Siber Kriz Yönetim Planı Nasıl Hazırlanır?

Kriz Yönetimine Giriş

Siber kriz, kurumun ciddi bir mali kayba uğraması veya marka itibarının ciddi şekilde zedelenmesi potansiyeli olan ciddi olayları kapsamaktadır. Bu gibi durumlarda C-Seviyesi yöneticilerin (CEO, CFO, COO vb.) plana dahil edilerek aksiyon alınması gerekmektedir. Krizin yönetimi sırasında stres düzeyi çok yüksek olacağından sağlıklı karar vermek kolay olmayacaktır. Olası bir kriz anında doğru kararları verip zamanında uygulayabilmek için Kriz Yönetim Planımızı hazır bulundurmalı ve önceden hazırlıklı olmalıyız. Bu sayede olaylar daha meydana gelmeden doğru kararlar kolaylıkla alınmakta ve olası kaos durumu kriz anında ortadan kaldırılmasa bile en aza indirilmektedir.

Siber kriz sırasında detaylı görev paylaşımı planının nasıl yapılacağını, nelere dikkat edilmesi gerektiğini aşama aşama öğrenebilecek, kendi organizasyonunuz için kriz yönetim planı hazırlamanın rahatlığını yaşayacaksınız.

Genel Hazırlık

Prosedür oluşturmanın amacı, mevcut organizasyona veya iş ortaklarına yönelik tehditlerin/olayların krize dönüşmesi durumunda nasıl yönetileceğine ilişkin bir kılavuz bulmaktır. Siber krizin sabit bir tanımının olmadığını anlamak önemlidir. Her kuruluş, kendi üretimi üzerindeki etkisini ve kuruluşun işleyiş kapasitesinin düzeyini dikkate alarak bir krizin ne olduğunu tanımlayacaktır. Kriz ve güvenlik olayı yönetimiyle ilgili çeşitli standartlar vardır:

– NIST SP 800-34: krizin başlangıcı

– ISO 27035: güvenliğin sağlanması

– ISO 22301: süreklilik yönetim sistemi

Siber kriz yalnızca BT personelini etkilemekle kalmayacak, tamamen teknik bir sorun da olmayacaktır. Bu gibi durumlar için bilmeniz gereken bazı şeyler şunlardır:

Ekibinizde fidye yazılımı söz konusu olduğunda kriz birkaç saat içinde çözülmeyecektir. İncelemek için belirli bilgilere ihtiyacınız olacak ve edinilmesi uzun zaman alacak. Bazı durumlarda son teslim tarihleri ​​sıkıştırılamaz. Uzak bir veri merkezindeki bir sunucuya manuel olarak müdahale etmeniz gerekiyorsa seyahat süresi sıkıştırılamaz.

Yapılacak ilk şeylerden biri, bir siber krize önceden uygun şekilde hazırlanmaktır. Bu nedenle sizlere çeşitli aşamalardan oluşan bir akış sunacağız.

Kaynaklarınızın envanteri

Kriz durumunda hem teknik ekipman hem de personel açısından mevcut kaynaklarınızın bir listesinin olması önemlidir. Bu listeyi hazırlarken aşağıdaki soruların cevaplarını içerdiğinden emin olmanız gerekir:

Olaylara müdahale için özel teknik personeliniz var mı?
Eğitimli personeliniz var mı?
Çağrılacak personelin herhangi bir şartı var mı?

İletişim kanalları

Kuruluşunuzun güvenliği ihlal ediliyorsa altyapınız dışında güvenli bir iletişim kanalı sağlamanız gerekir.

Sigorta

İyileştirmenin sonunda sıklıkla bahsedilen önemli noktalardan biri sigortadır. Sigorta yaptırırken aşağıdaki başlıklara mutlaka dikkat edin.

Korunuyor musun?

Bilmeniz gereken ilk şey, siber kökenli krizlere karşı sigortalı olup olmadığınızdır. Kapsamımızın ne olduğundan emin olmalıyız.

Maksimum Destek?

Yukarıda da belirttiğimiz gibi sigortanızda doğrulamanız gereken en önemli nokta, neyin kapsandığını tanımlamaktır. Örneğin sigorta, fidye yazılımı bulaşmış sistemleriniz için fidye ödeyecek mi? Sigorta şirketleri genellikle yalnızca normale dönüş masraflarını karşılar ve iyileştirme masraflarını, özel masrafları (personel fazla mesaisi, ekipman alımı) vb. ödemezler.

Ortaklar

Son olarak, sigorta şirketinin size siber krizlere müdahale etmek üzere özel bir acente görevlendirip görevlendirmeyeceğini bilmek önemli”. Bu çok önemli bir nokta, çünkü bu gibi durumlarda özel ilgiye ihtiyacınız olacak ve bu nedenle, sigorta şirketimiz bu kadar yakından ilgileniyor.

Aletler

Etkili bir şekilde yanıt verebilmek için araçların mevcut olması gerekir (USB anahtarı, ağ dışındaki özel bir iş istasyonunda). Bir krizin soruşturulması sırasında müdahale etmeye yardımcı olacak araçların bir listesini burada bulabilirsiniz.

Not: Ücretsiz araçları aşağıda listeledik. Kendi listenizi kuruluşunuzun ihtiyaçlarına göre özelleştirebilirsiniz.

CAINE Linux

Giovanni “Nanni” Bassetti tarafından yönetilen İtalyan canlı Linux dağıtımı. Proje, 2008 yılında dijital adli tıp ve olay müdahalesini destekleyen ve çeşitli ilgili araçların önceden yüklendiği bir ortam olarak başladı.

TSURUGI Linux

Tsurugi Linux, herhangi bir ticari markayı içermeyen, tamamen ücretsiz, bağımsız olan ve olacak olan bir DFIR açık kaynak projesidir. Ana amaçlarının bilgiyi paylaşmak ve “topluma geri vermek” olduğunu belirtiyorlar.

Adli tıpçı

Bu komut dosyası, “winpmem” ve daha fazlası gibi araçları kullanarak bilgi toplanmasını otomatikleştirir.

Aracın web sitesine gidin.

Zaman Damgalı Netstat

Bu komut dosyası, zaman damgalarının göstergesiyle bağlantıları görmenizi sağlar. Olması gereken bir şey!

Aracın web sitesine gidin.

Mandiant RedLine

Mandiant’ın ücretsiz Redline aracı, Mandiant’ın ücretsiz IOC Düzenleyici aracı kullanılarak gerçekleştirilen uzlaşma göstergelerini (IOC) entegre ederek hızlı bellek analizine olanak tanır.

Aracın web sitesine gidin.

Velociraptor

Velociraptor fazlasıyla küçümsenen bir araçtır. Diğerlerinin yanı sıra CPU ve RAM tüketimi gibi iş istasyonları hakkında bilgi alınmasına olanak tanır. Ayrıca ön alımların, olay günlüğünün, RAM çıkarmanın vb. içeriğini kontrol etmek için arayüzünden araştırma yapmak da faydalıdır.

Aracın web sitesine gidin.

THOR APT Tarayıcı

Uzlaşma değerlendirmelerini otomatikleştirmek için tam özellikli bir YARA ve IOC tarayıcı

Aracın web sitesine gidin.

Müdahale Birimlerinin Hazırlanması

Başta da açıklandığı gibi siber krize müdahale sadece BT ekipleriyle ilgili değildir ve yalnızca BT ekiplerini harekete geçirmemelidir. Sorumlu en az iki birim bulunmalıdır; yönetim birimi ve operasyonel birim.

1. Yönetim Birimi

1.1 Rol

Bu birim müdahaleye ilişkin stratejik önceliklere karar verecektir. Operasyonel birime ilk önce neyin düzeltilmesi ve onarılması gerektiğini söyleyecek, ayrıca iç ve dış iletişimlere karar verecek kişi o olacaktır. Ayrıca çeşitli departmanların endişelerine yanıt vermekten ve krizin etkilerini yönetmekten de sorumlu olacak.

Örnekler:

Üretim hattı durma noktasındadır, karar vermek Yönetim Biriminin sorumluluğundadır.

Bu süre zarfında çalışanlara nasıl ödeme yapılacak?

Takımların fazla mesai ödemelerini kim sağlayacak?

Müşteriler ve basınla iletişimin yanı sıra iç iletişim nasıl yürütülür?

Personel planlaması ve rotasyonu nasıl organize edilir

1.2 Üyeler

Bir yönetim komitesi varsa, birlikte çalıştıkları ve birbirlerini tanıdıkları için karar alma sürecini hızlandırmak amacıyla yönetim komitesi arasında bir yönetim birimi oluşturmak en iyi uygulama olacaktır.

1.3 Krizin Sonu

Operasyon ekibinden gelen geri bildirimlere dayanarak organizasyonun krizini sona erdirmeye karar verecek olan bu birimdir. Bu karar her şeyin çözüldüğü anlamına gelmeyebilir ancak şirketin “normal” faaliyetlerine devam ettiği anlamına gelebilir.

Aslında hem (büyük baskı altında olan) personel hem de şirket varlıkları (kriz yönetirken maliyetler hızla artabilir) açısından bir “kriz”de uzun süre faaliyet göstermek mümkün değildir.

2. Operasyonel birim

2.1 Rol

Bu birimin iki ana görevi yönetmesi gerekecek. Yönetim birimi tarafından kararlaştırılarak, bir olaya müdahale için yeni bir dahili altyapının yeniden inşasının yanı sıra iş kurtarma için altyapının yeniden başlatılması.

2.2 Üyeler

Bu birim uzman ve teknik personelden oluşacaktır. Uzmanlar saldırının kaynağını bulmak ve hatta yeni altyapının izini sürmek için iş istasyonlarının araştırılmasından sorumlu olabileceği gibi, teknik personelin diğer birimlerin üyeleri için iş istasyonları hazırlaması da gerekebilir.

Operasyonel Birimden Beklentiler

Uzlaşmanın kaynağını belirleyin

Operasyonel birim saldırganın giriş noktasını bulma görevine sahip olacak. Burada mesele, muhasebe departmanındaki “a kullanıcısı” mı yoksa iletişim departmanındaki “b kullanıcısı” mı olduğunu bulmak değil, saldırganın bu güvenlik açığını gidermek ve güvenliği ihlal etmeyi önlemek için ağa nasıl girdiğini bilmektir. Yeni altyapının aynı güvenlik açığına maruz kalmasının önlenmesi.

İlk uzlaşma tarihi

Artık saldırganın altyapıda nasıl çalıştığını bildiğimize göre, tehdidin ortaya çıktığı tarihi de belirleyebiliriz. Hangi yedeklemelerin tehlikeye girdiğini ve hangilerinin hala sağlam ve güvenilir olduğunu belirlemeyi mümkün kılacağından, güvenliğin ihlal edildiği tarihin belirlenmesi önemlidir. Ayrıca saldırganın ağımıza ilk ne zaman girdiğini ve ne kadar süreyle ağımıza eriştiğini bilmek tüm soruşturma sürecini kolaylaştıracağından çok önemlidir.

Uzlaşma Göstergeleri (IOC)

Saldırı vektörünü ve ilk güvenlik ihlali tarihini bilmek, geri yüklenen yedeklerin sağlıklı olup olmadığını doğrulamak için güvenlik ihlali göstergelerinin (IOC) oluşturulmasını mümkün kılacaktır. Sahip olduğunuz IOC’leri kullanarak da yedekleri tarayabilirsiniz. Örneğin, “ac596d282e2f9b1501d66fce5a451f00” MD5 hash’ine sahip kötü amaçlı bir dosya edindiyseniz, yedekleme sistemlerinde bu hash’i arayarak enfeksiyon olup olmadığını kontrol edebilirsiniz.

Yeni altyapıyı yeniden inşa edin

Soruşturmaya paralel olarak, çeşitli hizmetlerin üyeleri için altyapının ayrı ayrı yeniden inşa edilmesi hayati önem taşıyor.

Sıkılaştırma

Gelişen teknolojilerle %100 güvenlik neredeyse imkansız hale geliyor ve karşılaştığımız saldırılar ve tavizler bizim için sertleştirmemizin yetersiz olduğunu ve operasyonel ekibimizin daha sıkı bir sertleştirmeyi gözden geçirip uygulamak zorunda kalacağını gösteren işaretler.

Yedeklemeler

Yedeklemeler potansiyel olarak daha hızlı normale dönüşe olanak tanır. Yedekleme yönetimi bir koruma önlemi değildir ancak hatalı bir yedekleme politikası işin sonunun gelmesine yol açabilir.

Her şeyi dahili olarak, harici sabit sürücülere veya buluta vb. yedekliyor olsanız da, her yedeklemenin şifrelenmesi ve anahtarların şirketinizin BT sistemleri dışındaki bir araç aracılığıyla kullanılabilir olması çok önemlidir.

3-2-1 kuralı

Temel kural ve altyapı için beklenen minimum değer olan 3-2-1 kuralı şunları yapmanız gerektiğini belirtir:

Verilerinizin en az üç kopyasını bulundurun

Yedeklemelerinizi iki farklı destekte saklayın

Dış kaynaklı tesis dışı yedekleme dahil

Üç Kopya

Prensip, verilerinizin sunucuda ve iki yedekte bulunmasıdır. Bunun amacı, bir arızanın yedeklemelerinizi çalışmaz hale getirmesini önlemektir.

İki Destek

İki destek, orijinal verilerimizin yedeğinin iki farklı ve ilgisiz noktada olması anlamına gelir. Dolayısıyla, her ikisi de aynı veri merkezinde depolanmıyorsa, aynı yazılım RAID’i vb. aracılığıyla bağlanmamışsa, yedeklemenin iki kopyasının sabit disklerde bulunması mümkündür.

Tesis dışı yedekleme

Bu gerekliliğin ardındaki fikir, yangın gibi risklere karşı koruma sağlamak amacıyla ana verileri içeren bir yedeğin binanızın dışında saklanmasıdır.

3-2-1-1-0 Kuralı

Bu kural en azından şirketinizin kritik kaynaklarına uygulanmalıdır. 3-2-1 kuralına benzer şekilde iki gereklilik daha ekler:

1 çevrimdışı kopya

Geri yükleme sırasında 0 hata

Bir Çevrimdışı Kopya

Bu, ağınıza ve herhangi bir BT altyapısına bağlı olmayan bir yedeğe sahip olmakla ilgilidir. Amaç, bir saldırganın ağınıza sızması durumunda bu yedeğe müdahale etmesini önlemektir.

Geri Yükleme Sırasında 0 Hata

Bu mantıklı bir gereklilik gibi görünebilir ancak yedeklemeleri düzenli olarak test etmek ve hatasız bir şekilde geri yüklenebilir olduklarını doğrulamak iyi bir uygulama olacaktır. Geri yüklendikten sonra veritabanı sunucusundaki bir dosyanın gerçekten zarar görmüş olduğunun keşfedilmesi zarar verici olacaktır.

Uyarılar ve Kriz Sonu

Yetkilileri Uyarın

Kimin uyarılması gerektiğini, onları uyarmak için maksimum sürenin ne kadar olduğunu ve bunu yapmaktan kimin sorumlu olduğunu biliyor musunuz? Bu soruların yanıtları kuruluştan kuruluşa, kuruluşun karşılaması gereken standartlara ve bulunduğu yere göre değişiklik göstermektedir.

Ortaklarınızı Uyarın

Yalnız olmadığınızı unutmayın. Bilgi sisteminizin güvenliği ihlal edilirse ağınızla bağlantılı iş ortaklarınız için bir tehdit haline gelebilirsiniz. Benzer şekilde, belki de saldırgan partnerinizin ağlarından birinden gelmiştir ve siz daha hazırlıklı olduğunuz için partneriniz başarısız olurken onu tespit etmişsinizdir.

Her durumda, ortaklarınızla iletişim kurmak iyi bir uygulamadır.

Krizin Sonu

İzlerin İmha Edilmesi veya Korunması

Kriz sona erdiğinde temiz masa politikasını yürütmeli ve olayla ilgili post-it’ler, A4 kağıtlar, defterler, bilgisayar vb. üzerindeki faydalı notlar imha edilmelidir.

Fidye yazılımı söz konusu olduğunda, gelecekte şifreleme anahtarlarına erişilebilmesi ihtimaline karşı şifrelenmiş dosyaları çevrimdışı depolama alanında tutmak ilginç olabilir.

Gözetim

Krizin sonunda personel büyük bir baskı altında kaldıktan sonra rahatlama eğilimindedir. Bu nedenle hem yeni altyapınızı hem de personelinizi denetlemeniz önemlidir.

Servis sağlayıcıları

Size eşlik eden hizmet sağlayıcılar mutlaka size iletişim halinde kalmanızı, krizin çözümü için size “ödünç” çözümler satmalarını vs. teklif edeceklerdir. Düşünmek için zaman ayırın.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir