Olay müdahalesi

Olay müdahalesi (IR), BT ekiplerinin bir hizmet kesintisi, işletme güvenliği ihlali veya siber saldırı dahil olmak üzere BT olayları için hazırlanmasına ve plan yapmasına yardımcı olmaya yönelik sistematik bir yaklaşımdır. İşletmeler tarafından benimsenen mevcut uzaktan çalışma durumu!-- göz önüne alındığında işletmeler BT olaylarına, özellikle güvenlik olaylarına karşı tam koruma altında değildir. Güvenlik olayları yaşandığında ağır etkileri olur, verilere zarar verir, gizliliği ihlal eder ve üretkenlik ve finans açısından önemli kayıplara neden olurlar ve toparlanma süreci çok fazla emek gerektirir. Öte yandan yapıcı bir IR planıyla bu durumlar daha etkin bir şekilde ele alınarak normale daha hızlı dönülebilir. Ponemon'un Veri İhlalinin Maliyeti Raporu, güçlü bir güvenlik IR planı olan işletmelerin güvenlik olaylarından kaynaklanan maliyetleri ortalama yaklaşık 2 milyon dolar azalttığını doğrular.

Dolayısıyla işletmeler net bir IR planına ve eylem planına öncelik vererek şirketleri açısından neyin bir olay olduğunu tanımlayan bir IR süreci tasarlamalı, rolleri belli bir olay müdahale ekibi oluşturmalı ve ekibi en kısa sürede eğitmelidir.

Müdahale prosedürü olarak bilinen bir işletmenin bir olaya müdahale yaklaşımı, olay sonrasında önemli bir etkiye sahiptir. Olay müdahale süreci genellikle organizasyona ve işleyişe özel olarak hazırlanmış IR planının oluşturulması ve olay müdahale ekibinin görev ve sorumluluklarının dağıtılmasıyla başlar. Ulusal Standartlar ve Teknoloji Enstitüsüne (NIST) göre bir güvenlik olayına yönelik olay müdahalesinin farklı aşamalarına aşağıda yer verilmiştir:

1. Hazırlık

Hazırlık, olay müdahalesinin en önemli aşamasıdır. Bir stratejinin belirlenmesi, belgelenmesi, olay müdahale ekibinin oluşturulması, görev ve sorumlulukların belirlenmesi, uygun iletişim ve eğitim ve gerekli yazılım ve donanımın sağlanması, olay müdahale planının ve bir güvenlik ihlaline karşı hazırlık yapma sürecinin bir parçasıdır.

2. Saptama ve Analiz

Bu aşama, güvenlik olaylarının belirlenmesi ve raporlanmasıyla başlayan IR'nin fiilen gerçekleştiği aşamadır. Olayı kimin ve nasıl rapor edeceği sorusuna yol açar.

İşletmenin tüm üyeleri, yürürlükteki IR planının farkında olmalı ve güvenliğin ihlal edildiği şüphesini duyar duymaz durumu bildirmelidir. Müşterilerin de bu noktaya dikkat etmesi için IR planının müşterilere de bildirilmesi önem arz eder. Hem çalışanlar hem de müşteriler, çalışma ortamlarında tespit ettikleri güvenlik sorunlarını bildirmelidir. Sorunun göz ardı edilmemesi gerektiği ve hızlı müdahale için mümkün olan en kısa sürede rapor edilmesi gerektiği birkaç senaryoya aşağıda yer verilmiştir.

• Müşteriler tarafından işletmenin destek kanallarına rapor edilen güvenlik sorunları
• Dahili olarak saptanan güvenlik sorunları nedeniyle müşteri verilerine yönelik tehditler
• İzinsiz giriş saptama sistemlerinden ve izleme araçlarından tetiklenen güvenlik uyarılar
• Virüsleri taşıyabilecek e-posta iletişimleri
• İşletmenin cihazlarından birinde kötü amaçlı yazılım tespiti

Bir çalışan bir güvenlik olayını saptadığında durumu IR ekibine rapor etmelidir. İşletme, self servis portalındaki web formları, e-postalar, sohbetler, telefon görüşmeleri, Microsoft Teams dahil iş birliğine dayalı dijital çalışma alanları ve çok daha fazlası gibi güvenlik olaylarının saptanabileceği farklı modları listelemelidir. IR planının bir parçası olarak açıkça tanımlanmalı ve çalışanlar ve müşteriler için yayınlanmalıdır.

NIST saptama ve analiz aşamasına yönelik olarak beş adımı listeler:

• Bir güvenlik olayının erken belirtilerini saptama
• Gerçek tehditleri yanlış alarmlardan ayırt etme amacıyla belirtileri analiz etme
• Olayın, tüm gerçekleri ve konunun ele alınması için uygulanacak ilgili müdahale prosedürleri ile belgelenmesi
• İşletmenin işlevselliği ve gizlilik üzerindeki etkileri ve kurtarma için gerekecek zaman ve müdahale emeği dikkate alınarak olayın bir etki analizine dayalı olarak önceliklendirilmesi
• IR ekibi tarafından ilgili ekiplere ve bireylere bilgi verilmesi, IR planının açıklanması ve hızlı kurtarma için atılacak adımlar

3. Sınırlama, ortadan kaldırma ve kurtarma

Sınırlama aşamasının ardındaki fikir, olayı olabildiğince erken kontrol altına almak ve etkilerini daha fazla hasara neden olmayacak şekilde durdurmaktır. Bu da saldırı altında olan sistemlerin tam olarak belirlenmesini ve IR sınırlama, ortadan kaldırma ve kurtarma stratejileriyle etkilerin azaltılmasını gerektirir. Sorun, etkili bir olay yönetimi aracı kullanılarak ve hizmet masasının bilgi tabanında yayımlanmış bilgi makaleleri kullanılarak çözümler sağlanarak ortadan kaldırılabilir. Güvenlik olayının artık tehdit olarak görülmemesi için bir kurtarma stratejisinin belirlenmiş olması gerekir. Bu aşama ayrıca etkilenen sistemlerin kontrol edilmesini ve iş ortamına geri kazandırılmasını da içerir.

Tüm bu stratejiler, güvenlik olayının ciddiyeti, etkilenen sistemlerin durumu, faaliyetler üzerindeki etkisi, olayla ilgili kanıtların ve tüm bilgilerin kaydedilmesi ve stratejiyi belirlemek için gereken araç ve kaynaklar gibi kriterler üzerine inşa edilmelidir.

4. Gözden geçirme (olay sonrası analiz)

IR ekibinin, işletme yetkililerinin ve güvenlik olayına dahil olan her bireyin katılacağı bir geri bildirim ve gözden geçirme toplantısı, öğrenilen dersleri kaydetmek ve her aşamada IR planının ve stratejilerinin etkinliğini analiz etmek için zorunludur. Gözden geçirme aşamasında üzerinde düşünmeniz gereken bazı noktalar:

• Olayın temel nedeni ve nerede ortaya çıktığı
• Olayın önlenebilir nitelikte olup olmadığı
• IR planının ve IR ekibinin performansı
• Stratejilerin her aşamadaki etkinliği
• Gözden kaçmış olabilecek görevler
• Farklı şekilde yapılsaydı daha iyi sonuç verebilecek herhangi bir adım
• İleride yaşanabilecek benzer olayları önlemek için tehdit algılama

Bir olay müdahalesinin nasıl ele alınması gerektiği anlaşıldıktan sonra etkili bir IR süreci gerçekleştirmenin doğru araçlara sahip olmadan zor olabileceğinin anlaşılması da önemlidir. Bazen gereken becerilere bünyelerinde sahip olmadıklarından işletmelerin IR’leri dış kaynaklardan temin etmeleri gerekir. Her iki durumda da IR'leri etkin bir şekilde ele almak için olayları yönetmeye yönelik kapsamlı bir araç, güvenlik olaylarından kaynaklanan hasarları ve kesinti süresini en aza indirmek için avantaj sağlar.