Olay müdahale işlemi

İlk adım, siber güvenlik olaylarına yanıt vermeyle ilgili hem iç hem de dış süreçleri kapsayan bir olay müdahale planına sahip olmaktır. Plan şunları yapmayı da içermeli:

• İş riski ve olayın etkisi ile değişen adres saldırıları; bu saldırılar, artık yönetici düzeyindeki kimlik bilgilerinin güvenliğinin tehlikeye atinen yalıtılmış bir web sitesinden farklı olabilir.
• Yanıtın amacını, örneğin hizmete iade etmek ya da saldırının yasal veya halkla ilişkilerle ilgili yönlerini ele ele alın.
• Yapılması gereken çalışmaya, olayda kaç kişinin çalışması gerektiği ve kişinin görevleri açısından öncelikleri belirleme.

Olay yanıt planınıza dahil etmek üzere göz önünde bulundurabilirsiniz etkinliklerin denetim listesi için olay yanıt planlama makalesine bakın. Olay müdahale planınız bir kez başladıktan sonra, kuruluşlarının hızlı ve verimli bir şekilde yanıt veresin diye en ciddi siber saldırıların sık sık test sınanması gerekir.

Her kuruluşun olay müdahale süreci kuruluş yapısı ve özelliklerine göre farklı olsa da, güvenlik olaylarını yanıtlamak için bu makaledeki öneriler ve en iyi yöntemler kümesine göz önünde bulunabilirsiniz.

Bir olay sırasında şunları yapmak kritik öneme sahipdir:

• Sakin olun

  Olaylar aşırı rahatsız edicidir ve duygusal olarak ücrete tabidir. Sakin olun ve öncelikle en etkili eylemlere yönelik çabalarınızı önceliklendirmeye odaklanın.

• Zarar verme

  Yanıt vermenizin veri kaybı, iş açısından kritik işlevsellik kaybı ve kanıt kaybından kaçınacak şekilde tasarlanarak yürütülmek üzere tasarlanarak yürütül olduğunu onaylayın. Kararları almaktan kaçının, inceleme zaman çizelgeleri oluşturma, temel nedenini belirleme ve kritik dersleri öğrenme yeteneğinize zarar verebilir.

• Hukuk departmanınızı içerir

  Araştırma ve kurtarma yordamlarınızı uygun bir şekilde planlamak için, bu yasaların yaptırımını dahil edip planlama planlanamalarına karar verin.

• Olay hakkında herkesle bilgi paylaştığınızda dikkatli olun

  Müşterilerinizle ve kamuyla paylaştıklarınızı hukuk departmanınız önerilerine dayandırarak onaylayın.

• Gerektiğinde yardım al

  Gelişmiş saldırganların saldırılarını araştırırken ve yanıtlarken derin bir uzmanlık ve deneyimden dokunun.

Tıbbi bir tehdit olarak tanılama ve davranma gibi, siber güvenlik soruşturması ve büyük bir olay için yanıt, her ikisi de aşağıdaki gibi bir sistemi savunmayı gerektirir:

• Çok önemli (üzerinde çalışmak için kapatılamz).
• Karmaşık (genellikle herhangi bir kişinin an anlamanın ötesinde).

Bir olay sırasında şu kritik bakiyeleri meydana gelir:

• Hız

  Paydaşları kararlara açık karar verme riskiyle karşılamak için hızlı hareket etme ihtiyacını dengede bulundurabilirsiniz.

• Bilgi paylaşma

  Ortaklara, paydaşlara ve müşterilere sorumluluklarını sınırlamak ve kissel beklentilerin belirli olması için yasal bölüm önerilerine dayanarak bilgi edin.

Bu makale, hem riski azaltmak hem de proje katılımcı ihtiyaçlarını karşılamak için hızlı şekilde gerçekleştirip hangi eylemleri gerçekleştirebilirsiniz konusunda yol gösterip kaçınılması gereken yaygın hataları tanımarak siber güvenlik sorununa karşı riski azaltmak üzere tasarlanmıştır.

Yanıt için en iyi yöntemler

Olayları cevaplama, bu önerilerle hem teknik hem de işlem perspektiflerinden etkili bir şekilde yapılabilir.

Teknik

Olay müdahalesini teknik açıdan göz önünde bulundurarak şu hedefleri göz önünde bulunduracağız:

• Saldırının kapsamını belirlemeyi deneyin.

  Çoğu maceracı, birden fazla kalıcılık mekanizması kullanır.

• Mümkünse saldırının amacını belirleme.

  Kalıcı saldırganlar, gelecek saldırılarda hedeflerine (veri/sistemler) sık sık geri dönecektir.

İşte bazı yararlı ipuçları:

• Çevrimiçi tarayıcılara dosya yükleme

  VirüsTotal gibi birçok yardımcı, hedefli kötü amaçlı yazılımları keşfetme için örnek sayısını takip ediyor.

• Değişiklikleri dikkatle düşünün

  Silme, şifreleme ve dosya silme gibi iş açısından kritik verileri kaybetme riskiyle karşı karşıya olmazsanız, değişiklik yapma riskini, iş üzerindeki etkisiyle dengelersiniz. Örneğin, etkin bir saldırı sırasında iş açısından kritik varlıkları korumak için geçici olarak kuruluş İnternet erişiminin kapatılması gerekebilir.

  Değişiklik gerekirse, işlem yapma riski, bunu yapma riskten daha yüksekse, eylemi değişiklik günlüğünde belgeye alın. Olay yanıtı sırasında yapılan değişiklikler, saldırganı kesintiye odaklıdır ve işleri olumsuz yönde etkiliyor olabilir. Kurtarma sürecinden sonra bu değişiklikleri geri alırsiniz.

• Sonsuza kadar araştırma

  Soruşturma çabalarınızı büyük bir önceliklendirmeniz gerekir. Örneğin, saldırganların gerçekten kullandığı veya değiştir olduğu uç noktalar üzerinde yalnızca çözümlemeler gerçekleştirin. Bir saldırganın yönetim ayrıcalıklarına sahip olduğu büyük bir olayda, güvenliği tehlikeye atılmış olabilecek tüm kaynakları (tüm kuruluş kaynaklarını da içermesi olası) araştırmak imkansızdır.

• Bilgi paylaşma

  Tüm iç ekipler ve dış güvenlik sağlayıcıları da dahil olmak üzere tüm araştırma ekiplerinin, hukuk departmanının tavsiyelerine dayanarak verilerini birbirlerine paylaştığını onaylayın.

• Doğru uzmanlığa erişin

  Yalnızca güvenlik genel uzmanları değil, şirket içi personel veya satıcılar gibi harici varlıklar gibi, sistemlerle ilgili çok bilgi sahibi olan kişi ve çalışanları soruşturmaya tümleştirin.

• Yanıt özelliğinin azaltılmış olacağını tahmin etme

  Durumsal stres nedeniyle normal kapasitenin %50'sinde çalışan personelinizin %50'si için planlama.

Paydaşlarla birlikte yönetimin temel bir nedeni, ilk saldırıyı asla tanımlay önce mümkün olamayabilecek olmasıdır, çünkü bunun için gereken veriler araştırma başlamadan önce (örneğin, günlük toplamaya ilişkin bir saldırgan gibi) silinmiş olabilir.

İşlemler

Güvenlik işlemlerinin olay müdahalesi ile ilgili olarak göz önünde bulundurarak göz önünde bulunduracağız bazı hedefler vardır:

• Odaklanma

  İş açısından kritik verilere, müşteri etkisine ve düzeltmeye hazır olmaya odaklanın.

• Eşgüdüm ve rol netliği sağlama

  Kriz ekibini desteklemeye yönelik işlemler için farklı roller kurmak ve teknik, yasal ve iletişim ekiplerinin birbirini bilgili tutmakta olduğunu onaylayın.

• İşletme perspektifini tutma

  İş işlemlerinin üzerindeki etkiyi her zaman, hem karşıt eylemler hem de kendi yanıt eylemleriniz olarak değerlendirmeniz gerekir.

İşte bazı yararlı ipuçları:

• Kriz yönetimi için Olay Komut Sistemi'ne (ICS) göz önünde bulundurabilirsiniz

  Güvenlik olaylarını yöneten kalıcı bir organizasyonuz yoksa, kriz durumlarını yönetmek için ICS'yi geçici bir kuruluş yapısı olarak kullanmayı öneririz.

• Sürekli günlük işlemleri olduğu gibi sürdürün

  Normal güvenlik işlemlerinin olay soruşturmalarını desteklemek için tamamen yan yana destekçisi olmadığının bir onay olduğundan emin olur. Bu çalışma hala yapılması gerekir.

• Gereksiz harcamalardan kaçının

  Birçok önemli olay, baskı altında hiçbir zaman dağıtıldıktan veya kullanılmadan pahalı güvenlik araçlarının satın alımına neden olur. Araştırma sırasında aracı dağıtıyor ve kullanamıyoruz (aracı çalıştırmak için gerekli beceri kümelerine sahip ek personel için işe alma ve eğitim de içerebilir) araştırmayı bitirene kadar satın alma işini ertelersiniz.

• Derin uzmanlığa erişin

  Soruları ve sorunları kritik platformlarda derin uzmanlara yükseltme olanağınız olduğunu onaylayın. Bu, iş açısından kritik sistemler ve masaüstleri ve sunucular gibi kuruluş genelindeki bileşenler için işletim sistemi ve uygulama satıcısına erişim gerektirir.

• Bilgi akışları kurma

  Üst düzey olay yanıt yöneticileriyle kuruluş paydaşları arasında bilgi akışı konusunda net rehberlik ve beklentilerinizi ayarlayın. Daha fazla bilgi için olay yanıt planlamaya bakın.

Kurtarma için en iyi yöntemler

Olaylardan kurtarma, bu önerilerle hem teknik hem de işlem perspektiflerinden etkili bir şekilde yapılabilir.

Teknik

Bir olaydan kurtarmanın teknik yönleri için, şu birkaç göz önünde bulunduracağız:

• Okyanusta uzma

  Kurtarma işlemi en fazla 24 saat içinde yürütülsin diye yanıt kapsamınızı sınırlandırma. Contingenleri ve düzeltme eylemlerini hesaba bölmek için bir hafta sonu plan edin.

• Dikkatlerin dağılmasını önleme

  Büyük ve karmaşık yeni güvenlik sistemleri uygulamak veya kötü amaçlı yazılımdan koruma çözümlerini kurtarma işlemi sonrasındaya kadar değiştirmek gibi uzun vadeli güvenlik yatırımlarını erteleyin. Geçerli kurtarma işlemi üzerinde doğrudan ve hemen bir etkisi olmadığınız bir durum dikkat dağıtıcı olabilir.

bazı yararlı ipuçları:

• Hiçbir zaman tüm parolaları bir kerede sıfırlama

  Parola sıfırlamaları, incelemenize dayalı olarak, öncelikle bilinen güvenliği ihlal edilmiş hesaplara odaklanarak olası yönetici veya hizmet hesapları olabilir. Garanti edilirse, kullanıcı parolaları yalnızca aşamalı ve denetimli bir şekilde sıfırlanabilir.

• Kurtarma görevlerinin yürütülmesini birleştirme

  İş açısından kritik verileri kaybetmeyle ilgili en yakın tehditle karşılaşmadıkça, güvenliği tehlikeye atılmış tüm kaynakları (ev sahipleri ve hesaplar gibi) hemen düzeltmek ve bulurken tehlikeye atılmış kaynakları düzeltmek için birleştirilmiş bir işlem planlamanız gerekir. Bu kez sıkıştırmak, saldırı işleçlerini uyarlamayı ve kalıcılığı sürdürmeyi zorlaştıracak.

• Mevcut araçları kullanma

  Kurtarma sırasında yeni bir aracı dağıtmaya ve öğrenmeye çalışmadan önce, daha önce dağıtmış olduğunuz araçların özelliklerini araştırın ve kullanın.

• Karşıtlarınızı notlardan kaçının

  Pratik olması için, kurtarma işlemi hakkında rakiplere mevcut olan bilgileri sınırlamaya yönelik adımlar atabilirsiniz. Adversaries normalde büyük bir siber güvenlik olayında tüm üretim verilerine ve e-postalarına erişime sahip olur. Ancak gerçekte çoğu saldırgan, tüm iletişimlerinizi izlemek için zamanları yoktur.

  Microsoft Güvenlik İşlemleri Merkezi (SOC) olay yanıt ekibinin üyeleriyle güvenli bir iletişim Microsoft 365 için üretim dışı bir Güvenlik İşlemleri kiracısı kullandı.

İşlemler

Bir olaydan kurtarma işlemlerinin yönleri için, şu birkaç göz önünde bulundurarak göz önünde bulunduracağız:

• Net bir plana ve sınırlı kapsama sahip olmak

  Sınırlı kapsamda net bir plan oluşturmak için teknik ekipleriniz ile yakın bir şekilde çalışma. Planlar,versary etkinliklere veya yeni bilgilere dayalı olarak değişebilir, ancak kapsam genişletmeyi ve ek görevleri gerçekleştirmeyi sınırlamak için dikkatli bir şekilde çalışmanız gerekir.

• Net bir plan sahipliğine sahip olma

  Kurtarma işlemleri, birçok kişinin aynı anda birçok farklı görev gerçekleştirmesini içerir, bu nedenle kriz ekibi arasında net karar verme ve kesin bilgi akışı için işlem için bir proje adayı attayın.

• Proje katılımcı iletişimlerini koruma

  Kurumsal paydaşlara zamanında güncelleştirmeler ve etkin beklentilerin yönetimi sağlamak için iletişim ekipleriyle birlikte çalışma.

bazı yararlı ipuçları:

• Yeteneklerinizi ve sınırlarınızı bilmek

  Büyük güvenlik olaylarını yönetmek son derece zorlu, çok karmaşık ve endüstrinin birçok profesyoneli için yeni bir süreçtir. Ekipleriniz bunalırsa veya bundan sonra ne yapmaya güvenmiyorsanız, dış kuruluşlardan veya profesyonel hizmetlerden uzmanlık alıyabilirsiniz.

• Öğrenilen dersleri yakalama

  Herhangi bir yazılı yordama gerek kalmadan, ilk olayınız olsa bile, güvenlik işlemleri için role özgü el kitaplarını oluşturabilir ve sürekli geliştirin.

Uygulama yoksa veya beklenen bir şey yoksa, olay yanıtı için yönetim ve yönetim düzeyinde iletişimler zor olabilir. İlerleme raporlaması ve kurtarma beklentilerini yönetmek için bir iletişim planınız olduğundan emin olun.

Olay müdahale işlemi

Güvenlik işlemleriniz ve personeliniz için olay müdahale süreciyle ilgili bu genel kılavuzu göz önünde bulundurursanız.

1. Karar verme ve hareket

Microsoft Sentinel veya Microsoft 365 Defender gibi bir tehdit algılama aracı olası bir saldırıyı algıladikten sonra bir olay oluşturur. SOC yanıt hızının Ortalama Süre (MTTA) ölçümü, bu saldırının güvenlik personeliniz tarafından farkedilen zamanla başlar.

Vardiyayla ilgili bir analist temsilci olarak temsil edildi veya olayın sahipliğini alır ve ilk çözümlemeyi yapar. Bunun zaman damgası MTTA yanıt süresi ölçümün sonudür ve Ortalama Zamanı Düzeltmek (MTTR) ölçümüne başlar.

Olayın sahibi olan analist, saldırının anlatını ve kapsamını an edecek kadar yüksek bir güven düzeyi geliştirirken, temizleme eylemlerini planlamaya ve yürütmeye hızlı bir şekilde geçiş yapabilir.

Saldırının doğasına ve kapsamına bağlı olarak, analistleriniz saldırı yapıtlarını (e-postalar, uç noktalar ve kimlikler gibi) temiz ya da hepsini bir kerede temizlemek için ele alınan kaynakların bir listesini (Büyük Bang olarak bilinir)

• Devam ettiyken temizleyin

  Saldırı işlemi sırasında erken algılanan tipik olayların çoğunda, analistler bulunan yapıları hızlı bir şekilde temizlenir. Bu, dezavantajı bir dezavantaja koyar ve onların saldırının bir sonraki aşamasıyla ilerlemelerini önler.

• Büyük Bir Bangladeş'e hazırlanma

  Bu yaklaşım, zaten bir rakipin ortamınıza önceden yerleşmiş olduğu ve ortamınıza yedekli erişim mekanizmaları kurduğu bir senaryo için uygundur. Bu durum, Microsoft'un Algılama ve Yanıt Ekibi (ATM) tarafından araştırılan müşteri olaylarında sık sık görülür. Bu yaklaşımda, analistler saldırgan'ın iletişim durumu tam ortaya çıkarıncaya kadar tartışmayı ele vermekten kaçınmalı, çünkü sürpriz işlemi tam olarak kesintiye çevirmeye yardımcı olabilir.

  Microsoft, kısmi düzeltmenin çoğunlukla bir tartışmayı ipucu olarak kabul ettiğine ve bu şekilde tepki vermelerine ve hızlı bir şekilde olayı daha da kötüleştirmelerine neden olduğunu öğrendiniz. Örneğin, saldırgan saldırıyı daha fazla yayma, erişim yöntemlerini algılamayı geri alma, parçaların üzerini kapatma ve güvenlik verileriyle sistem hasarını önle ve kabul etme yöntemi olarak değiştirebilir.

  Kimlik avı ve kötü amaçlı e-postaları temizleme işlemi genellikle saldırgandan bilgi almadan yapılabilir, ancak ana bilgisayarı kötü amaçlı yazılımdan temizlemek ve hesapların kontrolünü geri almak çok büyük bir keşiftir.

Bunlar kolay kararlar almak değildir ve bu çağrı yapma deneyimi yerine başka bir şey yoktur. SOC' işbirliğine dayalı bir çalışma ortamı ve kültür, analistlerin birbirlerinin deneyimine yardımcı olur.

Belirli yanıt adımları saldırının doğasına bağlıdır, ancak analistler tarafından kullanılan en yaygın yordamlar şunlar olabilir:

• İstemci uç noktaları (cihazlar)

  Uç noktayı yalıtmak ve yeniden yükleme yordamını başlatmak için kullanıcı veya IT işlemleri/yardım masasına ulaşın.

• Sunucu veya uygulamalar

  Bu kaynakların hızlı bir şekilde düzeltimlerini düzenlemek için, IT işlemleri ve uygulama sahipleriyle birlikte çalışabilirsiniz.

• Kullanıcı hesapları

  Hesabı devre dışı bırakarak ve güvenliği tehlikeye atılmış hesaplar için parolayı sıfırlayarak denetimi geri tanıyın. Kullanıcılarınız Windows Hello başka bir multi-factor authentication (MFA) kullanarak parolasız kimlik doğrulamaya geçiş ettikçe bu yordamlar geliştirebiliyordu. Ayrı bir adım, bulut uygulamaları için Microsoft Defender ile hesabın tüm kimlik doğrulama belirteçlerini sona erer.

  Analistler, kullanıcıyla bağlantı kurarak ele geçirilamamalarını sağlamak için MFA yöntemi telefon numarasını ve cihaz kayıt bilgilerini gözden geçirerek, gerektiğinde bu bilgileri sıfırlar.

• Hizmet Hesapları

  Hizmet riski veya iş üzerindeki etkisi yüksek olduğundan, analistlerin bu kaynakların hızlı bir şekilde düzeltilemesini düzenlemek için, gerektiğinde GERI DÖNerek, analistlerin kaydın hizmet hesabı sahibiyle birlikte çalışmaları gerekir.

• E-postalar

  Saldırıyı veya kimlik avı e-postasını silin ve bazen kullanıcıların silinmiş e-postaları kurtarmasını önlemek için bunları silin. Daha sonra üst bilgiler, içerikler, betikler veya ekler gibi saldırı sonrası çözümlemeler aramak için özgün e-postanın bir kopyasını her zaman kaydedin.

• Diğer

  Uygulama belirteçlerini iptal ve sunucuları ve hizmetleri yeniden yapılandırma gibi saldırının doğasına bağlı olarak özel eylemler yürütebilirsiniz.

2. Olay sonrası temizleme

Gelecekteki eylemleri değiştirene kadar öğrenilen derslerin avantajından yararlanamayabilirsiniz, çünkü araştırmadan öğrenilen tüm yararlı bilgileri her zaman güvenlik işlemlerinize tümleştirin.

Geçmişteki ve gelecekteki olaylarda aynı tehdit tehdit veya yöntemleriyle bağlantıların belirlenmesi ve el ile çalışma ve çözümleme gecikmelerini önlemek için bu öğrenmeleri yakalama.

Bu öğrenmeler çeşitli formlar almakla birlikte yaygın yöntemler şunlardır:

• Güvenliğin Tehlikeye (IoC) Göstergeleri.

  Dosya karmaları, kötü amaçlı IP adresleri ve e-posta öznitelikleri gibi tüm geçerli IO'ları SOC tehdit zekası sistemlerinize kaydedin.

• Bilinmeyen veya eşleşmeyen güvenlik açıkları.

  Analistleriniz, eksik güvenlik yamalarının uygulanmasına, yanlış yapılandırmaların düzeltilmesine ve satıcılara (Microsoft dahil) güvenlik yamaları oluşturma ve dağıtma gibi işlemlerle ilgili "sıfır günlük" güvenlik açıkları hakkında bilgi gönderilir.

• Bulut tabanlı ve şirket içi kaynaklarınızı kapsayan varlıklarda günlüğe kaydetmeyi etkinleştirme gibi iç eylemler.

  Var olan güvenlik taban çizgilerinizi gözden geçirmeyi ve güvenlik denetimlerini eklemeyi veya değiştirmeyi göz önünde bulundurabilirsiniz. Örneğin, bir Azure Active Directory öncesinde dizinde uygun denetim düzeyini etkinleştirme hakkında bilgi için Güvenlik İşlemleri Kılavuzu'ne bakın.

Olay sırasında bulunan boşlukları tanımlamak ve çözmek için yanıt süreçlerinizi gözden geçirin.

Olay müdahale kaynakları

• Yeni rol ve deneyimli analistler için Microsoft güvenlik ürünlerine ve kaynaklarına genel bakış
• SOC'niz için planlama
• Sık kullanılan saldırı yöntemlerini yanıtla ilgili ayrıntılı kılavuzlar için Playbooks
• Microsoft 365 Defender yanıtı
• Microsoft Sentinel olayı yanıtı

Önemli Microsoft güvenlik kaynakları