Siber saldırı tespit edildikten sonra yapılması gereken 5 şey

Her dakikanın önemli olduğu siber saldırı durumlarında, hazırlık ve hassasiyet, aksaklık ile felaket arasındaki farkı belirleyebilir.

Ağ savunucuları baskı altında. Verizon’un geçen yıl araştırdığı veri ihlallerinin sayısı, toplam olayların içindeki payı olarak önceki yıla göre yüzde 20 artış gösterdi. Ekipler saldırılara hızlı ve kararlı bir şekilde yanıt verebildikleri sürece, bu durum beklenen kadar felaket bir durum olmak zorunda değildir. Ancak ilk dakikalar ve saatler çok önemlidir. 

Hazırlık, etkili olay müdahalesinin (IR) anahtarıdır. Her kuruluş (ve olay) farklı olsa da alarm zilleri çalmaya başladığında anında karar vermek istemezsiniz. Olay müdahale ekibindeki herkes ne yapacağını tam olarak biliyorsa hızlı, tatmin edici ve düşük maliyetli bir çözümün şansı daha yüksektir.   

Hız gerekliliği 

Tehdit aktörleri ağınıza girdikten sonra, zaman aleyhinize işler. İster hassas verileri çalmak ve fidye istemek, ister fidye yazılımı veya diğer kötü amaçlı yükleri dağıtmak istiyor olsunlar, önemli olan onları en değerli varlıklarınıza ulaşmadan durdurmaktır. Bu giderek daha zor hâle geliyor.  

Son araştırmalara göre, saldırganlar 2024 yılında ilk erişimden yanal harekete (diğer adıyla “kaçış süresi”) önceki yıla göre %22 daha hızlı ilerlemiştir. Ortalama kaçış süresi 48 dakikaydı ancak kaydedilen en hızlı saldırı bunun neredeyse yarısı kadardı: Sadece 27 dakika. Bir güvenlik ihlaline yarım saatten daha kısa sürede yanıt verebilir misiniz?  

IBM’e göre, küresel kuruluşların bir ihlali tespit edip kontrol altına alması için gereken ortalama süre 241 gündür. IR’yi doğru bir şekilde uygulamak için önemli bir finansal teşvik vardır. Rapora göre, yaşam döngüsü 200 günün altında olan ihlallerin maliyeti bu yıl yaklaşık %5 düşüşle 3,9 milyon ABD dolarına gerilerken 200 günün üzerindeki ihlallerin maliyeti 5 milyon ABD dolarının üzerindedir. 

_{Haziran 2024’ten Mayıs 2025’e kadar tespit edilen fidye yazılımları (Kaynak: ESET Tehdit Raporu H1 2025)}

İhlal sonrası atılması gereken 5 adım 

Hiçbir kuruluş ihlalden %100 korunamaz. Bir olayla karşılaşırsanız ve yetkisiz erişimden şüphelenirseniz hızlı ama aynı zamanda metodik bir şekilde hareket edin. Bu beş adım, ilk 24 ila 48 saatte size yol gösterebilir. Bu adımların bazılarının eşzamanlı olarak gerçekleştirilmesi gerektiğini de unutmayın. Odak noktası hız olmalı ancak doğruluk veya kanıtlardan ödün vermeden titizlik de önemlidir. 

1. Bilgi toplayın ve kapsamı anlayın

İlk adım, tam olarak ne olduğunu anlamak ve bir yanıt üzerinde çalışmaya başlamaktır. Bu, önceden oluşturulmuş IR planınızı etkinleştirmek ve ekibi bilgilendirmek anlamına gelir. Bu grup, İK, Halkla İlişkiler ve İletişim, Hukuk ve Yönetici Liderlik dâhil olmak üzere tüm işletmeden paydaşları içermelidir. Hepsi olay sonrası önemli bir rol oynar.  

Ardından, saldırının etki alanını belirleyin:

• Düşmanınız şirket ağına nasıl girdi? 
• Hangi sistemler tehlikeye girmiştir?
• Saldırganlar halihazırda hangi kötü niyetli eylemleri gerçekleştirmişlerdir?  

Saldırının etkisini değerlendirmek için değil, aynı zamanda adli soruşturma ve muhtemelen yasal amaçlar için de her adımı belgelemeniz ve kanıtları toplamanız gerekecektir. Zincirleme sorumluluk, kolluk kuvvetleri veya mahkemelerin müdahil olması gerektiğinde güvenilirliği sağlar.  

2. İlgili üçüncü tarafları bilgilendirin

Olayın ne olduğunu belirledikten sonra, ilgili makamları bilgilendirmek gerekir. 

• Düzenleyici kurumlar: Kişisel olarak tanımlanabilir bilgiler (PII) çalındıysa veri koruma veya sektöre özgü yasalar kapsamında ilgili yetkililerle iletişime geçin. ABD’de bu, SEC siber güvenlik açıklama kuralları veya eyalet düzeyindeki ihlal yasaları kapsamında bildirim yapılmasını içerebilir.
• Sigorta şirketleri: Çoğu sigorta poliçesi, bir ihlal meydana gelir gelmez sigorta sağlayıcınızın bilgilendirilmesini şart koşar.
• Müşteriler, ortaklar ve çalışanlar: Şeffaflık güven oluşturur ve yanlış bilgilerin yayılmasını önler. Olayı sosyal medyadan veya televizyon haberlerinden öğrenmemeleri daha iyidir.
• Kolluk kuvvetleri: Olayları, özellikle fidye yazılımlarını bildirmek, daha büyük kampanyaların tespit edilmesine yardımcı olabilir ve bazen şifre çözme araçları veya istihbarat desteği sağlayabilir.
• Dışarıdan uzmanlar: Özellikle şirket içinde bu tür kaynaklara sahip değilseniz dışarıdan hukuk ve BT uzmanlarıyla da iletişime geçmeniz gerekebilir.

3. İzole edin ve kontrol altına alın

İlgili üçüncü taraflarla iletişim devam ederken saldırının yayılmasını önlemek için hızlı bir şekilde çalışmanız gerekir. Etkilenen sistemleri internetten izole edin ancak kanıtları yok etme riskine karşı cihazları kapatmayın. Diğer bir deyişle, amaç değerli kanıtları yok etmeden saldırganın erişimini sınırlamaktır. 

Saldırganların bunları ele geçirememesi ve fidye yazılımının bunları bozamaması için tüm yedeklemeler çevrim dışı ve bağlantısı kesilmiş olmalıdır. Tüm uzaktan erişim devre dışı bırakılmalı, VPN kimlik bilgileri sıfırlanmalı ve gelen kötü amaçlı trafiği ve komut ve kontrol bağlantılarını engellemek için güvenlik araçları kullanılmalıdır. 

4. Kaldırma ve kurtarma

Yayılma engellendikten sonra, ortadan kaldırma ve kurtarma aşamasına geçin. Saldırganın taktik, teknik ve prosedürlerini (TTP) anlamak için adli analiz yapın; ilk girişten yanal harekete ve (ilgiliyse) veri şifrelemeye veya sızdırmaya kadar. Kalan tüm kötü amaçlı yazılımları, arka kapıları, sahte hesapları ve diğer güvenlik ihlali belirtilerini kaldırın.  

Şimdi kurtarma ve geri yükleme zamanı. Önemli eylemler şunlardır: 

• Kötü amaçlı yazılımları ve yetkisiz hesapları kaldırmak,
• Kritik sistemlerin ve verilerin bütünlüğünü doğrulamak, 
• Temiz yedeklemeleri geri yüklemek (güvenlik ihlali olmadığından emin olduktan sonra),
• Yeniden tehlikeye girme veya kalıcılık mekanizmalarına dair işaretleri yakından izlemek.

Kurtarma aşamasını sadece sistemleri yeniden kurmak için değil, güçlendirmek için de kullanın. Bu, ayrıcalık kontrollerinin sıkılaştırılması, daha güçlü kimlik doğrulama uygulamaları ve ağ segmentasyonunun uygulanmasını içerebilir. Geri yüklemeyi hızlandırmak için ortakların yardımını alın veya süreci hızlandırmak için ESET’in Fidye Yazılımı İyileştirme gibi araçları kullanmayı düşünün. 

5. İnceleme ve iyileştirme

Acil tehlike geçtikten sonra, işiniz henüz bitmiş sayılmaz. Düzenleyiciler, müşteriler ve diğer paydaşlar (ör. ortaklar ve tedarikçiler) nezdindeki yükümlülüklerinizi yerine getirin. İhlalin boyutunu anladıktan sonra, düzenleyici kurumlara bildirimde bulunmak da dâhil olmak üzere, güncellenmiş iletişim kurmanız gerekecektir. Bu konuda halkla ilişkiler ve hukuk danışmanlarınız öncülük etmelidir.  

Olay sonrası inceleme, acı verici bir olayı dayanıklılık için bir katalizöre dönüştürmeye yardımcı olur. Ortam sakinleştikten sonra, gelecekte benzer bir olayın tekrar yaşanmasını önlemek için neler olduğunu ve hangi derslerin çıkarılabileceğini belirlemek de iyi bir fikirdir. Nelerin yanlış gittiğini, nelerin işe yaradığını ve algılama veya iletişimde nerede gecikmeler yaşandığını inceleyin. IR planınızı, oyun kitaplarınızı ve eskalasyon prosedürlerinizi buna göre güncelleyin. IR planında yapılacak herhangi bir değişiklik veya yeni güvenlik kontrolleri ve çalışan eğitimi ipuçları için öneriler faydalı olacaktır.  

Güçlü bir olay sonrası kültürü, her ihlali bir sonraki olay için bir eğitim alıştırması olarak değerlendirir ve stres altında savunma ve karar verme becerilerini geliştirir. 

BT’nin ötesinde 

İhlalleri önlemek her zaman mümkün olmayabilir ancak hasarı en aza indirmek mümkündür. Kuruluşunuzun tehditleri 7/24 izlemek için gerekli kaynakları yoksa güvenilir bir üçüncü tarafın sunduğu yönetilen tespit ve müdahale (MDR) hizmetini değerlendirin. Ne olursa olsun, IR planınızı test edin ve ardından tekrar test edin. Çünkü başarılı bir olay müdahalesi sadece BT’nin görevi değildir. Kuruluşun içinden ve dışından birçok paydaşın uyum içinde çalışmasını gerektirir. Hepinizin ihtiyaç duyduğu türden bir kas hafızası geliştirmek için genellikle bol miktarda pratik yapmak gerekir.