Siber Suçlarla Mücadele için Dijital Adli Bilişim ve Olay Müdahalesi (DFIR) Yapısı | Bölüm 1

Bu yazı, Siber Suçlarla Mücadele ‘de yeni bir Dijital Adli Bilişim ve Olay Müdahale (DFIR) yapısı sunan NIST (National Institute of Standards and Technology) müdahale modeline yöneliktir. Bu yapı, Olay Müdahale prosedürü sunarak Olay Müdahalenin geleneksel teknik adımlarını genişletir ve Dijital Adli Bilişim için artırılmış teknikler sağlar.

1.   GİRİŞ

1.1. Siber Suçlarla Mücadelede, Olay Müdahale Zorluğu

Geleneksel Olay Müdahale adımları, süreci yönlendiren prosedüre değil, esas olarak sürecin teknik yönlerine odaklanır. Bilgi Teknolojileri ortamlarında bir olayla uğraşırken, çoğu durumda BT sistemi tek bir birimin, yani BT biriminin tüm sorumluluğu ve kontrolü altındadır. Ancak Siber Suçlarla Mücadele ‘de durum böyle değildir. Siber Suçlarla Mücadele’de olay işlemeyi etkileyen birincil husus, sistemde bir düzeyde analiz yapan paydaşların (ör. adli bilişim uzmanları, operatörler, bakım ekipleri, mühendisler, siber analistler) sayısıdır. Sonuç olarak, açık prosedürlerin olmaması, koordinasyon eksikliği ile sorumluluk ve yetkinin net tanımlarının olmaması, gerçek zamanlı bir siber olayı yönetirken başarısızlıklara yol açabilir. Siber Suçlarla Mücadele birimlerinin sistemleri güvenilir kabul edilse de, teknik arızalar veya süreç anormallikleri gibi siber olmayan olaylar yaşanabiliyor.

1.2. Siber Suçlarla Mücadele Birimlerinde, Dijital Adli Bilişim Zorluğu

Dijital Adli Bilişim, en temel anlamda, sistemde ne olduğu, nasıl oluştuğu ve etkisinin ne olduğu gibi soruları yanıtlamak için verileri araç ve tekniklerle analiz etmekle ilgili bilimdir. Analiz seviyeleri, veri ve araç türleri, ihtiyaç duyulan beceri seviyesi ve harcanan zaman açısından farklılık gösterir.

Sibe suçlarla mücadelede, gelişen teknoloji ile kullanılan yeni cihazlar ve farklı veri türleri, Dijital Adli Bilişimi gerçekleştirmek için geniş bilgi ve beceri gerektirir. Ayrıca siber suçlarla mücadele, fiziksel dünyayla güçlü bir bağlantısı olan bir sistem türüdür. Sistemde gerçekleştirilen dijital adli bilişimle ilgili herhangi bir eylemden kaynaklanan güvenlik ve operasyon üzerindeki olası sonuçların anlaşılması büyük önem taşımaktadır. Bu nedenle, Siber Suçlarla Mücadele Personeli ile Adli Bilişim Uzmanları arasında güçlü bir bağlantı olmalıdır.

2. SİBER SUÇLARLA MÜCADELEDE DİJİTAL ADLİ BİLİŞİM VE OLAY MÜDAHALESİNE GENEL BAKIŞ

2.1.   Genel Olarak DFIR (Dijital Adli Bilişim ve Olay Müdahalesi)

2.1.1. Aktif Savunma (Active Defense)

SANS tarafından yayınlanan (https://sansorg.egnyte.com/dl/GJEumszLQX) Sliding Scale of Cyber Security programında siber güvenlik beş seviye üzerine kuruludur.  İlk iki seviye Mimari ve Pasif Savunma’dır (Architecture and Passive Defense). Bu iki seviye, düşük seviyeli ve geleneksel siber saldırıların çoğunu ortadan kaldırmak için gereken tüm temel tasarım hususlarını ve güvenlik kontrollerini içerir. Fiziksel savunma ile karşılaştırıldığında, bu seviyeler mülkün etrafındaki duvarlar ve kapılardır. Ancak duvarlar ve kapılar yeterli değil. Sofistike düşmanlara karşı tatmin edici düzeyde bir koruma elde etmek için, gözetmenler (veya siber güvenlik analistleri) bir sonraki saldırıyı aramak için sürekli etrafta dolaşmalı (veya çevreyi analiz etmelidir). Ek olarak, bir yer edinebilmeleri için istihbarat toplamaları ve düşmanı avlamak için izleme sistemlerini kullanmaları gerekiyor. Buna göre siber güvenlik programında takip eden iki seviye Aktif Savunma ve Tehdit İstihbaratıdır (Active Defense and Threat Intelligence). Son seviye, düşmanı hala kendi ortamındayken bastırmak için Saldırgan (Offensive) faaliyetlerle ilgilidir. Aktif Savunma yaklaşımının en önemli kısmı Olay Müdahalesidir.

2.1.2. Olay Müdahalesi (Incident Response)

              Siber Suçlarla Mücadele ’de Olay Müdahalesinin birincil amacı güvenli bir şekilde çalışması için sistemi kontrol altına almak ve kurtarmak için yeterli bilgiyi toplamak olan bir olayın sonraki etkilerini işlemeye ve yönetmeye yönelik organize bir yaklaşımdır. Bu bazen, her bir adli veri parçasını incelemek yerine sistemi olay öncesi durumuna derhal kurtarmaya odaklanabilen Olay Müdahalesine aykırıdır.

2.1.2. Dijital Adli Bilişim (Digital Forensics)

Dijital Adli Bilişim, adli tıp biliminin bir alt kümesidir. Bilginin bütünlüğünü korurken ve veriler için katı bir gözetim zincirini sürdürürken, bilimin verilerin tanımlanması, toplanması, incelenmesi ve analizine uygulanması olarak kabul edilir. Adli bilişim teknikleri, suçları ve iç politika ihlallerini araştırmak, güvenlik olaylarını yeniden yapılandırmak, operasyonel sorunları gidermek ve kazara oluşan sistem hasarlarını gidermek gibi birçok amaç için kullanılabilir.

              Adli Bilişim hem bir bilim alanı hem de bir sanat alanıdır. Analisti doğrudan cevaba götürecek adım adım bir kılavuz sağlamak için belirleyici bir teknik prosedürü yoktur. Yeterli bir beceri düzeyine ulaşmak için çok sayıda eğitim ve uygulama gerekir. Bu nedenle, bu yazının amacı, sürekli uygulama ve eğitimden sonra yüksek bir beceri düzeyi elde edilebilirken, belirli Dijital Adli Bilişim yeteneklerinin oluşturulmasına yardımcı olacak temel araç ve teknikleri sağlamaktır.

              Olay Müdahalesinde Adli Bilişim Teknikleri dört ana aşama içerir:

  • Toplama (Collection) – İlgili veriler tanımlanır, etiketlenir, kaydedilir ve toplanır.
  • İnceleme (Examination) – Toplanan verilerden ilgili bilgileri belirlemek ve çıkarmak için adli araçlar ve teknikler uygulanır.
  • Analiz (Analysis) – Olayın temel nedenini açıklayacak kanıta ulaşmak için bilgiler analiz edilir.
  • Raporlama (Reporting) – Sonuçları ve diğer önerileri özetleyin.

2.2. Siber Suçlarda, Dijital Adli Bilişim ve Olay Müdahalesi (DFIR) ‘nin Benzersiz Özellikleri

2.2.1. Siber Suçlarda Olay Müdahalesini etkileyen özellikler

2.2.1.1. Olay Müdahalesi sırasındaki analiz seviyeleri

Siber Suçlarda Olay Müdahale sürecini etkileyen birincil özellik, sistemde belirli düzeyde analiz gerçekleştiren paydaş sayısıdır. Normal işlemler sırasında operatörler, proses ölçümü ve kontrolü gerçekleştirmek için sensörler ve aktüatörler kullanır. Ek olarak, Security Operation Center (SOC) analistleri ağdaki ve diğer BT bileşenlerindeki uyarıları ve anormallikleri inceliyor.

Teknik bir olay sırasında bakım ekipleri, mekanik (valf mekanizması veya pompa şanzıman arızası gibi) ve elektriksel arızaları (valf aktüatörü veya pompa motoru arızası gibi) belirlemek ve çözmek için teknik bir inceleme gerçekleştirir. Ayrıca kontrol sistem mühendisleri teknik destek sağlamak için yazılım analizi yaparlar.

Bir siber olay sırasında, Olay Müdahale Ekibi olayı anlamak ve çözmek için müdahale yöntemlerini ve Adli Bilişim’i kullanır. Bir olay sonrası ekibi, olayı anlamak için derinlemesine adli bilişim (zararlı yazılım üzerinde tersine mühendislik gerçekleştirmek gibi) yapabilir.

Bu ekiplerin temel ilkeleri benzerdir. Hepsi sistemdeki bir sorunu anlamak ve buna göre yanıt vermek için verileri, araçları ve becerileri kullanır. Ana farklar, Olay Müdahalesi sırasında her ekibin ne kadar kaynak ve dikkat harcadığıdır. Herhangi bir açık prosedür eksikliği, koordinasyon eksikliği ve açık sorumluluk ve yetki tanımları, gerçek zamanlı bir siber olayı yönetirken başarısızlıklara yol açabilir. Bu yazıda, Siber Suçlarla Mücadelede Dijital Adli Bilişim ve Olay Müdahalesi çerçevesinin birincil hedeflerinden biri, bu zorluğu ele almaktır.

2.2.1.2. Bir Arıza mı yoksa Saldırı mı?

Siber olaylar genellikle arızlar ile benzer belirtilerle başlar. Bu arızalarla başa çıkmak için iki strateji vardır. Birinci seçenek, herhangi bir teknik sorunu potansiyel bir siber olay olarak ele almaktır. Bu yaklaşım hiçbir vakanın gözden kaçmamasını sağlarken diğer yandan Müdahale Ekibi birçok yanlış pozitif ve alarm yorgunluğu nedeniyle duyarsızlaşabilir.

İkinci seçenek ise sıfır siber kaygı ile düzenli teknik destek sağlamaktır. Bu şekilde, Müdahale Ekibi yalnızca karmaşık olaylar sırasında devreye girecek, ancak öte yandan gerçek siber olayların ilk aşamaları yanlış negatifler nedeniyle kaçırılabilir. Buradaki zorluk, bu iki uç stratejiyi dengelemektir. Bu yazı dizisi Siber Suçlarla Mücadele ‘deki Dijital Adli Bilişim ve Olay Müdahalesi yapısına dengeli bir yaklaşım önerir.

2.2.1.3. Olayın Anlaşılmasına Karşı Kullanılabilirlik

Olay Müdahale sürecindeki diğer bir zorluk da olay analizi yapmak için gereken süredir. Olay Müdahale Ekibi, verileri derinlemesine analiz etmek için mümkün olduğunca çok zamana sahip olmak isterken, sistem paydaşının hedefi, sistemi mümkün olan en kısa sürede tekrar çalışır duruma getirmektir. Bu zorluğun üstesinden gelmek için, olay meydana gelmeden önce mümkün olduğunca fazla veri toplamayı, olay sırasında hızlı otomasyon yeteneklerini kullanmayı ve ardından soruşturma için çevrimdışı bir adli bilişim laboratuvarı kullanmayı içerir.

2.2.2. Siber Suçlarda Adli Bilişimi etkileyen özellikler

2.2.2.1. Olay Müdahale Ekibi için Gerekli Bilgi ve Beceriler

Genel olarak siber güvenlik ve Adli Bilişim, benzersiz bir dizi beceri ve araç gerektiren geniş bilgi alanlarıdır. Aynı şey Siber Suçlarla Mücadele ve Bilgi Teknolojileri için de söylenebilir. Bu nedenle, bir Olay Müdahale Ekibi üyesi, hem Dijital Adli Bilişim tekniklerini hem de Siber Suçlarla Mücadele teknolojilerini anlama yeteneğine sahip olmalıdır. Ayrıca, süreç üzerindeki yerel veya uzaktan kontrolün kaybı, üretim kaybı, güvenlikten taviz verme, kritik altyapıyı etkileyen art arda gelen arızalar, çevresel hasar, yaralanma, kayıp gibi süreç ve güvenliği üzerindeki etki ve sonuçlarını anlamalıdırlar.

Siber Suçlarla Mücadele ‘deki bir Dijital Adli Bilişim ekibi, BT ortamlarına kıyasla sınırlı sayıda gerçek dünya olayı nedeniyle sık pratik yapamayabilir. Bu sorunu ele almak için en iyi uygulama, siber suçlarla mücadele sistemindeki teknik olayları ve arızaları çözmek ve BT Olay Müdahale Ekibine ekip üyelerini dahil etmektir. Diğer bir uygulama ise, Siber Suçlarla Mücadele ‘deki Olay Müdahale üyelerini periyodik olarak kurslar ve siber olay simülasyonları ile eğitmektir.

2.2.2.2. Eski Sistemlere Karşı Yeni Sistemler

Geleneksel olarak, siber suçlarla mücadele sistemleri, sınırlı veya yeterli adli veri veya denetim yeteneği olmayan eski teknolojileri kullanırken yavaş gelişir. Ayrıca, birçok siber suçlarla mücadele sistemi, analiz edilmesi zor olan belgelenmemiş tescilli işletim sistemlerine ve protokollere dayanmaktadır.

Eski sistem yükseltme projeleri ve yeni sistem kuruluşları, adli bilişim yeteneğini destekleyen teknolojileri, protokolleri ve mimarileri tanıtmak için iyi fırsatlardır. Bu adli yetenekler, sistem tasarımı temel gereksinimlerinin bir parçası olarak dahil edilmelidir. Tabii ki, sadece adli özelliklere sahip yeni bileşenleri devreye almak yeterli değildir. Mühendisler ayrıca sistem bileşenlerini doğru bir şekilde yapılandırmalı ve adli veriler için siber suçlarla mücadele süreçlerini etkilemeyen bir toplama mekanizması tasarlamalıdır.

2.2.2.3. Çevrimdışı ve Çevrimiçi Dijital Adli Bilişim

Ayrı bir laboratuvardaki çevrimdışı adli bilişim, soruşturmayı yürütürken zaman baskısını azaltabilir ve tesisteki güvenlik risklerini önleyebilir. Ancak çevrimdışı adli bilişim de önemli bir dezavantaja sahiptir: statik veriler. Siber suçlarla mücadele sistemlerinin BT’ye karşı birincil benzersizliklerinden biri, gerçek dünyayla olan güçlü bağlarıdır. Siber suçlarla mücadele sistemlerindeki adli bilişim, yalnızca ağ verilerini ve PC’nin süreçlerini analiz etmekle ilgili değildir. Ayrıca, endüstriyel kontrol sisteminin bileşenlerinin ve bunların süreçle olan ilişkilerinin iyi anlaşılmasını gerektirir. Bir Programlanabilir Mantık Denetleyicisi (PLC) programının davranışını ve giriş/çıkış (IO) sinyallerini gerçek zamanlı olarak incelemeden anlamak zor olabilir. Bu durumda, sistem hala çalışıyorsa, çevrimiçi adli bilişim, uygun güvenlik denetimi ve risk yönetimi altında önemli değer sağlamak için bir fırsat olabilir. Yani çevirimiçi Adli Bilişim uygun güvenlik denetimi sağlandığında bizlere RAM gibi bir hazine sunabilmektedir. Çevirimdışı olarak da detaylı analiz edilmesine yönelik olay yerinde RAM dumpının alınmasında fayda vardır.

2.2.2.4. Adli Veri Toplamanın Sistem Rutinine Entegre Edilmesi

Adli Bilişim yeteneklerini sistem tasarımına entegre etmenin yanı sıra, adli veri toplamanın iki ana nedenden dolayı sistem rutininin bir parçası olması gerekir. Birincisi, rutin operasyonlar sırasında toplanmayan adli bilişim verileri, bir olay meydana geldiğinde mevcut olmayacaktır. İkincisi, bazı gelişmiş kötü amaçlı yazılımlar, adli verilerin toplandığının farkında olabilir ve etkinliklerini azaltabilir.

Siber suçlarla mücadele sistemleri, üç ana bileşen türü üzerine kuruludur: PLC’ler ve endüstriyel ekipman, iş istasyonları ve sunucular ve ağ bileşenleri. Bu bileşenlerin tümü, temel anlık görüntüler ve Adli Bilişim için kullanılabilecek değerli dijital verileri tutabilir. İş istasyonları, sunucular ve ağ bileşenleri, BT ortamındaki aynı öğelere benzer. Fark daha çok veri içeriği ile ilgilidir. Siber suçlarla mücadele protokolleri, uygulamaları ve günlükleri BT’den çok farklı olabilir ve veri toplama için daha az uygun olabilir. PLC’ler ve endüstriyel ekipman gibi temel Endüstriyel Kontrol Sistemleri (ICS) bileşenlerinden veri toplamak çok daha zordur.

İdeal olarak, temel, tüm sistem kaynaklarından alınan verilerin periyodik anlık görüntülerini içermelidir. Ancak bu birçok ikilemi de beraberinde getirebilir.

  • Harici bir izleme merkezinden hangi veriler uzaktan toplanabilir ve cihazda yerel olarak nelerin toplanması gerekir?
  • Neler otomatik olarak toplanabilir ve nelerin manuel olarak toplanması gerekir?
  • Ne kadar veri kaydedilmeli ve ne kadar depolama alanı gerekiyor?
  • Temel anlık görüntüler ne sıklıkta alınmalı ve ne kadar süreyle saklanmalıdır?
  • Veriler cihazdan izleme merkezine akarken nasıl güvence altına alınabilir ve bütünlüğü nasıl doğrulanabilir?
  • Veriler bir Olay Müdahalesi sırasında nasıl kullanılabilir?

Kuruluşun tüm bu soruları ve daha fazlasını ele almak için bir stratejiye ve yeteneğe ihtiyacı vardır.

3. SİBER SUÇLARLA MÜCADELEDE DİJİTAL ADLİ BİLİŞİM VE OLAY MÜDAHALESİNE HAZIRLIK

              Bu bölümde, bir olay meydana gelmeden önce yapılması gereken bazı hazırlıklar ele alınacaktır. Bölümde üç ana konu üzerinde durulmuştur. İlki, Olay Müdahale Ekibinin yapısı, araçları, tesisleri ve eğitimidir. İkincisi, Adli Bilişim donanım ve yazılım araçları ve kaynaklarıdır. Üçüncüsü ise Adli Bilişim için Siber Suçlarla Mücadele saha sistemleri hazırlıklarıdır.

3.1. Olay Müdahale Ekibi

3.1.1. Görev ve Sorumluluklar

Bir Olay Müdahale Ekibi (Incident Response Team – IRT), olayları tam zamanlı bir iş olarak ele alan özel bir ekip olabilir. Çoğu durumda bu ekip, yönetim tarafından günlük işlerine ek olarak ihtiyaç duyulduğunda IRT üyesi olacak şekilde tanımlanan ve denetlenen mevcut personele dayalıdır.

Yukarıda açıklandığı gibi, siber suçlarla mücadele sistemlerinde Olay Müdahale sürecine birçok grup dahil edilmelidir. İşte takımda yer alması gereken öne çıkan rollerden bazıları. Bunun bir İnsan Kaynakları listesi değil, Rol Tabanlı bir liste olduğuna dikkat edin. Küçük bir kuruluşta, bu rollerin bir kısmı aynı personel veya dış kaynak kullanımı tarafından uygulanabilir.

  • Siber Suçlarla Mücadele Uzmanları ; Siber suçlarla mücadelede, Endüstriyel Kontrol Sistemleri ve Siber Güvenlik olarak iki alana da aşina olan uzmanlardır. Bu grup, hiyerarşik bir sırada üç tür rolden oluşmalıdır:
    • Ekip Lideri – Ekibin oluşturulmasından ve sürdürülmesinden ve diğer kuruluşlardaki yönetim ve POC’lerle arayüzlerden sorumludur.
    • Olay Lideri – Tüm sorumluları koordine eder, personele rehberlik eder, çabalara odaklanır, olayların zaman çizelgesini oluşturur, durumsal farkındalığı sürdürür, vb.
    • Veri İşleyici – Dijital veri toplama, zamanında analiz yapma, virüslü sistemleri kontrol altına alma ve temizlemeden sorumlu, yöneticileri bilgilendirir. Bu üyeler, güçlü iletişim becerilerine sahip, takım halinde ve yüksek stres altında çalışabilen, sabırlı, planlı çalışan ve gerektiğinde yardım isteyebilen bireyler olmalıdır.
  • SOC Analistleri – Güvenlik Operasyon Merkezi Analistleri, BT ve Siber Suçlarla Mücadele ortamlarını rutin olarak izler. Bu grup, sistemin temeline aşinadır ve izleme sistemlerinden gelen verileri ve uyarıları analiz etmelidir.
  • Kontrol Sistemi Mühendisleri – Aynı zamanda Teknik Destek Ekibi olarak da görev yapan kontrol sistemleri geliştirme uzmanları. Bu grup, belirli sistemlerin PLC ve HMI kodlarına en aşinadır ve beklenen sistem davranışını açıklamaya yardımcı olmalıdır.
  • Proses Operatörleri – Tesis Kontrol Odası operatörleri proses davranışına en aşina olanlardır. Kontrol Sistem Mühendisleri ile birlikte kontrol sistemi iyi anlaşılabilmektedir.
  • Tesis Bakım Ekibi – Bu yerel Tesis Bakım Ekibi, sistemdeki mekanik ve elektrik arızalarıyla günlük olarak ilgilenir ve bir araştırma sırasında faydalı olabilir.
  • BT Güvenliği – BT güvenlik departmanındaki teknoloji personeli, olay incelemesine yardımcı olmalı ve yasal gereklilikleri yorumlamalıdır.
  • Fiziksel Güvenlik – Fiziksel güvenlik personeli, konumlara erişim sağlamaya ve adli verilerin ve bölgenin fiziksel güvenliğini sağlamaya yardımcı olabilir.
  • BT Uzmanı – Genellikle, bu grup ağ oluşturma ve işletim sistemleri bilgileri konusunda yardımcı olabilir.
  • Yönetim – Bir Siber Suçlarla Mücadele Dijital Adli Bilişim süreci sırasında, yönetim temsilcilerinin dahil edilmesi ve bilgilendirilmesi esastır.
  • Diğer Dahili veya Harici üçüncü şahıslar – Zarar görmüş ortamlardan veri kurtarma, Hukuk danışmanları, Politika, Özel konular vb. gibi benzersiz faaliyetlerde Dahili veya Harici üçüncü şahıslara güvenme ihtiyacı olabilir.

3.1.2. Araç Kiti

Bir Olay Müdahale kitine dahil edilecek ek araçlar (yazılım toplama ve analiz araçlarının listesi değil) için bazı öneriler:

  • Emniyet;
    • Baretler gibi kişisel koruma ekipmanları.
    • Bant dışı iletişim yöntemleri.
  • Olay Müdahale İş İstasyonları;
    • Adli kopya alma/veri toplama araçlarına sahip bir dizüstü bilgisayar.
    • Zamanında analiz için onaylı betikler ve yazılım.
  • Ağ Araçları;
    • Fiziksel katman dönüştürücüler.
    • Beklenen bant genişliğini destekleyebilen hub.
    • Fiziksel araya girip canlı ağ trafiğini kaydedebilen depolama birimine sahip ağ kaydedici.
  • Depolama;
    • Adli kopyaları ve ağ trafiğini depolamak için birkaç yüksek hacimli Sabit Sürücü.
    • Boş CD’ler ve USB Sürücüler.
  • Yardımcılar;
    • Kablolar/Konektörler (USB, Seri, SATA, vb.)
    • Olay yeri fotoğrafçılığı için dijital kamera.
    • Tornavidalar, çoklu prizler, el fenerleri.
    • Defterler ve etiketler.
    • Prosedür kontrol listeleri.
  • Dijital Adli Veri listesi
    • Temel veri türleri.
    • Tamamlayıcı veri türleri.

3.1.3. Durum Odası

Siber suçlarla mücadele sistemiyle ilgilenmenin benzersiz yönlerinden biri, sistemdeki paydaşların sayısıdır. Örneğin, Operatörler, yerel destek ekipleri, kontrol sistemleri mühendisleri, Olay Müdahale Ekipleri, yönetim vb. Bu nedenle, herkes süreç boyunca senkronize ve güncel olmalıdır.

Durum Odası durum değerlendirmeleri için kullanılmalı ve sadece olayla doğrudan ilgili personele hizmet etmelidir. Durum Odası olayı yönetmek, yönetimden gelen soruları yanıtlamak, POC ‘lerle iletişim kurmak, zaman çizelgelerini güncellemek vb. için yerdir. Burası teknik analizin yapılacağı yer değildir; Dijital Adli Bilişim Laboratuvarında gerçekleşecek olan.

3.1.4. Eğitim ve Uygulama

Eğitim – Siber Suçlarla Mücadele Olay Müdahale Ekibi, çeşitli meslek alanlarında bilgi ve beceri kazanmak için bir eğitim yol haritasına sahip olmalıdır. Bu alanlar arasında ağ mimarisi, endüstriyel protokoller, kontrol sistemleri geliştirme, endüstriyel tesisler ve süreçler, işletim sistemleri, sanal makineler, adli araçlar ve yöntemler, siber güvenlik bileşenleri, veri analizi, komut dosyası oluşturma, olay işleme, zararlı yazılım analizi, şifre çözümleme vb. ticari ve akademik kurslar ve kendi kendine araştırma yoluyla. Örneğin bir eğitim çerçevesi, Sömürü Analizi, Tehdit Analizi, Adli Bilişm, Zararlı Yazılım Analizi ve Tehdit Avcılığı ve daha fazlası gibi çeşitli uzmanlık alanları için eğitim sağlayan SANS olabilir.

Uygulama – Adli Bilişim alanlarındaki teorik bilgi çok önemlidir ancak yeterli değildir. Gerçek Siber Suç olayları neyse ki günlük değilken, Adli ekipler becerilerini tatbikatlar ve olay simülasyonları yoluyla uygulamalıdır. Bu simülasyonlar, düzenli teknik arızalarla uğraşırken adli yöntemlerin uygulanmasından kapsamlı kurumsal ve uluslararsı Siber tatbikatlara kadar değişebilir.

Test Laboratuvarı – Olay Müdahale Ekip üyelerinin araçlarını ve eğitimlerini test etmek için bir laboratuvara ihtiyacı vardır. Kullandıkları araçlarla ilgili deneyime sahip olmalı ve her aracın kapasitesini ve sınırlamalarını anlamalıdırlar. Bu laboratuvar, siber suçlarla mücadele sistemlerindekilerle aynı yapılandırmaya sahip İş İstasyonlarını ve Donanımı, alıştırma yapmak ve zararlı yazılım örneklerini çalıştırmak için sanal-gerçek ortamları, ağ dışı olay Müdahale iş istasyonlarını ve tabii ki Olay Müdahale araçlarını içermelidir.

3.2. Dijital Adli Bilişim Laboratuvarı

3.2.1. Donanım

Adli Bilişim Laboratuvarı, verilerin toplandıktan sonra incelenmesine ve analiz edilmesine imkan vermesi gereken bir tesistir. Dijital laboratuvarlar, adli bilişim analizini desteklemek için aşağıdakiler dahil olmak üzere özel donanım gerektirir:

Ağ Geçidi İş İstasyonu (Gateway Workstation) – Bu iş istasyonunun iki ana rolü vardır. Birincisi, dijital verilerin Adli Bilişim sunucularına girilmesi için güvenli ve emniyetli bir kapı sağlamak. Bu, verileri kopyalamak ve orijinal dosyalara zarar vermeden bütünlüğünü sağlamak için bir mekanizma içermelidir. Örneğin, bazı yardımcı programlar orijinal ortamı etkilemeden CD’leri ve Sabit Sürücüleri kopyalayabilir. İkincisi, veri kaynağında zararlı yazılım bulunma olasılığının yüksek olması nedeniyle, Dijital Adli Bilişim Laboratuvarı verilerin yalnızca içeri girmesine izin vermeli ve verilerin geri dönmesini önlemelidir. Bu, orijinal verileri kopyalamak için bir veri diyotu veya tek seferlik ortam gibi tek yönlü bir bileşenle elde edilebilir.

PC’ler ve Sunucular – Bu ekipmanın tüm Adli Bilişim araçlarını barındırması gerekir. Bu bilgisayarlar için tek gereksinim, analistin tüm ihtiyaçlarını karşılamak için yeterli kaynağa ve çevresel girdiye sahip olmalarıdır. Bu iş istasyonlarının durum bilgisi olmayan makineler (Live CD gibi araçlarla) olarak kurulması düşünülebilir, böylece her Adli Bilişim süreci temiz bir işletim sistemi ile başlayacaktır. Benzer bir sonuç bir Sanal Makine platformu ile elde edilebilir.

Endüstriyel Bileşenler – Bu kısım, bir Dijital Adli Bilişm laboratuvarı için çok önemlidir. Dijital Adli Bilişim sürecinin bir parçası olarak, adli verilerin gerçek çalışma ortamına mümkün olduğunca yakın bir şekilde incelenmesi gerekir. Birçok nedenden dolayı, virüs bulaşmış sistemde yerel bir Adli Bilişim gerçekleştirmek imkansız olabileceğinden, Adli Sayısal laboratuvar, gerçek ortamın öykünmesine izin vermek için PLC’ler ve endüstriyel ekipman gibi bazı fiziksel endüstriyel bileşenleri içermelidir.

3.2.2. Yazılım

Dijital Adli Bilişim Laboratuvarın bu katmanı, birkaç gruptan yazılım araçlarını içermelidir:

Sanal Makine – İş istasyonunun yerel işletim sistemi yerine bir sanal makine platformunda çalışmak için pek çok iyi neden vardır; amaçları, zararlı yazılım kodları analiz etmek ve çalıştırmak için güvenli bir çalışma ortamı sağlamaktır. Sanal Makine, kuruluşlardaki farklı siber sistem özelliklerine uygun farklı kurulumların oluşturulmasına olanak tanır (örn. tam işletim sistemi sürümü vb). Diğer bir avantajı da herhangi bir Adli Bilişim sürecini bilinen temiz bir noktadan başlatabilme yeteneğidir. Bu, VM anlık görüntü özelliği kullanılarak elde edilebilir. Bu çok kullanışlıdır çünkü Adli Bilişim verileri potansiyel olarak dijital zararlı yazılımları içerir.

BT Tabanlı Adli Bilişim araçları – Bu kategori, genellikle BT ortamları için kullanılan ve siber suçlarla mücadele sistemlerine uygulanabilen Adli Bilişim araçlarını içerir. Bu, Ağ verilerini, Günlükleri, Belleği, Dosyaları, İşlemleri vb. analiz etmek için araçlar içermelidir. Ayrıca Ağ cihazları, İşletim sistemleri, Sunucular ve PC’ler için yapılandırma araçlarını da içermelidir.

Siber Suçlarla Mücadele Tabanlı Adli Bilişim araçları – Bu kategori, siber suçlarla mücadele cihazları Yapılandırma, Geliştirme ve Bakım için özel araç ve uygulamaları içerir. Bu araçlar, PLC’lere ve Endüstriyel ekipmanın yazılımına, bellenimine ve tanılamaya, erişime izin vermelidir.

Kontrol Sistemlerini Taklit Etme – Dijital Adli Bilişim Laboratuvarı Programlanabilir Mantık Denetleyici (PLC) gibi fiziksel donanımlarla genişletmek, analiz sürecini önemli ölçüde iyileştirebilir. Ancak, özellikle kapsamlı bir siber suç analiz sistemini simüle ederken bunu yapmak her zaman mümkün değildir. İnsan Makine Arayüzü (HMI), Açık Platform İletişim İstemcisi (OPC), PLC emulator, Honeypots vb. kurularak yazılım tabanlı emülasyon uygulanabilir.

3.3. Siber Suç Analiz Sistemleri Alanında Hazırlıklar

Sistem Saati – Adli Bilişim Uzmanı, toplanan verileri değerlendirirken zamanın bağlamını oluşturabilmelidir. Bazı kuruluşlar, alan genelinde zamanın her yerde olduğundan emin olmak için Global Konumlandırma Sistemini (GPS) veya diğer yetkili saatleri kullanır. Bununla birlikte, ağ gecikmesinin cihazlar arasında önemli zaman farklarına yol açabilmesi alışılmadık bir durum değildir. Ağ Zaman Protokolü (NTP), bu gecikmeyi tahmin etmek ve hesaba katmak için kullanılabilir ve bazı kuruluşlar her iki yöntemi de kullanır.

Toplama yöntemlerini yükleyin – Rutin ve bir olay sırasında adli verilerin toplanmasını sağlamak için uygun bir mimari planlanmalıdır. Ayrıca toplama noktaları ve toplama mekanizmaları da hazırlanmalıdır. Olay ele alınırken bu tür teknik ayarlamalar yapılmamalıdır.

Adli verilere izin verilmesi – Adli verileri oluşturmak ve toplama merkezine aktarmak için sistem bileşenlerinin yapılandırılması gerekir. Ağ trafiğini toplamak için iletişim anahtarında gerekli ayarlar yapılmalıdır. Ayrıca, her uç noktada log oluşturmaya izin vermek ve araştırma için gerekli tüm verilerin başlangıçta üretildiğinden emin olmak gerekir.

Adli Veri Toplamanın Sistem Rutinine Entegre Edilmesi – Yukarıda bahsedildiği gibi, adli veri toplama sistem rutininin bir parçası olmalıdır. Sistemi adli veri toplamaya alıştırmak için proje dosyaları yedekleri, güvenlik logları, ağ trafiği ve hatta yapılandırma dosyaları ve zaman zaman bellek dökümü gibi temel adli verilerin toplanması gerekir.

Teşekkürler

Timothy Zimmerman ve CheeYee Tang ile Barbara Guttman’ın önemli katkılarını minnetle takdir ediyoruz.