Olay Müdahalesi (Incident Response)

Teknolojinin baş döndürücü gelişimi beraberinde tehlikeleri de getirmektedir. Yaygın olarak hayatımızın her alanında kullanılan teknolojilere yönelik her türlü saldırgan tutum siber olaylara neden olmaktadırlar.

Siber saldırı, bir veya birden fazla bilgisayardan karşıdaki bilgisayarlara veya ağlara yapılan veri çalmak, değiştirmek ya da yok etmek için çeşitli yöntemler kullanılarak yapılan saldırı eylemlerinin bütününe verilen isimdir.

Olay Müdahalesi (Incident Response), siber olay sırasında ve sonrasında yaşanabilecek kayıpları en aza indirgemek, maliyeti düşürmek ve kurum marka değerini korumak için uygulanan siber güvenlik sürecidir. Yani saldırı veya ihlalin sonuçlarını yönetmeye çalışma biçimi de dahil olmak üzere, veri ihlali veya siber saldırıyı ele alma sürecidir.

 Olay Müdahalesi Planı – Altı Altın Kural

1Hazırlık: Bir siber güvenlik ihlali durumunda uygulanacak politika ve prosedürlerin geliştirilmesi. Bu, müdahale ekibinin tam yapısının ve dahili ortaklara gönderilecek uyarılar için tetikleme mekanizmalarının belirlenmesini içerir. Bu sürecin kilit unsuru, ihlallere müdahale edilmesi için etkin eğitim sağlanması ve gerçekleşen eylemlerin daha sonra gözden geçirilmek üzere belgelenmesidir.

2- Tanımlama: Bu, bir ihlalin tespit edildiği ve hızlı ve odaklı bir müdahalenin sağlandığı süreçtir. BT güvenliği ekipleri, çeşitli tehdit istihbaratı akışları, saldırı tespit sistemleri ve güvenlik duvarları kullanarak güvenlik ihlallerini tespit eder. Bazı kişiler tehdit istihbaratının ne olduğunu anlamasa da bu yöntem, şirketinizin korunması açısından kritiktir. Tehdit istihbaratı profesyonelleri, mevcut siber tehdit trendlerini ve belli grupların sık kullandığı taktikleri analiz eder ve şirketinizin bir adım ileride kalmasını sağlar.

3- Kısıtlama: Tespitten sonraki adımlardan biri, hasarın kısıtlanması ve daha fazla yayılmasının önlenmesidir. Bu, belirli alt ağların çevrim dışına alınması ve operasyonları sürdürmek için sistem yedeklerine güvenilmesi yoluyla yapılabilir. İhlal kısıtlanana kadar şirketiniz muhtemelen acil durum modunda kalacaktır.

4- İmha: Bu aşama, tehdidin ortadan kaldırılmasını ve dahili sistemlerin önceki hallerine mümkün olduğunca yakın şekilde kurtarılmasını içerir. Bu aşamada, etkilenen sistemlerin daha sonraki saldırılara açık olmadığından emin olunması için ikincil bir takip gerektirebilir.

5- Kurtarma: Güvenlik ekiplerinin, etkilenen tüm sistemlerin artık güvenlik açığı içermediğini ve çalışır duruma dönebileceğini doğrulaması gerekir. Bu aşamada ayrıca operasyonların tamamen başlatılmasına ilişkin zaman çizelgelerinin belirlenmesi ve anormal ağ faaliyetlerine karşı takip yapılmaya devam edilmesi gerekir. Bu aşamada ihlalin maliyetinin ve verdiği zararın boyutunun hesaplanması mümkün olabilecektir.

6- Alınan Dersler: Çok önemli ama sıklıkla gözden kaçan bir aşama. Bu aşamada, olay müdahale ekibi ve ortaklar, gelecekteki çabaların nasıl iyileştirilebileceğini belirlemek için bir araya gelir. Bu süreç, mevcut politika ve prosedürlerin yanı sıra, ekibin olay sırasında verdiği belli kararların değerlendirilmesini de içerebilir. Nihai analiz, bir rapor haline getirilmeli ve gelecekteki eğitimler için kullanılmalıdır.