EN
EN

Siber Olay Müdahale Metodolojisi


Son yıllarda gittikçe artan düzeyde görülen siber saldırılar kurumları hem maddi kayba hem de itibar kaybına maruz bırakmaktadır. Çok sayıda kullanıcıya hizmet veren kurumlar ise bu zararların yanı sıra aynı zamanda hassas bilgilerin ele geçirilmesi ve güven sarsılması gibi sorunlarla karşı karşıya kalmaktadır. SOME ekipleri kurum kaynaklarının ve bilişim sistemlerinin siber saldırılara karşı korunması ve saldırı tespit edildikten sonra alınması gereken aksiyonların belirlenip uygulanması gibi hizmetleri sunmaktadır.

SOME’lerin en önemli görevleri arasında saldırıların yapacağı hasarı en aza indirmek ve kontrol altına almak, etkili bir müdahale ve kurtarma süreci sağlamak ve gelecekteki saldırıların gerçekleşmesini önlemek gibi hizmetler sayılabilir. Bu görevleri ayrıntılı olarak değerlendirmek gerekirse:

- Saldırının etkisini, kapsamını ve karakteristiğini belirleme
- Saldırının teknik nedenini anlama
- Daha başka neler olmuş olabileceğini ve olaydan kaynaklanabilecek diğer potansiyel tehditleri tanımlama
- Kalıcı ve anlık çözümleri araştırma ve önerme
- Müdahale stratejilerinin diğer ilgili yetkililerle birlikte uygulanmasının desteklenmesi ve koordine edilmesi
- Güncel riskler, tehditler, ataklar, istismarlar bilgilerinin açıklanması ve alınabilecek önlemlerin alarmlar, öneriler, web sayfaları ve diğer teknik yayınlarla duyurulması
- Satıcılar(vendors), servis sağlayıcılar, hukuk görevlileri, diğer güvenlik grupları ve diğer SOME’ler gibi taraflarla koordineli çalışmak ve işbirliği yapmak
- Kurumun güvenlik durumunu ve olay yönetimi süreçlerini iyileştirmek adına kullanılabilecek korelasyon yöntemlerini, çıkarılacak dersleri, olay ve zafiyet verilerini içeren bir envanter(repository) tutmak

Siber Olay Müdahale Metodolojisi Detayları

1. Tanımlama

  1. Sınıflandırma ve yanıt verme
  2. Tanımlama için izlenecek parametreler
    1. IDS/IPS, güvenlik duvarı ve SIEM gibi ağ güvenlik cihazlarına ait alarmlar
    2. AntiMalware çözümleri
    3. Denetim, sistem ve güvenlik logları
    4. Verinin beklenmedik bir şekilde bozulması ya da silinmesi
    5. Olağandışı sistem sorunları
    6. Bilgisayarlarda ve ağda beklenmedik veya şüpheli aktiviteler
    7. Güvenlik politikalarının ihlali
    8. Oltalama maili veya defacement saldırılarına maruz kalmak

       1.3. Gereklilikler

              1.3.1 Olayın doğruluk derecesini araştırma

              1.3.2 Olayı tanımlama

                         1.3.2.1 Olayın doğasını belirleme

                          1.3.2.2 Delilleri koruma

               1.3.3 Loglama ve rapor hazırlama

       1.4 Yöntemler

                1.4.1 SIEM veya log yönetimi araçlarını kullanarak denetim loglarını toplama,

                inceleme ve analiz etme           

                 1.4.2. Tarih ve zaman, sistem bilgileri ve yapılandırma gibi faktörler için          

                 raporlama ve değerlendirme

                 1.4.3. Adli bilişim analizleri, raporlar ve yedekler gibi tekniklerle sistem bilgilerini

                 korumak

                 1.4.4 Koordineli çalışarak olay kritiklik derecesini belirleme

                 1.4.5. Benzer IP adresi, ağ segmenti, network domain özelliklerine sahip

                             diğer sistemlerin analizi

                  1.4.6. Olay Müdahale ekip üyelerini belirleme

2. Kayıt altına alma

       2.1 Olayın detaylarını doğru bir şekilde saklamak

       2.2 Tarih, zaman, sistem bilgileri ve konfigürasyon gibi delilleri kaydetmek

3.  İlk yanıt

       3.1 İlk adım

              3.1.1 Sistem ve ağ yöneticilerinin yanı sıra diğer ilgili personelle koordineli çalışmak

              3.1.2. Raporları, logları, mimarileri ve erişim kontrol listelerini incelemek

              3.1.3. Bu safhada olayın false pozitif olup olmadığını denetleme ve veri

              toplama çalışmaları yapılır, ayrıca saldırıyı dökümante etmek amacıyla alınan tüm  

              aksiyonlar kaydedilir.

      3.2 Saldırının kapsamını belirlemek

             3.2.1 İlk araştırma

             3.2.2. Olaya ait bilgileri kaydetmek

             3.2.3 Saldırının olası etkisini belirlemek             

      3.3. Amaç

              3.3.1. Olay müdahale sürecinde yapılması gerekenleri tespit etmek

4.  Olay ile ilgili iletişimi gerçekleştirmek

        4.1. Saldırı ile ilgili şüphelileri belirlemek

        4.2 Gerekli kontrolleri ve koordinasyonu sağlamak

        4.3 Dava açılabilmesi için yasal temsilci ile görüşmek

        4.4 Alınacak dersleri belirlemek ve farkındalık oluşturmak

         4.5 İlgilileri haberdar etmek

5. Sınırlandırma (Containment)

        5.1. Uygulanabilecek yöntemler

                5.1.1. Spesifik sistem servislerinin engellenmesi

                5.1.2 Hesapları engelleme ve parolaları değiştirme

                5.1.3 Enfekte olan sistemlerin yedeğini almak

                5.1.4. Sistemi kapatmak, ağdan izole etmek ya da bazı servisleri kapatmak gibi

                önemli kararları olmak

                5.1.5. Sistem kurtarma ve eski haline getirme işlemleri

                5.1.6 Erişimler ve kritik işlemler için düşük yetki kuralını uygulamak( Principle of Least Privilege)

        5.2. Riski azaltmak için yapılabilecekler

                  5.2.1 Fiziksel güvenliği sağlamak

                  5.2.2 Gizli ve hassas verileri korumak

                  5.2.3 İş süreçleri ve yönetimsel verileri koruma altına almak

                  5.2.4 Gelecek saldırılara karşı donanımsal ve yazılımsal bileşenleri korumaya almak

          5.3 Amaç

                   5.3.1 Olayın potansiyel etkisini veya neden olacağı hasarı azaltmaya çalışmak

6. Müdahale stratejisini belirlemek

         6.1. Olayın karakteristiği göz önünde bulundurularak yanıt stratejisini belirlemek

         6.2. Amaç

                  6.2.1 Saldırının etkisizleştirilebilmesi için en uygun aksiyonu alma

         6.3 Etkenler

                 6.3.1. Politik

                 6.3.2 Teknik

                 6.3.3 Yasal

                 6.3.4 İş dünyası

7. Olay sınıflandırma

            7.1 Olayın kritiklik derecesi ve potansiyel hedeflerine göre sınıflandırılması

            7.2 Sınıflandırma adımları

                   7.2.1 Kategorilendirme

                   7.2.2 Öncelik derecesi

                            7.2.2.1 Dereceler

                                          7.2.2.1.1. Yüksek

                                           7.2.2.1.2. Orta

                                           7.2.2.1.3. Düşük

                     7.2.3 Kaynak ayırma

             7.3 Etkenler

                    7.3.1. Olayın doğası

                    7.3.2. Sistemlerin kritiklik derecesi

                     7.3.3. Etkilenen sistemlerin sayısı

                      7.3.4. Yasalar ve düzenlemeler

      8. Olay analizi

              8.1 Delilleri toplama ve analiz etme süreci

                     8.1.1 Olayla ilgili nerede, ne zaman, nasıl, kim tarafından gibi sorulara yanıt

                     aramak

              8.2 İncelenecek parametreler

                      8.2.1 Olay

                      8.2.2 Olay zamanı

                      8.2.3 Şüpheli

                      8.2.4 İyileştirme ve saldırı etkilerini azaltma

                      8.2.5 Sistemler ve ağlar

               8.3 İki önemli safha

                       8.3.1. Adli analiz

                                  8.3.1.1. Yazılım analizi, anahtar kelime arama, silinen veriler

                                  8.3.1.2. Kurbanları ve saldırganları, olayın türünü, ne zaman nerede ve

                                  nasıl olduğunu belirlemek

                                   8.3.1.3. Varlık tanımlama, analiz yeri ve olay müdahale zamanı gibi

                                   bilgiler için kanıtları sağlamak

                      8.3.2. Veri toplama

                                  8.3.2.1 Bilinen gerçekleri ve delilleri toplamak

                                  8.3.2.2 Host tabanlı, ağ tabanlı ve diğer sistemlerden kaynaklı delilleri   

                                  toplamak

9. Delilleri koruma

           9.1. Saldırganlara karşı yasal aksiyonlar alma

           9.2 Delillerin nasıl toplandığı, analiz edildiği, taşındığı ve korunduğu gibi aşamaları 

           tarihsel olarak kaydetme (Chain of custody)

           9.3 Yedeklerin güvenli bir şekilde muhafaza edilmesi ve yedeklere kimin

           erişebileceğini tanımlamak

              9.4 Delillerin bütünlüğünü denetlemek(SHA256 ve MD5 gibi hash fonksiyonları ile)

              9.5 Orijinal HDD adli kanıt olarak kullanılabilir.

10. Kurum dışı yetkilileri bilgilendirmek

              10.1 Ulusal ve yerel kolluk kuvvetleri

              10.2 Güvenlik kurumları

              10.3 Güvenlik uzmanları ve araştırmacıları

              10.4 Zararlı yazılım analiz laboratuvarları

11. Yok etme

              11.1. Hasarlara engel olmak için aşağıdaki önlemleri almak

                         11.1.1 IDS/IPS ve antimalware gibi güvenlik çözümlerini güncellemek

                         11.1.2 En son yayımlanan yamaları uygulamak

                         11.1.3 Politika uyumluluk kontrolleri

                         11.1.4 Bağımsız güvenlik denetimleri

                         11.1.5 Sistem ve ağ sıkılaştırma

                         11.1.6 Zafiyet analizi

                         11.1.7 Tüm parolaları değiştirme

                         11.1.8 Sistemleri eski haline getirme, yeniden kurma ve yapılandırma

                         11.1.9 Olay müdahale ve etkisizleştirme adımlarını ekip üyeleri ile tartışarak ve

                           bu adımları gelecek saldırılar için gözden geçirerek güvenlik politikalarını,

                           planlarını ve prosedürlerini güncellemek

                          11.1.10 Tüm iyileştirici müdahaleleri denetlemek ve takip etmek

                          11.1.11 Yedekleri eski haline getirmek

                   11.2 Olayın ana nedenini ortadan kaldırmak

12. Sistemleri kurtarma

            12.1 Sistemlerin eski normal işlevlerine kavuşturulması

            12.2 Eylem planı oluşturmak ve sistemleri izleyip denetlemek

13. Olay dökümantasyon

             13.1 Tüm aktiviteleri dökümante etmek

             13.2 Güvenlik ihlalinin tanımı ve alınan aksiyonlarla ilgili detayların paylaşılması

             13.3. Dökümantasyon için dikkat edilmesi gereken hususlar

                         13.3.1. Sıralı bir düzene göre oluşturmak

                         13.3.2. Bütünlük açısından denetlenmesi

                         13.3.3. İncelemeden geçirilmesi

                         13.3.4. Kısa ve anlaşılır olması

                         13.3.5. Standart formatta olması

                         13.3.6. Hatalardan ayıklanmış olması

14. Zararın ve maliyetin belirlenmesi

            14.1. Veri kayıplarının belirlenmesi

            14.2. Soruşturmaların yasal maliyeti

            14.3 Güvenlik ihlalini analiz için çalışanların maliyeti

            14.4. Sistemlerin kapalı kalma süresinin maliyeti

            14.5. Yeniden kurma maliyetleri

            14.6. Saldırıdan etkilenen sistemlerin onarım ve güncelleme maliyetleri

            14.7 İtibar veya güven kaybı

            14.8. Alınması gereken derslerin belirlenmesi

                          

Kaynakça:

[1] mindmeister