Olay Müdahalesi nedir?

Olay müdahalesi, kurumların bir siber saldırıyla başa çıkmak ve saldırılara yanıt vermek için kullandığı yöntemdir. Bir saldırı veya veri ihlali, müşterileri, fikri mülkiyet unsurlarını, şirketin zamanını ve kaynaklarını ve marka değerini etkileyerek büyük zararlar verebilir. Olay müdahalesi, bu zararı azaltmayı ve olabildiğince hızlı şekilde toparlanmayı hedefler. Soruşturma, saldırıdan dersler alınması ve geleceğe daha iyi hazırlanılması için temel unsurlardan biridir. Günümüzde pek çok şirket bir noktada güvenlik ihlalleriyle karşılaştığından, iyi tasarlanmış ve tekrarlanabilir bir olay müdahale planı, korunmanın en iyi yollarından biridir.

Siber saldırıların ölçeği ve sıklığı arttıkça, olay müdahale planları şirketlerin siber savunmaları açısından hayati bir hal almaktadır. Olaylara iyi müdahale edilememesi, müşterilerin güvenini azaltabilir ve hükumetlerin daha sıkı düzenlemeler getirmesine neden olabilir. Target’ın etkin bir dahili güvenlik altyapısı oluşturmak konusundaki sürekli başarısızlığı, şirketin 2013’te uğradığı güvenlik ihlalini çok daha kötü bir hale getirmiştir. Equifax’ın 2017’de uğradığı saldırıya ilişkin bilgileri kamuoyuyla paylaşmama kararı da şirketin markasına ciddi bir zarar vermiştir. Hangi sektörde olursanız olun, olaylara etkin bir şekilde müdahale etmek, kritik bir önem taşır.

SANS Institute’a göre, şirketler, olay müdahalesi çalışmalarına liderlik etmesi için “Bilgisayar Olayı Müdahale Ekiplerine” (CIRT) güvenmelidir.. Bu ekip, üst yönetim uzmanlarından, BT, bilgi güvenliği ve varsa BT denetmenlerinin yanı sıra şirket sistemlerine doğrudan temas içeren bir olay olduğunda yardımcı olabilecek fiziksel güvenlik personelinden oluşur. Olay müdahalesi, aynı zamanda İK, hukuk, PR ve iletişim departmanları tarafından da desteklenmelidir.

SANS Institute’a göre, bir müdahale planının altı adımı vardır:

Hazırlık: Bir siber güvenlik ihlali durumunda uygulanacak politika ve prosedürlerin geliştirilmesi. Bu, müdahale ekibinin tam yapısının ve dahili ortaklara gönderilecek uyarılar için tetikleme mekanizmalarının belirlenmesini içerir. Bu sürecin kilit unsuru, ihlallere müdahale edilmesi için etkin eğitim sağlanması ve gerçekleşen eylemlerin daha sonra gözden geçirilmek üzere belgelenmesidir.

Tanımlama: Bu, bir ihlalin tespit edildiği ve hızlı ve odaklı bir müdahalenin sağlandığı süreçtir. BT güvenliği ekipleri, çeşitli tehdit istihbaratı akışları, saldırı tespit sistemleri ve güvenlik duvarları kullanarak güvenlik ihlallerini tespit eder. Bazı kişiler tehdit istihbaratının ne olduğunu anlamasa da bu yöntem, şirketinizin korunması açısından kritiktir. Tehdit istihbaratı profesyonelleri, mevcut siber tehdit trendlerini ve belli grupların sık kullandığı taktikleri analiz eder ve şirketinizin bir adım ileride kalmasını sağlar.

Kısıtlama: Tespitten sonraki adımlardan biri, hasarın kısıtlanması ve daha fazla yayılmasının önlenmesidir. Bu, belirli alt ağların çevrim dışına alınması ve operasyonları sürdürmek için sistem yedeklerine güvenilmesi yoluyla yapılabilir. İhlal kısıtlanana kadar şirketiniz muhtemelen acil durum modunda kalacaktır.

İmha: Bu aşama, tehdidin ortadan kaldırılmasını ve dahili sistemlerin önceki hallerine mümkün olduğunca yakın şekilde kurtarılmasını içerir. Bu aşamada, etkilenen sistemlerin daha sonraki saldırılara açık olmadığından emin olunması için ikincil bir takip gerektirebilir.

Kurtarma: Güvenlik ekiplerinin, etkilenen tüm sistemlerin artık güvenlik açığı içermediğini ve çalışır duruma dönebileceğini doğrulaması gerekir. Bu aşamada ayrıca operasyonların tamamen başlatılmasına ilişkin zaman çizelgelerinin belirlenmesi ve anormal ağ faaliyetlerine karşı takip yapılmaya devam edilmesi gerekir. Bu aşamada ihlalin maliyetinin ve verdiği zararın boyutunun hesaplanması mümkün olabilecektir.

Alınan Dersler: Çok önemli ama sıklıkla gözden kaçan bir aşama. Bu aşamada, olay müdahale ekibi ve ortaklar, gelecekteki çabaların nasıl iyileştirilebileceğini belirlemek için bir araya gelir. Bu süreç, mevcut politika ve prosedürlerin yanı sıra, ekibin olay sırasında verdiği belli kararların değerlendirilmesini de içerebilir. Nihai analiz, bir rapor haline getirilmeli ve gelecekteki eğitimler için kullanılmalıdır. Forcepoint, ekibinizin önceki olayları analiz etmesine ve müdahale prosedürlerinizin iyileştirilmesine yardımcı olabilir. Kurumunuzun korunabilmesi için, sürekli öğrenme içeren ve ağınızı kötü amaçlı kişilere karşı sağlamlaştıran kararlı bir çaba gerekir.

Daha fazla bilgi için blog yazımızı okuyun: "Data breach response plan: best practices in 2019."

Siber saldırılar kaçınılmaz gibi görünse ve kurumunuzun bir olay müdahale planına sahip olması iyi bir fikir olsa da Forcepoint olayların içeriden önlenmesine yardımcı olabilir. Forcepoint Insider Threat kritik sistemlere yönelik potansiyel tehditleri belirleyin.