Sıfır Noktası: Bir siber saldırıyı keşfettikten sonra yapılması gereken 5 şey

Ağ savunucuları baskıyı hissediyor. Verizon'un geçen yıl soruşturduğu veri ihlallerinin sayısı, toplam olaylara oranla bir önceki yıla göre yüzde 20 arttı. Ekipler ihlallere hızlı ve kararlı bir şekilde müdahale edebildiği sürece, bu durum göründüğü kadar felaket anlamına gelmeyebilir. Ancak bu ilk dakikalar ve saatler kritik öneme sahip.

Hazırlık, etkili olay müdahalesinin (IR) anahtarıdır. Her kuruluş (ve olay) farklı olsa da, alarm zilleri çalmaya başladığında anında uydurmak istemezsiniz. Olay müdahale ekibindeki herkes ne yapacağını tam olarak bilirse, hızlı, tatmin edici ve düşük maliyetli bir çözüm bulma şansı daha yüksektir.

Hız ihtiyacı

Tehdit aktörleri ağınıza girdiğinde, zaman daralıyor. İster çalıp fidye almak için hassas verilerin peşinde olsunlar, ister fidye yazılımları veya diğer kötü amaçlı yazılımlar dağıtmak istesinler, asıl mesele onları en değerli varlıklarınıza ulaşmadan önce durdurmaktır. Bu giderek daha zorlu bir hal alıyor.

Son araştırmalar, saldırganların ilk erişim anından yanal harekete (yani "kaçış süresine") 2024'te bir önceki yıla göre %22 daha hızlı ilerlediğini iddia ediyor. Ortalama kaçış süresi 48 dakikaydı, ancak kaydedilen en hızlı saldırı neredeyse bunun yarısı kadardı: sadece 27 dakika. Bir güvenlik ihlaline yarım saatten kısa sürede müdahale edebilir misiniz?

Bu arada, IBM'e göre küresel kuruluşların bir ihlali tespit edip kontrol altına alması ortalama 241 gün sürüyor. IR'yi doğru bir şekilde uygulamak için önemli bir finansal teşvik var. Rapora göre, yaşam döngüsü 200 günden kısa olan ihlallerin maliyeti bu yıl yaklaşık %5 düşüşle 3,9 milyon ABD dolarına gerilerken, 200 günden uzun olanların maliyeti 5 milyon ABD dolarının üzerine çıktı.

Bir ihlalin ardından atılması gereken 5 adım

Hiçbir kuruluş %100 güvenlik ihlali korumasına sahip değildir. Bir olayla karşılaşır ve yetkisiz erişimden şüphelenirseniz, hızlı ama aynı zamanda sistematik bir şekilde çalışın. Bu beş adım, ilk 24 ila 48 saatinizi yönlendirmenize yardımcı olabilir. Ayrıca, bu adımlardan bazılarının eş zamanlı olarak gerçekleştirilmesi gerektiğini unutmayın. Odak noktanız hız olmalı, ancak doğruluk veya kanıttan ödün vermeden titizlik de olmalıdır.

1. Bilgi toplayın ve kapsamı anlayın

İlk adım, tam olarak ne olduğunu anlamak ve bir müdahale üzerinde çalışmaya başlamaktır. Bu, önceden oluşturulmuş IR planınızı etkinleştirip ekibi bilgilendirmek anlamına gelir. Bu grup, İK, halkla ilişkiler ve iletişim, hukuk ve üst düzey yöneticiler de dahil olmak üzere işletme genelindeki paydaşları içermelidir. Hepsinin olay sonrasında önemli bir rolü vardır.

Daha sonra saldırının patlama yarıçapını hesaplayın:

• Rakibiniz kurumsal ağa nasıl girdi?
• Hangi sistemler tehlikeye atıldı?
• Saldırganlar bugüne kadar hangi kötü niyetli eylemleri gerçekleştirdi?

Saldırının etkisini değerlendirmek için değil, aynı zamanda adli soruşturma ve muhtemelen yasal amaçlar için de her adımı belgelemeniz ve kanıt toplamanız gerekecektir. Gözetim zincirinin sürdürülmesi, kolluk kuvvetlerinin veya mahkemelerin müdahale etmesi gerektiğinde güvenilirliği garanti altına alır.

2. İlgili üçüncü taraflara bildirimde bulunun

Olan biteni tespit ettikten sonra ilgili mercilere haber vermek gerekir.

• Düzenleyiciler: Kişisel olarak tanımlanabilir bilgiler (PII) çalındıysa, veri koruma yasaları veya sektöre özgü yasalar kapsamında ilgili makamlarla iletişime geçin. ABD'de bu, SEC siber güvenlik ifşa kuralları veya eyalet düzeyindeki ihlal yasaları kapsamında bildirimi içerebilir.
• Sigortacılar: Çoğu sigorta poliçesi, bir ihlal olduğunda sigorta sağlayıcınızın en kısa sürede bilgilendirilmesini şart koşar.
• Müşteriler, iş ortakları ve çalışanlar: Şeffaflık güven oluşturur ve yanlış bilginin önlenmesine yardımcı olur. Olan biteni sosyal medyadan veya televizyon haberlerinden öğrenmemeleri daha iyidir.
• Kolluk kuvvetleri: Olayların, özellikle fidye yazılımlarının bildirilmesi, daha büyük kampanyaların belirlenmesine ve bazen şifre çözme araçlarının veya istihbarat desteğinin sağlanmasına yardımcı olabilir.
• Harici uzmanlar: Özellikle şirketinizde bu tür bir kaynak yoksa, harici hukuk ve bilişim uzmanlarıyla da iletişime geçmeniz gerekebilir.

3. İzole edin ve kontrol altına alın

İlgili üçüncü taraflara ulaşma çalışmaları devam ederken, saldırının yayılmasını önlemek için hızlı çalışmanız gerekecektir. Etkilenen sistemleri internetten izole edin, ancak kanıtları yok etme ihtimaline karşı cihazları kapatmayın. Başka bir deyişle, amaç, değerli kanıtları yok etmeden saldırganın erişimini sınırlamaktır.

Tüm yedeklemeler çevrimdışı ve bağlantısız olmalıdır, böylece saldırganlar bunları ele geçiremez ve fidye yazılımları bunları bozamaz . Tüm uzaktan erişimler devre dışı bırakılmalı, VPN kimlik bilgileri sıfırlanmalı ve gelen kötü amaçlı trafiği ve komuta-kontrol bağlantılarını engellemek için güvenlik araçları kullanılmalıdır.

4. Kaldırın ve kurtarın

Kontrol altına alındıktan sonra, yok etme ve kurtarmaya geçin. Saldırganınızın taktiklerini, tekniklerini ve prosedürlerini (TTP'ler), ilk girişten yanal harekete ve (varsa) veri şifreleme veya sızdırmaya kadar anlamak için adli analiz yapın. Kalan kötü amaçlı yazılımları, arka kapıları, sahte hesapları ve diğer tehlike işaretlerini kaldırın.

Şimdi toparlanma ve eski halimize dönme zamanı. Başlıca eylemler şunlardır:

• kötü amaçlı yazılımları ve yetkisiz hesapları kaldırma.
• kritik sistemlerin ve verilerin bütünlüğünün doğrulanması
• temiz yedekleri geri yükleme (bunların tehlikeye atılmadığını doğruladıktan sonra).
• yeniden uzlaşma veya kalıcılık mekanizmalarına dair işaretlerin yakından izlenmesi.

Kurtarma aşamasını sistemlerinizi yalnızca yeniden inşa etmek için değil, güçlendirmek için de kullanın. Bu, ayrıcalık kontrollerini sıkılaştırmayı, daha güçlü kimlik doğrulamayı ve ağ segmentasyonunu zorunlu kılmayı içerebilir. Kurtarmayı hızlandırmak için iş ortaklarından yardım alın veya süreci hızlandırmak için ESET'in Fidye Yazılımı Düzeltme gibi araçları değerlendirin.

5. Gözden geçirin ve iyileştirin

Acil tehlike geçtikten sonra, işiniz henüz bitmiş sayılmaz. Düzenleyicilere, müşterilere ve diğer paydaşlara (örneğin, iş ortakları ve tedarikçiler) karşı yükümlülüklerinizi yerine getirin. İhlalin kapsamını anladıktan sonra, muhtemelen bir düzenleyici bildirim de dahil olmak üzere güncel iletişimler gerekecektir. Halkla ilişkiler ve hukuk danışmanlarınız bu konuda öncülük etmelidir.

Olay sonrası değerlendirme, acı verici bir olayı dayanıklılık için bir katalizöre dönüştürmeye yardımcı olur. Olay yatıştıktan sonra, gelecekte benzer bir olayın tekrarlanmasını önlemek için neler yaşandığını ve hangi derslerin çıkarılabileceğini belirlemek de iyi bir fikirdir. Neyin yanlış gittiğini, neyin işe yaradığını ve tespit veya iletişimin nerede geciktiğini inceleyin. IR planınızı, kılavuzlarınızı ve yükseltme prosedürlerinizi buna göre güncelleyin. IR planında yapılacak herhangi bir değişiklik veya yeni güvenlik kontrolleri ve çalışan eğitimi ipuçları için öneriler faydalı olacaktır.

Güçlü bir olay sonrası kültürü, her ihlali bir sonraki ihlal için bir eğitim egzersizi olarak ele alır ve stres altında savunmayı ve karar vermeyi iyileştirir.

BT'nin Ötesinde

Bir ihlali önlemek her zaman mümkün olmasa da, hasarı en aza indirmek mümkündür. Kuruluşunuz tehditleri 7/24 izlemek için gerekli kaynaklara sahip değilse, güvenilir bir üçüncü taraftan yönetilen bir tespit ve müdahale (MDR) hizmeti almayı düşünün. Ne olursa olsun, IR planınızı test edin ve ardından tekrar test edin. Çünkü başarılı bir olay müdahalesi yalnızca BT'nin işi değildir. Kuruluş genelinde ve dışında birçok paydaşın uyum içinde birlikte çalışmasını gerektirir. Hepinizin ihtiyaç duyduğu türden bir kas hafızası geliştirmek genellikle bolca pratik gerektirir.