Bir siber saldırıya yoğun bir şekilde hazırlanan şirketler, saldırının sonuçlarıyla mücadele etmek için önemli ölçüde daha az zamana sahiptir. Olay müdahalesi (IR) için bir plana sahip olmak uzun bir yol kat eder.
Siber güvenlik esas olarak önlemeye odaklanır. Ve bunu yapmanın en iyi yolu, olaylardan ders çıkarmaktır. Yine de, saldırıya uğrayan şirketlerin başına tekrar tekrar gelir. Böyle bir durumda söz konusu olan zararı en aza indirmek ve bilinen deneyimlerden olabildiğince çok şey öğrenmektir. Peki "en iyi uygulama" nedir?
Bir planla çok şey kazanılır
BT güvenlik ekibi, bir güvenlik ihlali veya saldırı durumunda yürürlüğe girmesi gereken bir siber saldırıya (Olay Müdahalesi, IR) tepki vermek için bir plan tanımlar. Aşağıdaki sorular bir IR planının temelini oluşturur:
- Olay ne kadar ciddi?
- Kritik sistemler nerede bulunur ve nasıl izole edilir?
- Nasıl ve kiminle iletişim kurmalısınız?
- Kiminle iletişime geçilmeli ve ne gibi önlemler alınmalı?
- Peki ya yedek kopyalar?
Bir IR planı, yüksek basınçlı bir durumda takip edilmesi kolay olacak şekilde basit ve anlaşılır olmalıdır. SANS Olay El Kitabı ve Sophos'tan Olay Müdahale Kılavuzu bir plan oluştururken çok yardımcı olabilir.
Bir siber saldırıdan sonra yardım isteyin
Şirketler, bir saldırıdan sonra bilgisayarları ve sistemleri geri yüklemeye çalışmadan veya hatta bir fidye için pazarlık yapmadan önce yardım istemelidir. Saldırılara yanıt vermek özel beceriler gerektirir ve çoğu kuruluş olay yanıt uzmanları çalıştırmaz.
Bir plan, IR hizmet sağlayıcılarının iletişim bilgilerini içerir. Saldırı sunuculara ve uç noktalara yönelikse, örneğin bir fidye yazılımı olayında, özellikle bir IR hizmeti sunuyorlarsa, önce uç nokta güvenlik sağlayıcısıyla iletişime geçilmelidir. Muhtemelen etkilenen ortamın telemetrisine sahiptir ve hızlı bir şekilde yardımcı olmak için EDR/XDR gibi önceden yüklenmiş araçlara erişimi vardır.
Yardımı genişletin ve yetkililerle çalışın
Yerel kolluk kuvvetleriyle iletişime geçmeniz önerilir. Olayla birlikte bir suç işlenmiş olma olasılığı yüksektir ve ilgili makamların yardımcı kaynakları olabilir. Siber güvenlik sigortası varsa elbette siber saldırının sigorta şirketine de bildirilmesi gerekir. Bir teknoloji sağlayıcısı veya sistem entegratörü ile çalışıyorsanız, örneğin yedeklemeler gibi kurtarma konusunda yardımcı olabilirler.
Sistemleri hızla izole edin ve olayları kontrol altına alın
Olay izole edilmeli ve mümkün olan en iyi şekilde kontrol altına alınmalıdır. Buna gücün kapatılması, İnternet ve ağların bağlantısının kesilmesi, yazılım tabanlı izolasyon, tümünü reddetme güvenlik duvarı kurallarının uygulanması ve kritik sistemlerin kapatılması dahildir. İşlevsel bir etki alanı denetleyicisi varsa, mümkünse sunucuyu kapatarak ve/veya ağ bağlantısını keserek onu korumak önemlidir. Yedeklemeler ayrıca izole edilmeli ve ağdan ayrılmalıdır. Ayrıca, güvenliği ihlal edildiğinden şüphelenilen tüm parolalar değiştirilmeli ve hesaplar sıfırlanmalıdır.
Olay müdahale servislerini kullanırken önemli olan, etkilenen sistemlerin ve bağlantıların nasıl tekrar faaliyete geçirilebileceğine dair tavsiyelerdir.
Önemli: Herhangi bir fidye ödemeyin
Fidyeyi ödemek "kolay" bir çıkış yolu gibi görünse de suçluları yeni suçlar işlemeye teşvik ediyor. Ek olarak, ılımlı fidye taleplerinin olduğu günler çoktan geride kaldı: Sophos Fidye Yazılım Durumu Raporu 2021, orta ölçekli şirketlerin geçen yıl ortalama 147.000 Euro fidye ödediğini gösteriyor. Sophos araştırması ayrıca, bir fidye ödendikten sonra şifrelenmiş verilerin yalnızca yüzde 65'inin kurtarılabildiğini ve verilerin üçte birinden fazlasının yine de kaybolduğunu buldu.
Ayrıca fidye ödemelerine ilişkin yasal durum dünya çapında farklılık göstermektedir. Bu nedenle, bir kuruluşun faaliyet gösterdiği ülkedeki (veya ülkelerdeki) yasalar hakkında bilgi edinilmesi tavsiye edilir.
Mevcut kanıtları saklayın
Çoğu zaman, bir siber saldırının kurbanları öncelikle sistemlerini ve hizmetlerini mümkün olan en kısa sürede geri yüklemekle ilgilenir. Bu süreçte, güvenlik ihlalinin nedeninin belirlenmesine ve kapsamının anlaşılmasına yardımcı olacak pek çok bilgi kaybolur. Ancak bunlar, bir olay müdahale ekibine kiminle uğraştıklarını ve o grubun tipik olarak hangi taktikleri kullandığını söyleyebilir. Hatta tamamen yeni bir fidye yazılımı türünü ve kullanılan Taktikleri, Teknikleri ve Prosedürleri (TTP'ler) ortaya çıkarabilir.
Sistemlerin ve sanal makinelerin görüntülerini depolamak, kötü amaçlı yazılımı tek başına depolamak kadar önemlidir. Sigorta taleplerinin adli incelemeye tabi tutulması durumunda, şirketler ifşa düzenlemelerini ihlal etmediklerini bir devlet kurumuna kanıtlayabilir veya kanıtlayabilir.
Misilleme daha fazla hasar getirir
Çoğu durumda, bir fidye yazılımı saldırısının arkasında birden çok grup vardır. Örneğin, fidye notundan alınan bilgiler ve taktikler, teknikler ve prosedürlerdeki (TTP'ler) ortak noktalarla, deneyimli bir olay müdahale ekibi genellikle kiminle uğraştıklarını hızlı bir şekilde belirleyebilir. Sözde "hack back" olarak adlandırılan misilleme girişiminde bulunulması kesinlikle önerilmez. Muhtemelen ilk etapta yasa dışıdır ve yalnızca durumu daha da kötüleştirebilir.
Siber sigortanın rolü
Siber sigorta kapsamındaki bir siber saldırı durumunda, sigorta şirketinden bir eksper, önce dışarıdan bir avukatla görüşecektir. Bu, iç ve dış kaynakları organize eder ve olay çözülene kadar faaliyetleri koordine eder.
Sigorta yaptırırken, bir siber saldırı durumunda hangi faaliyetlerin ve hangi uzman sağlayıcıların kapsandığını önceden netleştirmeye değer. Çoğu siber sigorta şirketi, mevcut hizmet sağlayıcıların kullanımını kabul eder.
Her zaman iletişim halinde olun
İletişim genellikle siber saldırılardan ciddi şekilde etkilenir. E-posta sistemleri çevrimdışı olabilir, sigorta poliçelerinin veya IR planlarının elektronik kopyaları şifrelenmiş olabilir ve saldırgan iletişimleri izliyor olabilir. Bu nedenle, anlık mesajlaşma uygulaması gibi alternatif bir iletişim aracının bulunması tavsiye edilir. Ayrı bir kanal ile tüm ekip ve dahil olan herkes iletişim kurabilir. Sigorta verileri, IR planları ve IR uzmanlarıyla temaslar ayrı ve fiziksel formda tutulmalıdır.
Daha fazlası Sophos.com'da
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.