Siber Olay Müdahale Metodolojisi
Son yıllarda gittikçe artan düzeyde görülen siber saldırılar kurumları hem maddi kayba hem de itibar kaybına maruz bırakmaktadır. Çok sayıda kullanıcıya hizmet veren kurumlar ise bu zararların yanı sıra aynı zamanda hassas bilgilerin ele geçirilmesi ve güven sarsılması gibi sorunlarla karşı karşıya kalmaktadır. SOME ekipleri kurum kaynaklarının ve bilişim sistemlerinin siber saldırılara karşı korunması ve saldırı tespit edildikten sonra alınması gereken aksiyonların belirlenip uygulanması gibi hizmetleri sunmaktadır.
SOME’lerin en önemli görevleri arasında saldırıların yapacağı hasarı en aza indirmek ve kontrol altına almak, etkili bir müdahale ve kurtarma süreci sağlamak ve gelecekteki saldırıların gerçekleşmesini önlemek gibi hizmetler sayılabilir. Bu görevleri ayrıntılı olarak değerlendirmek gerekirse:
- Saldırının etkisini, kapsamını ve karakteristiğini belirleme
- Saldırının teknik nedenini anlama
- Daha başka neler olmuş olabileceğini ve olaydan kaynaklanabilecek diğer potansiyel tehditleri tanımlama
- Kalıcı ve anlık çözümleri araştırma ve önerme
- Müdahale stratejilerinin diğer ilgili yetkililerle birlikte uygulanmasının desteklenmesi ve koordine edilmesi
- Güncel riskler, tehditler, ataklar, istismarlar bilgilerinin açıklanması ve alınabilecek önlemlerin alarmlar, öneriler, web sayfaları ve diğer teknik yayınlarla duyurulması
- Satıcılar(vendors), servis sağlayıcılar, hukuk görevlileri, diğer güvenlik grupları ve diğer SOME’ler gibi taraflarla koordineli çalışmak ve işbirliği yapmak
- Kurumun güvenlik durumunu ve olay yönetimi süreçlerini iyileştirmek adına kullanılabilecek korelasyon yöntemlerini, çıkarılacak dersleri, olay ve zafiyet verilerini içeren bir envanter(repository) tutmak
Siber Olay Müdahale Metodolojisi Detayları
1. Tanımlama
- Sınıflandırma ve yanıt verme
- Tanımlama için izlenecek parametreler
- IDS/IPS, güvenlik duvarı ve SIEM gibi ağ güvenlik cihazlarına ait alarmlar
- AntiMalware çözümleri
- Denetim, sistem ve güvenlik logları
- Verinin beklenmedik bir şekilde bozulması ya da silinmesi
- Olağandışı sistem sorunları
- Bilgisayarlarda ve ağda beklenmedik veya şüpheli aktiviteler
- Güvenlik politikalarının ihlali
- Oltalama maili veya defacement saldırılarına maruz kalmak
1.3. Gereklilikler
1.3.1 Olayın doğruluk derecesini araştırma
1.3.2 Olayı tanımlama
1.3.2.1 Olayın doğasını belirleme
1.3.2.2 Delilleri koruma
1.3.3 Loglama ve rapor hazırlama
1.4 Yöntemler
1.4.1 SIEM veya log yönetimi araçlarını kullanarak denetim loglarını toplama,
inceleme ve analiz etme
1.4.2. Tarih ve zaman, sistem bilgileri ve yapılandırma gibi faktörler için
raporlama ve değerlendirme
1.4.3. Adli bilişim analizleri, raporlar ve yedekler gibi tekniklerle sistem bilgilerini
korumak
1.4.4 Koordineli çalışarak olay kritiklik derecesini belirleme
1.4.5. Benzer IP adresi, ağ segmenti, network domain özelliklerine sahip
diğer sistemlerin analizi
1.4.6. Olay Müdahale ekip üyelerini belirleme
2. Kayıt altına alma
2.1 Olayın detaylarını doğru bir şekilde saklamak
2.2 Tarih, zaman, sistem bilgileri ve konfigürasyon gibi delilleri kaydetmek
3. İlk yanıt
3.1 İlk adım
3.1.1 Sistem ve ağ yöneticilerinin yanı sıra diğer ilgili personelle koordineli çalışmak
3.1.2. Raporları, logları, mimarileri ve erişim kontrol listelerini incelemek
3.1.3. Bu safhada olayın false pozitif olup olmadığını denetleme ve veri
toplama çalışmaları yapılır, ayrıca saldırıyı dökümante etmek amacıyla alınan tüm
aksiyonlar kaydedilir.
3.2 Saldırının kapsamını belirlemek
3.2.1 İlk araştırma
3.2.2. Olaya ait bilgileri kaydetmek
3.2.3 Saldırının olası etkisini belirlemek
3.3. Amaç
3.3.1. Olay müdahale sürecinde yapılması gerekenleri tespit etmek
4. Olay ile ilgili iletişimi gerçekleştirmek
4.1. Saldırı ile ilgili şüphelileri belirlemek
4.2 Gerekli kontrolleri ve koordinasyonu sağlamak
4.3 Dava açılabilmesi için yasal temsilci ile görüşmek
4.4 Alınacak dersleri belirlemek ve farkındalık oluşturmak
4.5 İlgilileri haberdar etmek
5. Sınırlandırma (Containment)
5.1. Uygulanabilecek yöntemler
5.1.1. Spesifik sistem servislerinin engellenmesi
5.1.2 Hesapları engelleme ve parolaları değiştirme
5.1.3 Enfekte olan sistemlerin yedeğini almak
5.1.4. Sistemi kapatmak, ağdan izole etmek ya da bazı servisleri kapatmak gibi
önemli kararları olmak
5.1.5. Sistem kurtarma ve eski haline getirme işlemleri
5.1.6 Erişimler ve kritik işlemler için düşük yetki kuralını uygulamak( Principle of Least Privilege)
5.2. Riski azaltmak için yapılabilecekler
5.2.1 Fiziksel güvenliği sağlamak
5.2.2 Gizli ve hassas verileri korumak
5.2.3 İş süreçleri ve yönetimsel verileri koruma altına almak
5.2.4 Gelecek saldırılara karşı donanımsal ve yazılımsal bileşenleri korumaya almak
5.3 Amaç
5.3.1 Olayın potansiyel etkisini veya neden olacağı hasarı azaltmaya çalışmak
6. Müdahale stratejisini belirlemek
6.1. Olayın karakteristiği göz önünde bulundurularak yanıt stratejisini belirlemek
6.2. Amaç
6.2.1 Saldırının etkisizleştirilebilmesi için en uygun aksiyonu alma
6.3 Etkenler
6.3.1. Politik
6.3.2 Teknik
6.3.3 Yasal
6.3.4 İş dünyası
7. Olay sınıflandırma
7.1 Olayın kritiklik derecesi ve potansiyel hedeflerine göre sınıflandırılması
7.2 Sınıflandırma adımları
7.2.1 Kategorilendirme
7.2.2 Öncelik derecesi
7.2.2.1 Dereceler
7.2.2.1.1. Yüksek
7.2.2.1.2. Orta
7.2.2.1.3. Düşük
7.2.3 Kaynak ayırma
7.3 Etkenler
7.3.1. Olayın doğası
7.3.2. Sistemlerin kritiklik derecesi
7.3.3. Etkilenen sistemlerin sayısı
7.3.4. Yasalar ve düzenlemeler
8. Olay analizi
8.1 Delilleri toplama ve analiz etme süreci
8.1.1 Olayla ilgili nerede, ne zaman, nasıl, kim tarafından gibi sorulara yanıt
aramak
8.2 İncelenecek parametreler
8.2.1 Olay
8.2.2 Olay zamanı
8.2.3 Şüpheli
8.2.4 İyileştirme ve saldırı etkilerini azaltma
8.2.5 Sistemler ve ağlar
8.3 İki önemli safha
8.3.1. Adli analiz
8.3.1.1. Yazılım analizi, anahtar kelime arama, silinen veriler
8.3.1.2. Kurbanları ve saldırganları, olayın türünü, ne zaman nerede ve
nasıl olduğunu belirlemek
8.3.1.3. Varlık tanımlama, analiz yeri ve olay müdahale zamanı gibi
bilgiler için kanıtları sağlamak
8.3.2. Veri toplama
8.3.2.1 Bilinen gerçekleri ve delilleri toplamak
8.3.2.2 Host tabanlı, ağ tabanlı ve diğer sistemlerden kaynaklı delilleri
toplamak
9. Delilleri koruma
9.1. Saldırganlara karşı yasal aksiyonlar alma
9.2 Delillerin nasıl toplandığı, analiz edildiği, taşındığı ve korunduğu gibi aşamaları
tarihsel olarak kaydetme (Chain of custody)
9.3 Yedeklerin güvenli bir şekilde muhafaza edilmesi ve yedeklere kimin
erişebileceğini tanımlamak
9.4 Delillerin bütünlüğünü denetlemek(SHA256 ve MD5 gibi hash fonksiyonları ile)
9.5 Orijinal HDD adli kanıt olarak kullanılabilir.
10. Kurum dışı yetkilileri bilgilendirmek
10.1 Ulusal ve yerel kolluk kuvvetleri
10.2 Güvenlik kurumları
10.3 Güvenlik uzmanları ve araştırmacıları
10.4 Zararlı yazılım analiz laboratuvarları
11. Yok etme
11.1. Hasarlara engel olmak için aşağıdaki önlemleri almak
11.1.1 IDS/IPS ve antimalware gibi güvenlik çözümlerini güncellemek
11.1.2 En son yayımlanan yamaları uygulamak
11.1.3 Politika uyumluluk kontrolleri
11.1.4 Bağımsız güvenlik denetimleri
11.1.5 Sistem ve ağ sıkılaştırma
11.1.6 Zafiyet analizi
11.1.7 Tüm parolaları değiştirme
11.1.8 Sistemleri eski haline getirme, yeniden kurma ve yapılandırma
11.1.9 Olay müdahale ve etkisizleştirme adımlarını ekip üyeleri ile tartışarak ve
bu adımları gelecek saldırılar için gözden geçirerek güvenlik politikalarını,
planlarını ve prosedürlerini güncellemek
11.1.10 Tüm iyileştirici müdahaleleri denetlemek ve takip etmek
11.1.11 Yedekleri eski haline getirmek
11.2 Olayın ana nedenini ortadan kaldırmak
12. Sistemleri kurtarma
12.1 Sistemlerin eski normal işlevlerine kavuşturulması
12.2 Eylem planı oluşturmak ve sistemleri izleyip denetlemek
13. Olay dökümantasyon
13.1 Tüm aktiviteleri dökümante etmek
13.2 Güvenlik ihlalinin tanımı ve alınan aksiyonlarla ilgili detayların paylaşılması
13.3. Dökümantasyon için dikkat edilmesi gereken hususlar
13.3.1. Sıralı bir düzene göre oluşturmak
13.3.2. Bütünlük açısından denetlenmesi
13.3.3. İncelemeden geçirilmesi
13.3.4. Kısa ve anlaşılır olması
13.3.5. Standart formatta olması
13.3.6. Hatalardan ayıklanmış olması
14. Zararın ve maliyetin belirlenmesi
14.1. Veri kayıplarının belirlenmesi
14.2. Soruşturmaların yasal maliyeti
14.3 Güvenlik ihlalini analiz için çalışanların maliyeti
14.4. Sistemlerin kapalı kalma süresinin maliyeti
14.5. Yeniden kurma maliyetleri
14.6. Saldırıdan etkilenen sistemlerin onarım ve güncelleme maliyetleri
14.7 İtibar veya güven kaybı
14.8. Alınması gereken derslerin belirlenmesi
Kaynakça:
[1] mindmeister