- 8 Ocak 2017
- 1,219
- 2
Merhabalar, bu yazıda Incıient Response olarak bildiğimiz Olay Müdahelesindeki 7 temel adımı kısaca anlatıyor olacağım.
Olay Müdahelesi, bir siber olay gerçekleştiği zaman olaya müdahele edecek takım olan CSIRT (Computer Securty Incident Response Team) tarafından olaya karşı verilen cevap, açığın kapatılması ve olaya yönelik uzun vadeli çözümlerin sağlanmasını içeren geniş bir süreçtir.
1. Adım: Pre-Incident Preparation
Bu adımda olay meydana gelmeden önce takım ve şirket hazırlanır. Şirkette bir siber olay meydana gelirse çalışanların vereceği tepki ve güvenlik ekibinin vereceği tepki planlanır. CSIRT'in kullanacağı toollar hazırlanır ve tüm çalışanlar siber olaya karşı nasıl davranmalarına yönelik eğitimler alır.
2. Adım: Detection of Incidents
Bu adımda ise olası güvenlik olayları belirlenir. Yapılan ana saldırı dışında farklı siber olayların gerçekleşip gerçekleşmediği ve olabile ihtimali mümkün olan siber olaylar araştırılır.
3. Adım: Initial Response
Initial Response, siber olaya karşı ilk cevabın verildiği aşamadır. Olay müdahele ekibi toplanarak olayla ilgili bilgi sahibi olması gereken kişi bilgilendirilir ve olay araştırmaya başlanılır.
4. Adım: Formulate Response Strategy
Initial Response aşamasında elde edilen bilgiler doğrultusunda olaya karşı verilebilecek en iyi yanıtın yani açıkları kapatmak için uygulanabilecek en iyi stratejinin kararlaştırılıp formülize edildiği aşamadır. Ayrıca olayla ilgili hangi hukuki, adli ve idare işlemlerin yapılması gerektiği de bu adımda kararlaştırılır.
5. Adım: Investigate the Incident
Geniş bilgi toplama işlemlerinin yapıldığı adımdır. Bu adımda olayla ilgili her türlü ayrıntı araştırılır, şirket çalışanları dahi sorgulanabilir. Olay ne zaman gerçekleşti, kim gerçekleştirdi, nasıl ve niçin gerçekleşti, ileride gerçekleşme ihtimali var mı varsa nasıl engellenir gibi sorulara cevap aranır.
6. Adım: Reporting
Belkide işin en sıkıcı ama en önemli kısmı 6. adım olabilir. Elde edilen bilgiler ve yapılan geniş çaplı soruşturma sonucu ortaya çıkan tüm detaylar raporlaştırılarak iletilmesi gereken yetkili kişi veya kurumlara sunulur.
7. Adım: Resolution
Son aşama çözüm aşamasıdır. Bu aşamada güvenlik önemleri ve prosedür değişiklikleri uygulanır. Olaydan dersler çıkarılır ve ilerleyen tarihlerde aynı kategoride veya bu olaydan kaynaklanan yeni bir olayın gerçekleşme ihtimali ortadan kaldırılır. Ayrıca sorunla ilgili uzun vadeli düzeltmeler yapılır
Kaynak: Incident Response & Computer Forensics 2. Ed.
Olay Müdahelesi, bir siber olay gerçekleştiği zaman olaya müdahele edecek takım olan CSIRT (Computer Securty Incident Response Team) tarafından olaya karşı verilen cevap, açığın kapatılması ve olaya yönelik uzun vadeli çözümlerin sağlanmasını içeren geniş bir süreçtir.
1. Adım: Pre-Incident Preparation
Bu adımda olay meydana gelmeden önce takım ve şirket hazırlanır. Şirkette bir siber olay meydana gelirse çalışanların vereceği tepki ve güvenlik ekibinin vereceği tepki planlanır. CSIRT'in kullanacağı toollar hazırlanır ve tüm çalışanlar siber olaya karşı nasıl davranmalarına yönelik eğitimler alır.
2. Adım: Detection of Incidents
Bu adımda ise olası güvenlik olayları belirlenir. Yapılan ana saldırı dışında farklı siber olayların gerçekleşip gerçekleşmediği ve olabile ihtimali mümkün olan siber olaylar araştırılır.
3. Adım: Initial Response
Initial Response, siber olaya karşı ilk cevabın verildiği aşamadır. Olay müdahele ekibi toplanarak olayla ilgili bilgi sahibi olması gereken kişi bilgilendirilir ve olay araştırmaya başlanılır.
4. Adım: Formulate Response Strategy
Initial Response aşamasında elde edilen bilgiler doğrultusunda olaya karşı verilebilecek en iyi yanıtın yani açıkları kapatmak için uygulanabilecek en iyi stratejinin kararlaştırılıp formülize edildiği aşamadır. Ayrıca olayla ilgili hangi hukuki, adli ve idare işlemlerin yapılması gerektiği de bu adımda kararlaştırılır.
5. Adım: Investigate the Incident
Geniş bilgi toplama işlemlerinin yapıldığı adımdır. Bu adımda olayla ilgili her türlü ayrıntı araştırılır, şirket çalışanları dahi sorgulanabilir. Olay ne zaman gerçekleşti, kim gerçekleştirdi, nasıl ve niçin gerçekleşti, ileride gerçekleşme ihtimali var mı varsa nasıl engellenir gibi sorulara cevap aranır.
6. Adım: Reporting
Belkide işin en sıkıcı ama en önemli kısmı 6. adım olabilir. Elde edilen bilgiler ve yapılan geniş çaplı soruşturma sonucu ortaya çıkan tüm detaylar raporlaştırılarak iletilmesi gereken yetkili kişi veya kurumlara sunulur.
7. Adım: Resolution
Son aşama çözüm aşamasıdır. Bu aşamada güvenlik önemleri ve prosedür değişiklikleri uygulanır. Olaydan dersler çıkarılır ve ilerleyen tarihlerde aynı kategoride veya bu olaydan kaynaklanan yeni bir olayın gerçekleşme ihtimali ortadan kaldırılır. Ayrıca sorunla ilgili uzun vadeli düzeltmeler yapılır
Kaynak: Incident Response & Computer Forensics 2. Ed.
