Siber Güvenlik Olaylarını Ele Alma Kılavuzu

Olay Yönetimine Giriş

Siber güvenliğe önem verip bütçe ayırıp güvenlik sistemlerine yatırım yapmamıza rağmen yine de hedef alınıp bir siber güvenlik olayı yaşanması mümkün. Kayıp ve tahribatların en aza indirilmesi, istismar edilen zafiyetlerin azaltılması ve olay sonrasında hizmetlerin sorunsuz bir şekilde geri getirilmesi için siber güvenlik olayları öncesinde olay müdahale süreçlerini yönetecek Olay Müdahale Ekipleri oluşturulmalıdır.

Olay müdahalesi, herhangi bir yanlış veya gözden kaçan adım durumunda tüm olay müdahale süreçlerinin boşa gitmesine neden olabilecek karmaşık bir süreç olduğundan, doğru planlama ve kaynaklar gereklidir.

Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), misyonu Amerika’nın yenilikçiliğini ve endüstriyel rekabet gücünü teşvik etmek olan, Amerika Birleşik Devletleri Ticaret Bakanlığı’na bağlı bir kurumdur. NIST Siber Güvenlik Çerçevesi, her büyüklükteki işletmenin siber güvenlik risklerini daha iyi anlamasına, yönetmesine, azaltmasına ve ağlarını ve verilerini korumasına yardımcı olur.
(Kaynak: https://www.ftc.gov/business-guidance/small-businesses/cybersecurity/nist-framework )

Bu eğitimde siber güvenlik olaylarının nasıl doğru bir şekilde ele alınacağını, olaylara müdahale süreçlerinin doğru sıra ile nasıl ele alınacağını ve NIST tarafından yayınlanan “Bilgisayar Güvenliği Olayları Yönetme Kılavuzu”nun önerilerini ele alacağız.

NIST tarafından yayınlanan ” Bilgisayar Güvenliği Olaylarını Yönetme Kılavuzu ” kaynağına şu adresten erişebilirsiniz : https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf

Olay Ele Alma Adımları

(Kaynak: NIST.SP.800-61r2)

NIST’in yayınladığı önerilere göre siber olaylara müdahale süreçlerinin 4 adımda ele alınması gerekiyor. Bu adımlar aşağıdaki gibidir:

  1. Hazırlık
  2. Tespit ve Analiz
  3. Sınırlama, Yok Etme ve İyileştirme
  4. Olay sonrası aktivite

Hazırlık

Hazırlık adımı, siber güvenlik olaylarına müdahale edilmeden önce yapılan hazırlıkları kapsar. Bu adımda yapılacak hazırlıklar siber olaylara müdahalenin doğru ve sorunsuz bir şekilde gerçekleştirilmesini sağlar.

NIST tarafından hazırlanan Olay Ele Alma adımlarını gösteren yukarıdaki resim, Hazırlığın olası olayları önlemek için Olay Müdahale sürecinin ilk ve en önemli adımı olduğunu göstermektedir. Olay Sonrası Faaliyet olan son adım aynı zamanda Olay Müdahale Yaşam Döngüsü içerisinde Hazırlık adımından önceki adımdır. Bu durum, hazırlık aşamasının her zaman ilerleyen bir süreç olduğunu ve her güvenlik olayından sonra deneyimler ve “çıkarılan dersler” doğrultusunda sürekli iyileştirilmesi gerektiğini göstermektedir.

Hazırlık adımı olaya müdahale süreçleriyle ilgili tüm hazırlıkları kapsar. Olay müdahale süreçlerine ilişkin plan/prosedür/politikaların hazırlanması, olay müdahale ekibinin kurulması ve eğitimi, IPS/IDS/EDR gibi güvenlik araçlarının uygun şekilde kurulması ve bakımının yapılması, olay müdahale sırasında kullanılacak ekipmanların hazırlanması gibi birçok konuyu kapsamaktadır. , çalışanlara sosyal mühendislik vb. konularda eğitim verilmesi.

Yukarıdaki örneklerden de anlaşılacağı üzere hazırlık aşamasının sınırları yoktur. Siber güvenlik olaylarına müdahaleyi kolaylaştıracak ve siber güvenlik olaylarının oluşmasını engelleyecek her şey Hazırlık adımının bir parçası olarak değerlendirilmektedir. Bazı önemli kategorilere bir göz atalım.

İletişim

Olay müdahale ekipleri, olay müdahalesi sırasında farklı ekipler ve kişilerle sürekli iletişim halindedir. Olaya müdahale anında ihtiyaç duyulabilecek temas noktaları listesinin ve iletişim bilgilerinin oluşturulması, kiminle, nasıl iletişime geçileceğine ilişkin kritik bilgilerin yer aldığı dokümantasyonun hazırlanması kritik önem taşıyor. bu insanlarla.

Olay anında iç iletişim ağı da tehlikeye girmiş olabileceğinden, olaya müdahale sırasında iletişimin farklı kanallar üzerinden yapılması gerekmektedir. Bu nedenle olaya müdahale sürecinde olaya müdahale eden kişilerin kullanacağı ayrı telefon ve hatların önceden hazırlanması gerekmektedir.

Kişi listeleri oluştururken ayrı bir dış kişi listesi oluşturmak olaylara müdahale süreçlerinizi kolaylaştıracaktır.

Siber güvenlik olayı sırasında kullanılacak bir savaş odasının oluşturulması da tavsiye edilir. (Savaş odaları insanların bir araya geldiği ve sorunların çözümüne yönelik strateji ve planların tartışıldığı odalardır.)

Envanter listesi

Doğru oluşturulmuş ve sürekli güncellenen bir envanter listesi hazırlamak, olaylara müdahale süreçlerinizi doğrudan kolaylaştıracaktır. Kritik sunucular başta olmak üzere tüm kritik sistemlerin bilgilerine sahip olmalısınız (Web sunucuları, FTP sunucuları, Exchange sunucuları, SWIFT sunucuları vb.) bilgileri sürekli güncel tutulmalıdır. Güncel tutulmayan envanter listeleri, olay müdahale süreçlerini kritik derecede etkileyecek, olay müdahale sürecinde zaman kaybına ve yanlış kararlara neden olacaktır. Güncel tutulmayan bir envanter listesine bakarak, aslında kontrol etmeniz gereken ancak listede yer almayan kritik envanteri büyük ihtimalle kaçıracaksınız. Örneğin 10.75.11.10 IP adresi güncel olmayan bir envanter listesine göre “Web-Sunucu”ya ait gibi görünse de aslında farklı bir sunucuya aitse ortalığı karıştırır, zaman kaybına neden olur ve işlemin gecikmesine neden olur. gerekli tedbirlerin zamanında alınması. Envanter listesini güncel tutmak zahmetli bir iştir ve bu nedenle bunu kolaylaştırmak için bazı yararlı çözümlerden yararlanmalısınız.

Dokümantasyon

Olay müdahale süreçlerini açıklayan dokümanlar hazırlanmalı ve olay müdahale ekibi bu dokümanlara aşina olmalıdır. Bu, her ekip üyesinin planları, prosedürleri ve politikaları doğru bir şekilde takip etmesini ve olay müdahale sürecinin mümkün olduğunca sorunsuz ilerlemesini sağlayacaktır.

Her önemli faaliyet için ayrı bir plan, politika ve prosedür hazırlanmalıdır. Örneğin, olay müdahalesi sırasında iç ve dış ekiplerle nasıl iletişim kurulacağını açıklığa kavuşturmak için siber güvenlik olaylarının nasıl ele alınacağına ilişkin ayrı bir plan, politika ve prosedür hazırlamak.

Olaya müdahale sonrasında rapor hazırlama süreçlerinin kısaltılması amacıyla rapor şablonlarının oluşturulması tavsiye edilir.

Ağ Topolojileri

Ağ topolojileri, olaylara müdahale sırasında faaliyetlerin anlaşılması ve saldırının başarılı bir şekilde analiz edilmesi için kritik öneme sahiptir.

Ağ topolojileri, doğru ağ bilgilerine, diyagramlara ve bağlantılara vb. sahip olduklarından emin olmak için düzenli olarak güncel tutulmalıdır.

Olay Yönetimi Yazılım ve Donanımları

Olaya müdahale sırasında kullanılması gereken donanım ve yazılımı önceden hazırlamalısınız.

  • Dijital Adli Bilim İş İstasyonları ve/veya yedekleme cihazları
  • Dizüstü bilgisayarlar
  • Boş çıkarılabilir medya ve sabit diskler
  • Adli Tıp ve Olay Yönetimi Yazılımı

Olayların Önlenmesi

Hazırlık adımı aynı zamanda siber güvenlik olaylarının yaşanmadan önlenmesine yönelik hazırlıkları da içermektedir. Kuruluşlar bu konuda gerekli yatırımları yapmalı ve EDR, IPS/IDS, Antivirus, WAF, Firewall, DLP gibi farklı güvenlik çözümlerini devreye alarak çok katmanlı koruma sağlamalıdır.

Aynı zamanda düzenli olarak sosyal mühendislik testleri yapılarak çalışanların sosyal mühendislik saldırılarına karşı farkındalık düzeyleri arttırılmalıdır.

Kuruluşların yasa gereği resmi bir olaya müdahale yeteneği oluşturması gerekir. NIST tarafından paylaşılan belgelere göre bu yetenek aşağıdaki eylemleri içeriyor:

  • Olay müdahale politikası ve planı oluşturma 
  • Olay yönetimi ve raporlamayı gerçekleştirmek için prosedürler geliştirmek 
  • Olaylarla ilgili olarak dış taraflarla iletişim kurmaya yönelik yönergelerin belirlenmesi 
  • Ekip yapısı ve personel modelinin seçilmesi 
  • Olay müdahale ekibi ile hem iç (örneğin hukuk departmanı) hem de dış (örneğin kolluk kuvvetleri) diğer gruplar arasında ilişkiler ve iletişim hatları oluşturmak 
  • Olay müdahale ekibinin hangi hizmetleri sağlaması gerektiğinin belirlenmesi 
  • Olay müdahale ekibinin görevlendirilmesi ve eğitimi

Tespit ve Analiz

Tespit ve Analiz, siber güvenlik olayının tespit edilip derinlemesine araştırıldığı adımdır.

(Kaynak: NIST.SP.800-61r2)

Tespit etme

Her siber güvenlik olayı tespitle başlar.

Siber güvenlik olayları tarafınıza farklı kanallardan iletilebilir. Örneğin tetiklenen bir SIEM kuralı, kurduğunuz güvenlik ürünlerinin tetiklediği bir uyarı, BT ekibinin sistemin yavaşladığını belirtmesi veya kuruluşunuzun iletişim formu aracılığıyla size gönderilen bir bildirim aracılığıyla olabilir.

Doğrulama

Her tespit bir siber güvenlik olayı olsaydı işler daha da kolay olurdu ama bu her zaman böyle değil. Doğrudan olay müdahale sürecine dalmak yerine, öncelikle tespitin gerçekten bir siber güvenlik olayı mı yoksa yanlış pozitif mi olduğu doğrulanmalı ve değerlendirilmelidir.

Bir SOC analisti günlük çalışma rutininde yüzlerce SIEM uyarısını (tespitini) çözer. Bunların her birinin gerçek bir siber güvenlik olayı olduğunu hayal edebiliyor musunuz?

Olay müdahale görevlisi olarak öncelikle aldığınız tespitin doğruluğunu ve bunun bir siber güvenlik olayı olup olmadığını onaylamanız gerekir. Örneğin, BT ekibinizden sunucudaki dosyaların uzantılarında bazı anormallikler olduğunu belirten bir tespit aldınız. Bunun doğrudan fidye yazılımından ve olay müdahale süreçlerinden kaynaklandığını varsayarsanız ve sunucuyu izole ederseniz gereksiz hizmet kesintilerine neden olabilirsiniz. Öncelikle gelen algılamayı doğrulamanız gerekir. Bu nedenle yapmanız gereken ilk şey, dosyanın gerçekten anormal bir uzantıya sahip olup olmadığını doğrulamaktır. Doğru tespitin her zaman bunun bir siber güvenlik olayı olduğunu kanıtlamadığını unutmayın. Dosya uzantısı anormal olsa bile sunucuya erişimi olan biri bunu yanlışlıkla yapmış olabilir. Yapmanız gereken, dosya uzantısının neden anormal bir uzantı olduğunun araştırılmasıdır (Örneğin, dosyayı kimin değiştirdiğini ve bunu hangi işlemle yaptığını anlayabilmek için Sysmon Loglarını araştırmak). Araştırmanızı tamamladıktan sonra bunu sıkılmış bir BT personelinin yapmış olabileceğini öğrenebilirsiniz.

Örneğimizde görebileceğiniz gibi olay müdahale süreçlerine başlamadan önce gelen tespitin doğruluğunun ve gerçekten siber güvenlik olayı olup olmadığının teyit edilmesi son derece önemlidir.

Gerçekten bir siber güvenlik olayı olduğunu düşünüyorsanız kanıtları toplamaya ve kaydetmeye başlamalısınız. Olayla ilgili bilgileri, kanıtları ve eylemleri kaydetmek için sorun takip sistemini kullanabilirsiniz. NIST’in önerdiği sorun takip sisteminde yer alması gereken bilgiler şu şekilde:

  • Olayın mevcut durumu (yeni, devam ediyor, soruşturma için iletildi, çözüldü vb.) 
  • Olayın özeti
  • Olaya ilişkin göstergeler
  • Bu olayla ilgili diğer olaylar
  • Bu olayla ilgili olarak tüm olay sorumluları tarafından gerçekleştirilen eylemler
  • Varsa gözetim zinciri
  • Olaya ilişkin etki değerlendirmeleri
  • İlgili diğer tarafların iletişim bilgileri (örn. sistem sahipleri, sistem yöneticileri)
  • Olay soruşturması sırasında toplanan delillerin listesi
  • Olay yöneticilerinin yorumları
  • Atılacak sonraki adımlar (örneğin, ana bilgisayarı yeniden inşa etmek, bir uygulamayı yükseltmek).

Olay müdahale bilgileri kritik veriler içerdiğinden bu bilgilerin her zaman güncel tutulması ve bu bilgilere erişebilecek kullanıcı sayısının sınırlandırılması gerekmektedir.

Önceliklendirme

Aynı anda birden fazla siber güvenlik olayına maruz kalabilirsiniz. Siber güvenlik olaylarına “ilk gelen ilk alır” esasına göre müdahale edilmesi yaklaşımı doğru değildir. Olayları ciddiyet, kritiklik, etki alanı, olası zararlar vb. açılardan önceliklendirmeli ve bu önceliklendirmeye göre bu olayları ele almaya başlamalısınız.

Siber güvenlik olaylarını önceliklendirirken NIST tarafından yayınlanan kategorileri kullanabilirsiniz:

Olayın İşlevsel Etkisi

Olayın Bilgi Etkisi

Olaydan Kurtarılabilirlik

Bildiri

Tespitin doğrulanması, siber güvenlik olayının teyit edilmesi ve önceliklendirilmesinin ardından ilgili makamlara bilgi verilmelidir.

Siber güvenlik olayı tespiti sırasında kiminle iletişime geçileceğini ve iletişim bilgilerini açıklayan bir dokümantasyonun hazırlanması son derece önemlidir. Bu, olay müdahale ekibinin doğru temas noktalarını bilerek ve kısa sürede onlarla iletişime geçerek hızlı hareket etmesine yardımcı olacaktır. Örnek liste aşağıdaki gibidir:

Kimin bilgilendirileceği konusu siber güvenlik olayının türüne, organizasyonuna ve hukuka uygunluğuna göre değişmektedir.

Analiz

Analiz adımı saldırganın faaliyetlerinin analiz edildiği yerdir. Bu adımda saldırganın ilk erişim adımından, kurumsal sistemler üzerindeki son faaliyetlerine kadar her detay analiz edilmelidir.

Temel Sebebin Analizi

Siber güvenlik olaylarına müdahale ederken önceliğimiz saldırganın erişim yöntemini tespit edip bu erişimi durdurmak olmalıdır.

Bir saldırganın Web uygulamasında tespit ettiği bir açıktan yararlanarak sisteme erişim sağladığı bir senaryo düşünelim. Saldırganın ilk erişim yöntemini bulmadan önce saldırganın kullandığı kötü amaçlı yazılımları sunuculardan silmeye çalışırsanız, saldırgan web uygulamasındaki güvenlik açığından tekrar yararlanacak ve kötü amaçlı yazılımı yüklemek için sunucuya yeniden erişecektir. Bu nedenle öncelikle temel nedenin tespit edilip ortadan kaldırılması gerekmektedir.

Temel neden tespit edildikten sonra, olaya müdahale çalışmaları sırasında saldırganın sistemlerin güvenliğini yeniden tehlikeye atmasını önlemek için Sınırlama, Ortadan Kaldırma ve Kurtarma adımını çalıştırmalıyız. Bu adımdan sonra Analiz adımına geri dönülerek saldırganın diğer aktiviteleri analiz edilmelidir.

Diğer Faaliyetleri Analiz Etmek

Olaya müdahale sırasında saldırganın ilk erişim yöntemiyle sistemlere tekrar erişme ihtimali ortadan kaldırıldıktan sonra diğer faaliyetlerin de analiz edilmesi gerekir.

Tespit & Analiz ve Sınırlama, Yok Etme & İyileştirme adımları kendi içerisinde sürekli bir döngü içerisindedir. Güvenliği ihlal edildiği tespit edilen cihazlar ve kullanıcılar ağdan hızla izole edilmelidir.

Sınırlama, Yok Etme ve İyileştirme

Sınırlama, Yok Etme ve Kurtarma adımı izolasyonu, saldırıda kullanılan göstergelerin/kalıcılık yöntemlerinin temizlenmesini ve sistemlerin geri yüklenmesini içerir.

(Kaynak: NIST.SP.800-61r2)

Sınırlama

Muhafaza adımı, saldırganın daha fazla hasara neden olmaması için izole edildiği yerdir. Sınırlama adımını geciktirmek riskli olduğundan, olayın bir siber güvenlik olayı olduğu tespit edilip onaylanır onaylanmaz bu eylem gerçekleştirilmelidir.

Siber güvenlik olayının türüne bağlı olarak muhafaza yöntemleri değişebilir. Uygulanabilecek bazı muhafaza yöntemleri şunlardır:

  • Cihazı izole edilmiş bir ağ segmentine yerleştirmek,
  • Etkilenen hizmetlerin durdurulması,
  • Cihazın kapatılması,
  • Cihazın ağ bağlantısının kesilmesi,
  • Kullanıcının hesabını kurumsal ağda devre dışı bırakın.

Mevcut EDR ürünleri muhafaza özelliği ile birlikte gelir. Bu özellik sayesinde aracının kurulu olduğu cihaz ağdan ayrılarak sadece EDR merkezi sunucusuyla iletişim kurar. Bu sayede cihaz üzerinde canlı analiz yapılırken cihazın izolasyonu da sağlanmış olur.

Hazırlık aşamasında eksiksiz bir kontrol altına alma stratejisi oluşturmalısınız.

Kritik sunucuları doğrudan ağdan yalıtamayacağınız için, kritik uygulamalar/sunuculara yönelik ayrı bir muhafaza prosedürü hazırlanması önemle tavsiye edilir.

Eradikasyon

Eradikasyon adımı, saldırganın bıraktığı kötü amaçlı yazılımların temizlenmesi, ele geçirilen kullanıcıların devre dışı bırakılması, saldırganın oluşturduğu kullanıcıların silinmesi gibi faaliyetleri içerir.

Bu adımda unutulmaması gereken en önemli nokta saldırıya ait göstergelerin silinmeden önce delil olarak kayıt altına alınmasıdır. Örneğin, saldırıda kullanılan kötü amaçlı bir yazılımı sunucudan silmeden önce, kötü amaçlı yazılımın bulunduğu klasörün ekran görüntüsünü almak, kötü amaçlı yazılımın karma bilgilerini kaydetmek ve kötü amaçlı yazılımın bir kopyasını sunucuya kaydetmek gerekir. izole bir ortam.

Eradikasyon basamağında yapılacak faaliyetler şu şekilde sıralanabilir;

  • Saldırganın yüklediği dosyaları temizleme,
  • Güvenliği ihlal edilmiş kullanıcıları devre dışı bırakma/silme,
  • Saldırganın oluşturduğu kullanıcıların silinmesi,
  • Tespit edilen zafiyetlerin azaltılması,
  • Aktif olarak çalışan süreçlerin sonlandırılması.

Eradikasyon Adımı Uygulaması

Eğitimin alt kısmındaki “Uygulamalı Uygulama” bölümünde “Bağlan” butonuna basarak “NodeServer” adlı cihaza bağlanın. 

  • ua-parser.js isimli dosyayı cihazdan kaldırın.

İyileşmek

Kurtarma aşaması, etkilenen sunucuların/cihazların/hizmetlerin önceki işletim durumuna geri yüklenmesini ve düzgün çalıştıklarının onaylanmasını içerir.

İyileşme aşaması organizasyondan organizasyona değişir. Kuruluşunuzun uygun bir Kurtarma stratejisine sahip olduğundan emin olun.

İyileşme aşamasında uygulanabilecek stratejiler şu şekilde sıralanabilir;

  • Uzlaşma öncesi yedeklemeye geri dönme
  • Sistemleri sıfırdan yeniden oluşturma
  • Güvenliği ihlal edilmiş dosyaları temiz sürümlerle değiştirme
  • Yamaları yükleme
  • Şifreleri değiştirme
  • Ağ çevre güvenliğini sıkılaştırma

Olay Sonrası Faaliyet

Olay Sonrası Faaliyet adımı, olaya müdahale sonrasında gerçekleştirilecek uygulamaları kapsamaktadır.

(Kaynak: NIST.SP.800-61r2)

Ders öğrenildi

Bu adım sıklıkla atlansa da en önemli adımlardan biridir. Siber güvenlik olayı başından itibaren değerlendirilmeli ve başka bir siber güvenlik olayının önlenmesi veya engellenmesi için daha iyi neler yapılabileceği tartışılmalıdır. Bir siber güvenlik olayı kaçınılmazdır ancak bu, bu olaylardan ders alıp bir sonraki olaya daha hazırlıklı olamayacağımız anlamına gelmez.

Siber güvenlik olayı hakkında, ilgili tüm ekiplerin katılımıyla bir Öğrenilen Dersler toplantısı yapılmalıdır. NIST tarafından yayınlanan ders toplantılarında tartışılacak konular aşağıda sıralanmıştır:

  • Tam olarak ne oldu ve hangi zamanlarda?
  • Personel ve yönetim olayla başa çıkmada ne kadar iyi performans gösterdi? Dokümante edilmiş prosedürler takip edildi mi? Yeterli miydiler?
  • Hangi bilgilere daha erken ihtiyaç duyuldu?
  • İyileşmeyi engelleyebilecek herhangi bir adım veya eylem yapıldı mı?
  • Bir dahaki sefere benzer bir olay meydana geldiğinde personel ve yönetim neleri farklı yapardı?
  • Diğer kuruluşlarla bilgi paylaşımı nasıl geliştirilebilir?
  • Gelecekte benzer olayları hangi düzeltici eylemler önleyebilir?
  • Gelecekte benzer olayların tespiti için hangi öncüller veya göstergeler izlenmelidir?
  • Gelecekteki olayları tespit etmek, analiz etmek ve azaltmak için hangi ek araçlara veya kaynaklara ihtiyaç var?

Olaydan sonra eksiksiz bir olay müdahale raporu hazırlanmalı ve güvenli bir yerde saklanmalıdır. Örnek olay müdahale raporuna aşağıdaki bağlantıdan ulaşabilirsiniz:

Ele Geçirilen NPM Paketi – Olay Raporu

http://www.onurbabur.com/wp-content/uploads/2024/03/Hijacked_NPM_Package-1.rar

Yorum bırakın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Scroll to Top