Bir siber saldırı durumunda şirketler ve kuruluşlar büyük bir baskı altındadır, çünkü bir olaya doğru tepki vermek zaman alıcıdır, ancak aynı zamanda hızlı eylem gerektirir.
Bu nedenle Sophos olay müdahale uzmanları, şirketlerin bu zor görevin üstesinden gelmesine yardımcı olacak bir kılavuz geliştirdi. Bu dört ipucu, binlerce siber güvenlik olayına müdahale etmek için birlikte çalışan yönetilen tehdit müdahalesi ve hızlı müdahale ekiplerinin gerçek dünyadaki deneyimlerine dayanmaktadır.
1. Mümkün olduğunca çabuk yanıt verin
Şirketler saldırı altındayken her saniye önemlidir. Ancak şirket içi güvenlik ekiplerinin yeterince hızlı tepki verebilmesi için genellikle çok uzun süreye ihtiyacı vardır. Bunun en yaygın nedeni ise durumun ciddiyetini ve aciliyetini zamanında fark edememeleridir. Ayrıca resmi tatillerde, hafta sonlarında ve geceleri birçok saldırı meydana gelmektedir. Çoğu BT ve güvenlik ekibi önemli ölçüde yetersiz olduğundan, bu zamanlarda bir saldırıya yanıt vermek, saldırının etkisini zamanında kontrol altına almak için genellikle çok geç olur.
Dikkat alarm yorgunluğu
Ek olarak, belirli bir alarm yorgunluğu, hızlı eylemi azaltır. Ve doğru ve zamanında müdahale edilse bile, güvenlik ekipleri genellikle doğru adımları atmak için gerekli deneyime sahip değildir. Bu nedenle, olası olaylar ve bunlara tepki önceden ayrıntılı olarak planlanmalıdır. Sophos, Olay Müdahale Kılavuzunda böyle bir siber kriz planının en önemli on adımını listeledi.
2. Eylemleri "görev tamamlandı" olarak ilan etmekte çok aceleci olmayın.
Bir siber olay durumunda, sadece semptomları tedavi etmek yeterli değildir. Nedenleri de araştırılmalıdır. Örneğin, kötü amaçlı yazılımın başarılı bir şekilde kaldırılması ve bir uyarının silinmesi, saldırganın ortamdan uzaklaştırıldığı anlamına gelmez. Çünkü bu, saldırganın hangi savunmalarla karşı karşıya olduğunu belirlemek için yaptığı bir test olabilir. Saldırganın hâlâ altyapıya erişimi varsa, muhtemelen yeniden saldırır, ancak daha büyük bir yıkıcı güçle. Saldırganın bölgede hala bir ayağı var mı? İkinci bir dalga başlatmayı planlıyor mu? Deneyimli olay müdahale uzmanları, ne zaman ve nerede daha fazla araştırma yapacaklarını bilirler. Saldırganların ağda yaptıkları, yaptıkları veya yapmayı planladıkları her şeyi ararlar ve bu faaliyetleri de etkisiz hale getirirler.
3. Tam görünürlük önemlidir
Bir saldırıda, doğru, yüksek kaliteli verilere erişimin olması önemlidir. Yalnızca bu bilgiler, bir saldırının potansiyel göstergelerini doğru bir şekilde belirlemeyi ve nedenini belirlemeyi mümkün kılar. Uzman ekipler, sinyalleri tespit etmek için ilgili verileri toplar ve bunları nasıl önceliklendireceklerini bilirler. Bunu yaparken aşağıdaki noktalara dikkat edin:
sinyalleri topla
Bir ortamın sınırlı görünürlüğü, saldırıları kaçırmanın kesin bir yoludur. Büyük veri araçları burada yardımcı olabilir. Bunlar, saldırıları araştırmak ve bunlara yanıt vermek için anlamlı içgörüler sağlamaya yetecek kadar veri toplar. Çeşitli kaynaklardan doğru, yüksek kaliteli verilerin toplanması, bir saldırganın araçları, taktikleri ve prosedürleri hakkında eksiksiz bilgi sağlar.
gürültü tabanını azaltmak
Bir saldırının tam resmini sağlayabilecek verilere sahip olamamaktan korkan bazı şirketler ve güvenlik araçları genellikle mevcut olan her türlü bilgiyi toplar. Ancak bu yaklaşım, saldırıların aranmasını zorlaştırır ve gereğinden fazla veri üretilir. Bu, yalnızca veri toplama ve depolama maliyetini artırmakla kalmaz, aynı zamanda olası olaylar için yüksek bir gürültü tabanı oluşturarak alarm yorgunluğuna ve gerçek yanlış alarmları kovalamak için zaman kaybına yol açar.
bağlamı uygula
Etkili bir olay müdahale programı yürütebilmek için içeriğe (verilere) ek olarak bağlam da gereklidir. Güvenlik analistleri, sinyallerle ilişkili anlamlı meta verileri uygulayarak bu sinyallerin kötü amaçlı mı yoksa zararsız mı olduğunu belirleyebilir. Etkili tehdit tespiti ve müdahalesinin en önemli bileşenlerinden biri sinyal önceliklendirmesidir. En önemli uyarıları tanımlamanın en iyi yolu, güvenlik araçları (yani uç nokta algılama ve yanıt çözümleri), yapay zeka, tehdit istihbaratı ve insan operatörün bilgi tabanı tarafından sağlanan bağlamın bir kombinasyonudur. Bağlam, bir sinyalin nereden kaynaklandığını, saldırının mevcut aşamasını, ilgili olayları ve potansiyel iş etkisini belirlemeye yardımcı olur.
4. Yardım istemekte sorun yok
Olayları araştıracak ve müdahale edecek nitelikli kaynakların eksikliği, günümüzde siber güvenlik endüstrisinin karşı karşıya olduğu en büyük sorunlardan biridir. Siber saldırılar sırasında yüksek baskı altında kalan birçok BT ve güvenlik ekibi, kendilerini başa çıkacak deneyim ve becerilere sahip olmadıkları durumlarla karşı karşıya bulur. Bu ikilem yerini bir alternatife bıraktı: yönetilen güvenlik hizmetleri. Daha spesifik olarak, Yönetilen Tespit ve Yanıt (MDR) Hizmetleri. MDR hizmetleri, uzmanlardan oluşan bir ekip tarafından sağlanan dış kaynaklı güvenlik operasyonlarıdır ve şirketin kendi güvenlik ekibinin bir uzantısıdır.Bu hizmetler, insan liderliğindeki soruşturmaları, gerçek zamanlı izlemeyi ve olay müdahalesini istihbarat toplama ve analiz teknolojileriyle birleştirir.
Özel Olay Müdahale Hizmetleri
Henüz bir MDR hizmeti almamış ve etkin bir saldırıya yanıt vermesi gereken kuruluşlar için özel olay yanıt hizmetleri iyi bir seçenektir. Güvenlik ekibi bunaldığında ve saldırıyı değerlendirmek ve saldırganın etkisiz hale getirilmesini sağlamak için dışarıdan uzmanlara ihtiyaç duyulduğunda olay müdahale ekipleri çağrılır. Nitelikli güvenlik analistlerinden oluşan bir ekibe sahip şirketler bile bir olay müdahale hizmetiyle çalışmaktan yararlanabilir. Örneğin, kapsama alanındaki boşluklar (örneğin geceler, hafta sonları ve tatiller) doldurulabilir veya olay müdahalesinde ihtiyaç duyulan özel görevler tahsis edilebilir.
Daha fazlası Sophos.com'da
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.