Incident Response (Olay Müdahalesi) Planı Oluşturma

Incident Response (Olay Müdahalesi) Nedir?

Incident response, bir güvenlik olayı sürecini yönetme yaklaşımıdır. Güvenlik olaylarına sistematik bir şekilde yaklaşmak için incident response planına ihtiyaç vardır. Başarılı bir incident response planı aşağıda bulunan 6 aşamayı kapsar:

1- Hazırlık

2- Tanımlama

3- Kapsam Belirleme

4- Yok Etme

5- Kurtarma

6- Alınan Dersler

görsel: alienvault.com

1- Hazırlık

Merkezi Kayıt Sistemi Oluşturma

Yüksek boyutlu dosyaları yönetebilecek merkezi bir log toplama sistemi ile tüm verilerin tek bir noktadan incelenebilmesi zaman tasarrufu açısından önemlidir.

Zaman Senkronizasyonu

Ağ içerisindeki tüm cihazlarda NTP nin etkinleştirilmesi toplanan loglara ait zaman bilgisinin eşleşmesi için önemlidir.

Kullanıcı Hesabı Yönetimi

Personele ait farklı hesapların kullanıcı adlarının aynı ve diğer personellerden farklı olacak şekilde benzersiz olması bir olay durumunda kullanıcı aktivitelerinin izlenmesinde kolaylık sağlar. 

Sistem ve Servis Hesaplarının Yönetimi

Kullanılan servislerin ve sistemlerin yöneticilerinin atanması ve ihtiyaç halinde bu yöneticilere nasıl ulaşılacağına dair bir dökümanın oluşturulması gerekir.

Varlık Yönetimi

Kullanılan cihazlar, işletim sistemleri, yama versiyonları, kritiklik durumu gibi bilgilere anlık olarak erişim sağlanabilmelidir.

Güvenli İletişim

Gerektiğinde takımın iç ağdan bağımsız bir şekilde iletişim kurması gerekebilir, bu tür durumlar için cep telefonu veya ikincil e postalar kullanılabilir.

Hukuki İşlemler

Kimin hangi durumlarda adli süreci nasıl başlatacağına dair yöntem olay yaşanmadan belirlenmelidir.

2- Tanımlama

Ön Bakış

Potansiyel bir şüpheli olay için olayla ilgili ön bilgilerin toplanması gerekir. Ardından durumun şüpheli bir olay olup olmadığına karar verilmelidir.

Atama

Olayı inceleyecek ilk kişinin belrirlenmesi gerekir. Kişi inceleme ile ilgili notlar almalıdır.

Kontrol Listesin Kullanma

Olaylara verilen yanıtların tutarlı olması adına yapılacak analizlere ait kontrol listeleri olmalıdır. 

3- Kapsama

Olayı karakterize etmek

Olay belirlemek alınacak aksiyonları belirleyeceğinden dolayı gelen olayın türünün belirlenmesi önemlidir. ÖR: DDoS, zararlı yazılım enfeksiyonu, veri sızıntısı…

Aksiyon Alma

Saldırganın yolunu hızlıca kesmek için kullandığı tekniğe göre aksiyon alınmalıdır. Ele geçirdiği bir  hesap varsa hesabın devre dışı bırakılması, IP bloklaması gibi basit önlemler çabucak yapılmalıdır.

Veri Toplama

Güvenlik duvarı, ağ trafiği ve diğer loglarıyla beraber uçucu hafızanın imajının alınması inceleme yapmak için lazım olacaktır. Eğer gerekiyorsa triage yapılır.

İzolasyon

Tehlikeli durumdaki sistemin veya ağın fişini çekmek işe yarasa da izole etmek daha geçerli bir çözümdür.

Olaydan etkilenen sistemler belirlendikten, saldırganın ağ içerisinde yayılma olasılığı kesildikten, uçucu bilgiler toplandıktan sonra sonraki aşamaya geçilebilir.

4- Yok Etme

Ana Sebebi Belirleme

2. ve 3. aşamada elde edilen bilgilerle olayın ana nedenini belirlenmelidir. Ardından saldırganın yolu tamamen kesilmelidir.

Rootkit Potansiyelini Belirleme

Sistemde rootkit olduğundan şüphe duyuluyorsa disk temizlenmeli ve temiz bir yedek kurulmalıdır. Kurulum sonrası mevcut uygulama ve sistemlerin son güncellemeleri yapılmalıdır.

Savunmayı Güçlendirme

İşletim sistemleri, kullanılan uygulamalar, ağ, DMZ vb. alanlarda savunmanın yetersiz kaldığı noktalar belirlenmeli ve iyileştirmenin nasıl yapılacağı üzerine çalışılmalıdır.

Zafiyet Taraması

Zafiyet taraması yapılarak ağ ve sistemlerdeki potansiyel saldırı noktalarının belirlenmesi sağlanmalı ve düzeltilmelidir.

Olayın tekrarlanmaması için gerekli düzenlemeler yapıldığında kurtarma aşamasına geçilebilir.

5- Kurtarma

Doğrulama

Loglama işlemlerinin, sistemlerin, uygulamaların, veri tabanlarının ve diğer operasyonların yürürlükte olduğu doğrulanmalıdır.

Geri Yükleme

Bu aşamada geri yükleme operasyonu koordine edilir.

İzleme

Sistemler tekrarlanan olaylar için izlemeye alınmalıdır.

Tekrarlanan zararlı bir durum, olağan dışı bir aktivite bulunmadığında bir sonraki aşamaya geçilir.

6- Alınan Dersler

Takip Raporu Yazma

Rapor, konunun uzmanı ve yürütücü ile yapılan incelemeleri, müdahale planında iyi ve kötü çalışan aşamaları, süreç ile ilgili tavsiyeleri kapsar. Rapor, yöneticinin olayın kapandığından emin olacak şekilde yazılmalıdır.

Referanslar

Incident Response Plan 101: How to Build One, Templates and Examples
https://www.cmu.edu/iso/governance/procedures/docs/incidentresponseplan1.0.pdf

Blue Team Handbook: Incident Response Edition




İlk Yorumu Siz Yapın

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir