Veri ihlallerinin sayısı her yıl artış gösteriyor. Her dakikanın kıymetli olduğu siber akın durumlarında hazırlık ve hassasiyet, aksaklık ile felaket ortasındaki farkı belirliyor. Siber güvenlik alanında dünya lideri olan ESET, siber taarruz tespit edildikten sonra atılması gereken beş adım ile ilgili tekliflerini paylaştı.
Hazırlık, tesirli olay müdahalesinin (IR) anahtarıdır. Olay müdahale grubundaki herkes ne yapacağını tam olarak biliyorsa süratli, tatmin edici ve düşük maliyetli bir tahlilin talihi daha yüksektir. Tehdit aktörleri bir ağa girdikten sonra, vakit kurbanın aleyhine işlemeye başlar. İster hassas bilgileri çalmak ve fidye istemek, ister fidye yazılımı yahut öbür berbat emelli yükleri dağıtmak istiyor olsunlar, değerli olan onları en kıymetli varlıklarınıza ulaşmadan durdurmaktır. Son araştırmalara nazaran, saldırganlar 2024 yılında birinci erişimden yanal harekete (diğer ismiyle “kaçış süresi”) evvelki yıla nazaran yüzde 22 daha süratli ilerlemiştir. Ortalama kaçış müddeti 48 dakikaydı lakin kaydedilen en süratli hücum bunun neredeyse yarısı kadar olan 27 dakika.
İhlal sonrası atılması gereken 5 adım
Hiçbir kuruluş ihlalden yüzde 100 korunamaz. Bir olayla karşılaşırsanız ve yetkisiz erişimden şüphelenirseniz süratli ancak birebir vakitte metodik bir formda hareket edin. ESET uzmanlarının paylaştığı beş adım, birinci 24 ila 48 saatte size yol gösterebilir. Odak noktası sürat olmalı lakin doğruluk yahut delillerden ödün vermeden titizlik de değerlidir.
1. Bilgi toplayın ve kapsamı anlayın
İlk adım, tam olarak ne olduğunu anlamak ve bir karşılık üzerinde çalışmaya başlamaktır. Bu, evvelden oluşturulmuş IR planınızı aktifleştirmek ve grubu bilgilendirmek manasına gelir. Bu küme, İK, Halkla Münasebetler ve Bağlantı, Hukuk ve Yönetici Liderlik dâhil olmak üzere tüm işletmeden paydaşları içermelidir. Ardından, atağın tesir alanını belirleyin: Düşmanınız şirket ağına nasıl girdi? Hangi sistemler tehlikeye girdi? Saldırganlar hâlihazırda hangi makûs niyetli aksiyonları gerçekleştirmişler?
Saldırının tesirini kıymetlendirmek için değil, birebir vakitte isimli soruşturma ve muhtemelen yasal hedefler için de her adımı belgelemeniz ve delilleri toplamanız gerekecektir. Zincirleme sorumluluk, kolluk kuvvetleri yahut mahkemelerin müdahil olması gerektiğinde güvenilirliği sağlar.
2. İlgili üçüncü tarafları bilgilendirin
Olayın ne olduğunu belirledikten sonra, ilgili makamları bilgilendirmek gerekir.
- Düzenleyici kurumlar: Ferdî olarak tanımlanabilir bilgiler (PII) çalındıysa bilgi muhafaza yahut dala mahsus yasalar kapsamında ilgili yetkililerle irtibata geçin.
- Sigorta şirketleri: Birçok sigorta poliçesi, bir ihlal meydana gelir gelmez sigorta sağlayıcınızın bilgilendirilmesini kural koşar.
- Müşteriler, ortaklar ve çalışanlar: Şeffaflık inanç oluşturur ve yanlış bilgilerin yayılmasını önler. Olayı toplumsal medyadan yahut televizyon haberlerinden öğrenmemeleri daha yeterlidir.
- Kolluk kuvvetleri: Olayları, bilhassa fidye yazılımlarını bildirmek, daha büyük kampanyaların tespit edilmesine yardımcı olabilir ve bazen şifre çözme araçları yahut istihbarat dayanağı sağlayabilir.
- Dışarıdan uzmanlar: Bilhassa şirket içinde bu çeşit kaynaklara sahip değilseniz dışarıdan hukuk ve BT uzmanlarıyla da bağlantıya geçmeniz gerekebilir.
3. İzole edin ve denetim altına alın
İlgili üçüncü taraflarla bağlantı devam ederken taarruzun yayılmasını önlemek için süratli bir biçimde çalışmanız gerekir. Etkilenen sistemleri internetten izole edin fakat ispatları yok etme riskine karşı aygıtları kapatmayın. Gaye kıymetli delilleri yok etmeden saldırganın erişimini sınırlamaktır. Saldırganların bunları ele geçirememesi ve fidye yazılımının bunları bozamaması için tüm yedeklemeler çevrim dışı ve teması kesilmiş olmalıdır. Tüm uzaktan erişim devre dışı bırakılmalı, VPN kimlik bilgileri sıfırlanmalı ve gelen makûs maksatlı trafiği ve komut ve denetim ilişkilerini engellemek için güvenlik araçları kullanılmalıdır.
4. Kaldırma ve kurtarma
Yayılma engellendikten sonra, ortadan kaldırma ve kurtarma etabına geçin. Saldırganın taktik, teknik ve prosedürlerini (TTP) anlamak için isimli tahlil yapın; birinci girişten yanal harekete ve (ilgiliyse) data şifrelemeye yahut sızdırmaya kadar. Kalan tüm berbat emelli yazılımları, art kapıları, geçersiz hesapları ve öbür güvenlik ihlali belirtilerini kaldırın.
Kurtarma ve geri yükleme kapsamında değerli aksiyonlar şunlardır: Kötü maksatlı yazılımları ve yetkisiz hesapları kaldırmak, kritik sistemlerin ve dataların bütünlüğünü doğrulamak, pak yedeklemeleri geri yüklemek (güvenlik ihlali olmadığından emin olduktan sonra), yine tehlikeye girme yahut kalıcılık düzeneklerine dair işaretleri yakından izlemek.
Kurtarma evresini yalnızca sistemleri tekrar kurmak için değil, güçlendirmek için de kullanın. Bu, ayrıcalık denetimlerinin sıkılaştırılması, daha güçlü kimlik doğrulama uygulamaları ve ağ segmentasyonunun uygulanmasını içerebilir. Geri yüklemeyi hızlandırmak için ortakların yardımını alın yahut süreci hızlandırmak için ESET’in Fidye Yazılımı Düzgünleştirme üzere araçları kullanmayı düşünün.
5. İnceleme ve iyileştirme
Acil tehlike geçtikten sonra, işiniz şimdi bitmiş sayılmaz. Düzenleyiciler, müşteriler ve öteki paydaşlar nezdindeki yükümlülüklerinizi yerine getirin. İhlalin boyutunu anladıktan sonra, düzenleyici kurumlara bildirimde bulunmak da dâhil olmak üzere, güncellenmiş bağlantı kurmanız gerekecektir. Bu hususta halkla bağlar ve hukuk danışmanlarınız öncülük etmelidir.
Olay sonrası inceleme, acı verici bir olayı dayanıklılık için bir katalizöre dönüştürmeye yardımcı olur. Ortam sakinleştikten sonra, gelecekte emsal bir olayın tekrar yaşanmasını önlemek için neler olduğunu ve hangi derslerin çıkarılabileceğini belirlemek de düzgün bir fikirdir. Nelerin yanlış gittiğini, nelerin işe yaradığını ve algılama yahut bağlantıda nerede gecikmeler yaşandığını inceleyin. IR planınızı, oyun kitaplarınızı ve eskalasyon prosedürlerinizi buna nazaran güncelleyin. IR planında yapılacak rastgele bir değişiklik yahut yeni güvenlik denetimleri ve çalışan eğitimi ipuçları için teklifler yararlı olacaktır. Güçlü bir olay sonrası kültürü, her ihlali bir sonraki olay için bir eğitim alıştırması olarak kıymetlendirir ve gerilim altında savunma ve karar verme hünerlerini geliştirir.
İhlalleri önlemek her vakit mümkün olmayabilir lakin hasarı en aza indirmek mümkündür. Kuruluşunuzun tehditleri 7/24 izlemek için gerekli kaynakları yoksa emniyetli bir üçüncü tarafın sunduğu yönetilen tespit ve müdahale (MDR) hizmetini değerlendirin. Ne olursa olsun, IR planınızı test edin ve akabinde tekrar test edin. Zira başarılı bir olay müdahalesi yalnızca BT’nin vazifesi değildir. Kuruluşun içinden ve dışından birçok paydaşın ahenk içinde çalışmasını gerektirir. Hepinizin gereksinim duyduğu çeşitten bir kas hafızası geliştirmek için çoklukla bol ölçüde pratik yapmak gerekir.
Kaynak: (BYZHA) Beyaz Haber Ajansı
