Incident Response (Olay Müdahalesi)

olay müdahalesiNedir?

Kurum içi personel ihlalleri, bilinçsizce yapılan kullanıcı hataları, zararlı yazılımlar ve korsanlar gibi sebeplerden ötürü, ağ ve sistem güvenliğine karşı oluşabilecek saldırılarda ya da güvenlik ihlallerinde durumun tespitini, takibini ve raporlanmasını, kısaca yönetimini ön gören organize bir yaklaşımdır.

Ne İşe Yarar?

Normal iş akışının seyrine engel olabilecek her hangi bir kriz durumunda, sistemin verimliliğini etkilemeden, kazanç ve zaman kaybına yol açmadan olay yönetiminin gerçekleştirilmesini amaçlar. Zararın en aza indirmeyi amaçlarken; ihlalin tanımlanmasını, yayılmanın önlenmesini, delillerin bozulmadan korunmasını, hasarın geri kazanılması, olayın incelenmesini ve olay takibini sağlar.

Hangi Durumlarda Uygulanmalı?

Planlama esnasında hangi koşulların olay müdahalesi gerektirdiği, hangi koşullarda hangi prosedürlerin izlenmesi gerektiği, hangi birimlerin alakalı oldukları açıkça belirtilmelidir.

Plan içerisinde listelenen her hangi bir senaryo gerçekleştiğinde ya da gerçekleşmesine zemin oluşturduğunda, ilgili adımlar takip edilerek olaya müdahalenin gerçekleştirilmesi gerekmektedir.

Aşağıdaki örnekler olası müdahale gerektiren olaylara örnek olarak verilebilir.

  • Kurum içi hassas bilgilerin sızdırılması
  • Kullanılan servislerin pasif durumda olması
  • Sistemlerde fiziksel zararların meydana gelmesi
  • Zararlı yazılım tehdidinin bulunması
  • Yetki dışı veriye ya da sisteme erişim sağlanması
  • Güvenlik politikalarının ihlali

Adımları Nelerdir?

Bir olayla etkili bir şekilde başa çıkabilmek için öncelikli olarak olay müdahale planlamasının yapılmış olması, sonrasında müdahalede bulunacak ekibin kurulması ve eğitilmesi, araçların temini, olası tehditlerin tespiti ve gerekli önlemlerin alınması gerekmektedir.

Olay esnasında izlenecek adımlar:
– Teşhis ve Değerlendirme

  1. Olayın Analizi
  2. Dokümantasyon Oluşturulması
  3. Olayın Ölçeklendirilmesi
  4. Olay Bilgilendir

– Olaya Müdahale

  1. Önlem Stratejisinin Seçimi
  2. Delillerin Toplanması
  3. Saldırganın Teşhisi
  4. Tehdidin Yok Edilmesi
  5. Hasarın Kurtarılması

Sonrası?

Müdahale sonrası yapılacaklar kısaca şu şekilde listelenebilir:

  • Öğrenilen Dersler: En çok atlanan ve en önemli bölümlerden birisi öğrenme ve geliştirmedir. Olay ile nasıl başa çıkıldığının analiz edilmesi ve elde edilen kazanımların gerçekleşebilecek bir sonraki olaylara nasıl aksettirilebileceği hakkında çıkarımlarda bulunmaya yardımcı olur.
  • Toplanan Olay Verilerinin Kullanımı: Öğrenilen dersler adımı sonrasında üretilen soyut ve somut veriler sonrası, zayıflıklara karşı kurum içerisinde nasıl bir performans sergilendiği, zaman içerisinde yaşanan değişikliklerin uygulanan çözüm üzerindeki etkileri gibi değerlendirmeleri yaparak olay müdahalesinin denetlenmesi sağlanır.
  • Delillerin Saklanması: Olay sonrası elde edilen delillerin nasıl ve ne kadar süre saklanmasının gerektiğinin belirlenmesi sağlanır. Soruların yanıtları aranırken; delillerin yargı mercilerinde kullanılıp kullanılmaması, kurum içi veri saklama politikaları ve ortaya çıkacak maliyet önemli etkenlerdir.