Siber Suçlarla Mücadele için Dijital Adli Bilişim ve Olay Müdahale (DFIR) Yapısı | Bölüm 2
4. SİBER SUÇ VE OLAY MÜDAHALE YAPISI
Bu bölüm Siber Suç ve Olay Müdahale Yapısını tanıtacaktır. Genel olarak yapı tanımlanacak ve ardından sürecin her adımını derinlemesine bölüm 3 de ele alacaktır.
4.1 YAPI
Aşağıdaki şekil, yapının ana Aşamalarını açıklıyor. Sonraki şekillerde, her aşamanın her Adımı sırasındaki ayrıntılı faaliyetleri açıklamaktadır.
A – Hazırlık – Bu aşama, bir olay meydana gelmeden önce gerekli olan etkinlikleri içerir. Hazırlık sırasındaki ana faaliyet Tanımlama ve Veri Toplamadır. Operasyonel taraf ile siber ekip arasındaki güçlü bağlantı bu aşamada zaten vurgulanmaktadır. SOC Siber İzleme yaparken ve temel verileri kaydederken, Tesis Kontrol Odası (FCR) süreç izleme yapıyor ve operasyonel bir Olay Günlüğünü yönetiyor.
Bu veriler, anormallik tespitini etkinleştirmek ve meydana geldiğinde olay incelemesine izin vermek için kritik öneme sahiptir. Bu aşamanın bir başka yararı da, zararlı yazılım varlığında yeni bir işlem olmaması için veri toplamanın sisteme entegre edilmesidir. Dijital ve operasyonel verileri toplarken, tüm veri kaynaklarının birleşik bir zaman çizelgesinde senkronize edildiğini doğrulamak önemlidir. Ayrıca, toplanan verilerin periyodik anlık görüntüleri, daha sonraki karşılaştırmalar için sistem temeli olarak kullanılmalıdır.
B – İlk Tanımlama ve Raporlama – Bu aşama, sistemde bir şey ortaya çıktığında başlar. Tesis Kontrol Odasında gözlemlenen operasyonel bir uyarı veya arıza olabilir ve SOC’de bir anormallik veya uyarı olabilir. Çoğu zaman tipik bir operasyonel arıza olsa da bu noktada ilgili merkezin temel bir analiz başlatması, diğer merkezi güncellemesi ve adli verileri sağlam tutmaya çalışması gerekir. Bu yerel olayın bir siber olaya dönüşmesi durumunda karşılıklı güncelleme çok önemlidir. Kısa bir analizden sonra her iki merkez de bunun tipik bir operasyonel arıza olduğu konusunda hemfikir olursa sorunu çözecek ve rutine dönecektir. Değilse, sorunu tespit eden veya başlatan merkezin durumu bildirmesi ve teknik destek için bir bilet açması gerekir. Adli Bilişim ve Olay Müdahale açısından Triyaj kavramının ele alınması gerekiyorsa, ilk yapılan müdahaledir aslında veri kaybı yaşanıyorsa anlık olarak veri çıkış ağını yönetmemiz ve hayati önem taşımıyorsa bu ağı sonlandırmamız gerekiyor. Olay Müdahalenin altın kuralı: açık sistemler kapatılmamalı, kapalı sistemler açılmamamılıdır. Açık sistemlerdeki uçucu hafıza birimlerinde yer alan bilgiler siber olayın aydınlatılmasında hayati önem taşımaktadır. Olay esanasında canlı veri üzerinde müdahaleyi önceliklendirme ve belirtilen sebeplerden dolayı ilk müdahale hayati önem taşımaktadır.
C – Teknik Olay İşleme – Bu aşama, daha önemli bir olay söz konusu olduğunda ve daha derinlemesine teknik desteğe ihtiyaç duyulduğunda başlar. Bu noktada, Teknik Destek Ekibi (Technical Support Team – TST) mühendislerinin SOC personeli ile işbirliği yapması gerekir. Her iki takım da bunun tipik bir teknik sorun olduğu konusunda hemfikirse, TST teknik destek sağlayacak ve bileti kapatır. Aksi takdirde TST, yönetimin bir durum değerlendirmesi yapmasına olanak sağlamak için gözetim zincirini kısa bir taslak raporda özetler. Durum değerlendirme kararı ya daha teknik inceleme ve desteğe geri dönebilir ya da bir sonraki aşamaya geçebilir.
Olayın bu aşamanın başından itibaren olağandışı görünmesi durumunda TST, bir sonraki aşamaya geçerken zamandan tasarruf etmek ve riskleri azaltmak için hemen bir durum değerlendirmesi toplayabilir ve Siber Olay Şüphesi olarak olayı ele alabilir.
D – Siber Olay Analizi ve Müdahalesi – Bu aşama, yönetimin olağan olay işleme sürecinden siber Olay Müdahalesine geçmeyi kabul etmesinden sonra başlar. Bu karar, sistemdeki tuhaf belirtiler veya bir siber saldırının açık bir şekilde gözlemlenmesi nedeniyle kabul edilebilir. İlk adım, olay durumunu beyan etmek ve tüm sistem paydaşlarına bildirmektir. Bu eylemin en önemli etkisi farkındalık yaratmaktır. Bu duyurunun stres ile motivasyonu artırması ve ilgili tüm ekiplerin odaklanması beklenebilir.
Eşzamanlı olarak, olay müdahale ekibinin yönetim tarafından görevlendirilmesi gerekir. Olay müdahale ekibinin ilk adımı, soruşturma için veri toplamak olacaktır. Bu verilerin bir kısmı, hazırlık aşamasındaki halihazırda toplanan verilere dayanacaktır. Ek veriler, sistemde bir şeyler değişmeden mümkün olduğunca hızlı bir şekilde toplanacaktır. Daha önce bahsedildiği gibi, olay müdahale ekibinin ek verileri yerel olarak sistemde veya uzun mesafeli bir güvenlik merkezinden toplamayı düşünmesi gerekir.
Ardından, sürekli durum değerlendirmelerine paralel olarak Adli Bilişim ve Müdahale adımları başlayacak. Adli Bilişim adımında Olay Müdahale Ekibi, olayın iyi bir şekilde anlaşılmasını sağlamak için verilerin Zamanında Analizini yapmalıdır. Yönetim durum değerlendirmelerinin kararlarını takiben Olay Müdahale Ekibi, sistemdeki Muhafaza, Yok Etme ve Kurtarma operasyonları gibi eylemleri uygulayacaktır.
E – Siber Olayın Sonlandırılması – Bu aşama, olayı sonlandırmak için yapılması gereken faaliyetlerle ilgilenir. Bazen, olayın sona erdiğini duyurmak, tüm sorunlar çözülmemiş olsa bile, sadece bir yönetim kararıdır. Ancak bu duyuru, tesisin nasıl ilerleyeceğini ve bir tür rutine nasıl geri döneceğini planlamasına izin verecektir. Daha sonra Olay Müdahale Ekibi, güvenlik seviyesini ve bir sonraki aktivitelerini iyileştirmek için öğrenilen bazı dersleri tamamlayacak ve bileti kapatırken nihai bir rapor yayınlayacaktır.
F – Olay Sonrası – Bu aşamadaki birincil aktivite, Denetimli Rutin altında çalışan bir sisteme geri dönmektir. Bu nedenle, SOC ve Tesis Kontrol Odası ‘nın izlemeyi artırması ve iyi tanımlanmış bir süre boyunca sistem davranışına odaklanması gerekir.
Olay Müdahale Ekibi, birimde farkındalığı artırmak için olaydan çıkarılan dersleri yayınlamalı ve güvenlik seviyesini güçlendirmek için nihai rapordaki tavsiyeleri uygulamalıdır. Olay Müdahale Ekibi ‘nin yapabileceği başka bir etkinlik, zararlı yazılım davranışını derinlemesine anlamak için gelişmiş adli bilişim ve tersine mühendislik işlemi yapılmasıdır.
Teşekkürler
Timothy Zimmerman ve CheeYee Tang ile Barbara Guttman’ın önemli katkılarını minnetle takdir ediyoruz.