Olay yanıtı nedir?
Etkili bir olay yanıtının kurumların siber saldırıları algılamalarına, ele almalarına ve durdurmalarına nasıl yardımcı olduğunu keşfedin.
Olay yanıtı tanımı
Bir olay yanıtını tanımlamadan önce olay tanımını net bir şekilde yapmak oldukça önemlidir. BT kapsamında, bazen birbirinin yerine kullanılsa da anlamları farklı olan üç terim vardır:
- Etkinlik bir dosya oluşturma, klasör silme veya bir e-posta açma gibi sık meydana gelen zararsız eylemleri ifade eder. Bir etkinlik tek başına zararsızdır. Ancak, diğer etkinliklerle birleşerek bir tehdit teşkil edebilir.
- Uyarı bir tehdit teşkil eden veya etmeyen bir etkinlik tarafından tetiklenen bir bildirimdir.
- Olay insanlar veya otomasyon araçları tarafından gerçek bir tehdit olma ihtimali yüksek olarak değerlendirilen birbiriyle bağıntılı bir grup alarmı ifade eder. Tek başına bir alarm büyük bir tehdit oluşturmayabilir, ancak birleştiklerinde bir veri ihlaline işaret edebilirler.
Olay yanıtı, bir kurumun BT sistemleri veya verilerinde bir ihlal söz konusu olduğunu düşündüğünde aldığı eylemleri ifade eder. Yetkisiz bir kullanıcı, kötü amaçlı yazılım veya güvenlik önlemlerinin başarısız olduğuna dair bir kanıtla karşılaşılması halinde güvenlik uzmanlarının harekete geçmesi olay yanıtına örnek olarak verilebilir.
Olay yanıtı kapsamında amaç, siber saldırıları mümkün olduğunca hızlı bir şekilde ortadan kaldırmak, sistemi kurtarmak, bölgesel yasalar uyarınca ilgili müşterileri veya kamu kurumlarına bildirimde bulunmak ve gelecekte benzer nitelikte bir ihlal riskini en aza indirme konusunda bilgi edinmektir.
Olay yanıtı nasıl çalışır?
Olay yanıtı genellikle, güvenlik ekibinin güvenlik bilgileri ve olay yönetimi (SIEM) sisteminden güvenilir bir uyarı almasıyla başlar.
Böyle bir durumda, ekip üyelerinin derhal ilgili etkinliğin bir olay tanımlamasına girip girmeyeceğini doğrulaması ve ardından etkilenen sistemleri izole etmesi ve tehdidi ortadan kaldırması gerekir. Eğer olay ciddiyse ve çözümlemesi uzun sürüyorsa, kurumların yedekleme verilerini geri yüklemeleri, fidye talebi ile ilgilenmeleri veya verilerinin risk altında olduğu konusunda müşterilerini bilgilendirmeleri gerekebilir.
Bu nedenle, siber güvenlik ekibi çalışanları dışındaki bireyler genellikle yanıt sürecine dahil olur. Gizlilik uzmanları, avukatlar, işletme karar alıcıları, bir olaya ve olay sonrası sürece ilişkin kurumun yaklaşımını belirlemeye yardımcı olur.
Güvenlik olaylarının türleri
Saldırganların bir şirketin verilerine ulaşmak veya sistemlerini veya iş operasyonlarını ihlal etmek amacıyla kullandıkları farklı yöntemler mevcuttur. Bunlardan en yaygın olanlara bazı örnekler aşağıda verilmiştir:
-
Kimlik avı
Kimlik avı bir saldırganın e-posta, metin veya telefon araması gibi yollarla bilinen bir marka veya kişinin kimliğine büründüğü sosyal mühendislik türüdür. Kimlik avı saldırıları genellikle alıcıyı kötü amaçlı bir yazılımı indirmeye veya parola bilgilerini sağlamaya ikna etmeye çalışır. Bu tür saldırılar, insanların güven duygusunu suistimal ederek onları eyleme geçirmek için korku gibi psikolojik teknikleri kullanırlar. Bu tür saldırıların pek çoğunun tek bir hedefi olmayıp sadece bir kişiden istedikleri yanıtı almak amacıyla aynı anda binlerce kişiye gönderilmektedir. Ancak, bunun biraz daha gelişmiş bir versiyonu olarak hedefli kimlik avı olarak adlandırılan saldırılarda, belirli bir kişi için daha ikna edici bir mesaj oluşturmak adına daha detaylı bir araştırma yapılmaktadır. -
Kötü amaçlı yazılım
Kötü amaçlı yazılım bir bilgisayar sistemine zarar vermek veya veri çalmak amacıyla tasarlanan her türlü yazılıma verilen addır. Bunlar, virüsler, fidye yazılımı, casus yazılım ve truva atı gibi çeşitli şekillerde karşımıza çıkabilir. Kötü niyetli aktörler, donanım veya yazılımların güvenlik açıklarından yararlanarak veya sosyal mühendislik teknikleri aracılığıyla bir çalışanı ikna ederek kötü amaçlı yazımların yüklenmesini sağlarlar.
-
Fidye yazılımı
Bir fidye yazılımı saldırısında, kötü niyetli aktörler kritik verilerin ve sistemlerin şifrelenmesi için kötü amaçlı yazılımları kullanır ve ardından eğer kurban belirli bir fidye tutarını vermezse verileri halka açık hale getirmekle veya yok etmekle tehdit ederler.
-
Hizmet reddi (DoS)
Birhizmet reddi saldırısında (DDoS saldırısı), bir tehdit unsuru, bir ağı veya sistemi yoğun bir sahte trafiğe maruz bırakarak ilgili ağı veya sistemi yavaşlatmayı veya kilitlenmesini amaçlar. Bu tür saldırıların hedefinde genellikle zaman açısından ve maddi olarak zarara uğratılmaları amacıyla banka ve kamu kurumları gibi yüksek profilli kurumlar yer alırken herhangi boyutta bir kurum da bu tür bir saldırının kurbanı olabilir.
-
Ortadaki adam
Siber suçluların kişisel verileri çalmak için kullandıkları başka bir yöntem ise özel bir sohbet halinde olduklarını düşünen iki kişinin çevrimiçi sohbetine sızarak kendilerini o sohbete eklemeleridir. Mesajlara müdahale ederek, yazışmaları kopyalayarak veya belirli bir alıcıya gönderilmeden önce değiştirerek sohbet değerli verileri sağlamaları için sohber katılımcılarından birini manipüle etmeyi amaçlarlar.
-
İç tehdit
Saldırıların çoğu kurum dışı aktörler tarafından gerçekleştirilse de, güvenlik ekiplerinin aynı zamanda iç tehdit unsurlarını da göz önünde bulundurmaları gerekir. Kısıtlı kaynaklara erişim yetkisi olan çalışanlar ve diğer kişiler, yanlışlıkla veya bazı durumlarda kasıtlı olarak hassas verileri sızdırabilir.
-
Yetkisiz erişim
Güvenlik ihlallerinin çoğu hesap bilgilerinin çalınmasıyla başlar. Kötü niyetli aktörler ister kimlik avı saldırılarıyla şifreleri elde etsinler, ister genel bir şifreyi tahmin ederek bulsunlar, bir sisteme erişim sağladıktan sonra ağ keşfi yapmak veya daha hassas sistemlere ve verilere erişmelerini sağlayacak kendi öncelik düzeylerini artırmak için kötü amaçlı yazılımları yükleyebilirler.
Olay yanıt planı nedir?
Bir olaya yanıt vermek, tehdidi ortadan kaldırmak ve yönetmelik gerekliliklerini karşılamak için ekip olarak etkili ve verimli bir çalışma yürütülmesini gerekli kılar. Yüksek stres altında çalışılmasını gerektiren bu tür anlarda, telaşa kapılmak ve hatalar yapmak oldukça kolaydır. Bu yüzden, pek çok şirket bir olay yanıt planı hazırlar. Bu plan kapsamında, bir olayla karşılaşıldığında, olayın çözümlenmesi, belgelendirilmesi ve gerekli iletişimin sağlanmasına rol ve sorumluluklar ile atılacak adımlar açık bir şekilde tanımlanır.
Olay yanıt planının önemi
Büyük bir saldırıya maruz kalmak, sadece kurumun operasyonlarına zarar vermekle kalmaz. Aynı zamanda şirket müşterileri ve topluluğu nezdinde marka itibarının zedelenmesine ve hatta bazı yasal sonuçlara da sebebiyet verebilir. Bir güvenlik ekibinin bir saldırıya ne kadar hızlı bir şekilde cevap verdiğinden tutun yöneticilerin bir olaya ilişkin nasıl bir iletişim yaklaşımı benimsediğine kadar her şey, saldırının genel maliyetine etki eder.
Hasarı müşterilerinden veya kamu kurumlarından saklayan veya bir tehdidi yeterince ciddiye almayan şirketler yasal yaptırımlar ile karşılaşabilir. Bu tür hatalar genellikle, katılımcıların bir planı olmadığında görülmektedir. Olay sıcağı sıcağına yaşanırken, insanlar korku ile desteklen aceleci kararlar alma riski içindedir ve bu da en nihayetinde kuruma zarar verir.
Öte yandan, bu tür durumlar için detaylı bir şekilde hazırlanmış bir plan, çalışanların bir saldırının her aşamasında ne yapmaları gerektiğini bilmelerine yardımcı olarak çalışma sırasında alınacak bilinçsiz kararlardan kaçınmalarını sağlar. Bu şekilde, kurtarma sonrasında eğer toplum nezdinde konuya ilişkin sorular oluşursa kurum, nasıl yanıt verdiğini eksiksiz bir şekilde anlatarak müşterilerine olayı ciddiye aldığı ve daha kötü bir sonuçla karşılaşılmasının önlenmesi adına gerekli tüm adımların atıldığı güvencesini verebilir.
Olay yanıtı adımları
Olay yanıtı için benimsenebilecek çeşitli yaklaşımlar olmakla birlikte çoğu kurum, yaklaşımlarına rehberlik etmesi amacıyla güvenlik standardı organizasyonlarını temel almaktadır. SysAdmin Audit Network Security (SANS) altı adımlı yanıt çerçevesi sunan özel bir kurumdur. Bu çerçeve aşağıda sunulmuştur. Ayrıca, çoğu organizasyon ya Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) olay kurtarma çerçevesini benimsemektedir.
- Hazırlık - Bir olay meydana gelmeden önce güvenlik açıklarının azaltılması ve güvenlik ilke ve prosedürlerinin tanımlanması önemlidir. Hazırlık aşamasında, organizasyonlar zayıf oldukları noktaları belirlemek ve varlık önceliklendirmesi yapmak için bir risk analizi yaparlar. Bu aşama, güvenlik prosedürlerinin yazılması ve iyileştirilmesi, rol ve sorumlulukların tanımlanması ve risklerin azaltılması için sistem güncellemelerinin yapılmasını kapsar. Çoğu organizasyon, yeni dersler edindikçe veya teknolojik gelişmeler yaşandıkça ilkelerini ve sistemlerini geliştirmek için bu aşamayı tekrar gözden geçirir.
- Tehdit tanımlama - Herhangi bir günde güvenlik ekibi, şüpheli bir etkinliğe işaret eden binlerce uyarı alabilir. Bunların bazıları hatalı pozitiftir veya bir olay olarak tanımlanabilecek düzeye erişmez. Bir olay tespit edildiğinde, ekip ihlalin mahiyetine ilişkin detaylı bir çalışma yaparak bulgularını belgelendirir. Bu şekilde, ihlalin kaynağı, saldırı türü ve saldırganların amacı belirlenir. Ekip, bu aşamada aynı zamanda paydaşları da bilgilendirmeli ve sonraki aşamalar hakkında bilgi vermelidir.
- Tehdit kontrolü - Bir sonraki öncelik ise tehdidin mümkün olan en kısa süre içinde kontrol altına alınmasıdır. Kötü niyetli aktörlerin erişim sağladığı süre uzadıkça verecekleri zararın boyutu da artar. Güvenlik ekibi, saldırı altındaki uygulama veya sistemlerin hızlı bir şekilde ağın geri kalan kısmından yalıtılması için çalışır. Bu, saldırganların işletmenin diğer kısımlarına erişmelerini engellemeye yardımcı olur.
- Tehdidi ortadan kaldırma - Tehdit kontrol altına alındıktan sonra, ekip saldırganı ve kötü amaçlı yazılımı etkilenen sistem veya kaynaklardan kaldırır. Bunun için sistemlerin çevrimdışına alınması gerekebilir. Ekip, aynı zamanda paydaşları bilgilendirmeye devam eder.
- Kurtarma ve düzeltme - Bir olaydan kurtarma bir kaç saat sürebilir. Tehdit ortadan kaldırıldıktan sonra, ekip sistemleri geri yükler, yedekleme dosyasından verileri geri yükler ve saldırganların geri dönmemesinden emin olmak için etkilenen alanları izler.
- Geri bildirim ve geliştirme - Olay çözüldükten sonra, ekip tam olarak ne olduğunu inceler ve aynı şeyin yaşanmaması için süreçte yapılabilecek geliştirmeleri tanımlar. Bu aşamadan ders edinmek ekibin organizasyonun savunma düzeyini artırmasına yardımcı olur.
Olay yanıt ekibi nedir?
Bilgisayar güvenliği olay yanıtı ekibi (CSIRT), siber olay yanıt ekibi (CIRT) veya bilgisayar acil durum yanıt ekibi (CERT) olarak da adlandırılabilen olay yanıt ekibi, bir organizasyonda olay yanıt planının icrasından sorumlu, işlevler arası çalışanlardan oluşan bir grubu kapsar. Bu grup, tehdidi ortadan kaldıran kişilerin yanı sıra olayla ilgili kurumsal veya hukuki kararların alınmasında rol oynayan kişileri de kapsar. Böyle bir ekip genellikle şu kişilerden oluşur:
Genellikle BT direktörü olan olay yanıtı yöneticisi, yanıt sürecinin tüm aşamalarını denetler ve iç paydaşları bilgilendirir.
Güvenlik analistleri, ne olduğunu anlamak için olayı inceler. Aynı zamanda görsel kanıtlar toplamak için bulgularını belgelendirir.
Tehdit araştırmacıları, organizasyonu dışarıdan inceleyerek konuya ilişkin ek bağlam sunabilecek bilgi toplamaya çalışır.
Baş bilgi güvenliği sorumlusu veya baş bilgi işlem sorumlusu gibi yönetimden bir kişi rehberlik sağlar ve diğer yöneticiler ile irtibat görevini yürütür.
İnsan kaynakları uzmanları iç tehditlerin yönetilmesi açısından yardımcı olur.
Baş hukuk müşaviri, ekibin sorumluluk sorunlarını çözmesine yardımcı olur ve görsel kanıtlarının toplanmasını sağlar.
- Halkla ilişkiler uzmanları, medya, müşteriler ve diğer paydaşlarla dış iletişimin doğru bir şekilde koordine edilmesini sağlar.
Olay yanıt ekibi, olay yanıtının ötesinde güvenlik işlemlerini yürüten güvenlik işlemleri merkezinin bir alt kümesi olabilir.
Olay yanıtı otomasyonu
Çoğu organizasyonda, ağlar ve güvenlik çözümleri, bir olay yanıt ekibinin gerçekçi bir şekilde ele alabileceğinden çok daha fazla güvenlik uyarısı üretir. Bu ekibin, geçerli tehditlere odaklanmasını sağlamak için, çoğu işletme olay yanıtını otomasyon sistemine bağlar. Otomasyon, program aracılığıyla oluşturulmuş betiklere dayalı bir yanıt akış planı yürüterek uyarıları değerlendirmek, olayları tanımlamak ve tehditleri ortadan kaldırmak için yapay zeka ve makine öğrenimini kullanır.
Güvenlik düzenleme otomasyon ve yanıt (SOAR) işletmelerin olay yanıtlarını otomatize etmek için kullandıkları bir güvenlik aracı kategorisidir. Bu çözümler aşağıda belirtilen özellikleri sunar:
İnsanların takip etmesi gereken olayları belirlemek için verilerin birden fazla uç nokta ve güvenlik çözümü arasında ilişkilendirilmesi.
Bilinen olay türlerini yalıtmak ve bunları ele almak için önceden yazılmış bir akış planının çalıştırılması.
Analiz için kullanılabilecek eylemleri, kararları ve görsel kanıtları kapsayan incelemeye dayalı bir zaman çizelgesinin oluşturulması.
İnsan tarafından yapılacak analiz için ilgili harici bilgilerin toplanması.
Bir olay yanıt planı nasıl uygulanır?
Bir olay yanıt planı geliştirmek, biraz kulağa zorlayıcı gelse de organizasyonunuzun büyük bir olaya hazırlıksız yakalanma riskini büyük ölçüde azaltır. Bu planı geliştirmeye aşağıda açıklandığı şekilde başlayabilirsiniz:
-
Varlıkların tanımlanması ve önceliklendirilmesi
Bir olay yanıt planının ilk adımı neyi koruduğunuzu tam olarak bilmektir. Organizasyonunuzdaki kritik verileri, konumları ve işletme açısından önem düzeylerini de kapsayacak şekilde belgelendirin.
-
Olası risklerin tanımlanması
Her organizasyon farklı risklere sahiptir. Kendi organizasyonunuz için geçerli olabilecek en büyük güvenlik açıklarını belirlerken bir saldırganın bu açıklardan nasıl faydalanabileceğini değerlendirin.
-
Yanıt prosedürlerinin geliştirilmesi
Stresli bir olay sırasında, açık prosedürlerin olması olayın hızlı ve etkili bir şekilde ele alınmasına büyük ölçüde katkı sağlar. Olay tanımını yaparak başlayın ve daha sonra bir olay ile karşılaşıldığında atılacak tespit, yalıtma ve kararların belgelendirilmesi ve delil toplama da dahil olmak üzere olaydan kurtarma ile ilgili atılacak adımları belirleyin.
-
Bir olay yanıt ekibinin oluşturulması
Yanıt prosedürlerinin idrak edilmesinden ve bir olay halinde seferber olmaktan sorumlu işlevler arası bir ekip oluşturun. Bu ekip içinde rolleri açık bir şekilde tanımladığınızdan ve iletişim ve yasal sorumluluklar ile ilgili karar almaya yardımcı olabilecek diğer teknik olmayan rolleri de açıkladığınızdan emin olun. Yönetim ekibinden birini ekibin ihtiyaçları da dahil olmak üzere genel anlamda şirketin en üst düzeyinde temsil edilmesinden görevlendirin.
-
İletişim planınızın tanımlanması
İletişim planı, organizasyon içindekilere ve dışındakilere durumun ne zaman ve nasıl anlatılacağının açık bir şekilde tanımlanmasını sağlar. Hangi koşullarda yöneticileri, tüm organizasyonu, müşterileri, medya temsilcilerini veya diğer dış paydaşları bilgilendirmeniz gerektiğini tespit etmenize yardımcı olması için çeşitli senaryoları ele alın.
-
Çalışanların eğitimi
Kötü niyetli aktörler, organizasyonun her seviyesindeki çalışanları hedef alır; bu nedenle, herkesin yanıt planınızı anlaması ve bir saldırının kurbanı olduklarından şüphelenmeleri halinde ne yapacaklarını bilmeleri çok önemlidir. Kimlik avı e-postalarını tanıyabildiklerini doğrulamak için çalışanlarınızı düzenli aralıklarla test edin ve yanlışlıkla kötü bir bağlantıya tıkladıklarında veya virüslü bir eki açtıklarında olay yanıt ekibine bildirimde bulunmalarını mümkün olduğunca kolaylaştırın.
Olay yanıtı çözümleri
Organizasyonunuzu tehditlere karşı korumanın önemli bir parçası, büyük olaylara karşı hazırlıklı olmaktır. Dahili bir olay yanıt ekibinin oluşturulması size, kötü niyetli bir aktör tarafından saldırıya uğrasanız bile duruma hazırlıklı olduğunuza yönelik güven hissiyatı verecektir.
Olayları tanımlamanıza ve otomatik olarak yanıt vermenize yardımcı olmak için otomasyon sistemini kullanan Microsoft Sentinel gibi SIEM ve SOAR çözümlerinden faydalanın. Daha az kaynağa sahip organizasyonlar ise olay yanıtının birden çok aşamasını yönetebilen bir hizmet sağlayıcıdan destek alarak ekiplerini güçlendirebilir. İster kurum içi ister kurum dışı bir ekip ile olay yanıt ekibi oluşturun, burada önemli olan şey bir planınızın olmasıdır.
Microsoft Güvenlik hakkında daha fazla bilgi edinin
Microsoft tehdit koruması
En son tehdit koruması ile organizasyonunuz genelindeki olayları tanımlayın ve yanıt verin.
Microsoft Sentinel
Bulut ve yapay zeka tarafından desteklenen, güçlü SIEM çözümü ile karmaşık tehditleri ortaya çıkarın ve kararlı bir şekilde yanıt verin.
Microsoft Defender XDR
Uç noktalar, e-postalar, kimlikler, uygulamalar ve veriler genelinde saldırıları durdurun.
Sık sorulan sorular
-
Olay yanıtı, bir organizasyonun herhangi bir güvenlik ihlali durumundan şüphelendiğinde yürüttüğü tüm eylemleri kapsar. Burada amaç, mümkün olan en kısa zaman içinde saldırganların yalıtılması ve ortadan kaldırılması, veri gizliliğine ilişkin yönetmelikler ile uyumun sağlanması ve organizasyon için mümkün olan en az hasarla kurtarmanın sağlanmasıdır.
-
İşlevler arası bir ekip, olay yanıtından sorumludur. Genellikle BT ekibi, tehditleri belirleme, izole etme ve bunlardan kurtulmaktan sorumlu olacaktır, ancak olay yanıtı sadece kötü niyetli aktörleri bulup onlardan kurtulmaktan ibaret değildir. Saldırı türüne bağlı olarak, bir kişinin işletmenin bir fidye talebini nasıl ele alacağına yönelik karar vermesi gerekebilir. Hukuk müşaviri ve halkla ilişkiler uzmanları, müşterilerin ve kamu kurumlarının uygun şekilde bilgilendirilmesi de dahil olmak üzere, organizasyonun veri gizliliği hakkındaki yasalara nasıl uyum sağlayacağı konusunda yardımcı olur. Tehdidin bir çalışan tarafından gerçekleştirilmesi durumunda, insan kaynakları uygun eylem konusunda tavsiyelerde bulunur.
-
Olay yanıt ekibi CSIRT olarak da adlandırılabilir. Bu, tehdidin tespit edilmesi, izole edilmesi ve ortadan kaldırılması, kurtarma, iç ve dış iletişim, belgeleme ve görsel analiz dahil olmak üzere olay yanıtının tüm yönlerini yönetmekten sorumlu olan, işlevler arası bir ekiptir.
-
Organizasyonların çoğu tehditleri algılamak ve yanıtlamak için SIEM veya SOAR çözümleri kullanır. Bu çözümler genellikle birden çok sistemden gelen verileri toplar ve gerçek tehditleri belirlemeye yardımcı olmak için makine öğrenimini kullanır. Ayrıca, önceden yazılmış akış planlarına dayalı olarak belirli tehdit türleri için yanıtı otomatik hale getirebilirler.
-
Olay yanıt yaşam döngüsü altı adımdan oluşur:
- Hazırlık, bir olay tespit edilmeden önce yapılır ve ilgili organizasyon için olay tanımını ve bir saldırıyı önlemek, tespit etmek, ortadan kaldırmak ve bir saldırıdan kurtulmak için gerekli tüm ilke ve prosedürleri içerir.
- Tehdit tanımlama, hangi etkinliklerin gerçek tehdit olarak ele alınması gerektiğini belirlemek için hem insan analistlerinden hem de otomasyondan faydalanan bir süreçtir.
- Tehdit kontrolü, ekibin tehdidi yalıtmak ve işletmenin diğer alanlarına bulaşmasını önlemek için aldığı önlemlerdir.
- Tehdidi ortadan kaldırma, kötü amaçlı yazılım ve saldırganların organizasyonun sisteminden kaldırılması için atılan adımları kapsar.
- Kurtarma ve düzeltme, sistem ve makinelerin yeniden başlatılması ve kaybedilen verilerin tekrar yüklenmesini içerir.
- Geri bildirim ve geliştirme, ekibinin olaydan dersler çıkardığı ve bu edinilen dersleri ilke ve prosedürlere uyguladığı süreçtir.
Microsoft Güvenlik'i takip edin