Dijital adli bilişim ve olay müdahalesi (DFIR)

Dijital adli bilişim ve olay müdahalesi (DFIR), işletmelere yüksek şiddetteki olaylarla kapsamlı bir şekilde başa çıkma konusunda yardımcı olur ve taş üstünde taş bırakmaz.

Saat sabahın 3’ü ve az önce bir telefon aldınız. BT yöneticisi, mesai saatleri dışında bir güvenlik ihlalinin meydana geldiği konusunda sizi uyarıyor. Bir işletmenin BT operasyonunun güvenlik izleme analisti olduğunuz için biraz çalışmanız gerekiyor, bu yüzden aceleyle ofise gidiyorsunuz.

Ofiste durum felaket; ihlal siz gelmeden önce ilerlemiş ve cihazlar fidye yazılımı tarafından şifreleniyor gibi görünüyor. Tek başınıza olduğunuzdan ve diğer ekip üyeleri evde olduğundan bir yandan hızlı hareket etmeli bir yandan da şunu düşünmelisiniz: Bu nasıl olabilir? Dün her şey normal görünüyordu. Kötü niyetli davranışlarla ilgili hiçbir uyarı yoktu… ya da en azından öyle görünüyordu. Kimin tüm bunları fark edecek zamanı var ki?

Ancak ihlali hızla kontrol altına almaya çalışırken kritik günlük dosyalarını ayrı bir sürücüye aktarmayı unutuyorsunuz. Bunun önemli olmayacağını düşünerek BT yöneticisi arıyor ve her şeyin yolunda olduğunu söyleyip eve gidiyorsunuz. Size ayrılan uyku süresinin geri kalanının tadını çıkarıyorsunuz.

Ancak az önce yaptığınız birkaç hata, takip süreci olan dijital adli olay müdahalesi gerçekleşir gerçekleşmez sizi vuracaktır.

Sahnenin hazırlanması

Güvenlik analistimizin şirketindeki durumu özetleyelim:

1. Bu orta ölçekli bir şirket ve çok küçük bir genel BT ekibi ile bir özel güvenlik personeli istihdam ediyor.
2. Güvenlik izleme analisti, tespit araçları hakkında yalnızca temel bilgilere sahiptir. Bu arada, kullanmak için zaman, çaba ve insan gerektiren tüm bir güvenlik yığınını çalıştırıyorlar.
3. Aynı analist aynı zamanda bildirimleri e-posta formatında alan ve ara sıra kontrol eden tek kişidir.

Sahne hazır olduğuna göre, yalnız analiste dönelim ve nerede hata yaptıklarını görelim.

Olay müdahalesi hataları

Öncelikle, siber düşünen her uzman, orta ölçekli bir şirketin çoğunlukla tek bir personel tarafından korunmasının bir tehlike işareti olduğunu söyleyecektir. Yalnızca tespit ve müdahale ile ilgili, genellikle binlerce uyarıyı temsil eden ne kadar çok görev olabileceği düşünüldüğünde bu tek kişilik bir iş değildir.

ESET PROTECT’in bildirim paneli, düzenli bir iş operasyonunun oluşturabileceği uyarı sayısını gösterir.

ESET Inspect gibi, tespitleri önem derecelerine göre düzenleyebilen bir çözümle, bunun böyle bir sorun olmayacağını unutmayın. Özellikle de EDR/XDR ile çalışan kişi ne zaman ve nasıl tepki vereceğini bilecek kadar deneyimliyse… ki bizim analistimiz öyle değildi.

ESET Inspect, şüpheli bir eylemi temiz, kolay okunabilir bir biçimde tespit eder.

Örneğin, fidye yazılımı saldırısı gibi sofistike bir olay basitçe bir uzak masaüstü hizmeti (RDS) uygulama sunucusunun veya bir VPN’in istismarı olarak başlayabilir. Saldırganlar daha sonra tüm ağı tehlikeye atmak için hizmeti barındıran bilgisayara araçlar indirebilir. Bir EDR/XDR çözümü bu tür davranışları işaretlemeli ve bir bildirim göndermelidir. Ancak analist tepki vermezse ya da platformları tarafından üretilen gürültüde kaybolursa suç kesinlikle üründe değildir.

ESET Inspect, bir sunucu yazılımı bileşenini manipüle etme girişimini algılıyor.

İkinci olarak, fidye yazılımı aktörleri çok aşamalı saldırılar gerçekleştirmeyi sever ve taktiklerini değiştirerek – dosyasız teknikler kullanarak veya bir ağda görünüşte tespit edilmeden hareket ederek – tespit edilmekten kaçınmaya çalışırlar. Güvenlik analisti, ekibin geri kalanını bilgilendirmeliydi çünkü tek başına bir operasyon olayına karşı durmak akıllıca bir iş değildir. Doğru kararların alınıp alınmadığını kim bilebilir?

Üçüncü olarak, her bir kanıtın zamanında muhasebeleştirilmesi gerekir. Analistler bu kritik günlük dosyalarını ekibin geri kalanına zamanında bildirip teslim etmeyerek gözetim zincirini bozmuş ve kanıtların bütünlüğü hakkında soru işaretleri yaratmıştır. Yasal işlemler sırasında bir avukat veya sigorta acentesi bu durumu bir sorun olarak gündeme getirebilir çünkü hem zamanında raporlama ile ilgili bir sorunu hem de gözetim eksikliğini vurgulayarak bir işletmenin taleplerine zarar verir.

Dijital adli bilişim ve olay müdahalesi (DFIR) nedir?

Tüm bunlar ve daha fazlası bir dijital adli olay müdahale sürecinin ortaya çıkarabileceği şeylerdir. Eğer soru bir olayın kaynağıyla ilgiliyse ve gelecekte meydana gelebilecek olayları önlemeye çalışıyorsa DFIR ihtiyaç duyulan kritik bakışı sunar.

Olaya müdahale anında gerçekleşirken dijital adli tıp bunu yakından takip ederek analistlerin bir olayın kim, ne, nerede ve neden olduğunu araştırmasını sağlar. Özünde, bir suç mahallindeki standart soruşturma gibi çalışır, bir gözetim zinciri aracılığıyla kanıt toplar ve etkilenen işletmeyi müdahale süreçlerinin etkinliği konusunda bilgilendirirken usulüne uygun olarak belgelenmiş değerlendirmelerle hem uyumluluk hem de sigorta beklentilerini karşılar.

Örneğin, bir analist ESET Inspect ile çalışabilir ve tüm olayın ayak izini denetleyerek DFIR gerçekleştirmek için günlükleri (diğer ESET ürünlerinden) manuel olarak toplayabilir. Bu, güvenlikteki boşlukları bulmaya ve gelecekteki esnekliği oluşturmaya yardımcı olur.

DFIR sadece adli tıp değildir

Dijital adli incelemelerin amacı siber dayanıklılığı desteklemek olsa da aynı zamanda olası yasal riskleri de önlemektir. Bir olay müdahalesi sırasında gerçekleştirilen her eylem, kanıtların daha sonra güvenilebilir ve doğrulanabilir olmasını sağlamak için kaydedilmelidir. Bunu yapmamanın sonuçları, özellikle de SEC’in ifşa uygulamaları ışığında uygun prosedürleri takip etmeyen Intercontinental Exchange örneğinde olduğu gibi dokümantasyon sorunluysa ağır para cezalarına yol açabilir.

Bir DFIR ekibi analizden önce verilerin kopyalarını çıkararak orijinallerin analitik veya olay müdahale süreçleri tarafından tahrif edilmesini önler. Unutmayın, tek bir analistin yanlış bir adımı tüm soruşturmayı tehlikeye atabilir, bu nedenle adli tıp açık belgelendirmeye önem verir.

Hataları önlemek için olay müdahalesi

Hikayemiz zorlama mı? Pek değil. KOBİ’ler hem siber güvenlik bütçeleri hem de tüm operasyonlarını kapsayacak kalifiye personel eksikliği nedeniyle kendilerini sıklıkla tehdit aktörlerinin hedefinde bulurlar. Yönetilen bir hizmet sağlayıcıya (MSP) dış kaynak kullanımının bu nedenle popüler bir seçim olduğu bir sır değil.

Aslında siber sigortacıların kendileri de bu nedenle ve daha fazlası için bu alana girmeye başladılar; kendi MSP’lerini sunuyorlar. Bunun faydası, sigortacılara çok fazla hareket alanı ve ortakları için potansiyel olarak daha fazla güvenlik sağlayan mevcut yakın bir güvenlik ilişkisi ve gözetimdir.

Ancak bir MSP, olgun bir SOC operasyonunun aksine, DFIR gibi hizmetleri sağlamak için tam donanımlı değildir (çünkü bu onların ana odak noktası değildir).

Bunun için genellikle özel ekiplere ve araçlara sahip olan Yönetilen Güvenlik Hizmet Sağlayıcıları (MSSP’ler) ve hatta Yönetilen Tespit ve Müdahale Hizmetleri (MDR) vardır. Bir olayın tüm yaşam döngüsünü ele alabilen en iyi uzmanlar tarafından yönetildikleri ve yalnız güvenlik izleme analistimizin hata yapma olasılıkları daha düşük olduğu için bundan daha fazlasıdır.

Olay müdahalesi hatalarından ders çıkarmak

Sonuç olarak, DFIR olay müdahalesi sürecinde çok önemli bir rol oynar; bir olayın kaynağını, atılan adımları ve gelecekte bir olayın meydana gelmesini önlemek için düzeltilmesi gereken temel süreç boşluklarını veya güvenlik açıklarını belirleyerek tüm süreci sıraya koyar. Dahası, bu tür ölüm sonrası incelemeler uyumluluk taleplerini ve yargı süreçlerini de karşılayarak işletmelere bu tür durumlarda avantaj sağlar.

DFIR tarafından ortaya çıkarılan verimlilik ve bilgi, önleme öncelikli bir duruş oluşturmaya, güvenlik analistimiz tarafından yapılanlar gibi hataları önlemeye ve bir işletmeyi yarının tehditlerine karşı bugünden daha iyi hazırlamaya yöneliktir.