Siber Olaylara Hazırlık Aşamaları
Siber saldırıları ve olayları günümüzün doğal afetleri olarak tanımlayabiliriz. Ne zaman karşılaşacağımızı önceden tahmin etmemizin mümkün olmadığı fakat hazırlıksız yakalandığımızda çok büyük kayıplar yaşamamızın içten bile olmadığını söylemek çok da yanlış olmayacaktır. Aynı zamanda siber saldırıların yaşandığı durumlar, kayıpların büyük olabileceği tahmin edilebildiğinden kriz anlarıdır. Bu krizi iyi yönetip hasarsız yada en az hasarla atlatabilmemiz için profesyonel bir hazırlık sürecinden geçmemiz gerekmektedir.
Bu yazımda, bir siber olay yaşamadan önce temel olarak nelere dikkat etmemiz gerektiğini ana başlıklar halinde açıklamaya çalışacağım.
Siber saldırı ile siber olayı birbirinden ayırmalıyız.
Yaşadığımız her bir siber saldırı siber olay olarak sonuçlanmayacaktır. Siber saldırılar girişim olarak kalırken siber olaylar ciddi sonuçlar doğurabilir. Burada hem bağlı olduğumuz regülasyonlara hem de bulunduğumuz organizasyona özel siber olayın tanımı yapmalıyız. Siber olayı tanımlarken kurumumuzun Olay Yönetimi Politikası’ndan faydalanmalıyız. Ayrıca teknik ayrımlar yapabilmek için Cyber Kill Chain, Mitre ATT&CK gibi yapılardan faydalanabiliriz.
Etkin bir siber olaylara müdahale ekibi kurmalıyız.
Siber olay müdahalesi ciddi bir bilgi birikimi gerektirmektedir. Siber saldırganın kullandığı teknik taktik ve prosedürlerin müdahale eden analistler tarafından yorumlanabilmesi, teknikler karşısında alınabilecek önlemlere hakim olunması gerekmektedir. Bu yüzden siber olaylara müdahale edecek analistlerin bilgi birikimini attırmak amacıyla eğitim planlamalarının yapılması ve deneyimli çalışanlara yatırım yapılması oldukça önemlidir.
Organizasyona özgü siber olaylara müdahale politikası ve planı oluşturmalıyız.
Siber Olaylara Müdahale Planı, organizasyonun genel çerçevede bir siber olayı nasıl ele aldığını açıklayan plan dokümanıdır. Müdahalede görev alacak tüm ekiplerin rol ve sorumlulukları bu dokümanda belirtilir. Planı hazırlamadan önce, NIST tarafından yayınlanan “Computer Security Incident Handling Guide”’ın mutlaka okunmasını tavsiye ediyorum.
Her organizasyonun korumaya çalıştığı değerli varlığı ve müdahale şekli farklılık gösterebilmektedir. Bu sebeple her organizasyonun Siber Olaylara Müdahale Planını kendine özgü olarak oluşturması gerekmektedir.
“Önleme Planı” (Containment Plan) oluşturmalıyız.
Siber olayı tespit ettikten sonraki ilk aşamalardan biri saldırganın aktivitelerini ve yayılmasını engellemektir. Önleme aşamasında, saldırgan çeşitli yöntemlerle izole edilir ve sistemler ile bağlantısı kesilmesi amaçlanır. Kulağa kolay gelse de aslında birçok dinamiği içerisinde barındıran, uzun soluklu bir iştir. Siber olayın “kök sebebine” göre ve tespit edilene kadar ki süreç içerisinde ne kadar yayıldığına göre izolasyon yöntemi değişebilir. Aynı zamanda izolasyon yönteminin kurumun iş sürekliliğini doğrudan ya da dolaylı olarak etkilememesine de dikkat edilmelidir. Bu plan hazırlanırken kurum içerisinde bulunan iş sürekliliğinden ve teknik altyapıdan sorumlu olan ekiplerden destek almak, doğru zamanda doğru müdahalenin yapılmasında fayda sağlayacaktır.
Uzmanlık ve teknik alt yapı gerektiren konularda üçüncü partilerden destek almaktan çekinmemeliyiz.
Adli bilişim gibi güçlü bir laboratuvar ve ciddi teknik bilgi gerektiren niş konular için uzman ekiplerden destek almaktan çekinmemeliyiz. Aldığımız destek yaşadığımız siber olaylardan en az hasarla kurtulmamızda hayati rol oynayabilir.
Her bir siber olayı aynı kefede değerlendirmemeliyiz.
Siber olayın türü ve etkisine göre alınacak aksiyonlar farklılık göstermektedir. Bulunduğumuz kurum için siber olayları sınıflandırmalı ve her bir tür için aksiyon prosedürleri oluşturmalıyız. Bu konuda “ENISA” tarafından hazırlanan “Incident Classification Taxonomy” dokümanını referans alabilirsiniz.
Hedefli bir saldırı ile karşı karşıya mıyız ?
En büyük yıkım hedefli yapılan saldırlar ile gerçekleşir. Bu yüzden karşı karşıya olduğumuz saldırının hedefli ve APT (Advanced Persistent Threat) grubu tarafından gerçekleştirilmiş olma ihtimalini değerlendirmeliyiz. Burada tehdit istihbaratından alacağımız verilerin olayı aydınlatmada önemi oldukça fazladır. Özellikle bulunduğumuz iş kolu, ülke, coğrafya gibi bilgilere göre potansiyel düşmanlarımızı analiz etmeli ve yakından tanımalıyız.
Threat Group Cards: A Threat Actor Encyclopedia: https://www.thaicert.or.th/downloads/files/A_Threat_Actor_Encyclopedia.pdf
Siber saldırıları “playbook” olarak ele almalıyız.
Siber saldırıları ve olayları sınıflandırdıktan sonra her bir sınıf için teknik anlamda nelerin yapılması, hangi aşamaların takip edilmesi gerektiğini “playbook” olarak oluşturabiliriz. Bu bilgiler, teknik işlerin belirli bir düzen içerisinde, hata oranını minimize ederek devam etmesini sağlayacaktır.
Hem iç hem dış paydaşlar ile nasıl iletişim kuracağımızı tanımlamak için “İletişim Planı” (Communication Plan) oluşturmalıyız.
Olay müdahalesi tek bir ekip ile gerçekleştirilebilen durumlar değildir. Aksine kurum içerisindeki birçok ekibin ortak mücadelesiyle müdahalede başarılı olabiliriz. Siber Olaylara Müdahale Planında sürece dahil olan tüm ekiplerin sorumluluklarını belirtmiştik. Bu aşamada da sorumlu ekiplerin birbirleriyle nasıl iletişim kuracağını belirtmeliyiz. Müdahale sürecine dahil olan ekip ve kişi sayısı arttıkça iletişimi yönetmekte bir hayli zorlaşacaktır. Özellikle mesai saatleri dışındaki müdahale çalışmalarında, ihtiyaç duyulan kişiye ulaşmak çok daha zor olabilmektedir. Fakat sürece dahil olan tüm ekipler ile ortak bir paydada buluşarak iletişim zaman ve yöntemleri belirlenirse buradaki aksaklıkların büyük ölçüde önüne geçilmesi mümkün olacaktır.
Teknik tatbikatlar ile süreci test etmeliyiz.
Tüm plan programı yaptık fakat hala herhangi bir siber olay ile karşılaşmadığımız için sürecin nasıl ilerlediğini görememiş durumdayız. Her şey teoride çok iyiyken pratikte olumsuz sonuçlarla karşılaşabiliriz. Bu gibi durumların önüne geçmek için siber tatbikat ile sürecimizin işleyişini görmeli ve eksiklikleri önceden gidermeliyiz. Ayrıca bunu belirli periyotlar ile tekrar edip her tatbikattan kendimize dersler çıkartmalıyız.
Siber tatbikatları gerçekleştirmek için atak simülasyon ürünlerinden veya bu konuda uzman ekipler tarafından verilen danışmanlık hizmetlerinden faydalanabiliriz. Ayrıca ekip içi egzersizler yaparak ekibin müdahale bilgisini arttırmak siber olaylar öncesi faydalı olacaktır.
Görünürlüğümüzü belirlemeli, metrikler ile ölçmeli ve doğru çözümlere yönelmeliyiz.
Siber olayları tespit edebilmek için hem ağ hem de uç nokta görünürlülüğümüzün yüksek seviyede olması gerekmektedir. Bunun anlamı, korumaya çalıştığımız ağ ve domaindeki tüm cihazlara hakim olmaktır. Tüm varlıklarımızdan güvenlik odaklı log alabiliyor olmalı ve bu logları merkezi bir SIEM çözümünde saklıyor olmamız gerekmektedir. Ayrıca aldığımız logları valide edebilmeli ve çeşitli metrikler ile hakimiyet oranımızı sürekli ölçmeliyiz.
Görünürlüğü sadece log kaynakları ve bu logları toplamak olarak düşünmemeliyiz. Aynı zamanda olay müdahalesi esnasında uzaktan ulaşılabilir ve izole edilebilir olması da görünürlüğün bir parçası olarak kabul edilebilir.
Tehdit istihbaratı kaynaklarımızı sorgulamalıyız.
Tehdit istihbaratı bilgilerimizin güncelliğini ve faydasını belirli periyotlarda değerlendirmeliyiz. Bir saldırıyı yada olayı aydınlatmada bize ne kadar fayda sağladığı, kuruma ve kurumun bulunduğu sektöre ilişkin ne gibi veriler ile bizi güçlendirdiği önemlidir.
Tehdit istihbaratı yalnızda IOC (Indicator of Compromised)’den ibaret değildir. Taktiksel, tekniksel hatta stratejik açıdan da yol gösterici olarak fayda sağlarlar. Tüm bu açılardan belirli zaman dilimlerinde elimizdeki kaynakları değerlendirmeli ve eksiklerimizi gözden geçirmeliyiz.
Tespit ve tehdit avcılığı süreçlerimizi aktif olarak yaşatmalıyız.
Birçok kurumun tespit (Detection) kuralları bulunmasına rağmen kuralların güncel tutulmasına dikkat edilmemektedir. Kuralları güncel tutabilmemizin ilk koşulu güçlü bir envantere sahip olmaktır. Güncel bir kural envanteri ile kurallarımızın kapsamından güncelliğine kadar birçok problemi çözebiliriz. Son aylarda ortaya çıkan “Detection as Code” felsefesi de aslında tespit kurallarının bir yazılım sürecindeki gibi yaşatılmasını ifade etmektedir. Bizler de bu felsefe ile kendimize ödevler çıkartabilir, kurumumuz için en efektif yöntemi oluşturabiliriz.
Aynı zamanda tespit kurallarının siber olay tanımıyla ilişkilendirilmesi teknik açıdan olay tespitinde fayda sağlayacaktır. Bu sebeple her bir tespit kuralının Mitre ATT&CK veya Cyber Kill Chain karşılığını tanımlamak da önemlidir.
Yaşadığımız her bir siber olaydan dersler çıkarmalıyız. (Lessons learned)
Yaşadığımız her saldırı ve olay bizim için zorlu bir süreci ifade etsede öğrenilecek ve kazanılacak yeni bir deneyimdir. Bu deneyimlerden ders çıkararak kendimizi geliştirmeli ve yenilemeliyiz. Hatalarda diretip kendimizi eleştirmediğimizde, yaşayacağımız her olayın daha çok kayıplara neden olabileceğini unutmamalıyız. Bu yüzden her bir saldırı ve olaydan sonra, neleri iyi yaptık, nerelerde eksiğimiz var, nerelere yatırım yapmalıyız gibi sorulara cevaplar aramalı ve pratikte bu çıkarımları uygulamalıyız.
