Incident Response
Incident Response Tanımı
Incident Response, bir kuruluşun siber tehditleri, güvenlik ihlallerini veya siber saldırıları tespit etmeye ve bunlara yanıt vermeye yönelik süreçlerini ve teknolojilerini ifade eder. Incident Response’un amacı, siber saldırıları gerçekleşmeden önlemek ve meydana gelen siber saldırılardan kaynaklanan maliyeti ve iş kesintilerini en aza indirmektir.
Incident Response Önemi
Saldırının etkisini ve sistemin aksama süresini en aza indirgemek
Hassas verilerin korunmasını sağlama
Kuruluşun itibar ve güvenini koruma
Yasal yükümlülükleri yerine getirme
Bir Siber Saldırının Zaman Çizgisi
Keşif Evresi (Recon)
Hedef sistemde zafiyet keşfi ve zayıf noktaların bulunması sürecidir.
Saldırı (Attack)
Siber saldırının gerçekleştirildiği andır. Saldırının türüne bağlı olarak bu saldırı fark edilebilir ya da saldırgan sistemde gizlenebilir. Saldırı anından sistem yöneticilerinin bu saldırıdan haberdar olmasına kadar geçen süreye Ortalama Tespit Süresi (Mean-time-to-Identify) ismi verilir.
Farkındalık (Awareness)
Saldırının fark edilmesinden itibaren gerekli adımların atılması ve Incident Response sürecinin işlemeye başlamasıyla saldırının sebep olduğu hasarın ortadan kaldırımasına kadar geçen süre için ise Ortalama Tepki Süresi (Mean-time-to-Contain) terimi kullanılır.
Ponemon Enstitüsü'nün Veri İhlalinin Maliyeti araştırmasına göre MTTI yaklaşık 200 güne kadar, MTTC ise 70 güne kadar sürüyor.
Incident Response Yaşam Döngüsü
Hazırlık
Saldırılar gerçekleşmeden önlemek, yani sistemin zafiyetlerini ve zayıflıklarını olabildiğince azaltmak, siber saldırılardan korunmanın en iyi yollarından biridir. Bu önlemlere kullanılan yazılımların son çıkan güncellemelerini ve yamalarını yapmak, düzenli testler uygulamak, kuruluşun çalışanlarını bilinçlendirmek, son güvenlik teknolojilerini kullanmak ve kodları ve sistemin yapısını sektörün güncel en güvenli tekniklerini kullanarak oluşturmak örnek verilebilir.
Tespit & Analiz
Olası bir saldırıdan sonra saldırının ne, nerede, ne zaman ve nasıl gerçekleştiğinin tespiti ve analizi yapılır. Bu analizlerden edinilen veriler bir sonraki aşama olan Tehditi Sınırlandırma kısmında kullanılmak üzere bir tür rehber olarak kullanılır. Saldırıdan etkilenen parçalar tespit edilir ve gerekli önlemlerin alınması sağlanır.
Tehditi Sınırlandırma & Sistemi Kurtarma
Tespit & Analiz aşamasından edinilen veriler ışığında yapılan eylemler ve bu eylemler sonucunda bulunan yeni ipuçları da tekrar bir önceki aşamaya geri gönderilir. Tespit & Analiz ve Tehdit Sınırlandırma & Sistemi Kurtarma süreçleri birbirini besleyen ve güçlendiren bir mekanizmaya sahiptir.
Saldırı Sonrası Adımlar
Son aşama olarak olay sonrası saldırının neden olduğu aksaklıklar, varsa veri sızıntıları, hasar görmüş veriler gibi saldırının hedefi olabilecek yapılarda analizler yapılır ve raporlanır. Kuruluşun bağlı olduğu ülkenin yasal yükümlülüklerinin gerektirdiği adımların da atılması gerekir.
Response Süreci
Siber olayın tanımlanması
Objektiflerin belirlenmesi ve durumun incelenmesi
Uygun görülen adımların atılması
Sistemi ve verileri kurtarma, kesintileri düzeltmek
Incident Response süreci SOC (Security Operations Center) birimi tarafından yönetilir.
Security Orchestration, Automation and Response (SOAR)
SOAR, Türkçe karşılığıyla Güvenlik Orkestrasyonu, Otomasyonu ve Müdahalesi, siber güvenlik ekiplerinin güvenlik olaylarına yanıt vermelerini kolaylaştıran bir teknoloji platformudur.
SOAR'ın Temel Özellikleri
Orkestrasyon
SOAR, farklı güvenlik araçlarını ve sistemlerini tek bir merkezi platformda entegre eder. Böylece güvenlik ekipleri olaylara farklı kaynaklardan veri toplayarak daha holistic bir bakışa sahip olabilirler.
Otomasyon
Tehdit tespiti ve müdahale sürecindeki rutin ve tekrar eden görevleri otomatikleştirir. Bu sayede güvenlik ekiplerinin daha hızlı ve verimli çalışması sağlanır.
Yanıt
Güvenlik olaylarına karşı kapsamlı ve koordineli bir şekilde müdahale edilmesini sağlar. Bu, tehditlerin daha hızlı bir şekilde belirlenmesini, kontrol altına alınmasını ve risklerin azaltılmasını sağlar.
FOAK (First of a Kind), Türünün İlk Örneği, tipi saldırılar manuel eylem gerektirir.
Other Incident Response Technologies
EDR (Endpoint Detection and Response)
Uç noktalardaki (bilgisayarlar, sunucular, mobil cihazlar gibi) etkinliği sürekli olarak izler ve şüpheli davranışları veya bilinen tehdit kalıplarını tespit eder.
UEBA (User and Entity Behavior Analytics)
Normal kullanıcı ve cihaz (entity) davranışının kalıplarını oluşturur. Bu kalıplara göre anormallikleri saptayacak şekilde tasarlanmıştır.
ASM (Attach Surface Management)
Bir kuruluşun harici (örneğin, internet bağlantılı) ve dahili olarak maruz kaldığı tüm bilinen ve bilinmeyen varlıkları, açıklıkları ve olası saldırı vektörlerini keşfeder.
Türkiye'deki Yasal Yükümlülükler
Türkiye'de siber saldırılara ve veri ihlallerine yanıt vermede şirketlerin uyması gereken yasal yükümlülükler çeşitli regülasyonlar tarafından düzenlenmektedir.
Bu yükümlülüklere uymamanın para cezaları, tazminat yükümlülükleri ve cezai kovuşturma gibi çeşitli yaptırımları olabilir.
Yazının bu kısmı Google Gemini ile üretilmiştir.
Kişisel Verileri Koruma Kanunu (KVKK)
Bir veri ihlali gerçekleştiğinde, şirketlerin KVKK'ya göre belirli yükümlülükleri vardır. Bu yükümlülükler şunları içerir:
Veri ihlalini Kişisel Verileri Koruma Kurumu'na (KVKK) bildirmek
Etkilenen kişileri bilgilendirmek
Gerekli teknik ve idari önlemleri almak
5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
Bir siber saldırı gerçekleştiğinde, şirketlerin bu kanuna göre de belirli yükümlülükleri olabilir. Bu yükümlülükler şunları içerir:
Suç teşkil eden içerikleri yetkililere bildirmek
Log kayıtlarını saklamak
Araçlar
Sonuç ve Çıkarımlar
Incident Response Siber Güvenlik mimarisinin önemli bir parçasıdır. Güvenlik ihlallerini tespit etme, müdahale etme ve bu ihlallerden kurtulma yeteneği, potansiyel hasarın, itibarın ve müşteri güveninin en aza indirilmesi açısından önemlidir. Etkin bir Incident Response planı ve süreci, bir saldırının neden olabileceği hasarı ve maliyeti önemli ölçüde azaltabilir.
Last updated