İşletmelerin siber güvenlik önlemleri arasında, bir saldırı durumunda en çok ihtiyaç olacak şeylerden biri vaka müdahalesi planı. ABD hükümetine bağlı Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından yayımlanmış ‘Computer Security Incident Handling Guide’ (Bilgisayar Güvenliği Olay İşleme Kılavuzu) başlıklı belge, BT birimlerinin oluşacak vakaları nasıl ele alabileceklerine dair adımları ele alıyor. ESET firması bu klavuzda anlatılan olay müdahalesinin önemli dört aşamasını şöyle özetlemiş:
Hazırlık
İşletmede bir olay gerçekleşmeden önce, meydana gelebilecek sorunları en aza indirecek güvenlik kontrol mekanizmaları kurulmalı. Şirket ağının yapılandırılması, bakımı ve güvenliği öncelikler arasında sayılıyor. Sunucuların, işletim sistemlerinin ve uygulamaların güncel tutulması ve kötü niyetli yazılımlardan korunması gerekli. Ayrıca çalışan eğitimlerinin de aksatılmaması tavsiye ediliyor.
Tespit ve analiz
Bu aşamada vaka müdahalesi analistleri, tüm izleme araçları ve günlükleri tarafından kendilerine sunulan verileri inceliyorlar. Ağda tam olarak ne olduğunu ve neler yapılabileceğini anlamak için bilgi, deneyim ve mantıksal düşünme devreye sokulmakta. Analistler soruna yol açan olay dizilerini yeniden oluşturmak için olayları ilişkilendirerek çeşitli çözümler geliştirebilirler. Bunun için de işletmenin bazı destekleyecek araçlar ve altyapılar bulunması gerekiyor.
Caydırma, durdurma ve kurtarma
Üçüncü aşamada, güvenlik müdahele ekibi tespit edilen tehditlerin daha fazla yayılmasını durdurmak için kullanacağı yönteme karar vermekte. Seçenekler arasında sunucuları kapatmak, uç noktaları izole etmek veya belirli hizmetleri durdurmak var. Seçilen önleme stratejisinin, kanıtları korumayı ve önleme süresince oluşabilecek daha fazla hasar olasılıklarını da kapsaması hatırlatılıyor.
Bir diğer konu ise hukuk müşavirlerinin talepleri. Müşavir vaka müdahelesi ekibinin mümkün olduğunca fazla kanıt toplaması ve belgelemesi gerektiği kararını verebilir denilmiş. O sebeple kanıtların kişiden kişiye aktarılmasının titizlikle kaydedilmesi gerektiği aktarılıyor. Zararlı yazılım tespit edildiğinde, tehdit altındaki sistemlerden silinmeli, kullanıcı hesapları devre dışı bırakılmalı, hatta sıfırlanmalı. Güvenlik açıklarının yamalanması, dosyaların temiz yedeklemelerden geri yüklenmesi, parolaların değiştirilmesi ve güvenlik duvarı kurallarının sıkılaştırılması da diğer önlemlerden.
Olay sonrası
Müdahele ekibinin bu aşamada olay yapılanması ve zaman çizelgesi sağlayıp belgelemesi ilk yapılacaklardan. Bu sayede olayın temel nedeni anlaşılabilir, tekrarlanması engellenebilir. Ayrıca benzer bir olayı önlemek için neler yapılabileceği de daha iyi planlanabilir. Olay sonrasında tüm süreçlerin ve prosedürlerin etkinliğini gözden geçirmek, iletişim ve işbirliği zorluklarındaki boşlukları belirlemek ve mevcut olay müdahale planına verimlilik kazandırmak da yapılması gerekenlerden.
Son olarak da olay sırasında toplanan kanıtları saklama politikasına karar verilmeli. Hukuk departmanına danışmadan sabit disklerin silinmemesi tavsiye ediliyor. Çoğu kuruluşun, yönetmeliklere uyum sağlamak için iki yıl boyunca olay kayıtlarını arşivlediği hatırlatılmakta.