1-) Kurum içerisinde herhangi bir bölümde bir incident meydana geldiğinde ulaşılması gereken kişiler aşağıdaki gibidir. İncident’a zamanında müdahale edilebilmesi için kurum içersinde yaşanan bir incident forensic çalışması en azından o aşamada gerekmiyorsa bu kişilerle hemen irtibat kurulabilmelidir.
· Help destek
· İntrusion Detection Personeli
· Sistem Yöneticisi
· Firewall Yöneticisi
· Siem Yöneticisi
· Some Ekibinden birileri
· Business Partner
· Departman Müdürü
· Güvenlik departmandan birisi
· Forensic Analysist
· Malware Analysist(varsa)
· Bilgi Güvenliği Uzmanı
· Outsource birisi
Bunun dışında olay müdahalesi için ihtiyaçlar doğrultusunda destek verebilecek herkesin 7/24 olaın mahiyetine göre hazır bulunması gerekmektedir. Olay müdahalesi içinde ilk olarak kiminle iletişime geçileceği prosedürler ile belirlenmelidir.
2- ) Olay müdahalesi için herhangi bir zararlı aktivite gözlemlendiği zaman hemen 5. Madde devreye sokulmalıdır.
3-) Eğer bu incindet’la alakalı keşfi yapan kişi yukarıdaki ekipten birisi değilse hemen bu ekiple irtibata geçmelidir. Bu konu ile ilgili farklı departmanlardaki kurum çalışanları problem yaşadıkları zaman kimlere başvuracaklarını bilmelidirler.
4-) Herhangi bir incident anında acil durum kontak listesi aşağıdaki özelliklere sahip olmalıdır.
· Arayan kişinin ismi bilinmeli
· Arama zamanı bilinmeli
· Arayanın iletişim bilgileri
· Olayın Niteliği
· Ekipman olarak ne gerekli?
· Kimler müdahalede bulunacak?
· Ekipman ve ilgili kişilerin konumu
· İncident nasıl tespit edildi?
· Olayın meydana geldiği fikri nasıl desteklendi?
5-) Olay gerçekleştiğini fark eden güvenlik personeli ya da İt üyelerinden birisi kontak listesini alır ve hemen iletişim kurması gereken kişilerle iletişim kurar. Olay müdahale yöneticisi diğer ekipteki kişileri olay ile ilgili bilgilendirir. Aşağıdaki sorulara cevap aramaya çalışılır.
· İş seviyesinde olayın kritikliği ne?
· Olayın etkisi ne kadar?
· Hedef alınan sistem bilgisi, işletim sistemi, ip adresi, lokasyonu
· Atak ile ilgili herhangi bir origin
7-) Müdahale ekibi karşılaşılan durum ile ilgili görüşülen kişilere bir yanıt stratejisi belirleyecektir. Bu aşamada yine cevaplanması gereken sorular vardır.
· İncident gerçekte var mı, yoksa algı mı?
· İncident’ ın ilerlemesi hala devam ediyor mu?
· Hangi veriler veya tehdit ne kadar önemlidir?
· Saldırının etkili ne kadar? Minimum, ciddi ya da kritik
· Hangi sistemler hedef oldu? Fiziksel ya da network’te?
· İç ağda bir hareketlik var mı?
· Yanıt acil mi olması gerekiyor?
· Olayın etkisi ne kadar zamanda gerçekleşti ya da devam ediyor mu? Örneğin 1 Saatlik Ddos saldırısı belirli süre sonra serverların down olması.
· Yanıt saldırganı bir aksiyon alındığına dair uyaracak mı?
· İncident’ın türü ne? Virüs, worm, intrusion, abuse, damage…
8-) Olay aşağıdaki kategorilere göre planlanılır.
· Yaşamı tehdit edebilecek ortaya çıkabilecek davranışlar
· Hassas bilgi işfası
· Bilgisayar sistemlerini ele geçirmek
· Servis kesintisi
9- Tim üyeleri olay müdahalesi için genel birer bildiri yayımlarlar.
Worm müdahalale prosedürü
· Virüs müdahalale prosedürü
· System müdahalale prosedürü
· Aktif intrusion müdahalale prosedürü
· Aktif olmayan intrusion müdahalale prosedürü
· Sistem taciz müdahalale prosedürü
· Web site dos müdahalale prosedürü
· Spyware müdahalale prosedürü
· Database or file denial of service müdahalale prosedürü
Ekibin organizasyonun büyüklüğü veya işleyişine göre yeni prosedürler oluşturabilir. Ama daha sonra 3. Partilerle iletişime geçildiği zaman yapılanların belgelenmesi detaylı olarak istenilebilir. (USOM)
Ekip üyeleri bu süreçte forensic tekniklerini kullanabilir, log kontrolü yapabilir, sistem logları, ids logları, siem logları, firewall logları.. Bu noktada gerekli kontrolleri sadece ve sadece yetkili personelin yapması gerekmektedir.
Ekip yeniden benzer olayların yaşanmasına karşın sistemlerde değişikliğe gitme gibi yaptırımların uygulanmasını sağlayabilir.
Yönetimin onayı üzerine bu değişiklikler hayata geçirilecektir.
10-) Ekip üyeleri zararlı bulaşmış sistemler üzerinde restorasyon ve zararlının arındırılması ile ilgili işlemler yapabilir.
· Sistemdeki açıklıkların giderildiğinden, patch edinildiğinden emin olunur.
· Ele geçirilen kullanıcı adı ve parola bilgileri yeniden atanması gerekmektedir.
· Yeni sistem testi gerçekleştirilmelidir. Örneğin gerekli üretilmesi gereken loglar üretiliyor mu?
· İps, Virüs Koruma, Zararlı koruma, Dlp gibi sistemler aktif mi kontrol edilmelidir.
· Önceki ele geçirilen sistemin sistemden izolasyonu ve kaldırılmış olması gereklidir.
11-) Raporlama aşamasında aşağıdaki unsurlar muhakkak raporlanmalıdır.
· İncident nasıl keşfedildi?
· İncident hangi kategoride yer almaktadır?
· İncident nasıl meydana geldi? Mail, Firewall,
· Olay müdahalesi için ne yapıldı?
· Olay müdahale raporu hazırlandı mı?
· Deliller toplandı mı?
· Saldırının geldiği adresler ip, lokasyon vb. gibi bilgiler toplandı mı?
· Olay müdahalesi etkili oldu mu?
14-) İleride kullanılmak üzere kanıtlar korunur. E-mail, logların kopyaları, diğer iletişim bilgileri tutulur.
15-) Olay müdahalesinde outsource gelen kişiler, USOM, polis, adli bilişim uzmanları gibi kişilerin bilgileri tutulur.
16-) Meydana gelen olayın kuruma olan etkileri araştırılır. Parasal, kurum imajına etkileri gibi.
17-) Yeni bir intrusion olmadan önce aşağıdaki maddelere dikkat edilmelidir.
· İntrusion’dan korunmak için policy kontrolleri yapılır. Yeni eklenecek policy’ler varsa eklenir.
· İntrusion’a neden olan ya da olması için policy’ler hakkında düşünülür.
· Olay müdahale yaklaşımı neydi? Nasıl gelişti?
· Herhangi bir security policy güncellendi mi?
· Olay müdahale süreçleri nasıl detaylandırıldı ve gelişti?
· Değişikler yeni bir benzer incident olayı gerçekleştiğinde ne kada r etkili olucak?
· Tüm sistemler patch edildi mi? Sistemler kilitlendi mi? E-mail policylerinde değişiklik oldu mu?
· Bu incident’tan nasıl bir ders çıkarıldı?
Hiç yorum yok :
Yorum Gönder