Webinar’a Katılın | Siber Tehditlere Karşı Güçlü Koruma

Siber Olay Müdahalesi ve Olay Tepkisi

Teknoloji ve yazılım sektörlerindeki gelişmeler ve dünya pazarındaki değişimler tehlikeleri de beraberinde getirmektedir. Tehdit aktörleri büyüyen pazarda kendilerine yer edinmek için saldırılarda bulunmakta ve böylelikle siber olaylara neden olmaktadırlar.

Olay Müdahalesi (Incident Response) Nedir?

 

Olay Müdahalesi (Incident Response), yaşanan bir siber olay sırasında ve olay sonrasında yaşanabilecek kayıpları en aza indirgemek, maliyeti düşürmek ve kurum marka değerini korumak için uygulanan siber güvenlik süreci olarak ele alınabilir. 

 

Profesyonel bir Olay Müdahale hizmetiyle; maruz kalacağınız bir siber saldırının muhtemel etkilerini azaltmak, hatta siber saldırı gerçekleşirken saldırıyı engellemek mümkündür. Hemen hemen her gün tanık olduğumuz siber olaylar bir bütün olarak ele alındığında; her kurumun mutlaka bir Olay Müdahale Planına ve bu planı uygulayacak bir Siber Olaylara Müdahele Ekibine (SOME) sahip olması artık önlemden ziyade bir gereklilik olarak değerlendirilmektedir. 

 

Yaşanan bir siber saldırı sonrasında; Olay Müdahalesi gerçekleştirilmeli, saldırının izleri analiz edilmeli, SIEM sistemleri saldırganların kullanmış olduğu teknik, taktik ve prosedürler göz önünde bulundurularak güncellenmelidir.

 

Siber Olay (Incident) Örnekleri Nelerdir?

 

Kuruluşların karşı karşıya kalabilecekleri güvenlik olayları; kullandıkları sistemler, yazılımsal ve donanımsal araçlar, sunucular vb. etkenlere göre farklılık gösterebilir. Aynı şekilde; bir kuruluş için ciddi bir olay olarak kabul edilebilecek olan bir siber saldırı, bir başkası için orta seviyede bir risk teşkil edebilir.

Kuruluşları olumsuz etkileyebilecek siber güvenlik olaylarına;

  • Kritik bulut hizmetlerine karşı dağıtılmış hizmet reddi (DDoS) saldırısı,
  • Kritik iş dosyalarını şirket ağında şifreleyen bir kötü amaçlı yazılım (malware) veya fidye yazılımı (ransomware)  bulaşması,
  • Müşterilerin kişisel olarak tanımlanabilir bilgilerinin (PII) açığa çıkmasına neden olan başarılı bir kimlik avı girişimi,
  • Eksik olan hassas müşteri kayıtlarına sahip olduğu bilinen şifrelenmemiş bir dizüstü bilgisayar,

gibi örnekler verilebilir.

 

Siber Olaylara Müdahale Ekibi (SOME) Nedir?

Siber Olaylara Müdahale Ekibi (SOME), yaşanan siber olaylara; olay gerçekleşirken ve olay sona erdikten sonra müdahale ederek saldırgan izlerini araştıran ve yaşanabilecek kayıpları  en aza indirgemeyi hedefleyen siber güvenlik ekibidir. Ülkemizde yaşanan ulusal ölçekte değerlendirilecek siber olaylara Ulusal Siber Olaylara Müdahale (USOM) birimi müdahale etmektedir. USOM altında da sektörel ve kurumsal bazlı ayrılan SOME’ler bulunmaktadır. Bu ekipler ülkemizde hizmet veren firmalar bir siber olay yaşadığında onların BT altyapısına destekle bulunmaktadırlar.

 

Bununla birlikte her kurumun bir SOME birimi bulunmalı ve bu birim bir SOC (Security Operations Center – Güvenlik Operasyon Merkezi) ekibi ile desteklenmelidir. 

Olaylara Müdahale & Olay Tepkisi Hakkında Merak Edilen Sorular

Neden Olaylara Müdahale & Olay Tepkisi Hizmeti Almalıyım?

Bir siber güvenlik olayına hızlı bir şekilde müdahale etmek; bir kuruluşun kayıpları en aza indirmesine, sömürülen güvenlik açıklarını azaltmasına, hizmetleri ve süreçleri geri yüklemesine ve gelecekteki olayların ortaya çıkardığı riskleri azaltmasına yardımcı olacaktır.,Olay tepkisi, bir kuruluşun bilinenler kadar bilinmeyen riskler için de hazırlanmasını sağlar ve güvenlik olaylarını en kısa sürede tespit etmek için güvenilir bir yöntemdir. Ayrıca olay tepkisi, bir kuruluşun davetsiz gelen bir misafiri sisteme zarar vermeden önce durdurabilmek için bir uygulama planı oluşturmayı sağlar.

Olay Müdahalesi Aşamaları Nelerdir?

Başarılı bir olay müdahalesi temelde 6 adımdan oluşmaktadır:1. Hazırlanma (Preparation): Bir olay gerçekleşmeden önce olası risklere karşı hazırlanma aşamasıdır. Bu aşamada olay müdahalesinde bulunacak SOME ekibi üyeleri belirlenilir ve olay müdahale planı hazırlanır. 2. Tespit ve Analiz (Detection & Analysis): Siber olayın tespit edildiği aşamadır. Bu aşamada saldırının gerçekleştiği kanıtlanmaya çalışılır. Bunun için güvenlik araçlarından loglar toplanır ve analiz edilir. Bu aşamanın başarılı olabilmesi için kurum içerisindeki SIEM ve Log Yönetimi mekanizması büyük önem taşımaktadır. 3. Kapsama/Sınırlama (Containment): Kapsama aşaması saldırının sınırlandırıldığı aşamadır. Bu aşamada saldırganın erişebileceği uç noktalar sınırlandırılmaya ve zararın minimum seviyede tutulmasına çalışılır. Sınırlama aşamasında kanıtların yok edilmesini engellemek için mevcut sistem yedekleri de alınır. 4. Tehdidin Temizlenmesi (Eradication): Temizleme aşaması; sistemlerin saldırgan varlıklarından tamamen arındırıldığı ve tehdidin ortadan kaldırıldığı aşamadır. 5. Kurtarma (Recovery): Kurtarma aşaması; saldırının ardından sistemin saldırı öncesi haline getirildiği aşamadır. Bu aşamanın başarıyla sonuçlanması için sistem yedeklemelerinin düzenli alınıyor olması kritik önem taşımaktadır. 6. Ders Çıkarma (Post-Incident Activity): Ders çıkarma; yaşanan bir siber olayın başlangıcından yapılan müdahalelerin bitimine elde edilmiş olan tüm verilerin bir arada değerlendirilmesiyle sistemin zayıf yönlerinin tespit edildiği, gelecekte yaşanabilecek diğer olaylara karşı alınması gereken önlemlerin tespit edildiği aşamadır. Hatalardan ders çıkarıldığı bu aşama gelecekteki saldırıların engellenmesinde büyük önem taşıyacağı için bize göre Olay Müdahalesi aşamalarının en önemlisidir.

Olay Müdahale Ekibi (SOME) Kimlerden Oluşur

SOME, başta teknik BT uzmanlarından oluşmaktadır. BT uzmanlarının yanında işleyişin hukuksal boyutunu yönetmek amacıyla hukuk departmanında çalışan görevliler de bu ekipte yer almaktadır.