Uzun bir süre sonra yeni yazı ile tekrar sizinleyim :) bu yazıda siber güvenlik olay müdahale süreçlerini sizi çok fazla sıkmadan anlatmaya çalışacağım yazı genel olarak çok teorik bir yazı olacak.

Günümüzdeki teknolojilerin gelişimi ve koronavirüs pandemisinin ortaya çıkması ağ üzerinden aktarılan bilgilerin oranında ciddi bir artış olmasına yol açtı bununla birlikte bu süreç içinde uzaktan çalışmak zorunda kalıp teknoloji hakkında kısıtlı bilgisi olan birçok kullanıcının şirket bilgilerine uzaktan erişime sahip olması Kurumların bilgilerini güvende tutmasını daha da zor hale getirdi.

Artan siber güvenlik saldırılarına karşı birçok önlem alınmaktadır ve birçok firma tarafından bu saldırılara karşı yeni ürünler geliştirilmektedir ancak bu saldırılar kaçınılmaz olarak başarılı olduğunda kurumlar tarafında nasıl bir prosedür takip edilmesi gerektiği konusu kurumlar tarafından çok dikkate alınmaz. Bu çalışmada kurumların siber saldırılara karşı nasıl bir hazırlık yapması gerektiğini ve siber saldırının gerçekleşmesi durumunda atılması gereken Adımlarla beraber dikkat edilmesi gereken noktalar anlatılmıştır.

Olay müdahale süreçlerine başlamadan olayın ne olduğunu anlamamız gerekiyor. Siber güvenlik olayının çeşitli tanımları bulmaktadır. Bazı kaynaklarda bir varlığa doğrudan veya dolaylı bir şekilde saldırı yaparak varlığın gizliliğine, bütünlüğüne ve kullanılabilirliğine zarar verilmesidir olarak tanımlanmaktadır. Bu tür olaylar örnek olarak veri sızıntıları, güç veya destek kaynaklarına zarar verilmesi ve Kötü yazılım gibi saldırıları verilebilir [1]. Ulusal Standartlar ve Teknoloji Enstitüsü (NIST: National Institute of Standards and Technology) siber güvenlik olaylarını bilgisayar güvenlik ilkelerini, kabul edilen kullanım politikalarını veya uygulama güvenlik standartlarının ihlalleri olarak tanımlamaktadır [2]. Uluslararası Standartlar Teşkilatı ve Uluslararası Elektroteknik Komisyonu yayınladığı ISO/IEC 27001:2018 Genel bakış ve kelime bilgisi belgesinde ise güvenlik olayı iş operasyonlarını ve bilgi güvenliğini tehlikeye atma olasılığı olan tek veya bir dizi istenmeyen veya beklenmeyen olay olarak tanımlanmaktadır [3].

Olay müdahalesi ile ilgili literatürde bulunan ve birçok platformda yayınlanan kaynaklarda konu sadece teknik bir bakış açısıyla inceleniyor. Bu yazıda girişte yazdığımız gibi daha çok süreç ve alınması gereken adımlar anlatılacak ve kaynak olarak NIST ve SANS belgeleri baz alınacak.  

SİBER OLAY MÜDAHALE KABİLİYETİ

Etkili bir bilgisayar güvenliği olay müdahale kabiliyeti (computer security incident response capability) kazanması birkaç önemli karar ve eylemden oluşmaktadır. Başta gelen hususlardan biri kurum bazlı olay müdahale tanımı oluşturmaktır. Kurum için siber olay ne anlama geldiğini net bir şekilde belirlenmelidir. Kurum siber olay müdahale ekibini hangi modeli kullanarak oluşturacağını, hangi hizmetleri sağlayacağını ve nasıl bir politika, plan ve prosedür kullanacağını belirlemelidir [2].

Siber olayları sağlıklı bir şekilde yönetip zararları en aza indirmek için ilk yapılması gereken adımlardan biri siber olay müdahale politikası, planı ve prosedürleri oluşturmaktır. Siber güvenlik olay müdahale politikası, olay müdahale programının temelidir. Hangi olayların olay olarak kabul edildiğini tanımlar, olay müdahalesi için organizasyonel yapıyı kurar, rolleri ve sorumlulukları tanımlar ve diğer öğelerin yanı sıra olayları raporlama gereksinimlerini listeler [2].

Siber olay müdahale planı kuruluşun politikasına dayalı bir olay müdahale programının uygulanması için bir yol haritası sağlar. Plan, programı ölçmek için metrikler de dahil olmak üzere program için hem kısa hem de uzun vadeli hedefleri belirtir. Olay müdahale planı, olay işleyicilerin ne sıklıkla eğitilmesi gerektiğini ve olay işleyiciler için gereksinimleri de içerir [2].

Olay müdahale prosedürleri, bir olaya müdahale etmek için ayrıntılı adımlar sağlar. Prosedürler, olay müdahale sürecinin tüm aşamalarını kapsamalıdır. Prosedürler, olay müdahale politikasına ve planına dayanmalıdır [2].

Siber olayların en önemli faktörü insandır bu süreçleri sağlıklı bir şekilde yürütebilmek için doğru bir ekip hazırlamalıyız. Siber Olaylara Müdahale Ekibi (SOME), bilgisayar güvenliği olay raporlarını ve etkinliklerini almaktan, incelemekten ve yanıtlamaktan sorumlu olan ekiptir. Hizmetleri genellikle bir şirket, hükümet, eğitim kuruluşu, bir bölge veya ülke, bir araştırma ağı veya ücretli bir müşteri gibi bir ana kuruluş olarak tanımlanmış müşteriler için gerçekleştirilir [4].

Bir SOME’nin işlevinin bir kısmı, konsept olarak bir itfaiyeye benzetilebilir. Yangın çıktığında itfaiyeye haber verilir. Olay yerine giderler, hasarı gözden geçirirler, yangın düzenini analiz ederler ve yapılacak işlemi belirlerler. Daha sonra yangını kontrol altına alır ve söndürürler. Bu, bir SOME’nin reaktif işlevlerine benzer. SOME, tehditler, saldırılar, taramalar, kaynakların kötüye kullanılması veya verilere ve bilgi varlıklarına yetkisiz erişimleri ile ilgili inceleme ve raporlama taleplerini aldıktan sonra diğer ekiplerden gelen tüm raporları ve olayla ilgili tüm kayıt ve bulguları inceleyip olayın kaynağını, zararı azaltmak ve sorunu çözmek için atılacak adımları belirlerler [4].  

SİBER OLAY MÜDAHALE SÜRECİ

Siber güvenlik olayları, kuruluşta bir ihlalin veya sızma olayını olup olmayacağı değil ne zaman olacağı meselesidir [5]. Kuruluş, SOME’lerine olaylar olmadan gerekli hazırlıkları, iletişim listeleri ve olay olması halinde uygulanacak adımları hazırlanmasını ve bu süreçleri gerçekleştirebilmek için ekibe gerekli eğitimleri sağlamalıdır.

Siber olay müdahale aşamaları:  

Hazırlık

Olay müdahale metodolojisi yalnızca organizasyonun olaylara yanıt vermeye hazır olması için bir olay müdahale yeteneği oluşturmakla kalmaz, aynı zamanda sistemlerin, ağların ve uygulamaların yeterince güvenli olmasını sağlayarak olayları önler. Olay müdahale ekibi genellikle olay önlemeden sorumlu olmasa da, olay önleme işlemleri olay müdahale programlarının başarısı için esastır [2].

Yaygın bilgisayar güvenliği olaylarına ilişkin bazı örnekler aşağıdaki gibidir: • Hassas kişisel bilgiler, e-posta ve belgeler dahil olmak üzere veri hırsızlığı

• Banka erişimi, kredi kartı ve elektronik dolandırıcılık dahil olmak üzere fon hırsızlığı

• Gasp

• Bilgi işlem kaynaklarına yetkisiz erişim

• Uzaktan erişim araçları ve casus yazılımlar dahil olmak üzere kötü amaçlı yazılımların varlığı

• Yasadışı veya izinsiz materyal bulundurmak [6].

Kuruluşlar ve güvenlik uzmanları, bu tür tehditlerin her birini ve daha fazlasını algılayabilmeli ve bunlara yanıt verebilmelidir. Bunu yapmanın en iyi yolu, belgelenmiş prosedürlere, eğitime ve testlere sahip olmaktır. Prosedürlerdeki zayıflıkları belirlemek ve canlı bir inceleme sırasında kullanılacak araçları çalıştırmak için periyodik olarak olay müdahale testleri yapılmalıdır. Sistemlerinizin günlüğe (log) kaydettiğinden ve insanların rollerini ve sorumluluklarını anlaşıldığından emin olunmalıdır. Hayattaki çoğu şeyde olduğu gibi, pratik yapmak mükemmelleştirir [7].

SOME’nin hazırlık aşamasında temin etmelerini gereken donanım ve yazılımlar aşağıdaki gibidir. • SOME Günlüğü, bir olay sırasında kim, ne, nerede, neden ve nasıl olduğunu belgelemek için kullanılacak.

• Tüm SOME üyelerinin irtibat listesi.

• USB Sürücüler.

• Olay yanıtının gerçekleştirileceği bilgi işlem ortamının dosya sistemlerini okuyabilen ve/veya bunlara yazabilen güncel kötü amaçlı yazılımdan koruma ve diğer yazılım araçlarına sahip önyüklenebilir bir USB sürücüsü veya Canlı sistem CD’si.

• Adli yazılım (örneğin, FTK veya EnCase), kötü amaçlı yazılımdan koruma yardımcı programları ve internet erişimi (gerekirse çözüm araştırmak veya araçları indirmek için) olan bir dizüstü bilgisayar.

• Bileşenleri, kablolu ağ kablolarını vb. eklemek/çıkarmak için bilgisayar ve ağ araç kitleri.

• Sabit sürücü görüntülerinin adli kopyalarını oluşturmak için yazma bloğu özelliklerine sahip sabit disk kopyalayıcıları.

• Yukarıda belirtilen tüm aletleri düzenli ve korunacak bir şekilde bir çantada saklanmalıdır [7].  

Tanımlama (Tespit) ve Analiz

Kuruluşu etkileyen bir olayı, kuruluşun işleyişini etkilemediği sürece (hizmet reddi saldırısı (DDoS) sırasında meydana gelebilecekler gibi) tespit edilmesi o kadar kolay olmayabilir. Özellikle yetenekli bir saldırgan tarafından yapılan saldırıların tespiti daha zordur. İçeriden birinin (kurum çalışanı) saldırısını tespit etmek daha da zor olabilir. Kuruluşun normal aktivitenin ne olduğunu belirleyebilmek için güvenlik duvarları ve izinsiz giriş tespit sistemleri gibi cihazlardan gelen günlükleri (log) kullanarak sistemlerin ve ağın izlenip normal iş akışlarını öğrenip zararlı olabilecek aktiviteleri ayırabilecek duruma ulaşılmalıdır veya bunu yapabilecek bir sistem veya korelasyonlar kullanmalıdır, böylece anormal bir saldırının devam ettiğini veya gerçekleştiğini gösterebilecek bir aktivite tespit edilebilir [8].

SOME bir olayın meydana geldiğine inandığında, hangi ağların, sistemlerin veya uygulamaların etkilendiği gibi olayın kapsamını belirlemek için hızlı bir şekilde bir ilk analiz gerçekleştirmelidir; olaya kim veya ne sebep oldu; ve olayın nasıl gerçekleştiği (örneğin, hangi araçların veya saldırı yöntemlerinin kullanıldığı, hangi güvenlik açıklarından yararlanıldığı). İlk analiz, ekibin, olayın anlaşılması ve olayın etkilerinin daha derin analizi gibi sonraki faaliyetlere öncelik vermesi için yeterli bilgi sağlamalıdır [2].

Olayın analizinde öncelik vermek, analiz sürecinde belki de en kritik karar noktasıdır. Olaylar, kaynak sınırlamalarının bir sonucu olarak ilk gelene ilk hizmet esasına göre incelenmemelidir. Bunun yerine, ilgili faktörlere göre işleme öncelik verilmelidir. Olayın İşlevsel Etkisi. Olayın Verilere Etkisi. Olayda verilen zararı gidermek için gerekli işlemler [2].

Tanımlama aşamasında iyi bir örnek olarak bir kullanıcının açık bir alanda USB diski bulması ve USB diskini bilgisayarına taktıktan sonra bilgisayarın garip davrandığını fark ederek yardım masasına bunu bildirmesi veya güvenlik duvarından şüpheli bir trafik geldikten sonra Uç Nokta Saldırı Tespit ve Müdahale sisteminden (EDR endpoint detection & response) alarm gelmesi olabilir. Bu tür olayları daha kolay tespit edebilmek için Güvenlik Bilgileri ve Olay Yönetim sistemleri (SIEM Security information and event management) detaylı korelasyonlar yazarak kullanılabilir.  

Sınırlandırma (Containment)

Bu aşamada ilk uygulanabilecek adım, Kısa Süreli Sınırlamadır; Temel olarak bu adımın odak noktası, hasarı mümkün olan en kısa sürede sınırlamaktır. Kısa vadeli sınırlama, sızılan iş istasyonlarının ağ seğmenteni izole edip tüm trafiği yedek sunuculara yönlendirmek veya yük dengeleyici (load balancer) kullanılıyorsa zarar gören sistemi kapatmak kadar kolay olabilir. Kısa vadeli sınırlamanın, soruna uzun vadeli bir çözüm olması amaçlanmamıştır; sadece olayı daha kötüye gitmeden sınırlamayı amaçlar [9].

İkinci adım Sistem yedeklemesidir; Herhangi bir sistemi silmeden ve yeniden yüklenmeden önce, Adli Araç Kiti (FTK), EnCase vs. gibi adli bilişim topluluğunda iyi bilinen araçlarla etkilenen sistemlerin adli görüntüsünü almak gerekir. Bunun nedeni, adli bilişim yazılımının etkilenen sistemleri olay sırasında olduğu gibi kopyalaması ve böylece olayın bir suçtan kaynaklanması durumunda kanıtları saklaması veya öğrenilen dersler aşamasında sistem(ler)de gerçekleşen olayın nasıl olduğunu incelemek için kullanılmasıdır [10].

Bir sonraki aşamadan önceki son adım, bir sonraki aşamada temiz sistemleri yeniden kurulana kadar gerektiğinde etkilenen sistemi üretimde kullanılmaya devam etmelerine izin vermek için etkilenen sistemlerin geçici olarak düzeltilebileceği adım olan Uzun vadeli sınırlamadır. Temel olarak birincil odak, saldırganlar tarafından etkilenen sistemlerde bırakılan hesapları ve/veya arka kapıları kaldırmak, hem etkilenen hem de komşu sistemlere güvenlik yamaları yüklemek ve normal iş operasyonlarının devam etmesine izin verirken olayın daha fazla tırmanmasını sınırlamak için gerekli diğer işlemleri yapmaktır [9].

sınırlandırmaya örnek olarak fidye yazılımı bulaşan bir son kullanıcı makinesine Uç Nokta Saldırı Tespit ve Müdahale sistemi (EDR) kullanarak makineyi izole edip makine üzerinden triyaj (sistem olaylarını gösteren dosya) almak verilebilir.  

Kalıntıları temizleme (Eradication )

Bir olay kontrol altına alındıktan sonra, kötü amaçlı yazılımların silinmesi ve ihlal edilen kullanıcı hesaplarının devre dışı bırakılması gibi olayın bileşenlerinin ortadan kaldırılması ve ayrıca istismar edilen tüm güvenlik açıklarının belirlenmesi ve giderilmesi için kalıntıların temizlenme işlemi (Eradication ) gerekebilir. Kalıntıları temizleme sırasında, kuruluş içindeki tüm etkilenen ana bilgisayarları belirlemek önemlidir. Bazı olaylar için zararın kalıntılarını temizlemek gerekli değildir ya da kurtarma sırasında gerçekleştirilir bu aşamda prosedürleri dikkatli bir şekilde takip edip olaya uygun olan en iyi adımı seçilmelidir.[2].

Kalıntıları temizleme aşamasında gerçekleştirilen eylemlere iyi bir örnek, sistemi geri yüklemek için bir sistem canlıya alınmadan önce oluşturulan orijinal disk görüntülerini kullanmak ve ardından sistemi başka saldırılara karşı güçlendirmek için yamaları yüklemek ve kullanılmayan hizmetleri devre dışı bırakmak olabilir (örn. Clonezilla veya Symantec Ghost ile oluşturulan görüntüler). Ayrıca, gizli olan herhangi bir kötü amaçlı yazılımın kaldırıldığından emin olmak için etkilenen sistemleri ve/veya dosyaları kötü amaçlı yazılımdan koruma yazılımıyla tarar (örn. herhangi bir gizli kötü amaçlı yazılım) [5].  

Kurtarma (Recovery)

Bu aşamanın amacı, başka bir olaya yol açmayacağından emin olmak için etkilenen sistemleri üretim ortamına dikkatli bir şekilde geri getirmektir. Yeniden canlıya alınan sistemlerin kötü amaçlı yazılımlardan yeniden etkilenmediklerini veya başka yollarla tehlikeye girmediklerini doğrulamak için test etmek, izlemek ve doğrulamak çok önemlidir [5].

Kurtarma işleminde, sistem yöneticiler sistemleri normal fonksiyonlarını geri yükler, sistemlerin normal şekilde çalıştığını onaylar ve (varsa) benzer olayları önlemek için güvenlik açıklarını giderir. İyileştirme adımlarına öncelik verilmesi için eradikasyon ve iyileştirme aşamalı bir yaklaşımla yapılmalıdır [2]

Bu aşamada alınacak önemli kararlardan bazıları şunlardır: • İşlemleri eski haline getirmek için zaman ve tarih – sistem operatörlerinin/sahiplerinin SOME’nin tavsiyelerine dayanarak nihai kararı vermelerini sağlamak hayati önem taşır. • Güvenliği ihlal edilmiş sistemlerin temiz ve tamamen işlevsel olup olmadığı nasıl test edilir ve doğrulanır. • Anormal davranışları gözlemlemek için izleme süresi. • Sistem davranışını test etmek, izlemek ve doğrulamak için araçlar. Listelenebilecek daha birçok faydalı karar var; ancak, yukarıdaki bilgiler, neyin gerekli olduğu konusunda birkaç fikir sağlamalıdır. Genel olarak birincil amaç, daha önce belirtildiği gibi, henüz çözülmüş olana neden olan aynı sorunlardan kaynaklanan başka bir olayın olmasını önlemektir [11].  

Öğrenilen dersler

Olay müdahale programının ve olay müdahale planının yürütülmesinin en önemli ve sıklıkla unutulan unsurlarından biri, öğrenilen derslerin işlenmesidir. İster tam teşekküllü bir olay için, isterse olayları araştırmak ve önceliklendirmek için olsun, plan her başlatıldığında, olayları bir ekip olarak tartışma, yanıtları öğrenme ve yanıtları geliştirmek için bir fırsattır. Düşündükten sonra, yanıtın bazı unsurlarının değişiklik gerektirdiğinin belirlenmesi kaçınılmazdır. Gerekli incelemeler yapıldıktan sonra işlemler sırasında dokümanlarda bulunmayan bir eylem uygulandı ise veya gereksinimi tespit edildi ise plana ve prosedürlere eklenmelidir. SOME’nin yapmaya unuttuğu işlemler için unutma durumları tekrarlanmaması için gerekli aksiyonlar alınmalıdır [12].

Genel amaç, ekibin performansını iyileştirmek için bir kurum içinde meydana gelen siber güvenlik olaylarından ders almak ve benzer bir olay olması durumunda referans materyalleri sağlamaktır. Belgeler ayrıca yeni ekip üyeleri için eğitim materyalleri olarak veya gelecekteki krizlerde karşılaştırma yapmak için bir kıyaslama noktası olarak kullanılabilir [9].

SONUÇ

Gelişen siber saldırılara karşı kurumlara hep hazır olmalıdır. Bir siber güvenlik olayında olay müdahale süreci en kritik işlemlerden biridir. Gerekli hazırlıklar yapıldı ise birçok saldırı önlenebilir ve önlenemeyen saldırılar çok az zararla atlatılabilir. Olay müdahale süreci iyi bir ekiple yapılır bu işlemi yapacak ekiplere gerekli eğitimleri verip saldırı anında ihtiyacı olan tüm bilgilerle beslenmelidir. Olay müdahalenin her adımında dikkatlı yaklaşmak hayati bir işlemdir çok basit bir hata tüm müdahale işlemlerini boşa çıkarabilir. Bu makalede NIST ve SANS belgelerinde anlatılan adımlar açıklanmıştır bu süreçler kurumdan kuruma çok değişkenlik gösterebilir bunu göz önüne alarak her zaman kuruma ve çalışanlara uygun bir prosedür hazırlanmalıdır.

Bu yazıda öğrendiklerimi paylaşmaya çalıştım herhangi bir yanlış bilgi ya da kaynağını belirtmediğim bir bilgi bulursanız lütfen bana ulaşın ayrıca bu yazı birçok kaynaktan ve kitaptan bilgi alınarak en uygun bilgiler ve araçlar Araştırılarak derlenmiştir.

Kaynaklar:

A. Ahmad, A. B. Ruighaver, and W. T. Teo, “An information-centric approach to data security in organizations,” IEEE Xplore, Nov. 01, 2005. https://ieeexplore.ieee.org/document/4085122.

P. Cichonski, T. Millar, T. Grance, and K. Scarfone, “Computer Security Incident Handling Guide : Recommendations of the National Institute of Standards and Technology,” Computer Security Incident Handling Guide, vol. 2, no. 2, Aug. 2012, doi: 10.6028/nist.sp.800-61r2.

ISO - International Organization for Standardization, “ISO/IEC 27000:2018,” ISO, Feb. 04, 2019. https://www.iso.org/standard/73906.html

G. Killcrece, K.-P. Kossakowski, R. Ruefle, and M. Zajicek, “State of the Practice of Computer Security Incident Response Teams (CSIRTs),” 2003. Accessed: May 29, 2022. [Online]. Available: https://resources.sei.cmu.edu/asset_files/TechnicalReport/2003_005_001_14204.pdf

“Incident Handler’s Handbook | SANS Institute,” www.sans.org. https://www.sans.org/white-papers/33901/ (accessed Jul. 22, 2021).

M. Pepe, J. T. Luttgens, R. Kazanciyan, and K. Mandia, Incident response & computer forensics. New York: Mcgraw-Hill Education, 2014.

“Incident Management 101 Preparation and Initial Response (aka Identification) | SANS Institute,” www.sans.org. https://www.sans.org/white-papers/1516/

G. White and N. Granado, “Developing a Community Cyber Security Incident Response Capability,” IEEE Xplore, Jan. 01, 2009. https://ieeexplore.ieee.org/abstract/document/4755541 (accessed Feb. 21, 2022).

R. Bejtlich, The Tao of network security monitoring : beyond intrusion detection. Boston: Addison-Wesley, 2010.

R. C. Newman, COMPUTER FORENSICS : evidence collection and management. S.L.: Crc Press, 2019.

Archiveddocs, “Responding to IT Security Incidents,” docs.microsoft.com. https://docs.microsoft.com/en-us/previous-versions/tn-archive/cc700825(v=technet.10)?redirectedfrom=MSDN

E. C. Thompson, Cybersecurity Incident Response : how to contain, eradicate, and recover from incidents. New York Apress, 2018.