Bilgisayar Olaylarına Müdahale - Etkin Müdahale Yöntemi

Sektörde genel kabul görmüş yöntem 6 safhadan oluşuyor;
Hazırlık=>Tespit=>Sınırlama=>Ortadan Kaldırma=>Kurtarma=>Değerlendirme (Hasar Raporu)

• Hazırlık safhasında bilgisayar olayı meydana gelmeden önce önleyici mekanizmalar oluşturulur, talimatlar hazırlanır (bakınız University of Florida), gerekli kaynak ve personel planlaması yapılır ve müdahale mimarisi kurulur,rol ve sorumluluklar belirlenir, ihtiyaç halinde temas kurulacak personel listesi,kontak bilgileri politikalarla belirlenir.
• Tespit safhası bana göre en önemli safha, çünkü tespit edilmediği sürece bilgisayar olayının varlığından söz etmek, olayın etkilerini azaltacak ya da ortadan kaldıracak eylemlerde bulunmak yani müdahale etmek mümkün değil. Müdahale sürecini tetikleyen safhadır tespit,kimi zaman kullanıcının bildirimiyle başlar.Günümüz çalışma ortamlarında kullanılan ve işlenen verinin devasalığı,çalışan sayısının ve buna bağlı olarak artan işlem sayısı ve ağ trafiğinin artışı, güvenlik düşünülmeden iyi niyetle hazırlanan protokollerin kötüye kullanımı gibi etkenler düşünüldüğünde bilgisayar olaylarını tespit etmenin aslında ne kadar zor olduğunu tahmin edebilirsiniz.Neyse ki bu kritik safhada kullanılabilecek yazılım ve donanım ürünleri mevcut, aslına bakarsanız BT altyapısında kullanılan tüm ürünler bilgisayar (güvenlik) olaylarını tespitinde kullanılabilir. Size düşen bu ürünler varsayılan konfigürasyonların dışında ihtiyacınıza göre yapılandırmak,ihtiyacınız olduğu kadar daha doğrusu inceleyebileceğiniz kadar log toplamak, güvenlik ölçütleri belirlemek.Bu safhada dikkat edilmesi gereken bir diğer önemli konu da olay tespiti sonrası paniklememek,çevredekileri de panikletmemek.Soğukkanlılıkla bilgisayar olayının kapsamını belirmeye çalışmalısınız,bu hem ekibin işini hem de olay için öncelik belirlemeyi kolaylaştırır.Son olarak tespit safhasında yapılması gereken ilgili otoriteleri ve personeli bilgilendirmektir.CISO da denen bilgi güvenliğinin başındaki kişi,ekip üyeleri,varsa halkla ilişkiler bölümü ve bazen de hukuk departmanları olayla ilgili bilgilendirilmeli.Bilgilendirmenin nasıl ve ne şekilde yapılacağı (güvenli iletişim kanalları kullanılarak vb) bilgi güvenliği politikasında ya da bilgisayar olaylarına müdahale politikasında açıkça belirtilmelidir.Tavsiyem kurum intranet portalinde süreci başından sonuna kadar takip ve kayıt altında tutmanıza yardımcı olacak yazılımlar geliştirmeniz ya da geliştirtmeniz.Kullanıcıdan artık kağıt form doldurmasını beklemeyin,kullanıcı üşenir,bıkar. Örnek olay bildirim formu için tıklayın.
• Sınırlama safhasında yapılması gereken olayın etki alanını daraltmaktır,yayılmasını engellemektir. Olay tespit edildikten sonra Müdahale Ekibi lideri ya da yöneticisi tüm olasılıkları değerlendirmeli, iş sürekliliğini de minimum seviyesinde aksatacak ve olayın genişlemesini/büyümesini engelleyecek yollar aramalıdır. En basit sınırlama önlemleri; olaya maruz kalan sistemin ağ bağlantısını kesmek (sistemi kapatmak olayın kaynağını belirlemeye yönelik bilişim incelemeleri çalışmalarını olumsuz etkileyeceğinden pek tavsiye edilmez), sistem ve ağ aktivitesini daha detaylı incelemek, olaya maruz kalan kullanıcı/servis hesaplarını pasif hale getirmek, olaydan etkilenmeyen kullanıcıları alınabilecek önlemler konusunda bilgilendirmek, trafik filtreleme kurallarını sıkılaştırmak ( sadece zorunlu hizmetlerle ilişkilil trafiğe izin vermek vb) olabilir.
• Ortadan Kaldırma , olayın çıkış sebebinin,kaynağının ortadan kaldırılmaya çalışıldığı safhadır. Olaya maruz kalan cihaz,donanım ve benzeri ürünlere direkt müdahale olacağı ve gözden kaçırılan ayrıntılar daha kötü sonuçlar doğurabileceği için bu aşamasında yapılması planların dokümante edilmesi, prosedürlerle,talimatlarla açıklanmış olması önemlidir. Olayın sebebi arızalı bir donanımsa bu donanım değiştirilmeli, zararlı kod yayılımı ise bilgisayar sistemleri,antivirüs ürünleri güncellenmeli ve zaafiyetler giderilmelidir,işletim sistemleri tekrar kurulabilir. Firmanın dış dünyayla bağlantısı kesilmiş olabilir, İş Sürekliliği kapsamında tesis edilmesi gereken yedek hatlar devreye alınmalıdır. Müdahale sürecinin sonraki safhalarında kullanılmak üzere yapılan işlemler dökümante edilmeli,ilgili personel ve otoriteler gelişmelerden haberdar edilmelidir.
• Kurtarma safhasında olaydan etkilenen altyapı bileşenleri (bilgisayar,sunucu,cihaz vs) normal çalışmasını sürdürebilir hale getirilir.Örneğin bir önceki safhada olay kaynağı donanım arızasıysa ve değiştirildiyse, sistemi hizmet verebilir hale getirmek için ve üretim ortamına almadan önce donanım Firmware seviyesi istenen ya da olması gereken seviyeye getirilir, fonksiyonlar test edilir.Olay kaynağı işletim sistemi yeniden kurulmasıyla giderildiyse bu safhada işletim sistemi güncellemeleri yapılır, antivirüs ürünleri güncellenir, eksik konfigürasyonlar tamamlanır mesela.Bu safhada yerine getirilmesi gereken aksiyonların da prosedür ve talimatlarla dökümante edilmesi önemlidir.Yine daha önceki safhalarda olduğu gibi bu safhadada yapılan tüm işlemler kayıt altına alınmalı, ilgili personel ve otoritelere durum bilgilendirilmesi yapılmalıdır.
• Değerlendirme safhası, müdahale edilen olayın, ve önceki safhalarda uygulanan adımların ele alındığı ama çoğu zaman gözardı edilen safhadır. Doğrusuyla yanlışıyla, yapılanlardan bu safhada ders çıkarılır. Edinilen deneyim, bilgi birikimi ekibe katma değer sağlar.Hem ekibe ilerde yeni katılabilecekler için, hem de daha sonra tekrar edebilecek aynı olaylar için rehber niteliği taşır.Bu safhada üretilen veri ve ölçütler (müdahalenin başarılı ve kısa sürmesi halinde :) ) yönetimin gözünde müdahale ekibine itibar kazandırır. Son olarak toplanan veriler ışığında halihazırda mevcut ve kullanılan prosedürler talimatlar da gözden geçirilmeli, iyileştirilmelidir.

Karşılaşabileceğiniz bilgisayar olaylarının bazılarında bu safhaların tümünü uygulama şansı olmaz (zaman,personel ya da kaynak kısıtlamalarından dolayı),bazılarında ise safhalar birbirine geçmiş olabilir. Bu yazıda anlatmaya çalıştığım bilgisayar olaylarının belirlenmiş metodlarla ele alınması gereği idi. Müdahale sürecinde kullanabileceğiniz örnek formlar için SANS web sitesini ziyaret edebilirsiniz. Çalıştığınız kuruma ve elinizdeki kaynaklara uygun,uygulanabilir metodlar geliştirmelisiniz.Bir sonraki yazı Bilgisayar Olaylarına Müdahale Ekipleri hakkında olacak.

Bilgisayar Olayı nedir? Etkin müdahalenin önemi ve gereği
Müdahale Ekibi
Bilgisayar Olaylarına Müdahale - Masal