Incident Response
Last updated
Last updated
Incident Response, bir kuruluşun siber tehditleri, güvenlik ihlallerini veya siber saldırıları tespit etmeye ve bunlara yanıt vermeye yönelik süreçlerini ve teknolojilerini ifade eder. Incident Response’un amacı, siber saldırıları gerçekleşmeden önlemek ve meydana gelen siber saldırılardan kaynaklanan maliyeti ve iş kesintilerini en aza indirmektir.
Saldırının etkisini ve sistemin aksama süresini en aza indirgemek
Hassas verilerin korunmasını sağlama
Kuruluşun itibar ve güvenini koruma
Yasal yükümlülükleri yerine getirme
Hedef sistemde zafiyet keşfi ve zayıf noktaların bulunması sürecidir.
Siber saldırının gerçekleştirildiği andır. Saldırının türüne bağlı olarak bu saldırı fark edilebilir ya da saldırgan sistemde gizlenebilir. Saldırı anından sistem yöneticilerinin bu saldırıdan haberdar olmasına kadar geçen süreye Ortalama Tespit Süresi (Mean-time-to-Identify) ismi verilir.
Saldırının fark edilmesinden itibaren gerekli adımların atılması ve Incident Response sürecinin işlemeye başlamasıyla saldırının sebep olduğu hasarın ortadan kaldırımasına kadar geçen süre için ise Ortalama Tepki Süresi (Mean-time-to-Contain) terimi kullanılır.
Ponemon Enstitüsü'nün Veri İhlalinin Maliyeti araştırmasına göre MTTI yaklaşık 200 güne kadar, MTTC ise 70 güne kadar sürüyor.
Saldırılar gerçekleşmeden önlemek, yani sistemin zafiyetlerini ve zayıflıklarını olabildiğince azaltmak, siber saldırılardan korunmanın en iyi yollarından biridir. Bu önlemlere kullanılan yazılımların son çıkan güncellemelerini ve yamalarını yapmak, düzenli testler uygulamak, kuruluşun çalışanlarını bilinçlendirmek, son güvenlik teknolojilerini kullanmak ve kodları ve sistemin yapısını sektörün güncel en güvenli tekniklerini kullanarak oluşturmak örnek verilebilir.
Olası bir saldırıdan sonra saldırının ne, nerede, ne zaman ve nasıl gerçekleştiğinin tespiti ve analizi yapılır. Bu analizlerden edinilen veriler bir sonraki aşama olan Tehditi Sınırlandırma kısmında kullanılmak üzere bir tür rehber olarak kullanılır. Saldırıdan etkilenen parçalar tespit edilir ve gerekli önlemlerin alınması sağlanır.
Tespit & Analiz aşamasından edinilen veriler ışığında yapılan eylemler ve bu eylemler sonucunda bulunan yeni ipuçları da tekrar bir önceki aşamaya geri gönderilir. Tespit & Analiz ve Tehdit Sınırlandırma & Sistemi Kurtarma süreçleri birbirini besleyen ve güçlendiren bir mekanizmaya sahiptir.
Son aşama olarak olay sonrası saldırının neden olduğu aksaklıklar, varsa veri sızıntıları, hasar görmüş veriler gibi saldırının hedefi olabilecek yapılarda analizler yapılır ve raporlanır. Kuruluşun bağlı olduğu ülkenin yasal yükümlülüklerinin gerektirdiği adımların da atılması gerekir.
Siber olayın tanımlanması
Objektiflerin belirlenmesi ve durumun incelenmesi
Uygun görülen adımların atılması
Sistemi ve verileri kurtarma, kesintileri düzeltmek
Incident Response süreci SOC (Security Operations Center) birimi tarafından yönetilir.
SOAR, Türkçe karşılığıyla Güvenlik Orkestrasyonu, Otomasyonu ve Müdahalesi, siber güvenlik ekiplerinin güvenlik olaylarına yanıt vermelerini kolaylaştıran bir teknoloji platformudur.
SOAR, farklı güvenlik araçlarını ve sistemlerini tek bir merkezi platformda entegre eder. Böylece güvenlik ekipleri olaylara farklı kaynaklardan veri toplayarak daha holistic bir bakışa sahip olabilirler.
Tehdit tespiti ve müdahale sürecindeki rutin ve tekrar eden görevleri otomatikleştirir. Bu sayede güvenlik ekiplerinin daha hızlı ve verimli çalışması sağlanır.
Güvenlik olaylarına karşı kapsamlı ve koordineli bir şekilde müdahale edilmesini sağlar. Bu, tehditlerin daha hızlı bir şekilde belirlenmesini, kontrol altına alınmasını ve risklerin azaltılmasını sağlar.
FOAK (First of a Kind), Türünün İlk Örneği, tipi saldırılar manuel eylem gerektirir.
Uç noktalardaki (bilgisayarlar, sunucular, mobil cihazlar gibi) etkinliği sürekli olarak izler ve şüpheli davranışları veya bilinen tehdit kalıplarını tespit eder.
Normal kullanıcı ve cihaz (entity) davranışının kalıplarını oluşturur. Bu kalıplara göre anormallikleri saptayacak şekilde tasarlanmıştır.
Bir kuruluşun harici (örneğin, internet bağlantılı) ve dahili olarak maruz kaldığı tüm bilinen ve bilinmeyen varlıkları, açıklıkları ve olası saldırı vektörlerini keşfeder.
Türkiye'de siber saldırılara ve veri ihlallerine yanıt vermede şirketlerin uyması gereken yasal yükümlülükler çeşitli regülasyonlar tarafından düzenlenmektedir.
Bu yükümlülüklere uymamanın para cezaları, tazminat yükümlülükleri ve cezai kovuşturma gibi çeşitli yaptırımları olabilir.
Yazının bu kısmı Google Gemini ile üretilmiştir.
Bir veri ihlali gerçekleştiğinde, şirketlerin KVKK'ya göre belirli yükümlülükleri vardır. Bu yükümlülükler şunları içerir:
Veri ihlalini Kişisel Verileri Koruma Kurumu'na (KVKK) bildirmek
Etkilenen kişileri bilgilendirmek
Gerekli teknik ve idari önlemleri almak
Bir siber saldırı gerçekleştiğinde, şirketlerin bu kanuna göre de belirli yükümlülükleri olabilir. Bu yükümlülükler şunları içerir:
Suç teşkil eden içerikleri yetkililere bildirmek
Log kayıtlarını saklamak
Incident Response Siber Güvenlik mimarisinin önemli bir parçasıdır. Güvenlik ihlallerini tespit etme, müdahale etme ve bu ihlallerden kurtulma yeteneği, potansiyel hasarın, itibarın ve müşteri güveninin en aza indirilmesi açısından önemlidir. Etkin bir Incident Response planı ve süreci, bir saldırının neden olabileceği hasarı ve maliyeti önemli ölçüde azaltabilir.
