Incident response, kuruma veya organizasyona önemli etkisi olabilecek bir olay vuku bulduğunda organize bir şekilde nasıl tepki verileceğinin bir ifadesidir. İçerisinde potansiyel olaylara hazır olmayı, tespit etme ve sonrasında kök nedene yönelik analizi derinleştirmeyi, soruşturmayı, olayın etkisini kontrol altına almayı - kurtarmayı (recovery) ve olay sonrası analizi barındıran bir süreçtir.
Başka bir deyişle Incident Response kurumun herhangi bir bileşenini bir olaya karşı hazırlayan resmi bir programdır.
Peki Incident Response neden gereklidir?
Olayların etkisini azaltmak ve olaylara sistematik ve etkili bir şekilde zamanında cevap verebilmek adına gerekli planlama ve uygulamaların yapılması önemlidir. Olaylar vuku bulmadan önlemlerini alan organizasyonların olay vuku bulduğunda aksiyona geçmeye çalışan organizasyonlardan daha az zararla sıyırılacakları bir gerçektir. Olaya siber güvenlik açısından yaklaşarak bir örnek vermek gerekirse; öncesinden gerekli hazırlıkları yapıp, güvenlik kontrolleri geliştiren, networkü düzenli izleyip, network üzerinde segmentasyon yapısına giden, çeşitli senaryolara yönelik aksiyon planını geliştiren organizasyonun sadece bir bilgi güvenliği ünvanına sahip, belirli araçlardan gelen raporları konsolide edip, biraz da Türkçeye çevirip, üst yönetime sunan çalışan bulunduran organizasyondan daha hazır olduğu kesindir. Günümüzde belirli hedeflere yönelik özel olarak geliştirilen saldırı yöntemlerini göz önünde bulundurduğumuz zaman güvenlik olaylarına yönelik karşı tedbir (response) yaklaşımının geçmişe göre çok daha hayati olduğu görülmektedir.
Peki bir Incident Response Planı hangi unsurları içermelidir?
Burada bahsedeceğim unsurlar Schultz, Brown ve Longstaff tarafından sunulmuş olan 6 aşamalı incident response modelinin alt aşamalarıdır.
Bunlar;
- Preparation - Hazırlık
- Identification - Tanımlama
- Containtment - Kontrol Altına Alma
- Eradication - Tamamen Yok Etme
- Recovery - Kurtarma
- Lessons learned - Öğrenilmiş Dersler
Preparation, hazırlık aşamasında olay vuku bulmadan önce gerekebilecek planlamanın yapılması beklenmektedir. Yeterli planlama gerektiğinde planı işleme koymayı kolaylaştıracaktır. Bu aşamada olayları ele almaya yönelik olarak kurumsal bir yaklaşımın geliştirilmesi, gerekli politikaların geliştirilmesi, paydaşlar ile iletişim planını geliştirilmesi, Olay Müdahale ekip ya da ekiplerini tetikleyecek sürecin geliştirilmesi, Olaylara tepki planının işletilmesi için güvenli bir yer belirlenmesi, gerekli ekipmanların kullanıma hazır olduğundan emin olunması aksiyonları alınmalıdır. Türkiye'de olmasa dahi yasal yaptırımlara ya da sizin kurum politikalarınıza uygun bir şekilde vuku bulan olay otoriteler ile paylaşılacaksa bunun ne zaman yapılacağı ve nasıl yapılacağı öncesinden belirlenmelidir.
Identification, tanımlama aşamasında gerçekleşen olayın doğrulanması ve olay detaylarının edinilmesi üzerine odaklanılmaktadır. Potansiyel olaylara yönelik olarak bildirimler sistem raporları, çalışan bildirimleri, diğer organizasyon bildirimleri (Geçmişte büyük bir bankanın yaşadığı kredi kart bilgilerinin çalınması olayından sonra diğer bankalarda kendi düzenlemelerine uygun önlemler almışlardı.) gibi çeşitli kaynaklardan gelmektedir. Peki bu kaynaklardan gelen bütün bildirimler gerçek ve ele alınması gereken bir olayı nitelemekte midir? Sistemlerden gelebilecek olan yanlış rapor sonuçları, heyecanlı bir çalışan tarafından yapılan ve aslında çok da aciliyet içermeyen bir talep her zaman olabilecek olasılıklardır. Bu sebeple gelen bildirimlerin olay kategorisine girip girmediğinin belirlenmesi ve tanımlanması gereklidir. Bunu sağlamaya yönelik olarak gerçekleştirilmesi gereken aksiyonlar ise olaylara ya da potansiyel olaylara yönelik olarak sahiplik ataması yapılması (bildirim yapan kişiye değil, olayı ele alabilecek olan kişiye), bildirimin olay olarak doğrulanması, tanımlama esnasında aşamaların kanıtların toplanması aşamasında loglanması, olayın etkisinin belirlenmesi ve gerekmesi durumunda eskale edilmesidir.
Containment ( the action of keeping something harmful under control or within limits.), kontrol altında tutma aşamasında olaylar tanımlandıktan ve onaylandıktan sonra görevli ekip(ler) ile bildirimi ve detaylarının paylaşılması, ekip ya da ekiplerin detaylı değerlendirme yaptıktan sonra bildirimle alakalı ya da etkilenebilecek sistem sahipleri ve iş süreç sahipleri ile gerekli aksiyonları alabilmesi için görüşme gerçekleştirmesi gerekmektedir. Bunu sağlamaya yönelik olarak gerçekleştirilmesi gereken aksiyonlar ise gerekli Olay Yönetim Süreci ekiplerinin harekete geçirilmesi, gerekmesi halinde ilgili paydaşların bilgilendirilmesi, hizmeti sekteye uğratabilecek ya da potansiyel risk yaratabilecek aksiyonlar üzerine anlaşma sağlanması, BT ve İş süreç temsilcilerini "Kontrol Altına Alma" aşamasına dahil etme, delilleri toplama ve koruma, alınan aksiyonları dokümante etme, kamu oyu ile ilgili olayla alakalı iletişimin kontrol altına alınması ve yönetilmesidir. Açıkcası kamuoyu ile vuku bulan olayların paylaşılması Türkiye'de pratik edilen bir uygulama değildir. Diğer ülkelerde bu tarz konulardaki şeffaflık politikası yasal mevzuat olmadıkça Türkiyede bu tarz uygulamaları da açıkcası görebileceğimizi sanmıyorum.
Eradication (the complete destruction of something.), tamamen yok etme aşamasında olayın ateşi söndürülüp, gerekli önlemler alındıktan sonra olayın kök nedeni tespit edilip, tamamen giderilmelidir. Eradication aşaması çeşitli yollar ile gerçekleştirilebilir; burada en son stabil çalışan yedeğe dönülmesi, ana nedenin yok edilmesi, alınan önlemlerin geliştirilmesi ve aynı kök nedene yönelik bir açıklık analizinin yapılması örnekleri verilebilir. Bunları sağlamaya yönelik olarak gerçekleştirilmesi gereken aksiyonlar ise olayın nedenlerinin ve olayın vuku bulmasına yönelik işaretlerin tespit edilmesi, yedeklerin ve alternatif çözüm yollarının en son geçerli hallerinin uygulanması, kök nedenin yok edilmesi (zararlı bir yazılımın bulaşması örneğinde antivirüs yazılımına yönelik gerekli yama ve güncellemelerin yapılması örnek verilebilir.), koruma yöntemleri ile korumanın güçlendirilmesi, kök nedenden kaynaklanabilecek başka zaafiyetleri tespit etmek için zaafiyet analizinin gerçekleştirilmesidir.
Recovery (a return to a normal state of health, mind, or strength,) kurtarma aşamasında olaydan etkilenen sistemlerin ve hizmetlerin hizmet dağıtım hedeflerinde veya İş Sürekliliği Planında belirlenen vaziyete getirilmesi güvence edilmektedir. İş Sürekliliği planı içerisinde tanımlanan RTO (Recovery Time Objective) göstergeleri burada kılavuzluk etmektedir. Bunları sağlamaya yönelik olarak gerçekleştirilmesi gereken aksiyonlar ise operasyonları normal seyrine getirmek, kurtarmaya yönelik alınan aksiyonların doğrulanması, sistemin tekrar test edilmesi için sistem sahiplerinin sürece dahil edilmesi, normal operasyona geçildiği zaman sistem sahiplerinin bilgilendirilmesidir.
Lessons Learned, öğrenilmiş dersler aşamasında incident response sürecinin son aşamasında olan biteni anlatan, süreçte alınan aksiyonları ve sonuçlarını içeren bir rapor oluşturulmalı ve ilgili paydaşlar ile yönetime sunulmalıdır. Raporun bir kısmında da Olay Yönetim Takımı tarafından daha iyi ne yapılabilirdi sorusuna cevap arayan kısım olmalıdır. Bunları sağlamaya yönelik olarak gerçekleştirilmesi gereken aksiyonlar ise olay raporunun yazılması, olayın giderilmesine yönelik aksiyon alınırken karşılaşılan zorlukların analiz edilmesi ve analiz sonuçlarına göre iyileştirmeler önerilmesi, raporun ilgili paydaşlara sunulmasıdır.
Olayların tespit edilmesine yönelik olarak kurumlar tarafından yüksek hacimde data toplayan çeşitli araçlar kullanılmaktadır. Zaafiyet değerlendirme araçları, güvenlik duvarları, saldırı tespit ve önlem sistemleri bunlara örnek verilebilir. Güvenlik ekipleri bu yüksek hacimli veri içerisinden kendilerine işaret verebilecek verileri analiz etmeye çabalarken doğru bilgiye götürebilecek analizi nasıl gerçekleştirebilirler sorusu akla gelmektedir. Bu noktada gerçek zamanla izlemeye izin veren, olaylar arasında korelasyonları belirleyip, ilişki kurabilen, gelişmiş raporlama seçenekleri olan Security Event Management araçlarının yanı sıra bir tık ötede yeni verileri geçmiş veriler ışığında analiz edip, raporlama yeteneğine sahip Security Incident and Event Management sistemleri mevcuttur. Bu araçlar vasıtasıyla güvenlik sorumluları kendileri için bir üst seviyede anlamlı hale getirilen raporları izleyebilme yeteneğine sahip olurken, büyük bir yığının içinde kaybolmaktan kurtulmaktadırlar.
