ANASAYFA HAKKIMIZDA ÜRÜNLER SUNUMLAR REFERANSLAR SERTİFİKALAR HABERLER MAKALELER KVKK Aydınlatma Metni İLETİŞİM BG REHBER E-DERGİ

INCIDENT RESPONSE AND RECOVERY

Olay müdahalesi (Incident Response) bir güvenlik ihlali sırasında ve sonrasında hangi eylemlerin gerçekleştirilmesi gerektiğine ilişkin organize yaklaşıma verilen isimdir. Olay müdahalesinde amaç olası zararı en aza indirmek ve normal duruma dönmek için gerekli zamanı ve maliyeti azaltmaktır.

Yukarıdaki şartları sağlamak adına olası bir olay gerçekleştiğinde hangi adımların izlenmesi gerektiği “olay müdahale planı” nda yer alır. Kuruluşlar ihlal durumları için bir olay müdahale planına sahip olmalıdır. Bu plan dahilince:

Şirket için olayı neyin oluşturulduğu tanımlanmalıdır.

Bir olay meydana geldiğinde izlenecek açık ve yönlendirilmiş bir süreç oluşturulmalıdır.

Ayrıca bu olay müdahalesini yöneten hem de müdahale planında belirtilen her eylemi gerçekleştirmekten sorumlu ekibi çalışanları ve liderleri belirtmeniz gerekmektedir.

Türkiye'de olay müdahalesini Siber Olaylara Müdahale Ekibi (SOME) yönetir. SOME’ler genellikle hukuk, insan kaynakları ve halkla ilişkiler departmanlarının üyeleri ile birlikte güvenlik ve genel BT personelinden oluşur.

Olay Müdahalesi (Incident Response) İçin Nasıl Bir Yol İzlenir?

1- Hazırlık: Olay müdahalesinin en önemli aşaması, kaçınılmaz bir güvenlik ihlaline hazırlanmaktır. Hazırlık, kuruluşların CIRT-SOME ekiplerinin bir olaya ne kadar iyi müdahale edebileceklerini belirlemerine yardımcı olur ve politika,müdahale planı/stratejisi, iletişim, dökümantasyon, CIRT-SOME üyelerini belirleme, erişim kontrolü, araçlar ve eğitimi içermelidir.

2- Teşhis: Teşhis, hızlı bir biçimde müdahale etmek ve dolayısı ile maliyetleri ve zararları azaltmak için hızlı bir biçimde olayların tespit edildiği süreçtir. Olay müdahalesinin bu adımı için BT personeli, olayları ve kapsamlarını tespit etmek ve belirlemek için günlük dosyalarından, izleme araçlarından, hata mesajlarından, saldırı tespit sistemlerinden (IDS, IPS vb.) ve güvenlik duvarlarından logları toplar.

3- Sınırlama: Bir olay tespit edildikten ya da tanımlandıktan sonra uygulanması gerekli olan bölümdür. Sınırlamanın asıl amacı hasarı kontrol etmek ve daha fazla hasar oluşmasını engellemektir. Özellikle “olay müdahalesi (Incident Response) için daha sonra ihtiyaç duyulabilecek herhangi bir kanıtın imha edilmesini engellemek için” SANS’ın öneri ettiği tüm adımların atılması gereklidir. Bu adımlar arasında kısa süreli yedeklemeler,uzun vadeli yedeklemeler vb. bulunmaktadır.

4- Tehdidin Ortadan Kaldırılması: Veri kaybını en aza indirirken, tehdidin ortadan kaldırılmasını ve etkilenen sistemlerin önceki durumlarına geri döndürülmesini içeren aşamadır.

5- Kurtarma: Sistemlerin bütünüyle temizlenip temizlenmediği test etme, izleme ve doğrulama gibi aşamaların yer aldığı kısımdır.

6- Alınan Ders: Alınan ders olay müdahalesinin kritik bir aşamasıdır çünkü gelecekteki olay müdahale yöntemlerini geliştirmeye yardımcı olur. Bu aşama kuruluşlara olay sırasında, olay müdahalesi planlarında bulunan eksik kısımların belirlenmesi sağlar.

Doğru hazırlık ve planlama etkili olay müdahalesinin anahtarıdır. Kapsamlı bir olay müdahale planı oluşturmak için zaman ayırmak, kaçınılmaz bir ihlal oluştuğunda derhal sistemleriniz ve verileriniz üzerinde kontrol sahibi olmanızı sağlayacaktır.