Bir CSIRT danışmanı olarak, kritik bir olayda ilk saati etkili bir şekilde yönetmenin önemini ne kadar vurgulasam azdır.
Kritik bir olayda ne yapılacağını bulmak genellikle göz korkutucu bir iştir. Ek olarak, huzursuzluk hissi genellikle bir olay müdahale analistinin etkili kararlar vermesini engeller. Bununla birlikte, soğukkanlılık ve planlı eylemler bir güvenlik olayının başarılı bir şekilde ele alınmasında çok önemlidir. Bu blog, okuyucuların daha iyi olay müdahale prosedürlerini kolaylaştırmasına yardımcı olmak için bazı önemli noktaları detaylandıracaktır.
Hazırlık önemlidir
Herhangi bir olayı üstlenmeden önce, güvenlik analistlerinin çok sayıda bilgiyi bilmesi gerekir. Başlamak için, olay müdahale analistlerinin rollerini ve sorumluluklarını bilmeleri gerekir. BT altyapısı son yıllarda hızla gelişti. Örneğin, bulut bilişim ve veri depolamaya yönelik artan hareket gözlemledik. Hızla değişen BT ortamı, genellikle analistlerin bulut güvenliği hakkında bilgi edinmek gibi beceri kümelerini güncellemelerini gerektirir. Sonuç olarak, analistlerin uygulamalı pratiğe sahip olmaları ve tüm sistemlerin topolojisinin eksiksiz bir resmini sürdürmeleri gerekecektir. Gerçek dünyada, harici CSIRT analistleri, sorumlulukları altındaki tüm varlıkları hızlı bir şekilde tanımlamalıdır. Aynı zamanda, kurum içi CSIRT analistleri de güvenlik açığı yönetimi ve keşif tarama süreçlerine aktif olarak katılmalıdır.
Toplanan bilgilerin kalitesi, olay müdahalesinin sonuçlarını belirler. Ayrıca, CSIRT analistlerinin karşılaşacakları tehditleri de anlamaları gerekecektir. Savunma amaçlı siber güvenlik teknolojileri her gün güncellenirken, tehdit aktörleri de gelişmeye hazırlanıyor. Örneğin, 2020’deki bir makaleye göre, ilk on aktif fidye yazılımı aktöründen dördü artık “Hizmet olarak fidye yazılımı” iş modelini kullanıyor. [1]. Bu model, kötü niyetli aktörlerin bu tür saldırılardan yararlanmak için teknik gereksinimlerin olmaması nedeniyle fidye yazılımlarını daha kolay dağıtacağını gösterir. Sonuçta, CSIRT ekiplerinin karşılaşabilecekleri birincil tehditleri belirlemesi gerekiyor.
Örneğin, bir CSIRT uzmanı yaygın kötü amaçlı yazılımları görebilir ve ek tehditlerin olmadığı sonucuna varabilir. Ancak bu durum, enerji sektöründe bir saldırı gibi daha hassas senaryolar için ortaya çıktığında, eleştirel düşünmek ve alışılmadık saldırı yöntemlerine bakmak zorunda kalacaklar. Olay müdahalesine etkin bir şekilde hazırlanmak için analistlerin birlikte çalışacakları altyapıya ve karşılaşacakları siber güvenlik tehdidi ortamına aşina olmaları gerekir.
Sağlam prosedürleri uygulamaya alın
Bilmek savaşın sadece yarısıdır. Alarm çaldığında kendimizi hızlı bir şekilde sakinleştirmemiz ve ilk soruya “ilk saat ne yapmalıyım?” sorusunu yanıtlamayı planlamamız gerekir. “Kritik Bir Olayın Aşamaları” makalesi, kritik bir olayın ilk saatini “kriz aşaması” olarak ifade eder ve “karışıklık, panik, olay yerine acele ve tıkanıklık ile karakterize edilir”.[2] İyi prova edilmiş CSIRT analistleri, araştırmalarında sağduyulu davranmakla iyi ederler.
Öte yandan, birçok senaryoda, bilginin belirsizliğine, sınırlı bir zaman çerçevesinde bir çözüme ulaşılamamasına ve operasyonel yetki eksikliğine yatkın olabilirler. Böyle zamanlarda, olay müdahale ekibi meseleleri kendi ellerine almalı, mesleki bilgilerini açıkça ifade etmeli ve operasyonlarını ilerletmelidir.
Soruşturma ve kök neden analizi yaparken, olay müdahale ekibi genellikle bulmacanın eksik parçalarını bulmaya takılır. Bu zorluklar şüpheye ve kararsızlığa yol açar.
Bu tür olaylarda, analistler genellikle olayın kesin olmayan bir veya daha fazla ihlal olasılığından kaynaklandığını tahmin eder. Bu durumlarda, en olası nedeni varsaymaları ve buna göre hareket etmeleri önerilir. İlk bir saat içinde zaman zorunludur. Zamanın kısıtlı olduğu bir sınava girmek gibi, ilk önce takıldığınız soruları atlayın.
Günümüzde, geniş çapta benimsenen ve tek bir düğmeye basarak ağ kapsama yetenekleri sunan Uç Nokta Tespiti ve Müdahale (EDR) teknolojileri sayesinde olay müdahalesini kontrol altına alma süreci genellikle basitleştirilmiştir. Bununla birlikte, geleneksel ağ sınırlama araçlarıyla bile, ağı kontrol altına almak her zaman kolay değildir. İnsanlar, mevcut olduğunda her zaman daha güvenli seçeneği seçmezler. Ama dedikleri gibi, üzgün olmaktansa güvende olmak her zaman daha iyidir!
Gerçekten ne olduğunu öğrenin ve boşlukları kapatın
Belki bir saat sonra hala yapbozun eksik parçaları vardır. Şimdi biraz zaman ayırıp tüm olasılıklar üzerinde düşünmek ve bir liste oluşturmak iyi bir fikirdir.
Örneğin, saldırganın bir sunucuda ters kabuk başlattığı bir güvenlik olayını ele aldım. Hemen sunucuyu kontrol altına almaya karar verdim ve tüm kanıtları topladım. Ancak ekip arkadaşlarım ve ben hala sunucunun güvenliğinin nasıl ihlal edildiğini çözemedik, bu yüzden erişilebilir tüm hizmetlerin bir listesini yaptık ve her hizmet için ilgili günlükleri inceledik.
İlk spekülasyonlar, bir BT operasyon aracını bir uzlaşma göstergesi olarak ortaya koydu. Ama sonunda, tüm olasılıkları eleyerek bu spekülasyonun üstesinden geldik ve web hizmetinde doğal bir güvenlik açığı olması gerektiği sonucuna vardık.
Zaman zaman, ihlal sonrası analiz sırasında, CSIRT analistleri noktaları birleştirmede aksiliklerle karşılaşabilir. Ancak gerçek, yeterince sabır ve doğru bir zihniyet ile her zaman galip gelecektir.
göz önünde bulundurmanız gerekenler
Sonuç olarak, kritik bir olaydan sonraki kritik bir saatlik zaman aralığını etkin bir şekilde yönetmek, yerinde öğrenmekten fazlasını gerektirir.
Teknik uzmanlıklara ek olarak, deneyimli CSIRT analistleri, varlıkları ve rakipleri hakkında kapsamlı hazırlıktan, görevlerin önceliklendirilmesinden ve gerektiğinde hızlı kararlar alınmasından ve ayrıca eleme sürecini kullanarak gerçekçi gerçekleri ayırt edebilmekten de faydalanacaktır. .
Bu, hikayelerden sadece başka bir alıntıdır. Güvenlik Gezgini. Gerçek CSIRT ve pentest operasyonları gibi diğer ilginç şeyler ve genel olarak güvenlik ortamına ilişkin tonlarca gerçek ve rakam da burada bulunabilir. Raporun tamamı Orange Cyberdefense web sitesinde indirilebilir, o yüzden bir göz atın. Buna değer!
[1] Midler, Marisa. “Bir Hizmet Olarak Fidye Yazılımı (Raas) Tehditleri.” SEI Blogu, 5 Ekim 2020, https://insights.sei.cmu.edu/blog/ransomware-as-a-service-raas-threats/
[2] “Kritik Bir Olayın Aşamaları.” Eddusaver, 5 Mayıs 2020, https://www.eddusaver.com/phases-of-a-critical-incident/
Not – Bu makale Orange Cyberdefense Güvenlik Analisti Tingyang Wei tarafından yazıldı ve katkıda bulunuldu.
