10 Ekim 2015 Cumartesi

İncident Response (Olay Müdahalesi) ile İlgili Bilinmesi Gerekenler

İncident Response: Bir bilgi güvenliği ihlali sırasında ve sonrasında alınması gereken önlemlerin tümüdür. Olay müdahalesinde amaç olası zararı en aza indirmek ve normal duruma dönmek için gerekli zaman ve maliyeti azaltmaktır.  Gerçekleşen ihlallere karşı nasıl önlem alınması gerektiği olay müdahale planında yer alır.
Olay Müdahalesi Gerektiren Durumlardan Bazıları:
·         Web Defacement
·         Theft of Proprietary Information
·         Stolen Laptop
·         Viruses
·         Accidents
·         Denial of Service Attacks
·         Social Enginnering
·         Hacker Intrusion
·         Fire!
·         Malicious Active Content
·         Back Door Attakcs
·         System Failure
·         Lost Backup Tape
·         Advanced Persistent Threat
·         Hacktivism
·         Cybercrime
·         Command and Control Serverlar
Herhangi bir Incident gerçekleştirildiğinde nasıl haberdar oluruz?
·         Web sayfası deface edilmiş bir mesaj bırakılmış yada sisteme Shell atılmış olabilir.
·         Kurum içi çalışan bilgileri veya laptop’u bir şekilde çalınmış yada ele geçirilmiş olabilir.
·         Kullanıcılar hesaplarına erişimlerde sıkıntılar yaşıyor olabilir.
·         IDS, Firewall alert logları üretmiş olabilir.
·         Ddos gerçekleşmesi durumunda sunucular servis veremiyor olabilir.
·         Değiştirilen paralolar ile kullanıcılar ya da çalışanlar hizmet verdiği servise erişim sağlamayamıyor olabilir.
·         Rutin kontrollerde veritabanında database activity monitoring araçalarında ya da diğer sistemlerde alışıla gelmedik izlere rastlanabilir.
·         Siem ya da korelasyon edilen loglarına bakılması gerekebilir.
·         Uç noktalarda bulunan Atm, pos gibi cihazlarda hizmet kesintileri yaşanıyor olabilir.
İncident Response Kill Chain
Geçtiğimiz yıllarda gerçekleştirilen Black hat konferansında  “Kill Chain” cyber threat intellege ve intrusion analizi ve olay müdahalesi için aşağıdaki gibi tanımlanmış, yeni bir yaklaşım modeli öne sürülmüştür.
The phrase “kill chain” describes the structure of the intrusion, and the corresponding model guides analysis to inform actionable security intelligence.
Reconnaissance: (Keşif)
Araştırma, hedef seçme ve tanıma; sosyal mühendislik yolları ile web sitelerinden bilgi toplama, spesifik teknolojiler hakkında bilgi edinme, iç network hakkında bilgi toplama.
Weaponization: (Silahlandırma)
Remote Access trojanlar kullanılarak bir payload’ın exploit edilmesi, otamatize toolar ile atakların gerçeklenmesi, Adobe Portable Document Format (PDF) or Microsoft Office programları yardımı ile açıklıklardan yararlanma ya da farklı sızma şekilleri
Delivery(Taşıma):
Mail, web, usb, Cd gibi farklı araçlarla istirmar kitleri, casus yazılımlar, zararlı yazılımlar taşınması ve bu şekilde kurum içine sızılması
Exploitation: (İstismar)
Çeşitli yollarla ele geçirilen sistemlerin exploit edilmesi ve atakların geçerlenmesi
Installation: (Yükleme)
Örnek için zararlı yazılımın hedef ele geçirilen sisteme yüklenmesi.
Command & Control:( Komuta Kontrol Yazılımlarının Yüklenmesi)
Sistemi ele geçiren kişinin gerçekleştirmek istediği bilgisayarın kurban olarak kullanılması ve bu istekleri doğrultusunda dış network ile iletişime geçmesi
Actions on Intent: (Planlarını geçerlemesi)
Yatay ya da dikey hak yükseltme sistemde yetkili kullanıcı olma, sisteme zarar verme, çalışamaz hale getirme, hedefleri gerçekleştirme, data kaybı..
Kill chain methodunda proaktif bir yaklaşımdan reaktif yaklaşıma Incident response öncesi olası senaryolar üzerinden geçilir.
İncident Response Planı Oluşturma:
Hazırlık:
Olay müdahale öncesi yapılması gereken hazırlıklar ve cevaplanması gereken sorular.
·         Her bir olay türüne göre nasıl davranılacağı veya nasıl önlem alınacağı planı
Örnek: ( Web sayfası üzerinde zararlı kodlar çalıştırmaya çalışan kişiler için nasıl önlem alınacağı, ya da buralarda yapılan dış saldırıların girdi alanları ile ilgili herhangi bir zafiyet olacağının düşünülüp buralardaki bugların kapatılması gibi.)
·         Olay müdahalesi için teknik ekipman olarak nelere ihtiyaç duyulacağı
·         USOM ‘a olayın bildirilmesi gerekliliğinin olup olmadığı ve bununla ilgili plan çıkartılması
·         Polisin ve adli makamların bilgilendirilmesi, Adli Bilişim Suçlarını ilgilendiren bir durum olup olmadığı bu konular ile ilgili kurumdan kimin ilgileneceği
·          
Tanımlama:
Bu aşamada temel amaç olayı tanımlamak, kategorize etmek ve önceliklendirme yapmaktır. Cevaplanması gereken bazı sorular aşağıdaki gibidir.
·         Ne tür bir olay ile karşı karşıyayız?
·         Kimi aramalıyız?
·         Olayın ciddiyeti ne boyutta?
·         Olayın ile ilgili forensic çalışmalarına başlamak gerekiyor mu?
Kapsam belirleme:
Olayın sınırlarının belirlenmesi.
·         Bu aşamada kurumdaki teknik ekipler devreye sokulur. Avukat, Some Ekibi üyeleri, Network ekip lideri..
·         Problem izole edilir. Network’e bulaşmış bir virüs firewall, ips kuralları ile network ile iletişimi kesilir.
·         Deliller belirlenir ve daha sonra incelemek üzere el konulur. (örnek .pcap trafiği)
·          
Bildir:
Eğer veri kaybı oluştuysa paydaşların bilgilendirilmesi( Hsbc bank veri sızıntısı)
Fatmal, Tinba, Hesperbot vakaları twitter üzerinden güvenlik uzmanlarınca bilgi paylaşımı.
Usom’ un zararlıyı dağıtan alan adları ile haberdar edilmesi gibi.
Analiz:
Saldırının analiz edilmesi işlemleri.
·         Saldırının amacı ne?
·         Neden saldırı hedefi olundu?
·         Etkisi ne kadar, herhangi bir zarar var mı?
Problem Çözümü:
Problemin çözüme ulaştırılması aşamaları gerçekleştirilir ve kesin çözüme ulaşılır.
·         Sistemin sıfırdan tekrardan kurulması
·         Yetkili kullanıcı hesapları ele geçirilmişse yeni parola ataması yap.
·         Güncelleştirmeleri denetle ve al.
·         Zafiyet taraması yapılması
·         Koruma kontrollerine göre katmanlı yapıların hazırlanması
Bakım && Onarım:
Problemin neden olduğu hataların giderilmesi ve sistemlerin eski haline geri döndürülmesi
Onarımın sorunsuz gerçekleştirildiğinin test edilmesi.
Müşteriler eskisi gibi hizmet almaya devam edebiliyor mu?
Açıkların Kapatılması && Çıkartım:
Yaşanan olaydan ders çıkartılması, süreçlerin iyileştirilmesi
Olay müdahalesi ile ilgili rapor oluşturulması,
·         Nelerin doğru nelerin yanlış gittiği,
·         Süreçleri iyileştirmek için yapılması gerekenler
·         Olayın kuruma maliyeti
·         Olay ile ilgili çıkartımlar
·         Olay müdahalesi sonucu kazanılan tecrübeler artı ve eksileri
·         Olay müdahalesinin başarısı
·         Olay müdahale planının güncellenmesi
Son aşamadan sonra döngü gibi tekrar olay müdahale planına dönülür.





Hiç yorum yok :

Yorum Gönder

Blog Arşivi