Basın Bülteni- ESET, siber saldırı sonrası izlenmesi gereken beş adımı açıkladı

Veri ihlallerinin sayısı her yıl artış gösteriyor. Her dakikanın önemli olduğu siber
saldırı durumlarında hazırlık ve hassasiyet, aksaklık ile felaket arasındaki
farkı belirliyor. Siber güvenlik alanında dünya lideri olan ESET, siber saldırı
tespit edildikten sonra atılması gereken beş adım ile ilgili önerilerini paylaştı.


Hazırlık, etkili olay müdahalesinin (IR) anahtarıdır. Olay müdahale ekibindeki herkes
ne yapacağını tam olarak biliyorsa hızlı, tatmin edici ve düşük maliyetli
bir çözümün şansı daha yüksektir. Tehdit aktörleri bir ağa girdikten sonra, zaman
kurbanın aleyhine işlemeye başlar. İster hassas verileri çalmak ve fidye istemek,
ister fidye yazılımı veya diğer kötü amaçlı yükleri dağıtmak istiyor olsunlar,
önemli olan onları en değerli varlıklarınıza ulaşmadan durdurmaktır. Son
araştırmalara göre, saldırganlar 2024 yılında ilk erişimden yanal harekete (diğer
adıyla kaçış süresi) önceki yıla göre yüzde 22 daha hızlı ilerlemiştir.
Ortalama kaçış süresi 48 dakikaydı ancak kaydedilen en hızlı saldırı bunun neredeyse
yarısı kadar olan 27 dakika.

İhlal sonrası atılması gereken 5 adım
Hiçbir kuruluş ihlalden yüzde 100 korunamaz. Bir olayla karşılaşırsanız ve yetkisiz
erişimden şüphelenirseniz hızlı ama aynı zamanda metodik bir şekilde hareket
edin. ESET uzmanlarının paylaştığı beş adım, ilk 24 ila 48 saatte size yol gösterebilir.
Odak noktası hız olmalı ancak doğruluk veya kanıtlardan ödün vermeden
titizlik de önemlidir.

1. Bilgi toplayın ve kapsamı anlayın
İlk adım, tam olarak ne olduğunu anlamak ve bir yanıt üzerinde çalışmaya başlamaktır.
Bu, önceden oluşturulmuş IR planınızı etkinleştirmek ve ekibi bilgilendirmek
anlamına gelir. Bu grup, İK, Halkla İlişkiler ve İletişim, Hukuk ve Yönetici
Liderlik dâhil olmak üzere tüm işletmeden paydaşları içermelidir. Ardından,
saldırının etki alanını belirleyin: Düşmanınız şirket ağına nasıl girdi? Hangi
sistemler tehlikeye girdi? Saldırganlar hâlihazırda hangi kötü niyetli eylemleri
gerçekleştirmişler?
Saldırının etkisini değerlendirmek için değil, aynı zamanda adli soruşturma ve muhtemelen
yasal amaçlar için de her adımı belgelemeniz ve kanıtları toplamanız
gerekecektir. Zincirleme sorumluluk, kolluk kuvvetleri veya mahkemelerin müdahil
olması gerektiğinde güvenilirliği sağlar.

2. İlgili üçüncü tarafları bilgilendirin
Olayın ne olduğunu belirledikten sonra, ilgili makamları bilgilendirmek gerekir.
- Düzenleyici kurumlar: Kişisel olarak tanımlanabilir bilgiler (PII) çalındıysa
veri koruma veya sektöre özgü yasalar kapsamında ilgili yetkililerle iletişime
geçin.
- Sigorta şirketleri: Çoğu sigorta poliçesi, bir ihlal meydana gelir gelmez sigorta
sağlayıcınızın bilgilendirilmesini şart koşar.
- Müşteriler, ortaklar ve çalışanlar: Şeffaflık güven oluşturur ve yanlış bilgilerin
yayılmasını önler. Olayı sosyal medyadan veya televizyon haberlerinden öğrenmemeleri
daha iyidir.
- Kolluk kuvvetleri: Olayları, özellikle fidye yazılımlarını bildirmek, daha büyük
kampanyaların tespit edilmesine yardımcı olabilir ve bazen şifre çözme araçları
veya istihbarat desteği sağlayabilir.
- Dışarıdan uzmanlar: Özellikle şirket içinde bu tür kaynaklara sahip değilseniz
dışarıdan hukuk ve BT uzmanlarıyla da iletişime geçmeniz gerekebilir.

3. İzole edin ve kontrol altına alın
İlgili üçüncü taraflarla iletişim devam ederken saldırının yayılmasını önlemek için
hızlı bir şekilde çalışmanız gerekir. Etkilenen sistemleri internetten izole
edin ancak kanıtları yok etme riskine karşı cihazları kapatmayın. Amaç değerli
kanıtları yok etmeden saldırganın erişimini sınırlamaktır. Saldırganların bunları
ele geçirememesi ve fidye yazılımının bunları bozamaması için tüm yedeklemeler
çevrim dışı ve bağlantısı kesilmiş olmalıdır. Tüm uzaktan erişim devre dışı
bırakılmalı, VPN kimlik bilgileri sıfırlanmalı ve gelen kötü amaçlı trafiği
ve komut ve kontrol bağlantılarını engellemek için güvenlik araçları kullanılmalıdır.

4. Kaldırma ve kurtarma
Yayılma engellendikten sonra, ortadan kaldırma ve kurtarma aşamasına geçin. Saldırganın
taktik, teknik ve prosedürlerini (TTP) anlamak için adli analiz yapın,
ilk girişten yanal harekete ve (ilgiliyse) veri şifrelemeye veya sızdırmaya kadar.
Kalan tüm kötü amaçlı yazılımları, arka kapıları, sahte hesapları ve diğer
güvenlik ihlali belirtilerini kaldırın.
Kurtarma ve geri yükleme kapsamında önemli eylemler şunlardır: Kötü amaçlı yazılımları
ve yetkisiz hesapları kaldırmak, kritik sistemlerin ve verilerin bütünlüğünü
doğrulamak, temiz yedeklemeleri geri yüklemek (güvenlik ihlali olmadığından
emin olduktan sonra), yeniden tehlikeye girme veya kalıcılık mekanizmalarına
dair işaretleri yakından izlemek.
Kurtarma aşamasını sadece sistemleri yeniden kurmak için değil, güçlendirmek için
de kullanın. Bu, ayrıcalık kontrollerinin sıkılaştırılması, daha güçlü kimlik
doğrulama uygulamaları ve ağ segmentasyonunun uygulanmasını içerebilir. Geri yüklemeyi
hızlandırmak için ortakların yardımını alın veya süreci hızlandırmak için
ESET'in Fidye Yazılımı İyileştirme gibi araçları kullanmayı düşünün.

5. İnceleme ve iyileştirme
Acil tehlike geçtikten sonra, işiniz henüz bitmiş sayılmaz. Düzenleyiciler, müşteriler
ve diğer paydaşlar nezdindeki yükümlülüklerinizi yerine getirin. İhlalin
boyutunu anladıktan sonra, düzenleyici kurumlara bildirimde bulunmak da dâhil
olmak üzere, güncellenmiş iletişim kurmanız gerekecektir. Bu konuda halkla ilişkiler
ve hukuk danışmanlarınız öncülük etmelidir.
Olay sonrası inceleme, acı verici bir olayı dayanıklılık için bir katalizöre dönüştürmeye
yardımcı olur. Ortam sakinleştikten sonra, gelecekte benzer bir olayın
tekrar yaşanmasını önlemek için neler olduğunu ve hangi derslerin çıkarılabileceğini
belirlemek de iyi bir fikirdir. Nelerin yanlış gittiğini, nelerin işe yaradığını
ve algılama veya iletişimde nerede gecikmeler yaşandığını inceleyin.
IR planınızı, oyun kitaplarınızı ve eskalasyon prosedürlerinizi buna göre güncelleyin.
IR planında yapılacak herhangi bir değişiklik veya yeni güvenlik kontrolleri
ve çalışan eğitimi ipuçları için öneriler faydalı olacaktır. Güçlü bir olay
sonrası kültürü, her ihlali bir sonraki olay için bir eğitim alıştırması olarak
değerlendirir ve stres altında savunma ve karar verme becerilerini geliştirir.

İhlalleri önlemek her zaman mümkün olmayabilir ancak hasarı en aza indirmek mümkündür.
Kuruluşunuzun tehditleri 7/24 izlemek için gerekli kaynakları yoksa güvenilir
bir üçüncü tarafın sunduğu yönetilen tespit ve müdahale (MDR) hizmetini değerlendirin.
Ne olursa olsun, IR planınızı test edin ve ardından tekrar test edin.
Çünkü başarılı bir olay müdahalesi sadece BT'nin görevi değildir. Kuruluşun
içinden ve dışından birçok paydaşın uyum içinde çalışmasını gerektirir. Hepinizin
ihtiyaç duyduğu türden bir kas hafızası geliştirmek için genellikle bol miktarda
pratik yapmak gerekir.


-iDeal Haber Merkezi-
- twitter.com/iDealDataHaber // www.idealdata.com.tr -