Olay Müdahele Planı (Incident Response) Nedir?

Bir güvenlik sorunu veya siber saldırı durumunda ne yaparsınız? Bir işletmeyseniz, bir olay müdahele planı kesinlikle olmalıdır.

Güvenli olmayanlar bir yana, en güvenli güvenlik sistemleri bile siber saldırılara yüzde yüz korumalı değildir. Siber saldırganlar ağınıza her zaman girmek isteyebilir ve bunu durdurmak sizin sorumluluğunuzdadır.

Böyle bir tehdit karşısında her saniye önemlidir. Herhangi bir gecikme, hassas verilerinizi açığa çıkarabillir ve bu büyük ölçüde zarar verebilir. Bir güvenlik olayına verdiğiniz yanıt fark yaratır. Bir olay müdahele planı (IR), davetsiz misafirlere karşı hızlı olmanızı sağlar.

Olay Müdahele Planı Nedir?

olay müdahele planı

Olay Müdahele Planı

Olay müdahale planı, bir güvenlik olayını yönetmeye yönelik taktik bir yaklaşımdır. Bir güvenlik olayının hazırlanması, değerlendirilmesi, sınırlandırılması ve kurtarılmasına ilişkin prosedürler ve politikalardan oluşur.

Bir güvenlik olayı nedeniyle kuruluşunuzun maruz kaldığı aksama süresi, olayın etkisine bağlı olarak uzayabilir. Bir olay müdahale planı, kuruluşunuzun mümkün olan en kısa sürede ayağa kalkmasını sağlar.

Bir IR planı, ağınızı saldırıdan önceki haline döndürmenin yanı sıra, olayın tekrarlanmasını önlemenize yardımcı olur.

Olay Müdahele Planı Nasıl Olmalı?

Bir olay müdahale planı, belgelenmiş talimatlar takip edildiğinde daha başarılıdır. Bunun olması için ekibinizin planı anlaması ve bunu gerçekleştirmek için gerekli becerilere sahip olması gerekir.

Siber tehditleri yönetmek için kullanılan iki ana olay müdahale çerçevesi vardır: NIST ve SANS çerçeveleri.

Bir devlet kurumu olan Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), teknolojinin çeşitli alanlarında uzmanlaşmıştır ve siber güvenlik, temel hizmetlerinden biridir.

NIST vaka yanıt planı dört adımdan oluşur:

  1. Hazırlık.
  2. Tespit ve Analiz.
  3. Muhafaza, Eradikasyon ve Kurtarma.
  4. Olay Sonrası Faaliyet.

Özel bir kuruluş olan SysAdmin, Audit, Network and Security (SANS), siber güvenlik ve bilgi eğitimindeki uzmanlığıyla tanınır. SANS IR çerçevesi, siber güvenlikte yaygın olarak kullanılır ve altı adımdan oluşur:

  1. Hazırlık.
  2. Kimlik.
  3. Sınırlama.
  4. Eradikasyon.
  5. İyileşmek.
  6. Dersler almak.

NIST ve SANS IR çerçevelerinde sunulan adımların sayısı farklılık gösterse de her ikisi de benzerdir. Daha ayrıntılı bir analiz için SANS çerçevesine odaklanalım.

Olay Müdahele Planı

1.Hazırlık

İyi bir IR planı hazırlıkla başlar ve hem NIST hem de SANS çerçeveleri bunu kabul ederler. Bu adımda, şu anda sahada sahip olduğunuz güvenlik önlemlerini ve bunların etkinliğini gözden geçiriyorsunuz.

İnceleme süreci, mevcut olabilecek herhangi bir güvenlik açığını keşfetmek için ağınızın bir risk değerlendirmesini içerir. En hassas verilerinizi içeren sistemlere azami önem vererek BT ​​varlıklarınızı belirlemeli ve buna göre önceliklendirmelisiniz.

Güçlü bir ekip oluşturmak ve her üyeye roller atamak, hazırlık aşamasının bir işlevidir. Herkese bir güvenlik olayına anında yanıt vermek için ihtiyaç duydukları bilgi ve kaynakları sunun.

2. Tanımlama

Doğru ortamı ve ekibi oluşturduktan sonra, ağınızda olabilecek tüm tehditleri tespit etmenin zamanı geldi. Bunu, saldırı göstergeleri için verilerinizi izlemek ve analiz etmek için tehdit istihbaratı beslemeleri, güvenlik duvarları, SIEM ve IPS kullanarak yapabilirsiniz.

Bir saldırı tespit edilirse, sizin ve ekibinizin saldırının niteliğini, kaynağını, kapasitesini ve bir ihlali önlemek için gereken diğer bileşenleri belirlemeniz gerekir.

3. Sınırlama

Sınırlama aşamasında amaç, saldırıyı izole etmek ve sisteminize herhangi bir zarar vermeden önce onu güçsüz kılmaktır.

Bir güvenlik olayını etkili bir şekilde içermek, olayın ve sisteminizde neden olabileceği hasarın derecesinin anlaşılmasını gerektirir.

Kapsama sürecine başlamadan önce dosyalarınızı yedekleyin, böylece işlem sırasında hassas verileri kaybetmezsiniz. Daha fazla araştırma ve yasal konular için adli kanıtları saklamanız önemlidir.

4. Eradikasyon

Eradikasyon aşaması, tehdidin sisteminizden kaldırılmasını içerir. Amacınız, sisteminizi olay meydana gelmeden önceki durumuna geri getirmektir. Bu imkansızsa, önceki durumuna yakın bir şey elde etmeye çalışırsınız.

Sisteminizi geri yüklemek, sabit sürücüleri silmek, yazılım sürümlerini yükseltmek, temel nedeni önlemek ve mevcut olabilecek kötü amaçlı içeriği kaldırmak için sistemi taramak gibi çeşitli eylemleri gerektirebilir.

5. Kurtarma

Eradikasyon aşamasının başarılı olduğundan emin olmak istiyorsunuz, bu nedenle sisteminizin herhangi bir tehdit içermediğini doğrulamak için daha fazla analiz yapmanız gerekiyor.

Sahilin temiz olduğundan emin olduktan sonra, sisteminizi canlı hale getirmek için hazırlık olarak test çalıştırmanız gerekir. Hiçbir şeyin yolunda gitmediğinden emin olmak için canlıyken bile ağınıza çok dikkat edin.

6. Alınan Ders

Bir güvenlik ihlalinin tekrarlanmasını önlemek, yanlış giden şeylerin not edilmesini ve düzeltilmesini gerektirir. IR planının her aşaması, ondan öğrenilebilecek olası dersler hakkında hayati bilgiler içerdiğinden belgelenmelidir.

Tüm bilgileri topladıktan sonra, siz ve ekibiniz kendinize aşağıdakiler de dahil olmak üzere bazı önemli sorular sormalısınız:

-Tam olarak ne oldu?
-Ne zaman oldu?
-Olayla nasıl başa çıktık?
-Yanıt olarak hangi adımları attık?
-Olaydan ne öğrendik?

 

Siber saldırganlar sisteminizi ele geçirmeyi çalışır; en değerli varlıklarınızı hedeflerler. Kritik varlıklarınızı tanımlamanız ve bunları planınızda önceliklendirmeniz gerekir.

Bir olay karşısında, saldırganların verilerinize erişmesini veya verilerinize zarar vermesini önlemek için ilk bağlantı noktanız en değerli varlığınız olmalıdır.


Yorumlar

POPÜLER HABERLER