Siber atak tespit edildikten sonra atılması gereken 5 adım

Veri ihlallerinin sayısı her yıl artış gösteriyor. Her dakikanın kıymetli olduğu siber hücum durumlarında hazırlık ve hassasiyet, aksaklık ile felaket ortasındaki farkı belirliyor. Siber güvenlik alanında dünya lideri olan ESET, siber hücum tespit edildikten sonra atılması gereken beş adım ile ilgili tekliflerini paylaştı. 

Hazırlık, tesirli olay müdahalesinin (IR) anahtarıdır. Olay müdahale grubundaki herkes ne yapacağını tam olarak biliyorsa süratli, tatmin edici ve düşük maliyetli bir tahlilin talihi daha yüksektir.  Tehdit aktörleri bir ağa girdikten sonra, vakit kurbanın aleyhine işlemeye başlar. İster hassas dataları çalmak ve fidye istemek, ister fidye yazılımı yahut öteki berbat emelli yükleri dağıtmak istiyor olsunlar, değerli olan onları en kıymetli varlıklarınıza ulaşmadan durdurmaktır. Son araştırmalara nazaran, saldırganlar 2024 yılında birinci erişimden yanal harekete (diğer ismiyle “kaçış süresi”) evvelki yıla nazaran  yüzde 22 daha süratli ilerlemiştir. Ortalama kaçış müddeti 48 dakikaydı lakin kaydedilen en süratli atak bunun neredeyse yarısı kadar olan 27 dakika. 

İhlal sonrası atılması gereken 5 adım 

Hiçbir kuruluş ihlalden yüzde 100 korunamaz. Bir olayla karşılaşırsanız ve yetkisiz erişimden şüphelenirseniz süratli fakat birebir vakitte metodik bir biçimde hareket edin. ESET uzmanlarının paylaştığı  beş adım, birinci 24 ila 48 saatte size yol gösterebilir. Odak noktası sürat olmalı lakin doğruluk yahut delillerden ödün vermeden titizlik de kıymetlidir. 

1. Bilgi toplayın ve kapsamı anlayın

İlk adım, tam olarak ne olduğunu anlamak ve bir karşılık üzerinde çalışmaya başlamaktır. Bu, evvelce oluşturulmuş IR planınızı aktifleştirmek ve grubu bilgilendirmek manasına gelir. Bu küme, İK, Halkla Münasebetler ve Bağlantı, Hukuk ve Yönetici Liderlik dâhil olmak üzere tüm işletmeden paydaşları içermelidir.  Ardından, atağın tesir alanını belirleyin: Düşmanınız şirket ağına nasıl girdi?  Hangi sistemler tehlikeye girdi? Saldırganlar hâlihazırda hangi makûs niyetli aksiyonları gerçekleştirmişler?   

Saldırının tesirini pahalandırmak için değil, tıpkı vakitte isimli soruşturma ve muhtemelen yasal hedefler için de her adımı belgelemeniz ve delilleri toplamanız gerekecektir. Zincirleme sorumluluk, kolluk kuvvetleri yahut mahkemelerin müdahil olması gerektiğinde güvenilirliği sağlar.  

2. İlgili üçüncü tarafları bilgilendirin

Olayın ne olduğunu belirledikten sonra, ilgili makamları bilgilendirmek gerekir. 

• Düzenleyici kurumlar: Şahsî olarak tanımlanabilir bilgiler (PII) çalındıysa bilgi muhafaza yahut bölüme mahsus yasalar kapsamında ilgili yetkililerle irtibata geçin. 
• Sigorta şirketleri: Birçok sigorta poliçesi, bir ihlal meydana gelir gelmez sigorta sağlayıcınızın bilgilendirilmesini kural koşar.
• Müşteriler, ortaklar ve çalışanlar: Şeffaflık inanç oluşturur ve yanlış bilgilerin yayılmasını önler. Olayı toplumsal medyadan yahut televizyon haberlerinden öğrenmemeleri daha düzgündür.
• Kolluk kuvvetleri: Olayları, bilhassa fidye yazılımlarını bildirmek, daha büyük kampanyaların tespit edilmesine yardımcı olabilir ve bazen şifre çözme araçları yahut istihbarat takviyesi sağlayabilir.
• Dışarıdan uzmanlar: Bilhassa şirket içinde bu çeşit kaynaklara sahip değilseniz dışarıdan hukuk ve BT uzmanlarıyla da irtibata geçmeniz gerekebilir.

3. İzole edin ve denetim altına alın

İlgili üçüncü taraflarla bağlantı devam ederken akının yayılmasını önlemek için süratli bir formda çalışmanız gerekir. Etkilenen sistemleri internetten izole edin fakat ispatları yok etme riskine karşı aygıtları kapatmayın. Hedef pahalı ispatları yok etmeden saldırganın erişimini sınırlamaktır.  Saldırganların bunları ele geçirememesi ve fidye yazılımının bunları bozamaması için tüm yedeklemeler çevrim dışı ve ilişkisi kesilmiş olmalıdır. Tüm uzaktan erişim devre dışı bırakılmalı, VPN kimlik bilgileri sıfırlanmalı ve gelen makûs maksatlı trafiği ve komut ve denetim kontaklarını engellemek için güvenlik araçları kullanılmalıdır. 

4. Kaldırma ve kurtarma

Yayılma engellendikten sonra, ortadan kaldırma ve kurtarma evresine geçin. Saldırganın taktik, teknik ve prosedürlerini (TTP) anlamak için isimli tahlil yapın; birinci girişten yanal harekete ve (ilgiliyse) bilgi şifrelemeye yahut sızdırmaya kadar. Kalan tüm berbat maksatlı yazılımları, art kapıları, geçersiz hesapları ve başka güvenlik ihlali belirtilerini kaldırın.  

Kurtarma ve geri yükleme kapsamında değerli hareketler şunlardır:  Kötü hedefli yazılımları ve yetkisiz hesapları kaldırmak, kritik sistemlerin ve bilgilerin bütünlüğünü doğrulamak, pak yedeklemeleri geri yüklemek (güvenlik ihlali olmadığından emin olduktan sonra), yine tehlikeye girme yahut kalıcılık sistemlerine dair işaretleri yakından izlemek.

Kurtarma kademesini yalnızca sistemleri tekrar kurmak için değil, güçlendirmek için de kullanın. Bu, ayrıcalık denetimlerinin sıkılaştırılması, daha güçlü kimlik doğrulama uygulamaları ve ağ segmentasyonunun uygulanmasını içerebilir. Geri yüklemeyi hızlandırmak için ortakların yardımını alın yahut süreci hızlandırmak için ESET’in Fidye Yazılımı Düzgünleştirme üzere araçları kullanmayı düşünün. 

5. İnceleme ve iyileştirme

Acil tehlike geçtikten sonra, işiniz şimdi bitmiş sayılmaz. Düzenleyiciler, müşteriler ve öbür paydaşlar  nezdindeki yükümlülüklerinizi yerine getirin. İhlalin boyutunu anladıktan sonra, düzenleyici kurumlara bildirimde bulunmak da dâhil olmak üzere, güncellenmiş bağlantı kurmanız gerekecektir. Bu hususta halkla bağlar ve hukuk danışmanlarınız öncülük etmelidir.  

Olay sonrası inceleme, acı verici bir olayı dayanıklılık için bir katalizöre dönüştürmeye yardımcı olur. Ortam sakinleştikten sonra, gelecekte emsal bir olayın tekrar yaşanmasını önlemek için neler olduğunu ve hangi derslerin çıkarılabileceğini belirlemek de uygun bir fikirdir. Nelerin yanlış gittiğini, nelerin işe yaradığını ve algılama yahut irtibatta nerede gecikmeler yaşandığını inceleyin. IR planınızı, oyun kitaplarınızı ve eskalasyon prosedürlerinizi buna nazaran güncelleyin. IR planında yapılacak rastgele bir değişiklik yahut yeni güvenlik denetimleri ve çalışan eğitimi ipuçları için teklifler yararlı olacaktır.  Güçlü bir olay sonrası kültürü, her ihlali bir sonraki olay için bir eğitim alıştırması olarak kıymetlendirir ve gerilim altında savunma ve karar verme marifetlerini geliştirir. 

İhlalleri önlemek her vakit mümkün olmayabilir lakin hasarı en aza indirmek mümkündür. Kuruluşunuzun tehditleri 7/24 izlemek için gerekli kaynakları yoksa sağlam bir üçüncü tarafın sunduğu yönetilen tespit ve müdahale (MDR) hizmetini değerlendirin. Ne olursa olsun, IR planınızı test edin ve akabinde tekrar test edin. Zira başarılı bir olay müdahalesi yalnızca BT’nin vazifesi değildir. Kuruluşun içinden ve dışından birçok paydaşın ahenk içinde çalışmasını gerektirir. Hepinizin gereksinim duyduğu çeşitten bir kas hafızası geliştirmek için çoklukla bol ölçüde pratik yapmak gerekir. 

 

Kaynak: (BYZHA) Beyaz Haber Ajansı