Vaka müdahalesi: CISO’ların dikkate alması gereken 5 faktör

Vaka müdahalesini bir süreç olarak ele almak şart olsa da CISO’lar bunu organize ederken bir ikilemle karşılaşıyor. BT güvenliği liderlerinin kurumları içinde vaka müdahalesi sürecini düzenlerken dikkate alması gereken beş faktör şunlar:  

1- YETKÄ°N ELEMAN AZLIÄžI

Vaka müdahalesi genellikle vaka gerçekleştiğinde hemen onarım sürecine geçmek olarak anlaşılıyor. Ancak, vaka müdahalesi saldırı gerçekleşmeden önce başlayıp, saldırı tamamlanana kadar uzanan bir süreç. Vaka müdahalesi genellikle dört aşamadan oluşuyor. Bunların ilki tüm sorumlu çalışanlara bir saldırı karşısında ne yapmaları gerektiğini öğretmek. İkinci aşamada ise vakaların tespiti yer alıyor. Bundan sonra, vaka müdahale ekibi saldırıyı savuşturup etkilenen sistemleri kurtarmalı. Sorun çözüldüğünde, yaşanan deneyime bağlı olarak vaka müdahalesi stratejisi gözden geçirilmeli. Böylece benzer bir durum yaşanma ihtimali azaltılabilir.    

Birbirinden farklı bu süreçler için farklı profesyonellere ihtiyaç var. Ne yazık ki bu özellikleri taşıyan çok insan yok. Kaspersky Lab tarafından yapılan araştırmaya göre, CISO’ların C’ü zararlı yazılım analisti, ’si vaka müdahalesi uzmanı ve ’ü de tehdit avcısı bulmakta zorluk yaşıyor. Bir diğer sorun ise mevcut çalışanları elde tutmak. Kendilerine talep olduğunu bilen uzmanlar, daha yüksek maaş teklif edildiğinde kolaylıkla rakip şirkete geçebiliyor. Bu gibi nedenlerle, şirketlerin tüm vaka müdahalesi sürecini yürütecek dahili ekiplere sahip olması giderek zorlaşıyor.  

2- UYGUN DIÅž KAYNAÄžI BULMAK

Dışarıdan destek alacağınız yeri seçmek de kolay bir iş değil. Verim almak için, dışarıdan destek alınan ekibin tehdit araştırması, zararlı yazılım analizi ve dijital araştırma gibi vaka müdahalesine ilişkin tüm önemli konuları kapsaması gerekiyor. Dış ekiplerin marka bağımsız sertifikalarla becerilerini kanıtlaması da büyük önem taşıyor. Ayrıca, görev verilecek ekibin istediğiniz alandaki tecrübesini de öğrenmelisiniz. Farklı sektörlerden çok sayıda şirketle çalışan ekiplerin, benzer vakalarla karşılaşmış olma olasılığı daha yüksektir. Bu ekipler farklı görünen vakalardaki benzerlikleri bulabilir. 
Sıkı yönetmeliklere bağlı sektörlerde faaliyet gösteren şirketler, dış destek alırken bazı ek kısıtlamalarla karşılaşabilir. Bu şirketler, yalnızca ilgili uyum gereksinimlerini karşılayan vaka müdahalesi ekiplerini tercih edebilir. 

 

Kaspersky Lab Global Satıştan Sorumlu Genel Müdür Yardımcısı Maxim Frolov .

3- VAKA MÃœDAHALESÄ°NÄ°N MALÄ°YETÄ°

Şirket içinde bir vaka müdahalesi ekibi kurmanın maliyeti yüksektir. Bunun için nadir bulunan ve pahalı becerilere sahip tam zamanlı çalışanlara maaş ödenmesi gerekir. Ayrıca tehdit avı, veri analizi ve saldırı sonrası onarım için gerekli çözüm ve hizmetler (tehdit istihbaratı) satın alınmalıdır.  

Ancak, tüm dünyada bir veri sızıntısının ortalama maliyeti de artıyor. Sızıntıların büyük kurumlara maliyeti ortalama 1,23 milyon dolara ulaştı (2017’de 992 bin dolardan $ artışla). BT güvenliği vakalarının artmasıyla, şirketler de siber güvenlik harcamalarına öncelik vermeleri gerektiğinin farkına vardı. 

Bazı kurumlar esnek bir dış kaynak modelini daha uygun maliyetli buluyor. Bu şekilde yalnızca aldıkları hizmetler için para ödüyorlar. Ancak, çok sayıda vaka ile karşılaşan kurumların kendi bünyelerinde bir vaka müdahalesi ekibi kurması şart. Yine de ilk seviye müdahale ekibi için daha uygun maliyetli bir yol bulabilirler. Bu dahili ekip öncelikle vakayı analiz edip yapabiliyorsa müdahale edebilir veya daha karmaşık bir durumda dış uzmanlara aktarabilir.  

4- BT DEPARTMANIYLA UYUM

Bir vaka yaşandığında BT ekipleri etkilenen makineleri kapatarak zararı azaltmayı tercih edebilirler. Ancak, vaka müdahalesi uzmanları için öncelikle delil toplamak önemlidir. Vakadan sonra ‘suç mahalline’ bir süre dokunulmaması gerekir. Kayıtları yalnızca üç aylığına saklamak ve etkilenen makineleri ağdan koparmak, vaka müdahalesi ekiplerinin işini zorlaştırır. 

Bu gibi durumlardan kaçınmak için dahili vaka müdahalesi ekibinin, BT departmanı için özel kılavuzlar hazırlaması veya basit siber güvenlik bilgisinden fazlasını isteyen fakat derinlemesine güvenlik becerisine ihtiyaç duymayan BT uzmanlarına eğitim vermesi gerekir. Böyle bir çalışma sayesinde iç ve dış ekipler aynı düzlemde buluşabilir. 

5- MÃœDAHALEDE GECÄ°KME

Vaka müdahalesi için dış destek alan kurumlar bu süreçleri daha hızlı kurabilir. Bir dış ekip ihtiyaç duyulan her zaman devreye girip sorunları çözmeye hazırdır. Ancak bunun da potansiyel sorunları bulunur. Örneğin, herhangi bir iş yapılmadan önce şirket ve üçüncü taraf arasında sözleşmeler imzalanması gerekir. Bu da vaka müdahalesini geciktirebilir. 

Kendi deneyimlerimizde, bir müşterideki çalışanların pazartesi günü işe geldiklerinde şirkete hatfa sonu sızıldığını fark ettiğini gördük. Sorunu kendileri çözmek için günlerce uğraştılar. Sorunla baş edemeyeceklerini anladıklarında dış uzmanlara başvurmaya karar verdiler. O zamana kadar cuma günü geldi bile. Bu nedenle, şirket vaka müdahalesi ekibinin çalışmaya başlaması için hafta sonu öncesinde tüm sözleşmeleri aceleyle onaylamaya çalıştı. Kurumlarda, her vakayı daha iyi değerlendirebilen ve sorumluluğu hızla aktarabilen bir ekip olsa bu durumlar yaşanmazdı.  

Büyük kurumların çoğunda, vaka müdahalesinin ilk aşamasında dahili bir ekip, ikinci aşamasında ise üçüncü parti ekiplerin kullanıldığı bir yaklaşım en verimli seçenek olarak görülüyor. Bu ayrı ayrı her iki yaklaşımın faydalı yanlarını alıp eksik kaldığı noktaları ortadan kaldırıyor.  

Vaka müdahalesi için dış destek almak, şirketin tüm kontrolü dış uzmanlara teslim edip kendilerini sorumluluktan kurtarması anlamına gelmiyor. Bir plana sahip olmak her zaman önemli. Zamanında müdahale etmek için şirketlerin hazırlıklı olması ve ilk tepkiyi verecek önleme sahip olması gerekli. Ne zaman ve ne için dış destek isteneceği için kurallar belirlenmeli. Şirket içinden birine, nelere öncelik verileceğini belirleme ve iç departmanlar ile dış ekipler arasında koordinasyon kurma görevi verilmeli. Çalı��anlardan biri bu rolü mutlaka üstlenmeli.