Incident Response

Incident Response Tanımı

Incident Response, bir kuruluşun siber tehditleri, güvenlik ihlallerini veya siber saldırıları tespit etmeye ve bunlara yanıt vermeye yönelik süreçlerini ve teknolojilerini ifade eder. Incident Response’un amacı, siber saldırıları gerçekleşmeden önlemek ve meydana gelen siber saldırılardan kaynaklanan maliyeti ve iş kesintilerini en aza indirmektir.

Incident Response Önemi

Saldırının etkisini ve sistemin aksama süresini en aza indirgemek
Hassas verilerin korunmasını sağlama
Kuruluşun itibar ve güvenini koruma
Yasal yükümlülükleri yerine getirme

Bir Siber Saldırının Zaman Çizgisi

Keşif Evresi (Recon)

Hedef sistemde zafiyet keşfi ve zayıf noktaların bulunması sürecidir.

Saldırı (Attack)

Siber saldırının gerçekleştirildiği andır. Saldırının türüne bağlı olarak bu saldırı fark edilebilir ya da saldırgan sistemde gizlenebilir. Saldırı anından sistem yöneticilerinin bu saldırıdan haberdar olmasına kadar geçen süreye Ortalama Tespit Süresi (Mean-time-to-Identify) ismi verilir.

Farkındalık (Awareness)

Saldırının fark edilmesinden itibaren gerekli adımların atılması ve Incident Response sürecinin işlemeye başlamasıyla saldırının sebep olduğu hasarın ortadan kaldırımasına kadar geçen süre için ise Ortalama Tepki Süresi (Mean-time-to-Contain) terimi kullanılır.

Ponemon Enstitüsü'nün Veri İhlalinin Maliyeti araştırmasına göre MTTI yaklaşık 200 güne kadar, MTTC ise 70 güne kadar sürüyor.

Incident Response Yaşam Döngüsü

Hazırlık

Saldırılar gerçekleşmeden önlemek, yani sistemin zafiyetlerini ve zayıflıklarını olabildiğince azaltmak, siber saldırılardan korunmanın en iyi yollarından biridir. Bu önlemlere kullanılan yazılımların son çıkan güncellemelerini ve yamalarını yapmak, düzenli testler uygulamak, kuruluşun çalışanlarını bilinçlendirmek, son güvenlik teknolojilerini kullanmak ve kodları ve sistemin yapısını sektörün güncel en güvenli tekniklerini kullanarak oluşturmak örnek verilebilir.

Tespit & Analiz

Olası bir saldırıdan sonra saldırının ne, nerede, ne zaman ve nasıl gerçekleştiğinin tespiti ve analizi yapılır. Bu analizlerden edinilen veriler bir sonraki aşama olan Tehditi Sınırlandırma kısmında kullanılmak üzere bir tür rehber olarak kullanılır. Saldırıdan etkilenen parçalar tespit edilir ve gerekli önlemlerin alınması sağlanır.

Tehditi Sınırlandırma & Sistemi Kurtarma

Tespit & Analiz aşamasından edinilen veriler ışığında yapılan eylemler ve bu eylemler sonucunda bulunan yeni ipuçları da tekrar bir önceki aşamaya geri gönderilir. Tespit & Analiz ve Tehdit Sınırlandırma & Sistemi Kurtarma süreçleri birbirini besleyen ve güçlendiren bir mekanizmaya sahiptir.

Saldırı Sonrası Adımlar

Son aşama olarak olay sonrası saldırının neden olduğu aksaklıklar, varsa veri sızıntıları, hasar görmüş veriler gibi saldırının hedefi olabilecek yapılarda analizler yapılır ve raporlanır. Kuruluşun bağlı olduğu ülkenin yasal yükümlülüklerinin gerektirdiği adımların da atılması gerekir.

Response Süreci

Siber olayın tanımlanması
Objektiflerin belirlenmesi ve durumun incelenmesi
Uygun görülen adımların atılması
Sistemi ve verileri kurtarma, kesintileri düzeltmek

Incident Response süreci SOC (Security Operations Center) birimi tarafından yönetilir.

Security Orchestration, Automation and Response (SOAR)

SOAR, Türkçe karşılığıyla Güvenlik Orkestrasyonu, Otomasyonu ve Müdahalesi, siber güvenlik ekiplerinin güvenlik olaylarına yanıt vermelerini kolaylaştıran bir teknoloji platformudur.

SOAR'ın Temel Özellikleri

Orkestrasyon

SOAR, farklı güvenlik araçlarını ve sistemlerini tek bir merkezi platformda entegre eder. Böylece güvenlik ekipleri olaylara farklı kaynaklardan veri toplayarak daha holistic bir bakışa sahip olabilirler.

Otomasyon

Tehdit tespiti ve müdahale sürecindeki rutin ve tekrar eden görevleri otomatikleştirir. Bu sayede güvenlik ekiplerinin daha hızlı ve verimli çalışması sağlanır.

Yanıt

Güvenlik olaylarına karşı kapsamlı ve koordineli bir şekilde müdahale edilmesini sağlar. Bu, tehditlerin daha hızlı bir şekilde belirlenmesini, kontrol altına alınmasını ve risklerin azaltılmasını sağlar.

FOAK (First of a Kind), Türünün İlk Örneği, tipi saldırılar manuel eylem gerektirir.

Incident Response Automated and Manual Attention

Other Incident Response Technologies

EDR (Endpoint Detection and Response)

Uç noktalardaki (bilgisayarlar, sunucular, mobil cihazlar gibi) etkinliği sürekli olarak izler ve şüpheli davranışları veya bilinen tehdit kalıplarını tespit eder.

UEBA (User and Entity Behavior Analytics)

Normal kullanıcı ve cihaz (entity) davranışının kalıplarını oluşturur. Bu kalıplara göre anormallikleri saptayacak şekilde tasarlanmıştır.

ASM (Attach Surface Management)

Bir kuruluşun harici (örneğin, internet bağlantılı) ve dahili olarak maruz kaldığı tüm bilinen ve bilinmeyen varlıkları, açıklıkları ve olası saldırı vektörlerini keşfeder.

Türkiye'deki Yasal Yükümlülükler

Türkiye'de siber saldırılara ve veri ihlallerine yanıt vermede şirketlerin uyması gereken yasal yükümlülükler çeşitli regülasyonlar tarafından düzenlenmektedir.

Bu yükümlülüklere uymamanın para cezaları, tazminat yükümlülükleri ve cezai kovuşturma gibi çeşitli yaptırımları olabilir.

Yazının bu kısmı Google Gemini ile üretilmiştir.

Kişisel Verileri Koruma Kanunu (KVKK)

Bir veri ihlali gerçekleştiğinde, şirketlerin KVKK'ya göre belirli yükümlülükleri vardır. Bu yükümlülükler şunları içerir:

Veri ihlalini Kişisel Verileri Koruma Kurumu'na (KVKK) bildirmek
Etkilenen kişileri bilgilendirmek
Gerekli teknik ve idari önlemleri almak

5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun

Bir siber saldırı gerçekleştiğinde, şirketlerin bu kanuna göre de belirli yükümlülükleri olabilir. Bu yükümlülükler şunları içerir:

Suç teşkil eden içerikleri yetkililere bildirmek
Log kayıtlarını saklamak

Araçlar

AT&T Managed Threat Detection and Response
AT&T USM Anywhere
BAE Systems Incident Response
CrowdStrike Falcon Insight
Cyderes Enterprise Managed Detection and Response
Cynet 360 AutoXDR Platform
Cynet CyOps
Datadog Cloud SIEM
Exabeam Fusion
IBM QRadar
KnowBe4 PhishER
LogRhythm SIEM
Mandiant Incident Response
NTT Managed Detection and Response
Secureworks Emergency Incident Response
Splunk Enterprise Security
Sygnia Incident Response
Trustwave Managed Detection and Response
Verizon Incident Response & Investigation
xMatters

Sonuç ve Çıkarımlar

Incident Response Siber Güvenlik mimarisinin önemli bir parçasıdır. Güvenlik ihlallerini tespit etme, müdahale etme ve bu ihlallerden kurtulma yeteneği, potansiyel hasarın, itibarın ve müşteri güveninin en aza indirilmesi açısından önemlidir. Etkin bir Incident Response planı ve süreci, bir saldırının neden olabileceği hasarı ve maliyeti önemli ölçüde azaltabilir.

İleri Okuma ve Kaynakça

IBM IBM YouTube TechTarget CyNet CrowdStrike BBSTeknoloji

PreviousInsecure Direct Object Reference (IDOR)NextLocal File Inclusion (LFI)

Last updated 1 year ago

hashtagIncident Response Tanımı

hashtagIncident Response Önemi

hashtagBir Siber Saldırının Zaman Çizgisi

hashtagKeşif Evresi (Recon)

hashtagSaldırı (Attack)

hashtagFarkındalık (Awareness)

hashtagIncident Response Yaşam Döngüsü

hashtagHazırlık

hashtagTespit & Analiz

hashtagTehditi Sınırlandırma & Sistemi Kurtarma

hashtagSaldırı Sonrası Adımlar

hashtagResponse Süreci

hashtagSecurity Orchestration, Automation and Response (SOAR)

hashtagSOAR'ın Temel Özellikleri

hashtagOrkestrasyon

hashtagOtomasyon

hashtagYanıt

hashtagOther Incident Response Technologies

hashtagEDR (Endpoint Detection and Response)

hashtagUEBA (User and Entity Behavior Analytics)

hashtagASM (Attach Surface Management)

hashtagTürkiye'deki Yasal Yükümlülükler

hashtagKişisel Verileri Koruma Kanunu (KVKK)

hashtag5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun

hashtagAraçlar

hashtagSonuç ve Çıkarımlar