İncident Response (Olay Müdahalesi) ile İlgili Bilinmesi Gerekenler

İncident Response: Bir bilgi güvenliği ihlali sırasında ve sonrasında alınması gereken önlemlerin tümüdür. Olay müdahalesinde amaç olası zararı en aza indirmek ve normal duruma dönmek için gerekli zaman ve maliyeti azaltmaktır.  Gerçekleşen ihlallere karşı nasıl önlem alınması gerektiği olay müdahale planında yer alır.

Olay Müdahalesi Gerektiren Durumlardan Bazıları:

·         Web Defacement

·         Theft of Proprietary Information

·         Stolen Laptop

·         Viruses

·         Accidents

·         Denial of Service Attacks

·         Social Enginnering

·         Hacker Intrusion

·         Fire!

·         Malicious Active Content

·         Back Door Attakcs

·         System Failure

·         Lost Backup Tape

·         Advanced Persistent Threat

·         Hacktivism

·         Cybercrime

·         Command and Control Serverlar

Herhangi bir Incident gerçekleştirildiğinde nasıl haberdar oluruz?

·         Web sayfası deface edilmiş bir mesaj bırakılmış yada sisteme Shell atılmış olabilir.

·         Kurum içi çalışan bilgileri veya laptop’u bir şekilde çalınmış yada ele geçirilmiş olabilir.

·         Kullanıcılar hesaplarına erişimlerde sıkıntılar yaşıyor olabilir.

·         IDS, Firewall alert logları üretmiş olabilir.

·         Ddos gerçekleşmesi durumunda sunucular servis veremiyor olabilir.

·         Değiştirilen paralolar ile kullanıcılar ya da çalışanlar hizmet verdiği servise erişim sağlamayamıyor olabilir.

·         Rutin kontrollerde veritabanında database activity monitoring araçalarında ya da diğer sistemlerde alışıla gelmedik izlere rastlanabilir.

·         Siem ya da korelasyon edilen loglarına bakılması gerekebilir.

·         Uç noktalarda bulunan Atm, pos gibi cihazlarda hizmet kesintileri yaşanıyor olabilir.

İncident Response Kill Chain

Geçtiğimiz yıllarda gerçekleştirilen Black hat konferansında  “Kill Chain” cyber threat intellege ve intrusion analizi ve olay müdahalesi için aşağıdaki gibi tanımlanmış, yeni bir yaklaşım modeli öne sürülmüştür.

The phrase “kill chain” describes the structure of the intrusion, and the corresponding model guides analysis to inform actionable security intelligence.

Reconnaissance: (Keşif)

Araştırma, hedef seçme ve tanıma; sosyal mühendislik yolları ile web sitelerinden bilgi toplama, spesifik teknolojiler hakkında bilgi edinme, iç network hakkında bilgi toplama.

Weaponization: (Silahlandırma)

Remote Access trojanlar kullanılarak bir payload’ın exploit edilmesi, otamatize toolar ile atakların gerçeklenmesi, Adobe Portable Document Format (PDF) or Microsoft Office programları yardımı ile açıklıklardan yararlanma ya da farklı sızma şekilleri

Delivery(Taşıma):

Mail, web, usb, Cd gibi farklı araçlarla istirmar kitleri, casus yazılımlar, zararlı yazılımlar taşınması ve bu şekilde kurum içine sızılması

Exploitation: (İstismar)

Çeşitli yollarla ele geçirilen sistemlerin exploit edilmesi ve atakların geçerlenmesi

Installation: (Yükleme)

Örnek için zararlı yazılımın hedef ele geçirilen sisteme yüklenmesi.

Command & Control:( Komuta Kontrol Yazılımlarının Yüklenmesi)

Sistemi ele geçiren kişinin gerçekleştirmek istediği bilgisayarın kurban olarak kullanılması ve bu istekleri doğrultusunda dış network ile iletişime geçmesi

Actions on Intent: (Planlarını geçerlemesi)

Yatay ya da dikey hak yükseltme sistemde yetkili kullanıcı olma, sisteme zarar verme, çalışamaz hale getirme, hedefleri gerçekleştirme, data kaybı..

Kill chain methodunda proaktif bir yaklaşımdan reaktif yaklaşıma Incident response öncesi olası senaryolar üzerinden geçilir.

İncident Response Planı Oluşturma:

Hazırlık:

Olay müdahale öncesi yapılması gereken hazırlıklar ve cevaplanması gereken sorular.

·         Her bir olay türüne göre nasıl davranılacağı veya nasıl önlem alınacağı planı

Örnek: ( Web sayfası üzerinde zararlı kodlar çalıştırmaya çalışan kişiler için nasıl önlem alınacağı, ya da buralarda yapılan dış saldırıların girdi alanları ile ilgili herhangi bir zafiyet olacağının düşünülüp buralardaki bugların kapatılması gibi.)

·         Olay müdahalesi için teknik ekipman olarak nelere ihtiyaç duyulacağı

·         USOM ‘a olayın bildirilmesi gerekliliğinin olup olmadığı ve bununla ilgili plan çıkartılması

·         Polisin ve adli makamların bilgilendirilmesi, Adli Bilişim Suçlarını ilgilendiren bir durum olup olmadığı bu konular ile ilgili kurumdan kimin ilgileneceği

·          

Tanımlama:

Bu aşamada temel amaç olayı tanımlamak, kategorize etmek ve önceliklendirme yapmaktır. Cevaplanması gereken bazı sorular aşağıdaki gibidir.

·         Ne tür bir olay ile karşı karşıyayız?

·         Kimi aramalıyız?

·         Olayın ciddiyeti ne boyutta?

·         Olayın ile ilgili forensic çalışmalarına başlamak gerekiyor mu?

Kapsam belirleme:

Olayın sınırlarının belirlenmesi.

·         Bu aşamada kurumdaki teknik ekipler devreye sokulur. Avukat, Some Ekibi üyeleri, Network ekip lideri..

·         Problem izole edilir. Network’e bulaşmış bir virüs firewall, ips kuralları ile network ile iletişimi kesilir.

·         Deliller belirlenir ve daha sonra incelemek üzere el konulur. (örnek .pcap trafiği)

·          

Bildir:

Eğer veri kaybı oluştuysa paydaşların bilgilendirilmesi( Hsbc bank veri sızıntısı)

Fatmal, Tinba, Hesperbot vakaları twitter üzerinden güvenlik uzmanlarınca bilgi paylaşımı.

Usom’ un zararlıyı dağıtan alan adları ile haberdar edilmesi gibi.

Analiz:

Saldırının analiz edilmesi işlemleri.

·         Saldırının amacı ne?

·         Neden saldırı hedefi olundu?

·         Etkisi ne kadar, herhangi bir zarar var mı?

Problem Çözümü:

Problemin çözüme ulaştırılması aşamaları gerçekleştirilir ve kesin çözüme ulaşılır.

·         Sistemin sıfırdan tekrardan kurulması

·         Yetkili kullanıcı hesapları ele geçirilmişse yeni parola ataması yap.

·         Güncelleştirmeleri denetle ve al.

·         Zafiyet taraması yapılması

·         Koruma kontrollerine göre katmanlı yapıların hazırlanması

Bakım && Onarım:

Problemin neden olduğu hataların giderilmesi ve sistemlerin eski haline geri döndürülmesi

Onarımın sorunsuz gerçekleştirildiğinin test edilmesi.

Müşteriler eskisi gibi hizmet almaya devam edebiliyor mu?

Açıkların Kapatılması && Çıkartım:

Yaşanan olaydan ders çıkartılması, süreçlerin iyileştirilmesi

Olay müdahalesi ile ilgili rapor oluşturulması,

·         Nelerin doğru nelerin yanlış gittiği,

·         Süreçleri iyileştirmek için yapılması gerekenler

·         Olayın kuruma maliyeti

·         Olay ile ilgili çıkartımlar

·         Olay müdahalesi sonucu kazanılan tecrübeler artı ve eksileri

·         Olay müdahalesinin başarısı

·         Olay müdahale planının güncellenmesi

Son aşamadan sonra döngü gibi tekrar olay müdahale planına dönülür.

Örnek Olay Müdahalesi Planı

1-) Kurum içerisinde herhangi bir bölümde bir incident meydana geldiğinde ulaşılması gereken kişiler aşağıdaki gibidir. İncident’a zamanında müdahale edilebilmesi için kurum içersinde yaşanan bir incident forensic çalışması en azından o aşamada gerekmiyorsa bu kişilerle hemen irtibat kurulabilmelidir.

·            Help destek    

·         İntrusion Detection Personeli

·         Sistem Yöneticisi

·         Firewall Yöneticisi

·         Siem Yöneticisi

·         Some Ekibinden birileri

·         Business Partner

·         Departman Müdürü

·         Güvenlik departmandan birisi

·         Forensic Analysist

·         Malware Analysist(varsa)

·       Bilgi Güvenliği Uzmanı

·         Outsource birisi

Bunun dışında olay müdahalesi için ihtiyaçlar doğrultusunda destek verebilecek herkesin 7/24 olaın mahiyetine göre hazır bulunması gerekmektedir. Olay müdahalesi içinde ilk olarak kiminle iletişime geçileceği prosedürler ile belirlenmelidir.

2- ) Olay müdahalesi için herhangi bir zararlı aktivite gözlemlendiği zaman hemen 5. Madde devreye sokulmalıdır.

3-)  Eğer bu incindet’la alakalı keşfi yapan kişi yukarıdaki ekipten birisi değilse hemen bu ekiple irtibata geçmelidir. Bu konu ile ilgili farklı departmanlardaki kurum çalışanları problem yaşadıkları zaman kimlere başvuracaklarını bilmelidirler.

4-) Herhangi bir incident anında acil durum kontak listesi aşağıdaki özelliklere sahip olmalıdır.

·         Arayan kişinin ismi bilinmeli

·         Arama zamanı bilinmeli

·         Arayanın iletişim bilgileri

·         Olayın Niteliği

·         Ekipman olarak ne gerekli?

·         Kimler müdahalede bulunacak?

·         Ekipman ve ilgili kişilerin konumu

·         İncident nasıl tespit edildi?

·         Olayın meydana geldiği fikri nasıl desteklendi?

5-) Olay gerçekleştiğini fark eden güvenlik personeli ya da İt üyelerinden birisi kontak listesini alır ve hemen iletişim kurması gereken kişilerle iletişim kurar. Olay müdahale yöneticisi diğer ekipteki kişileri olay ile ilgili bilgilendirir. Aşağıdaki sorulara cevap aramaya çalışılır.

·         İş seviyesinde olayın kritikliği ne?

·         Olayın etkisi ne kadar?

·         Hedef alınan sistem bilgisi, işletim sistemi, ip adresi, lokasyonu

·         Atak ile ilgili herhangi bir origin

7-) Müdahale ekibi karşılaşılan durum ile ilgili görüşülen kişilere bir yanıt stratejisi belirleyecektir. Bu aşamada yine cevaplanması gereken sorular vardır.

·         İncident gerçekte var mı, yoksa algı mı?

·         İncident’ ın ilerlemesi hala devam ediyor mu?

·         Hangi veriler veya tehdit ne kadar önemlidir?

·         Saldırının etkili ne kadar? Minimum, ciddi ya da kritik

·         Hangi sistemler hedef oldu? Fiziksel ya da network’te?

·         İç ağda bir hareketlik var mı?

·         Yanıt acil mi olması gerekiyor?

·         Olayın etkisi ne kadar zamanda gerçekleşti ya da devam ediyor mu? Örneğin 1 Saatlik Ddos saldırısı belirli süre sonra serverların down olması.

·         Yanıt saldırganı bir aksiyon alındığına dair uyaracak mı?

·         İncident’ın türü ne? Virüs, worm, intrusion, abuse, damage…

8-) Olay aşağıdaki kategorilere göre planlanılır.

·         Yaşamı tehdit edebilecek ortaya çıkabilecek davranışlar

·         Hassas bilgi işfası

·         Bilgisayar sistemlerini ele geçirmek

·         Servis kesintisi

9- Tim üyeleri olay müdahalesi için genel birer bildiri yayımlarlar.

     Worm müdahalale prosedürü

·         Virüs müdahalale prosedürü

·         System müdahalale prosedürü

·         Aktif intrusion müdahalale prosedürü

·         Aktif olmayan intrusion müdahalale prosedürü

·         Sistem taciz müdahalale prosedürü

·         Web site dos müdahalale prosedürü

·         Spyware müdahalale prosedürü

·         Database or file denial of service müdahalale prosedürü

Ekibin organizasyonun büyüklüğü veya işleyişine göre yeni  prosedürler oluşturabilir. Ama daha sonra 3. Partilerle iletişime geçildiği zaman yapılanların belgelenmesi  detaylı olarak istenilebilir. (USOM)

Ekip üyeleri bu süreçte forensic tekniklerini kullanabilir, log kontrolü yapabilir, sistem logları, ids logları, siem logları, firewall logları.. Bu noktada gerekli kontrolleri sadece ve sadece yetkili personelin yapması gerekmektedir.

Ekip yeniden benzer olayların yaşanmasına karşın sistemlerde değişikliğe gitme gibi yaptırımların uygulanmasını sağlayabilir.

Yönetimin onayı üzerine bu değişiklikler hayata geçirilecektir.

10-) Ekip üyeleri zararlı bulaşmış sistemler üzerinde restorasyon ve zararlının arındırılması ile ilgili işlemler yapabilir.

·         Sistemdeki açıklıkların giderildiğinden, patch edinildiğinden emin olunur.

·         Ele geçirilen kullanıcı adı ve parola bilgileri yeniden atanması gerekmektedir.

·         Yeni sistem testi gerçekleştirilmelidir. Örneğin gerekli üretilmesi gereken loglar üretiliyor mu?

·         İps, Virüs Koruma, Zararlı koruma, Dlp gibi sistemler aktif mi kontrol edilmelidir.

·         Önceki ele geçirilen sistemin sistemden izolasyonu ve kaldırılmış olması gereklidir.

11-) Raporlama aşamasında aşağıdaki unsurlar muhakkak raporlanmalıdır.

·         İncident nasıl keşfedildi?

·         İncident hangi kategoride yer almaktadır?

·         İncident nasıl meydana geldi? Mail, Firewall,

·         Olay müdahalesi için ne yapıldı?

·         Olay müdahale raporu hazırlandı mı?

·         Deliller toplandı mı?

·         Saldırının geldiği adresler ip, lokasyon vb. gibi bilgiler toplandı mı?

·         Olay müdahalesi etkili oldu mu?

14-) İleride kullanılmak üzere kanıtlar korunur. E-mail, logların kopyaları, diğer iletişim bilgileri tutulur.

15-) Olay müdahalesinde outsource gelen kişiler, USOM, polis, adli bilişim uzmanları gibi kişilerin bilgileri tutulur.

16-) Meydana gelen olayın kuruma olan etkileri araştırılır. Parasal, kurum imajına etkileri gibi.

17-) Yeni bir intrusion olmadan önce aşağıdaki maddelere dikkat edilmelidir.

·         İntrusion’dan korunmak için policy kontrolleri yapılır. Yeni eklenecek policy’ler varsa eklenir.

·         İntrusion’a neden olan ya da olması için policy’ler hakkında düşünülür.

·         Olay müdahale yaklaşımı neydi? Nasıl gelişti?

·         Herhangi bir security policy güncellendi mi?

·         Olay müdahale süreçleri nasıl detaylandırıldı ve gelişti?

·         Değişikler yeni bir benzer incident olayı gerçekleştiğinde ne kada r etkili olucak?

·         Tüm sistemler patch edildi mi?  Sistemler kilitlendi mi? E-mail policylerinde değişiklik oldu mu?

·         Bu incident’tan nasıl bir ders çıkarıldı?