# Incident Response

<figure><img src="/files/jjdxunpGeVp49pYSzBkr" alt="Security" width="300"><figcaption></figcaption></figure>

### Incident Response Tanımı

Incident Response, bir kuruluşun siber tehditleri, güvenlik ihlallerini veya siber saldırıları tespit etmeye ve bunlara yanıt vermeye yönelik süreçlerini ve teknolojilerini ifade eder. Incident Response’un amacı, siber saldırıları gerçekleşmeden önlemek ve meydana gelen siber saldırılardan kaynaklanan maliyeti ve iş kesintilerini en aza indirmektir.

### Incident Response Önemi

* Saldırının **etkisini** ve sistemin **aksama süresini** en aza indirgemek
* Hassas **verilerin** korunmasını sağlama
* Kuruluşun **itibar ve güvenini** koruma
* **Yasal yükümlülükleri** yerine getirme

***

### Bir Siber Saldırının Zaman Çizgisi

<figure><img src="/files/9QGBcfKqoidKj1pWsTag" alt="Attack Timeline" width="600"><figcaption></figcaption></figure>

#### Keşif Evresi (Recon)

Hedef sistemde **zafiyet keşfi** ve zayıf noktaların bulunması sürecidir.

#### Saldırı (Attack)

Siber saldırının gerçekleştirildiği andır. Saldırının türüne bağlı olarak bu saldırı fark edilebilir ya da saldırgan sistemde gizlenebilir. Saldırı anından sistem yöneticilerinin bu saldırıdan haberdar olmasına kadar geçen süreye **Ortalama Tespit Süresi (Mean-time-to-Identify)** ismi verilir.

#### Farkındalık (Awareness)

Saldırının fark edilmesinden itibaren gerekli adımların atılması ve **Incident Response** sürecinin işlemeye başlamasıyla saldırının sebep olduğu hasarın ortadan kaldırımasına kadar geçen süre için ise Ortalama Tepki Süresi (Mean-time-to-Contain) terimi kullanılır.

> Ponemon Enstitüsü'nün [Veri İhlalinin Maliyeti](https://www.ibm.com/reports/data-breach) araştırmasına göre **MTTI** yaklaşık **200** güne kadar, **MTTC** ise **70** güne kadar sürüyor.

***

### Incident Response Yaşam Döngüsü

<figure><img src="/files/hvyrga7DkJtwHPRHQtBk" alt="Incident Response Lifecycle" width="450"><figcaption></figcaption></figure>

#### Hazırlık

Saldırılar gerçekleşmeden önlemek, yani sistemin zafiyetlerini ve zayıflıklarını olabildiğince azaltmak, siber saldırılardan korunmanın en iyi yollarından biridir. Bu önlemlere kullanılan yazılımların son çıkan güncellemelerini ve yamalarını yapmak, düzenli testler uygulamak, kuruluşun çalışanlarını bilinçlendirmek, son güvenlik teknolojilerini kullanmak ve kodları ve sistemin yapısını sektörün güncel en güvenli tekniklerini kullanarak oluşturmak örnek verilebilir.

#### Tespit & Analiz

Olası bir saldırıdan sonra saldırının **ne**, **nerede**, **ne zaman** ve **nasıl** gerçekleştiğinin tespiti ve analizi yapılır. Bu analizlerden edinilen veriler bir sonraki aşama olan **Tehditi Sınırlandırma** kısmında kullanılmak üzere bir tür rehber olarak kullanılır. Saldırıdan etkilenen parçalar tespit edilir ve gerekli önlemlerin alınması sağlanır.

#### Tehditi Sınırlandırma & Sistemi Kurtarma

**Tespit & Analiz** aşamasından edinilen veriler ışığında yapılan eylemler ve bu eylemler sonucunda bulunan yeni ipuçları da tekrar bir önceki aşamaya geri gönderilir. **Tespit & Analiz** ve **Tehdit Sınırlandırma & Sistemi Kurtarma** süreçleri birbirini besleyen ve güçlendiren bir mekanizmaya sahiptir.

#### Saldırı Sonrası Adımlar

Son aşama olarak olay sonrası saldırının neden olduğu aksaklıklar, varsa veri sızıntıları, hasar görmüş veriler gibi saldırının hedefi olabilecek yapılarda analizler yapılır ve raporlanır. Kuruluşun bağlı olduğu ülkenin yasal yükümlülüklerinin gerektirdiği adımların da atılması gerekir.

<figure><img src="/files/6H1oPTPgR9FrkFd38v35" alt="Incident Response Cases" width="450"><figcaption></figcaption></figure>

### Response Süreci

* Siber olayın tanımlanması
* Objektiflerin belirlenmesi ve durumun incelenmesi
* Uygun görülen adımların atılması
* Sistemi ve verileri kurtarma, kesintileri düzeltmek

> Incident Response süreci SOC (Security Operations Center) birimi tarafından yönetilir.

***

### Security Orchestration, Automation and Response (SOAR)

SOAR, Türkçe karşılığıyla *Güvenlik Orkestrasyonu, Otomasyonu ve Müdahalesi*, siber güvenlik ekiplerinin güvenlik olaylarına yanıt vermelerini kolaylaştıran bir teknoloji platformudur.

<figure><img src="/files/kdlWbHpLkHKaqOF28Ika" alt="SOAR" width="400"><figcaption></figcaption></figure>

### SOAR'ın Temel Özellikleri

#### Orkestrasyon

SOAR, farklı güvenlik araçlarını ve sistemlerini tek bir merkezi platformda entegre eder. Böylece güvenlik ekipleri olaylara farklı kaynaklardan veri toplayarak daha holistic bir bakışa sahip olabilirler.

#### Otomasyon

Tehdit tespiti ve müdahale sürecindeki rutin ve tekrar eden görevleri otomatikleştirir. Bu sayede güvenlik ekiplerinin daha hızlı ve verimli çalışması sağlanır.

#### Yanıt

Güvenlik olaylarına karşı kapsamlı ve koordineli bir şekilde müdahale edilmesini sağlar. Bu, tehditlerin daha hızlı bir şekilde belirlenmesini, kontrol altına alınmasını ve risklerin azaltılmasını sağlar.

> *FOAK (First of a Kind), Türünün İlk Örneği*, tipi saldırılar manuel eylem gerektirir.

<figure><img src="/files/cSVdyqEFPZtKSaSpqHIz" alt="Incident Response Automated and Manual Attention" width="600"><figcaption></figcaption></figure>

***

### Other Incident Response Technologies

#### EDR (Endpoint Detection and Response)

* Uç noktalardaki (bilgisayarlar, sunucular, mobil cihazlar gibi) etkinliği sürekli olarak izler ve şüpheli davranışları veya bilinen tehdit kalıplarını tespit eder.

#### UEBA (User and Entity Behavior Analytics)

* Normal kullanıcı ve cihaz (entity) davranışının kalıplarını oluşturur. Bu kalıplara göre anormallikleri saptayacak şekilde tasarlanmıştır.

#### ASM (Attach Surface Management)

* Bir kuruluşun harici (örneğin, internet bağlantılı) ve dahili olarak maruz kaldığı tüm bilinen ve bilinmeyen varlıkları, açıklıkları ve olası saldırı vektörlerini keşfeder.

### Türkiye'deki Yasal Yükümlülükler

<figure><img src="/files/ep9DvRhJaRgRQxiJ4Zao" alt="Regulations" width="400"><figcaption></figcaption></figure>

Türkiye'de siber saldırılara ve veri ihlallerine yanıt vermede şirketlerin uyması gereken yasal yükümlülükler çeşitli regülasyonlar tarafından düzenlenmektedir.

Bu yükümlülüklere uymamanın para cezaları, tazminat yükümlülükleri ve cezai kovuşturma gibi çeşitli yaptırımları olabilir.

> Yazının bu kısmı Google Gemini ile üretilmiştir.

#### Kişisel Verileri Koruma Kanunu (KVKK)

<figure><img src="/files/oPHWI7qQXdMLJjbOhm2H" alt="Kişisel Verileri Koruma Kurumu" width="600"><figcaption></figcaption></figure>

Bir veri ihlali gerçekleştiğinde, şirketlerin [KVKK](https://www.kvkk.gov.tr/)'ya göre belirli yükümlülükleri vardır. Bu yükümlülükler şunları içerir:

* Veri ihlalini Kişisel Verileri Koruma Kurumu'na (KVKK) bildirmek
* Etkilenen kişileri bilgilendirmek
* Gerekli teknik ve idari önlemleri almak

#### 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun

Bir siber saldırı gerçekleştiğinde, şirketlerin bu kanuna göre de belirli yükümlülükleri olabilir. Bu yükümlülükler şunları içerir:

* Suç teşkil eden içerikleri yetkililere bildirmek
* Log kayıtlarını saklamak

#### Araçlar

```
AT&T Managed Threat Detection and Response
AT&T USM Anywhere
BAE Systems Incident Response
CrowdStrike Falcon Insight
Cyderes Enterprise Managed Detection and Response
Cynet 360 AutoXDR Platform
Cynet CyOps
Datadog Cloud SIEM
Exabeam Fusion
IBM QRadar
KnowBe4 PhishER
LogRhythm SIEM
Mandiant Incident Response
NTT Managed Detection and Response
Secureworks Emergency Incident Response
Splunk Enterprise Security
Sygnia Incident Response
Trustwave Managed Detection and Response
Verizon Incident Response & Investigation
xMatters
```

### Sonuç ve Çıkarımlar

**Incident Response** Siber Güvenlik mimarisinin önemli bir parçasıdır. Güvenlik ihlallerini tespit etme, müdahale etme ve bu ihlallerden kurtulma yeteneği, potansiyel hasarın, itibarın ve müşteri güveninin en aza indirilmesi açısından önemlidir. Etkin bir **Incident Response** planı ve süreci, bir saldırının neden olabileceği hasarı ve maliyeti önemli ölçüde azaltabilir.

<details>

<summary><strong>İleri Okuma ve Kaynakça</strong></summary>

[IBM](https://www.ibm.com/topics/incident-response)\
[IBM YouTube](https://www.youtube.com/@IBMTechnology)\
[TechTarget](https://www.techtarget.com/searchsecurity/definition/incident-response)\
[CyNet](https://www.cynet.com/incident-response/)\
[CrowdStrike](https://www.crowdstrike.com/cybersecurity-101/incident-response/)\
[BBSTeknoloji](https://bbsteknoloji.com/incident-response-nedir/)

</details>

{% embed url="<https://github.com/burkocyigit>" fullWidth="false" %}
Bu yazı Burak Koçyiğit tarafından hazırlanmıştır.
{% endembed %}


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.yavuzlar.org/web-guvenligi/incident-response.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.