımının zorluğu, sistemin ödünlerden tamamen arınmış olduğuna dair güvence sağlamakta yatmaktadır. Uzlaşmanın olmadığını kanıtlamak zorlu ve zaman alıcı olabilir. Paradoksal olarak, sistemleri yeniden inşa etmek daha verimli olabilir ve daha fazla güvence sağlayabilir.”
Üçüncüsü, firmalar, sistemlerin temizlendikten veya yeniden inşa edildikten sonra başka risklere maruz kalmamasını sağlamak için izleme yeteneklerini kullanmalıdır. Denbigh-White ya günlük toplama yapılmasını ya da şirketin BT ağlarında gerçekleşen tüm etkinlikleri yakalayan yazılımın kullanılmasını öneriyor.
“Ayrıca, artan izleme verilerini anlamak ve bunlara göre hareket etmek için hem kapasiteye hem de uzmanlığa sahip kaynakları tahsis etmek çok önemli” diye ekliyor. “Sadece günlüklerin bir güvenlik bilgisi ve olay yönetimi (SIEM) sistemi veya veri depolama deposunu doldurması, doğası gereği güvenliği artırmaz. İzleme, bilgili personel tarafından aktif bir şekilde yorumlanmalı ve buna göre hareket edilmelidir.”
Son olarak işletmeler, siber saldırılardan ve ardından gelen kurtarma çabalarından ders aldıklarından emin olmalıdır. Denbigh-White, siber saldırıların “kurumsal büyüme ve öğrenme için değerli bir fırsat” sağlayabilmesi nedeniyle işletmelerin bunu gözden kaçırmaması gerektiğini söylüyor.
“Yapıcı bir şekilde, suçlamadan veya suçlamadan ele alınırsa, bir kuruluşun güvenlik duruşunu ve farkındalığını önemli ölçüde artırabilir” diyor. “İyi yürütülen ve öğrenilen derslere sahip bir süreç, olayın işletmeye verdiği zararın bir kısmını hafifletmeye yardımcı olabilir ve sonuç olarak işletmenin genel dayanıklılığını güçlendirebilir.”
Siber saldırıya maruz kalmak, veri sızıntısından mali kayba kadar çeşitli sorunlara neden olarak işletmelere oldukça zarar verebilir. Bu nedenle sistemlerin hızlı bir şekilde tekrar çalışır hale gelmesi için mümkün olan her şeyi yapmaları gerekiyor.
Siber saldırı durumunda sistemleri kurtarmak kolay bir süreç olmasa da, sektördeki en iyi uygulamaları takip eden ve güvenlik hedeflerini iş hedefleriyle uyumlu hale getiren, iyi düşünülmüş bir kurtarma planı oluşturmak büyük fark yaratacaktır. Siber saldırılar ne kadar korkunç olursa olsun, tüm işletme için değerli dersler sunabilirler.