Siber Saldırıda Korunmanın Dört Temel Adımı

Şirketler siber teknolojiyi her alanda kullanarak verimliliklerini artırıyorlar. Satış, pazarlama, AR-GE, satınalma, insan kaynakları üzere her bir ünite data üretiyor, işliyor ya da kullanıyor. Dijitalleşme, hakikat araçlarla düzgün kullanılırsa bedelli bir yarara dönüşürken, siber güvenlik tedbirleri hakikat kurgulanmadıysa, kolay bir ihmal nedeniyle, bedelli badireler ortaya çıkabiliyor. Örneğin; bir çalışan, ziyanlı yazılım bulaşmış bir ferdî USB belleğini şirket aygıtına taktı ve apansızın olumsuz bir olay ortaya çıktı ya da muhasebedeki bir yetkili, dikkatsizce davranarak, açmaması gereken bir maili açtı. Bu türlü bir durum ile karşılaştığınızda sorunu tespit etmek için gerekli sistemleri şirketinize kurdunuz mu? İstenmeyen bir olaya karşı bir hareket planınız; olay müdahale planlamanız var mı?

ESET uzmanları, bu tip durumlara karşı, şirketlere yol haritası olabilecek temel adımlar hakkında bilgilendirmede bulundu.

1. Hazırlık Aşaması

Rastgele bir olay gerçekleşmeden evvel, birinci etapta meydana gelebilecek problemleri en aza indirecek uygun güvenlik denetimlerini kurmak kıymetlidir. Şirket ağının yapılandırılması ve bakımı, güvenliği yapılmalıdır. Bu, sunucuları, işletim sistemlerini ve uygulamaları aktüel tutmayı, uygun halde yapılandırmayı ve makus gayeli yazılım koruması ile güçlendirmeyi içerir. Çalışanların kesinlikle eğitim almasını sağlayın.

Ağınızı kurmanın bedelli bir kısmı, ağınızda meydana gelen olayları toplamak ve tahlil etmek için gerekli tüm izleme ve günlük araçlarının yerinde olduğundan emin olmanızdan geçiyor. Bir olay müdahale kümesi kurulması, bu ekibinin şirket içinden mi şirket dışından mı oluşturulacağına karar verilmesi gerekiyor. Alacağınız karar ile ilgili ayırmanız gereken kaynak ve bütçeyi de hesaplamalısınız. Hazırlık kademesinin öteki bir noktasını dayanak grupları oluşturmaktadır. Yaşanabilecek bir olayla ilgili rastgele bir kontağı medya, ortaklar, müşteriler ve/veya kolluk kuvvetleriyle birlikte yönetmek için hukuk müşaviri ve halkla irtibatlar kümelerinin de önemli olduğunu unutmamalısınız.

2. Tespit ve Analiz

Bu evrede, olay müdahale analistleri, tüm izleme araçları ve günlükleri tarafından kendilerine sunulan çok çeşitli bilgi biçimleriyle, ağda tam olarak ne olduğunu ve neler yapılabileceğini anlamak için bilgi, tecrübe ve mantıksal düşünme gücünü ortaya koyarlar. Analistin misyonu, sıkıntıya yol açan olay dizilerini tekrar oluşturmak için olayları ilişkilendirmektir. Bunun için elinizde kullanabileceğiniz ve sizi destekleyebilecek araçlarınız olması gerekecektir. Kuşkulu olayları otomatik olarak işaretleyen ve olay yanıtlayıcıları tarafından daha fazla inceleme için tüm süreç ağaçlarını kaydeden ESET Enterprise Inspector uç nokta tespit ve müdahale tahlilleri çalışmalarınızı bu kapsamda destekleyecektir.

3. Caydırıcılık, Yok Etme ve Kurtarma

Üçüncü basamakta, güvenlik olayı müdahele kümesi tespit edilen tehditlerin daha fazla yayılmasını durdurmak için kullanacağı sisteme karar verir. Bir sunucu mu kapatılmalı, bir uç nokta mı izole edilmeli yahut katiyetle hizmetler mi durdurulmalı? Seçilen tedbire stratejisi, delilleri müdafaayı ve tedbire mühletince alınabilecek daha fazla hasar mümkünlüğünü göz önünde bulundurmalıdır. Ekseriyetle bu, tehdit altındaki sistemleri izole etmek, ağın modüllerini kısımlara ayırmak yahut etkilenen makineleri bir Sandbox’a koymak manasına gelir. Sandbox, tehdidin daha fazla izlenmesini ve daha fazla ispat toplanmasını sağlama avantajına sahiptir. Bununla birlikte, tehdit altındaki bir ana bilgisayarın sandbox’tayken daha fazla hasar görmesi tehlikesi vardır.

Hukuk müşaviri, müdahele kümesinin mümkün olduğunca fazla ispat toplaması ve belgelemesi gerektiği kararını verebilir. Bu durumda, ispatların şahıstan şahsa aktarılması titizlikle kaydedilmelidir. Zararlı yazılım tespit edildiğinde, tehdit altındaki sistemlerden silinmelidir. Kullanıcı hesaplarının devre dışı bırakılması, kapatılması yahut sıfırlanması gerekebilir. Güvenlik açıkları yamalanmalı, sistemler ve evraklar pak yedeklemelerden geri yüklenmeli, parolalar değiştirilmeli, güvenlik duvarı kuralları daha sıkı hale getirilmelidir. Olağan iş operasyonlarına tam olarak geri dönülmesi, yaşanan olaya bağlı olarak aylar sürebilir. Kısa vadede, IT yöneticilerinin tıpkı olayın tekrarlanmasını önleyebilmesi için artan yahut daha ince ayarlanmış günlük kaydı ve izleme ayarları yapılmalıdır. Uzun vadede, ağın daha inançlı bir ağa dönüştürülmesine yardımcı olacak daha kapsamlı altyapı değişiklikleri görülebilir.

4. Olay Sonrası Etkinlik

Müdahele kümesi, bir olay yapılanması ve vakit çizelgesi sağlayıp belgelemelidir. Bu, olayın temel nedenini ve tekrarlamasını yahut gibisi bir olayı önlemek için neler yapılabileceğini anlamaya yardımcı olur. Bu tıpkı vakitte tüm kümelerin kullanılan süreçlerin ve prosedürlerin aktifliğini gözden geçirmek, irtibat ve işbirliği zorluklarındaki boşlukları belirlemek ve mevcut olay müdahale planına verimlilik kazandırmak için fırsatlar arama vaktidir. Son olarak, idare olay sırasında toplanan delilleri saklama siyasetine karar vermelidir. Bu nedenle, öncelikle hukuk departmanınıza istişareden sabit diskleri silmeyin. Birden fazla kuruluş, yönetmeliklere ahenk sağlamak için iki yıl boyunca olay kayıtlarını arşivler.

Olay müdahale araç setinizi güçlü soruşturma yetenekleriyle tamamlamak isterseniz siber ESET Enterprise Inspector’ı deneyebilirsiniz.