Son zamanlarda Türkiye'de farklı sektörde yer alan bir çok kurum ve şirketin siber saldırıya maruz kaldığını duymaya başladık ve bu siber saldırılara doğru ve hızlı şekilde müdahale etmenin bu kurumlar ve şirketler için hayati öneme sahip olduğunu biliyoruz. Bu bağlamda bundan yaklaşık 5-6 yıl önce Microsoft'un İstanbul ofisinde ilk olarak sunumunu gerçekleştirdiğim ve sonrasında web sitemde kısa bir makale halinde kaleme aldığım "Olay Müdahalesinde (Incident Response) Yapılan Yanlışlar ve Dikkat Edilmesi Gereken Noktalar" başlıklı yazıyı hatırlatma ihtiyacı hissettim. Bunun yanında aşağıda listelediğim yeni konu başlıkları da bir çok siber olaya müdahale etmiş bir ekibin lideri olarak gözüme çarpan ve siber olay müdahalesinin başarıya ulaşması için hayati öneme sahip olduğunu düşündüğüm detayları içeriyor.
1.) Tecrübeli ve Bilgili Bir Siber Olay Takımı: Siber saldırılara karşı hızlı ve doğru bir şekilde müdahale etmenin en temel şartı müdahaleyi gerçekleştirecek ekibin daha önceden başarılı şekilde olay müdahalesi gerçekleştirmiş bir ekip olmasıdır. Bu ekip kurumların/şirketlerin kendi bünyesinde bulunan siber güvenlik uzmanlarından oluşabileceği gibi özellikle bir çok farklı kurum ve şirkette yaşanan siber olaylara müdahale etmiş, saldırganların davranışlarını çok iyi bilen ve bu doğrultuda hızlı ve doğru müdahale adınmlarını atabilen dış uzmanlardan oluşabilir. Bir siber saldırıya maruz kaldığınızda yanınızda en çok bulunmasını isteyeceğiniz şeyin iyi bir müdahale takımı olduğunu göreceksiniz. Oluşturulacak ekip içinde hem kurum/şirket içinden uzmanların hem de tecrübeli dış uzmanların olması olay müdahalesinin başarıya ulaşma ihtimalini ciddi şekilde arttıracaktır. Siber saldırıya uğrayan sistemin ve altyapının nasıl işlediğini, hangi bileşenlerin nasıl konumlandırıldığını, süreçlerin ve akışın ne şekilde gerçekleştiğini bilen iç uzmanlar ile daha önceden benzer saldırılara müdahale etmiş ve saldırganların taktiklerini ve tekniklerini bilen dış uzmanların bir araya gelerek oluşturacakları ekibin çok daha hızlı, doğru ve başarılı şekilde bir siber olay müdahalesi gerçekleştireceği söyleyebiliriz. Tam tersi şekilde eğer siber olay müdahale ekibinde yer alan iç güvenlik uzmanları altyapıyı, bileşenleri, işleyişi bilmiyorsa veya dış uzman olarak sürece dahil olan kişiler siber olay müdahalesi konusunda yeteri kadar tecrübeli değilse gerçekleşecek olay müdahalesinin en başından başarısız olacağını söyleyebiliriz. Şunun altını bir kez daha çizmekte fayda var; tek bir kurşununuz var ve bunu doğru ekiple atmak en akıllıca yoldur.
2.) Kendini İspatlamış Araç Seti: Her ne kadar mükemmel takımı oluştursanız da mu takımın siber olay müdahalesi sırasında kullanacağı araçlar yetersiz veya sorunlu ise başarılı bir olay müdahalesi beklemek çok iyimser bir yaklaşım olacaktır. Tecrübelerimize dayanarak söyleyebiliriz ki, bir çok kurumda/şirkette çok ciddi siber güvenlik yatırımı yapılmış olmasına rağmen siber olay müdahalesinde kullanabilecekleri araç setleri konusunda çok duyarsız kalınmış, neredeyse hiç bir yatırım yapılmamış. Siber güvenlik paradigmasının koruma(protection)'dan tespit etmeye(detection) kaydığı bir dünyada yapılabilecek en doğru şey hızlı bir şekilde kurumların/şirketlerin bu paradigmaya uygun şekilde yatırım planlarını gözden geçirmeleri olacaktır. Burada bahsettiğmiz araç setleri hem uç noktada tam görünürlük sağlayan hem de ağ üzerinde tam görünürlük sağlayan, olay müdahale ekiplerinin hızlı şekilde arama yapabileceği, harici siber tehdit istihbaratı bilgileri ile beslenen, müdahale aşamasında ekibin isteklerini karşılayabilecek yetenekte olan araçlardan oluşmalıdır. Gerçekleştirdiğimiz siber olay müdahalelerinde onbinlerce bilgisayar üzerinde izleme ve arama yapmamız ardından müdahalede bulunmamız gerekiyor. ADEO olarak biz bu konuda kendini ispatlamış ve daha önceden bir çok olay müdahalesinde kullandığımız araç setimiz ile olay müdahalesi gerçekleştiriyoruz. Şu başlığın da altını çizelim; eğer elinizde siber olay müdahalesi için uygun bir araç seti yoksa gerçekleşecek olay müdahalesinin en başından başarısız olacağını söyleyebiliriz.
3.) Tehdit İstihbarat Beslemeleri: Siber olay müdahalesi için iyi bir ekip kurdunuz ve elinizde de doğru araçlar var diyelim. Gerçekleştireceğiniz siber olay müdahalesinin başarıya ulaşmasını sağlayacak bir diğer önemli konu başlığı da bu araç setlerinde kullanılabilecek siber tehdit istihbarat besleme kaynakları olacaktır. Sadece IP veya hash bazlı bir istihbarattan ziyade TTP olarak isimlendirdiğimiz ve saldırganların taktiklerini, teknikleri ve prosedürlerini adresleyen tehdit istihbarat beslemelerinin burada kritik rol oynadığını tecrübelerimize dayanarak söyleyebiliriz. Burada özellikle YARA kurallarının çok etkin şekilde kullanıldığını ve elinizdeki YARA kuralları ne kadar geniş ve gelişmişse başarıya ulaşma ihtimalinizin o kadar yüksek olduğunu söylemeliyiz. Aynı şekilde siber olay müdahalesinde uç nokta görünürlüğünü sağlayan yazılımlarımızın da sağlam bir siber tehdit istihbaratı ile beslendiğinin altını çizmeliyiz. Bu iki kaynak hızlı ve doğru şekilde isber olay müdahalesi gerçekleştirmemizi sağlıyor. Şu başlığın da altını çizelim; eğer elinizde siber olay müdahalesi için uygun YARA kuralları ve siber tehdit istihbarat beslemeleri yoksa müdahale sürecinizin çok uzayacağını ve bir süre sonra görünürlük oluşturmak için size sağlanan kayıtların içinde boğulacağınızı söyleyebiliriz.
4.) Ekip Lideri: Bir siber saldırı sırasında ve bu siber saldırıya müdahale esnasında en önemli şeylerden birisi de bu süreci yönetecek, daha önceden bir çok siber olaya müdahale etmiş bir ekip lideridir. Sürecin nasıl ilerletileceğini, görünürlük sağlamak için kurulacak altyapının mevcut sistemin çalışmasını etkilemeyecek şekilde dizayn edilmesini ve hayata geçirilmesini kararlaştıran, olay müdahalesi sırasında saldırganların tekrar sisteme sızması durumunda nasıl hareket edileceğini belirleyen ve daha bir çok kritik kararı alan, bunların işleyişini kontrol eden, gerektiğinde taktik değiştirebilen ve en önemlisi bunları daha öncede defalarca gerekleştirmiş bir ekip lideri siber olay müdahalesinin başarıya ulaşması için olmazsa olmazlardandır. Çoğu zaman siber olay müdahalesi beraberinde bir kaos ortamıyla gelir. Şirket veya kurumun üst düzey yöneticileri, diğer iş birimlerinden ilgililer, servis kesintisine uğrayan müşterileriniz ve firmalar, satın aldığını siber sigorta firmasının görevlendirdiği kişiler ve daha bir çok ilgili/ilgisiz kişiye laf anlatmak, bazılarına iş yaptırmak durumunda kalırsınız. İşte bu aşamada ihtiyacınız olan en önemli şey bütün süreçleri yönetecek tecrübeli bir takım lideridir. Bizim ADEO olarak siber olay müdahalelerinde üstlendiğimiz en kritik rollerden birisi de ekip liderliğidir ve bu konuda kurumların ve şirketleri hem olay müdahale sürecinde işlettiğimiz süreçler açısından hem de olay müdahalesi esnasında kurum veya şirkette tespit ettiğimiz eksiklerin giderilmesi konusunda vermiş olduğumuz mentorlük hizmetinden çok ciddi şekilde faydalandığını söyleyebiliriz. Şu başlığın da altını çizelim; eğer olay müdahale sürecini yönetemezseniz en az siber saldırının size vermiş olduğunu zarar kadar siz kendi kurumunuza/şirketinize zarar verirsiniz.
5.) Daha Önceden Başarıya Ulaşmış Bir Müdahale Planı: Siber olay müdahalesinin başarıya ulaşmasındaki en kritik aşamalardan birisi de tespit edilen saldırganların ve bu saldırganlar tarafından kullanılan araçların en doğru zamanda ve en hızlı şekilde sistemden temizlenmesi aşamasıdır. Bu sürecin olması gerektiğinden daha erken işletilmesi gerçekleşen siber saldırının hangi sistemleri etkilediğinin tam olarak belirlenememesine sebep olabilir ve dolayısıyla aslında saldırganların tam olarak sistemden temizlenememesiyle sonuçlanabilir. Hızlı şekilde aksiyon almak adına tespit ettikleri ilk saldırgan IP'si üzerinden engelleme yaparak olay müdahalesi gerçekleştirdiğini söyleyenlerin sonradan çok daha fazla sistem üzerinde olay müdahalesi yapmak zorunda olduklarını biliyoruz. O yüzden en doğru zamanda en doğru aksiyonun alınması siber olay müdahalesinin başarıya ulaşması adına oldukça elzemdir. Şu başlığın altını bir kez daha çizelim; eğer siber saldırganlar sizin onları engellediğinizi veya kullandığı araçların, adreslerin ifşa olduğunu farkederse, yeni taktikler ve araçlar kullanabilir, kendi izlerini yok etmeye veya sisteme zarar vermeye başlayabilir. Bu durum yapılan müdahalenin bir kısır döngüye girmesine ve tam olarak başarıya ulaşamamasına sebep olabilir.
