wotech

Pandemi ve Sonrası için Incedent'lara Müdahale Planı Oluşturmak

14.05.2021 22:42 By Adem Oztemel

Pandemi ve Sonrası için Incedent'lara Müdahale Planı Oluşturmak

Dağıtılmış bir iş gücünün yani evden çalışmaya geçişin yeni normali, siber tehdit ortamında ilerlemelere yol açtı. Küresel kuruluşlar fidye yazılımı saldırılarında yüzde 148 artış görüldü ve bunların çoğu finans ve sağlık sektörlerini hedefliyor. Amerika Birleşik Devletleri'ndeki COVID-19 sağlık bilgileri veya seçimler gibi popüler ilgi alanlarının küresel etkisi e-postalar ve güvenli olmayan cihazlar yoluyla kimlik avı saldırılarının önünü açar.

 

Siber saldırıları önlemek savaşın yarısıdır. Bir siber saldırının etkisine hazırlık yapmak diğer yarısıdır ve bir kuruluşun siber dirençli olmasını sağlayan şeydir. Kapsamlı bir Siber Güvenlik Olayı Müdahale Planı (Cybersecurity Incident Response Plan, CIRP) bir kuruluşun bir siber saldırıdan kaynaklanan zararları azaltmasına ve kontrol etmesine yardımcı olur.

 

İşletme çapında bir CIRP, organizasyondaki üç ayağı güçlendirmeye odaklanır: insanlar, süreç ve teknoloji.

 

Bir güvenlik olayı müdahale ekibi sadece BT departmanından değil aynı zamanda İK, Hukuk ve Halkla İlişkiler gibi yardımcı departmanlardan da oluşur. Ekibin yapılandırılmış bir dizi rolü ve sorumluluğu olmalıdır ve mevcut siber tehdit ortamına ilişkin farkındalığı artırmak için çalışanlara düzenli eğitim oturumları düzenlemelidir.

 

Kuruluşlar, kapsamlı bir siber güvenlik stratejisi geliştirmek için genellikle bazı araçlar kullanır. Bununla birlikte birlikte çalışabilirliği engelleyen ve dolayısıyla siber güvenlik sistemlerinin verimliliğini azaltan bağlantısız sistemler riski ortaya çıkmaktadır. Bilgi güvenliği yöneticilerinin (CISO'lar) güvenlik sistemlerinde görünürlüğü iyileştirmek için doğru siber güvenlik araçlarının kullanımını sağlamaları ve tehdit önleme, algılama ve yanıtlamada en iyi uygulamaları benimsemeleri gerekir.

 

Siber Güvenlik Olay Müdahale Planları ve kuruluşların bir siber saldırıya hazırlanmak için doğru eğitim, süreç ve teknolojilerle nasıl strateji oluşturup bunlarla nasıl çalışabileceği hakkında beş ilginç makaleyi aşağıda bulabilirsiniz.

 

1.  Koronavirüs Pandemisi Sırasında Siber Güvenlik Zorlukları ve Olaylara Müdahale Hazırlığı

 

 Pandemi sırasında uzak araçların hızlı ve plansız bir şekilde benimsenmesi, kuruluşlarda siber güvenlik açıklarının artmasına neden oldu. Güvenli olmayan Wi-Fi ağlarının ve yamalanmamış VPN'lerin kullanımı riski artırır. Bu madde, kuruluşların kapsamlı bir olay müdahale planını uygulamaya koymadan önce dikkate almaları gereken temel noktaları tartışmaktadır. Kullanılabilirliği yüksek ve esnek bir savaş odası elde etmek için iletişimi ve kaynakların fazlalığını sağlamaya büyük önem verilmektedir. Bu noktada verilebilecek tavsiyeler şunlardır;

  • Alternatif iletişim kanalları oluşturun
  • Anahtar çalışanlara ulaşılamaması durumu için plan yapın
  • Anahtar müdahale planlarını test edin
  • Masaüstü egzersizleri yaparak uzak bir çalışma ortamında çalışırken ve iletişim zor olduğunda bozulan temel müdahale süreçlerini belirleyerek alıştırmalar yapın
  • VPN zaafiyet taramaları yapın
  • Administrator yetkili hesap gereksinimlerini düzenleyin ve yapabiliyorsanız en aza indirin
  • CISA uzmanlarının rehberliğinden faydalanın

 

2.  Pandemide Etkili Uzaktan Olay Müdahalesi Uygulama

 

Dünya çapındaki sokağa çıkma yasakları Dijital Adli Tıp ve Olay Müdahale ekipleri için BT sistemlerine fiziksel erişimi kısıtladı. Bulut tabanlı Uç Nokta Algılama ve Müdahale araçlarının kullanılması uzaktan araştırmayı kolaylaştırır ve kritik uç noktalar için görünürlük sağlar. Tespit edildiğinde de bu araçlar tehdidin karantinaya alınmasına yardımcı olur. COVID-19 zamanlarımızda fiziksel erişim olmadan tehditleri temizlemek zordur. Çözüm, etkilenen sistemleri yeniden görüntülemeyi ve nihayetinde uzaktan onarımları gerçekleştirmek için de araçlar kullanmayı içerir. Bu noktada SIEM uygulamaları, Endpoint Detection and Response araçları, Privilege Access Management uygulamaları ve telekonferans uygulamaları bunlara örnek olarak verilebilir.

 

3.  Etkili bir siber olay müdahale planının özellikleri nelerdir?

 

Bir olay müdahale planının oluşturulması, düzenli olarak test edilmelidir İş gücünün içgüdüsel olarak kas hafızasına dahil edilmesi için işgücünün sürekli eğitimini içermelidir. Bu başlık, bir siber tehdit olayı sırasında kaostan düzene ulaşmaya yardımcı olan etkili bir siber olay müdahale planının yedi özelliğini gözler önüne seriyor;

 

  • Eyleme geçirilebilir bir müdahale akışı sağlayın

 

Herhangi bir kimse bir müdahalenin somut adımlarla kronolojik olarak nasıl ilerlemesi gerektiğini izleyebilmelidir. Bir akış şemasının ve kontrol listelerinin dahil edilmesi bunlar için netlik sağlayabilir ve bir güvenlik ihlalinin sıcaklığında ki yanlış adımları önleyebilir

 

 

  • Olay sınıflandırmasını açıkça tanımlayın

Olayları uygun şekilde sınıflandırmak için açık kriterler dahil edilmelidir. Düşük ve orta düzeydeki olaylar genellikle operasyonel BT ekiplerince ele alınabilirken daha yüksek önem derecesine sahip olaylar genellikle daha geniş beceri setleri, ek kaynak tahsisi, daha canlı yönetimi gerektirmektedir. Bu sebepler ile ya seviye-2 / seviye-3 destek ya da üçüncü-parti firma desteği gerektirir.

 

 

  • Net iletişim kanalları oluşturun

Yanlış iletişi, zaten zor olan bir durumu daha da zor hale getirebilir. Olay müdahale planları operasyonel ekiplerin, ilgili bilgileri diğer ekiplere ve paydaşlara iletmesi gerektiğini açıkça ortaya koymalıdır. Teams Whatsapp gibi mesajlaşma/haberleşme uygulamaları aracılığıyla açık iletişim kanallarının kurulması bir ağ tehlikesi durumunda iletişim kanallarına erişiminizi de koruyacaktır. Bu özellikle işgücünüzün geniş bir alana yayıldığı dönemlerde önemlidir.

 

  • Rolleri ve sorumlulukları atayın ve tanımlayın

Resmileştirilmiş rolleri ve sorumlulukları açıkça belirtin. Bu atama temel teknik güvenlik ekibinin ötesine geçmeli ve bir siber saldırıya veya veri ihlaline müdahale etmeye dahil olan tüm paydaşları kapsamalıdır. Atama hukuk, pazarlama, halkla ilişkiler, üretim operasyonları ve insan kaynakları ekiplerinden gelenleri içerebilir.

 

  • Üçüncü-partilerden destek almayı da düşünün

 Bunlar kolluk kuvvetleri veya düzenleyici kurumlar, sigorta sağlayıcıları, bilgi güvenliği konusunda uzman hukuk danışmanlarını, halkla ilişkiler kaynakları ve siber güvenlik şirketlerini içerebilir.

 

  • Uygun olan yerlere oyun kitapları ekleyin

En yaygın olayları veya kuruluşunuzun karşılaştığı kritik risklerle ilişkili olabilecekleri belirleyin. Bu belirli risklerle ilgili, müdahale yoluyla işletmeye rehberlik etmek için eyleme geçirilebilir oyun kitapları hazırlayın. Bu oyun kitapları beklenmedik olayları hesaba katmak için yeterince esnek kalırken, ana müdahale akışında bulunanlardan daha kuralcı adımlar içerebilir (ör. Bir perakendeci sızdırılan ödeme bilgileri için bir başucu kitabına sahip olmak isteyebilir).

 

  • Diğer planlamaları hesaba katın

Olay müdahale planları diğer organizasyonel planlamaya dayanır ve bunları besler. Başarılı planlar, kriz yönetimi planlarına ek olarak ilgili BT odaklı iş sürekliliği ve felaket kurtarma planlarına referans vermeli ve bunlara bağlanmalıdır.

 

4.Siber güvenlikte yapay zeka, makine öğrenimi ve otomasyon: Şimdi tam zamanı

 

Siber saldırılardaki artış, büyük bir siber güvenlik beceri boşluğu yaşandığında ortaya çıkıyor. Yapay zeka, makine öğrenimi ve otomasyon, kuruluşların siber tehditlere hızla yanıt vermesi için yetenekler sağlar. Bu başlık tehdit önleme, tespit ve müdahale çözümleri arasında sınırlı kaynaklara ve bütçelere öncelik verme konusunda CISO'ların karşılaştığı ikilemi tartışmaktadır.

 

Genel zorluk ortamı;

"Zor Seçimler Yapmak: CISO'lar Artan Tehditleri ve Sınırlı Kaynakları Nasıl Yönetiyor" başlıklı anketimizin sonuçları, CISO'ların şu anda bütçelerinin %36'sını müdahaleye ve %33'ünü önlemeye ayırdığını gösteriyor. Bununla birlikte güvenlik ihtiyaçları değiştikçe birçok CISO etkinliğini azaltmadan ve bütçeyi etkilemeden bu atakları uzaklaştırmaya çalışıyor. Bugünün siber saldırılarının hızıyla eşleştirilmesinin önündeki zorluklardan biri, CISO'ların personel ve bütçe kaynaklarının sınırlı olmasıdır. Bu engellerin üstesinden gelmek ve etkili siber güvenlik için gerekli algılama ve yanıt hızlarına ulaşmak için CISO'lar yapay zeka, makine öğrenimi ve otomasyondan yararlanmalıdır. Bu teknolojiler tehditleri ilişkilendirerek müdahaleyi makine hızında koordine ederek boşlukların kapatılmasına yardımcı olacaktır.

 

Eşsiz zorluklar;

Özellikle devlet kurumları, BT sistemlerinin yaşı ve karmaşıklığı ile hükümetin bütçe döngüsünün zorlukları dahil olmak üzere, kamu sektörüne özgü bir dizi zorlukla ilgilenir. Devlet kurumları için BT ekipleri yalnızca fikri mülkiyeti veya kredi kartı numaralarını korumakla kalmaz. Ayrıca vatandaşların hassas verilerini ve ulusal güvenlik sırlarını korumakla görevlidirler. Bu sebeple silo sistemlerinin tipik hükümet yapısı, daha geniş ve daha ayrıntılı ağ görünürlüğü ve daha hızlı ve otomatik yanıt sağlayabilen birleşik bir platformla değiştirilmelidir.

 

Yapay zeka ve otomasyon nasıl yardımcı olabilir?;

Birleşik bir platform çalışması yapmanın anahtarı yapay zeka ve otomasyon teknolojileridir. Kuruluşlar manuel tespit ve müdahale ile artan tehdit hacmine ayak uyduramadıkları için bu boşlukları doldurmak için AI / Machine Learning ve otomasyondan yararlanmaları gerekir. Yapay zeka odaklı çözümler anormal davranışları tespit etmek için normal davranışın nasıl olduğunu öğrenebilir. Örneğin birçok çalışan genellikle belirli bir tür veriye erişir veya yalnızca belirli zamanlarda oturum açar. Bir çalışanın hesabı bu normal parametrelerin dışında etkinlik göstermeye başlarsa AI / Machine Learning tabanlı bir çözüm bu anormallikleri tespit edebilir ve güvenli olduğu belirlenene kadar etkilenen cihazı veya kullanıcı hesabını inceleyebilir veya karantinaya alabilir. Bu sayede atak anında hafifletici bir önlem otomatik olarak alınmış olur.

 

Cihaza kötü amaçlı yazılım bulaşmışsa veya kötü niyetli davranıyorsa bu yapay zeka tabanlı araç da otomatik yanıtlar verebilir. Bu taktiksel görevleri yapay zeka odaklı çözümlerin sorumluluğu haline getirmek güvenlik ekiplerinin daha stratejik sorunlar üzerinde çalışmasını, tehdit zekası geliştirmesini veya daha zor görevlere odaklanmasını sağlar.

 

5. Fidye Yazılımı Olayına Müdahale Planınız Geleceğe Yönelik mi?

 

Kuruluşlar fidye yazılımı saldırılarının farklı olduğu ve diğer siber tehditlerden daha fazla etki yarattığı gerçeğini gözden kaçırıyor olabilir. Bir siber saldırıyı takiben BT ekiplerinin genellikle zahmetli manuel çabaları olacaktır. Bu da büyük fidye taleplerine teslim olup olmayacağını değerlendirirken kuruluşlar tarafından dikkate alınmalıdır. BT altyapısının boyutu onarım ve hasarı yumuşatma sürecinin karmaşıklığına katkıda bulunur. Bu başlık operasyonları hızlı ve ucuz bir şekilde eski haline getirmek için olay müdahale planında hayata geçirilmesi gereken süreçlerin önemini özetlemektedir.

İşletme çapında CIRP 'ye sahip kuruluşlar iş kesintilerine karşı daha az hassastır. Siber güvenlikteki sürekli iyileştirme siber saldırıya özgü olay müdahale planlarını düzenli olarak gözden geçirmeyi, doğru araçları kullanmayı ve yanıtlarını verimli bir şekilde yönetmeleri için işgücünü eğitmeyi içermelidir. Bir CIRP geliştirmeye yardımcı olan teknolojilerden birkaçı arasında; Güvenlik Bilgileri ve Olay Yönetimi (SIEM), Güvenlik Düzenleme, Otomasyon ve Yanıt (SOAR), Birleşik Uç Nokta Yönetimi (UEM) ve Kullanıcı ve Varlık Davranışı Analitiği (UEBA) bulunur.

Bu çözümler için ManageEngine ‘in ürünlerini inceleyebilirsiniz.  Henüz ManageEngine ürünlerini test etme şansı bulamadıysanız bu linkten demo talebinde bulunabilir ve birlikte demo çalışması yapabiliriz.

Tags :
Categories :

WOTECH

ÇÖZÜMLERİMİZ

IT Service Çözümleri

Server & Client Çözümleri

Monitoring Çözümleri

IT Security Çözümleri

Active Directory Çözümleri

RPA Çözümleri

ÇÖZÜM ORTAKLARI

İLETİŞİM

© WOTECH - 2024   |  Tüm Hakları Saklıdır