Etiket arşivi: sınırlandırma stratejisi

Makale & Analiz

Siber olay müdahale süreçlerinde NIST modeli

Yorum yapın

Siber saldırılardan korunma konusuna gerçekçi bir şekilde yaklaşırsak geldiğimiz nokta itibariyle saldırıların tamamının önlenmesinin neredeyse imkânsız olduğunu söylemek zor değil. Dijital dünyaya gittikçe artan bağımlılık, siber dünyanın barındırdığı hassas veri sayısı ve çeşitliliği saldırganların iştahlarının artarak devam etmesine neden olmaktadır. Bu durumun bir yansıması olarak da siber saldırıların kapsam ve yeteneklerinin her geçen gün arttığını; üreticilerin rutin faaliyetlerine ek olarak ürünlerinde çıkan açıkları kapatmak için yoğun mesai harcadığını ve tüm bunlara rağmen yine de son dönemde tanıştığımız Meltdown ve Spectre zaafiyetleri gibi büyük çaptaki güvenlik zafiyetleri nedeniyle siber dünyada bireysel ve kurumsal anlamda “mutlak güvenli” olduğumuzu söylemek güç.

Siber saldırıların doğuracağı maddi ve manevi zararları engellemek bütünüyle gerçekçi olmasa da bu zararları en aza indirgemek mümkün. Yakın geçmişteki siber olaylar incelendiğinde son kullanıcılar kadar saldırganların özellikle finansal çıkar sağlamak amacıyla hedef aldıkları kurum ve şirketlerin de siber saldırılardan payını aldığını gözlemliyoruz. Böylesine gelişmiş teknoloji ve araç kullanma yetisine sahip tehdit aktörlerinin katıldığı bir oyunu kazanmak için en az onlar kadar organize, nitelikli ve hazırlıklı olmak oldukça kritik bir rol oynamaktadır. Bunu sağlamak için de saldırı öncesinden saldırı sonrasına kadar tüm süreçleri kapsayacak geniş, iyi tanımlanmış ve sistematik bir yöntem benimsemek kuşkusuz en etkili çözüm aracı olacaktır.

Siber güvenlik alanındaki otorite kuruluşlardan olan National Institute of Standards and Technology (NIST) siber olay müdahale süreçleri ile ilgili olarak yayınladığı makalede (Computer Security Incident Handling Guide, Special Publication 800-61 Revision 2  Paul Cichonski, Tom Millar, Tim Grance Karen Scarfone) anlatılan model, siber olay inceleme ve müdahale çalışmaları için kılavuz niteliğinde olmasının yanı sıra hem yurt için hem de yurt dışındaki SOME birimlerinde sıklıkla uygulanmaktadır. Buna göre siber olay müdahale süreçleri, hazırlık; tespit ve analiz; sınırlandırma, düzeltme ve iyileştirme; son olarak olay değerlendirme olmak üzere dört aşamadan oluşmaktadır.

Hazırlık

Hazırlık aşamasındaki temel amaç, bir siber olay gerçekleşmeden önce yapılan çalışmalar ile kurumun hedef alınacağı bir saldırıdan minimum düzeyde etkilenmesini ve bir tehdit karşısında mümkün olan en hızlı şekilde tepki vermesini sağlamaktır. Bu kapsamda alınması tavsiye edilen bazı aksiyonlar aşağıda listelenmiştir:

  • Siber olay ile ilgili tüm detayların (saldırgana ait bilgiler, etkilenen sistemler ve zaman değerleri vb.) yer alacağı olay takip sistemi devreye alınmış ve çalışır durumda olmalıdır.
  • Siber olayın gerçekleşmesi durumunda ulaşılması gereken tüm çalışanların iletişim bilgilerinin listesi oluşturulmuş olunması gerekmektedir. Bu listenin herhangi birinin rahatlıkla bulabileceği şekilde muhafa edilmesi faydalı olacaktır.
  • Olaya ilişkin verilerin (disk imajları, log dosyaları vb.) saklanması amacıyla dijital olay inceleme platformları ve yedekleme cihazları çalışır ve yapılandırılmış durumda olmalıdır.
  • Saldırıya ilişkin veri ve paketlerin analiz edilmesi esnasında faydalanılacak bilgisayar ve sunucular hazır durumda olmalıdır.
  • Servis kesintisinin yaşanmaması için kritik sistemlerde kullanılan sunucu, ağ ve sanal bileşenlerin yedekleri belirlenmeli ve hizmet vermeye hazır durumda olmalıdır.
  • Ağ trafiğinin analizinin yapılması için ağ trafiğinin bir kopyasını alacak ve trafikte geçen protokollerin incelenmesini sağlayacak araçlar belirlenmiş ve kullanılabilir durumda olmalıdır.
  • Disk imajlarının analizi için kullanılacak araçların kullanılabilir durumda olması gerekmektedir.
  • Olay esnasında kanıt ve kritik bilgilerin kaydedilmesinde kullanılmak üzere üzerinde düzgün bir şekilde çalıştığından emin olunan yazılımların bulunduğu bilgisayar ve taşınabilir disk gibi cihazlar kullanıma hazır durumda olmalıdır.
  • Sıklıkla kullanılan port bilgilerinin listesi oluşturulmalıdır. Bu listeye ek olarak, güncel trojan yazılımlarının faydalandığı port numaralarının takibinden oluşacak liste de SOME için oldukça faydalı olacaktır.
  • Kurumun bilişim sistemleri kapsamında kullandığı cihazlardaki işletim sistemi, uygulama, konfigürasyon dosyaları, olay tespit ve antivirüs yazılımlarının bulunduğu bir döküman oluşturulmalıdır. Periyodik aralıklarla bu döküman güncellenmelidir.
  • Ağ diagramları ve kurum için kritik niteklite olan veritabanı sunucuları, kurum adına önemli bilgilerin tutulduğu sunucular gibi cihazların listesi çıkarılmalıdır.
  • Olay esnasında herhangi bir kritik dosya veya dizinin değişip değişmediğinin anlaşılması için bu dosya ve dizinlerin kriptografik özet (hash) bilgilerinin çıkarılması ve kaydedilmesi gereklidir.
  • Sistemlerin normal haline dönmeleri sırasında kullanılacak işletim sistemleri hazır durumda olmalıdır.
  • Çalışanlar arasında siber güvenlik farkındalığını arttırmaya yönelik çalışmalar yapılmalıdır. Ayrıca çalışanlara güncel saldırılardan nasıl korunulabilineceği ile ilgili eğitim verilmesi epey faydalı bir adım olacaktır.

Olay Tespit ve Analiz

Bu aşamadaki en can alıcı konu, sayıca çok fazla olan yanlış pozitifler arasından asıl tehdidin tespitinin net ve isabetli bir şekilde yapılmasıdır. Bu kısmın analistler için zor bir görev olmasına neden olan durumlardan en önemlisi, önceden hiç karşılaşılmamış (sıfırıncı gün) veya sofistikasyonu oldukça yüksek seviyelerde olan saldırılardır. Karmaşık olan bu sürecin ardından eğer gerçek bir siber tehdit söz konusu ise bu tehdidin kapsamı ve şiddeti detaylı bir şekilde belirlenmelidir.

Bir siber saldırıya maruz kalındığında mümkün olan en kısa süre içinde bu saldırının hedefini ve metodunun anlaşılması yapılacak savunma çalışmasının kalitesini doğrudan etkilemektedir. Saldırı tespit süresinin uzaması halinde kurum tarafından sunulan servisler kesintiye uğraması ve hassas bilgilerin çalınması gibi telafisi zor olan durumlar yaşanabilir. Bu sürecin daha hızlı ve verimli bir şekilde atlatılabilmesi için kurumun sisteminde çalışan güvenlik cihazlarının ürettiği çeşitli alarm ve loglardan faydalanılmaktadır. Saldırı tespit ve önleme sistemleri (IDPS), güvenlik bilgi ve olay yönetimi (SIEM), antivirüs ve istenmeyen mail filtreleyen yazılımlar, dosya bütünlüğünü kontrol eden yazılımlar ve üçüncü parti ağ ve sistem izleme servisleri bilgi sistemlerinin güvenliğini izleme açısından kullanılabilecek önde gelen alarm kaynaklarındandır.

Olay tespiti yapılırken analistlerin dikkatini çeken bazı göstergeler saldırının tip ve kapsamının anlaşılmasına yardımcı olmaktadır. İşletim sistemi, ağ cihazları, servis ve uygulama loglarının incelenmesiyle sıklıkla karşılaşılan bazı göstergelere; web sunucusunda zafiyet tarama işlemine ait logların görülmesi, yeni ortaya çıkan ve belirli bir mail sunucu sürümünü hedef alan zafiyetler, bir kuruma saldırı düzenleyeceğini sanal ortamda açıklayan gruplar, ağ saldırı tespit sensörlerinin veritabanı sunucusunda arabellek aşımı gerçekleştiğine dair gönderdiği alarm, antivirüs yazılımının bir bilgisayara zararlı yazılım bulaştığını duyurması, sistemde sıradışı karakterlerden oluşmuş dosya adlarının görülmesi, log dosyalarında yetkisiz kişiler tarafından yapılan değişiklikler, bir uygulama logunda birçok defa başarısız erişim taleplerinin görülmesi, sistem yöneticisinin ağ trafiğinde anormal bir artış gözlemlemesi gibi örnekler verilebilir.

Olay analizinin daha kolay bir şekilde yapılması için aşağıdaki çalışmalar önerilmektedir:

  • Karşılaşılan tehditlerin yaratacakları etkiler değerlendirilerek önceliklendirilir.
  • Ağların ve sistemlerin rutin profilleri tanımlanmalıdır.
  • Farklı kaynaklar için zaman ve/veya boyut bazında log yenileme politikaları oluşturulmalıdır.
  • Olay ilişkilendirme çalışmaları yapılmalıdır.
  • Sistemde bulunan tüm tarihler doğru ve senkronize olmalıdır.
  • Ağ trafiğinin detaylı incelenebilmesi için paket analiz araçları kullanılmaldır.
  • İhtiyaç olması halinde diğer SOME birimleriyle koordinasyon içinde çalışılmalıdır.

Ayrıca, sürecin kayıt altına alınması ve düzenli bir şekilde ilerlenmesi amacıyla yapılan tüm çalışmalar dökümante edilmelidir. Bu dökümanda olayın güncel durumu, olay ile ilgili göstergeler, alınan aksiyonlar, olaydan etkilenmiş olan varlıklar, ilgili kişilerin irtibat bilgileri, araştırma kapsamında elde edilen kanıtlar ve analist notları yer almalıdır. Böylelikle tehdit karşısında alınacak aksiyon daha sistematik, hızlı ve doğru bir yöntem sonucunda ortaya çıkmış olacaktır.

Sınırlandırma Düzeltme ve İyileştirme

Olay Tespit ve Analiz aşamasında saldırının detayları anlaşıldıktan sonra saldırının yaratacağı negatif etkileri azaltmak ve saldırının yayılmasına engel olarak kontrol altına almak amacıyla sınırlandırma çalışmaları yapılmaktadır. Bu bölümde dikkatli bir şekilde karar verilmesi gerekilen konu sınırlandırma stratejisinin belirlenmesidir. Örnek olarak bir sistemin kapatılması, ağ ile bağlantısının kesilmesi veya bazı yeteneklerinin devredışı bırakılması gibi kararlar olayın türüne göre alınabilir. Ayrıca, sınırlandırma stratejisi ve bununla bağlantılı uygulamaların mümkün olduğunca kısa zaman içersinde gerçekleştirilmesi gereklidir; aksi halde saldırganlar sağlamış oldukları yetkisiz erişim seviyelerini yükseltebilmekte ve diğer sistemlere sızabilmektedirler.

Saldırının izole edilerek kontrol altına alınmasının ardından tehditi oluşturan bileşenler (kötücül yazılımın silinmesi, ele geçen kullanıcı hesaplarının kapatılması, sömürülen zafiyetlere ilişkin güncelleme çalışmalarının yapılması vb.) ortadan kaldırılmaya başlanır. Etkilenen tüm sistem ve cihazların isabetli bir şekilde tespit edilmesi düzeltme fazının verimliliğini oldukça arttıracaktır.

İyileştirme aşamasında ise temizlenmiş durumda olan tüm sistemler rutin ve sorunsuz şekilde çalışmaya müsait hale getirilir. Gerekli olması halinde saldırıdan etkilenmiş sistemlere temiz yedekler kurulabilir veya tüm sistem baştan oluşturularak ayağa kaldırılabilir. Saldırganların ele geçirdikleri dosyalar, temiz versiyonlarıyla değiştirilebilir, şifreler yeniden belirlenebilir ve uç ağ güvenliği sağlamlaştırılabilir. Saldırı sonucunda oluşan hasara bağlı olarak iyileştirme süreci uzun zaman alabilmektedir.

Değerlendirme

Diğerlerine kıyasla en çok ihmal edilen ve gelecekte meydana gelebilecek tehlikeleri önlemekte önemli rol oynayan değerlendirme aşamasında karşılaşılmış olan siber tehdit tüm detaylarıyla birlikte irdelenir. Olay müdahale süreçlerinin ne kadar verimli ve doğru işlediği, bu süreçlerin nasıl geliştirilebilineceği, benzer tehdit ve tehlikelere maruz kalamak için hangi önlemlerin alınabilineceği, takip edilen göstergelere ek olarak hangi farklı göstergelerin de izlenmesi gerektiği, olay müdahalesi sırasında kullanılmış olan araçlara hangilerinin eklenilebileceği gibi sorular tüm ilgili çalışanların katılacağı bir toplantıda cevaplanması faydalı olacaktır. Kuşkusuz, bu etkileşimden çıkarılacak dersler kurumun güvenlik seviyesini ve olay müdahale yeteneğini arttıracaktır.

Siber Bülten abone listesine kaydolmak için formu doldurunuz