Incident Response Nedir?

Burak Koçyiğit
5 min readMar 3, 2024

--

Incident Response Tanımı

Incident Response, bir kuruluşun siber tehditleri, güvenlik ihlallerini veya siber saldırıları tespit etmeye ve bunlara yanıt vermeye yönelik süreçlerini ve teknolojilerini ifade eder. Incident Response’un amacı, siber saldırıları gerçekleşmeden önlemek ve meydana gelen siber saldırılardan kaynaklanan maliyeti ve iş kesintilerini en aza indirmektir.

Incident Response Önemi

  • Saldırının etkisini ve sistemin kesinti süresini en aza indirgemek
  • Hassas verilerin korunmasını sağlama
  • Kuruluşun itibar ve güvenini koruma
  • Yasal yükümlülükleri yerine getirme

Bir Siber Saldırının Zaman Çizgisi

Keşif Evresi (Recon)

Hedef sistemde zafiyet keşfi ve zayıf noktaların taranması/bulunması sürecidir.

Saldırı (Attack)

Siber saldırının gerçekleştirildiği andır. Saldırının türüne bağlı olarak bu saldırı fark edilebilir ya da saldırgan sistemde gizlenebilir. Saldırı anından itibaren sistem yöneticilerinin bu saldırıdan haberdar olmasına kadar geçen süreye Ortalama Tespit/Tanılama Süresi (Mean-time-to-Identify) ismi verilir.

Farkına Varma (Awareness)

Saldırının fark edilmesinden itibaren gerekli adımların atılması ve Incident Response sürecinin işlemeye başlamasıyla saldırının sebep olduğu hasarın ortadan kaldırımasına kadar geçen süre için ise Ortalama Tepki Süresi (Mean-time-to-Contain) terimi kullanılır.

Ponemon Enstitüsü’nün Veri İhlalinin Maliyeti araştırmasına göre MTTI yaklaşık 200 güne kadar, MTTC ise 70 güne kadar sürüyor.

Incident Response Yaşam Döngüsü

Hazırlık

Saldırılar gerçekleşmeden önlemek, yani sistemin zafiyetlerini ve zayıflıklarını olabildiğince azaltmak, siber saldırılardan korunmanın en iyi yollarından biridir. Bu önlemlere kullanılan yazılımların son çıkan güncellemelerini ve yamalarını yapmak, düzenli testler uygulamak, kuruluşun çalışanlarını bilinçlendirmek, son güvenlik teknolojilerini kullanmak ve kodları ve sistemin yapısını sektörün güncel en güvenli tekniklerini kullanarak oluşturmak örnek verilebilir.

Tespit & Analiz

Olası bir saldırıdan sonra saldırının ne, nerede, ne zaman ve nasıl gerçekleştiğinin tespiti ve analizi yapılır. Bu analizlerden edinilen veriler bir sonraki aşama olan Tehditi Sınırlandırma (Containment Eradication) kısmında kullanılmak üzere bir tür rehber olarak kullanılır. Saldırıdan etkilenen parçalar tespit edilir ve gerekli önlemlerin alınması sağlanır.

Tehditi Sınırlandırma & Sistemi Kurtarma

Tespit & Analiz aşamasından edinilen veriler ışığında yapılan eylemler ve bu eylemler sonucunda bulunan yeni ipuçları da tekrar bir önceki aşamaya geri gönderilir. Tespit & Analiz ve Tehdit Sınırlandırma & Sistemi Kurtarma süreçleri birbirini besleyen ve güçlendiren bir mekanizmaya sahiptir.

Saldırı Sonrası Adımlar

Son aşama olarak olay sonrası saldırının neden olduğu aksaklıklar, varsa veri sızıntıları, hasar görmüş veriler gibi saldırının hedefi olabilecek yapılarda analizler yapılır ve raporlanır. Kuruluşun bağlı olduğu ülkenin yasal yükümlülüklerinin gerektirdiği adımların da atılması gerekir.

IR Case Akış Şeması

Response Süreci

  • Siber olayın tanımlanması
  • Objektiflerin belirlenmesi ve durumun incelenmesi
  • Uygun görülen adımların atılması
  • Sistemi ve verileri kurtarma, kesintileri düzeltmek

Incident Response süreci SOC (Security Operations Center) birimi tarafından yönetilir.

Security Orchestration, Automation and Response (SOAR)

SOAR, Güvenlik Orkestrasyonu, Otomasyonu ve Müdahalesi, siber güvenlik ekiplerinin güvenlik olaylarına yanıt vermelerini kolaylaştıran bir teknoloji platformudur.

SOAR Yapısı

SOAR’ın Temel Özellikleri

Orkestrasyon

SOAR, farklı güvenlik araçlarını ve sistemlerini tek bir merkezi platformda entegre eder. Böylece güvenlik ekipleri olaylara farklı kaynaklardan veri toplayarak daha holistic bir bakışa sahip olabilirler.

Otomasyon

Tehdit tespiti ve müdahale sürecindeki rutin ve tekrar eden görevleri otomatikleştirir. Bu sayede güvenlik ekiplerinin daha hızlı ve verimli çalışması sağlanır.

Yanıt

Güvenlik olaylarına karşı kapsamlı ve koordineli bir şekilde müdahale edilmesini sağlar. Bu, tehditlerin daha hızlı bir şekilde belirlenmesini, kontrol altına alınmasını ve risklerin azaltılmasını sağlar.

FOAK (First of a Kind), Türünün İlk Örneği, tipi saldırılar manuel eylem gerektirir.

Olaylara Manuel ve Otomasyon Müdahale

Other Incident Response Technologies

EDR (Endpoint Detection and Response)

  • Uç noktalardaki (bilgisayarlar, sunucular, mobil cihazlar gibi) etkinliği sürekli olarak izler ve şüpheli davranışları veya bilinen tehdit kalıplarını tespit eder.

UEBA (User and Entity Behavior Analytics)

  • Normal kullanıcı ve cihaz (entity) davranışının kalıplarını oluşturur. Bu kalıplara göre anormallikleri saptayacak şekilde tasarlanmıştır.

ASM (Attach Surface Management)

  • Bir kuruluşun harici (örneğin, internet bağlantılı) ve dahili olarak maruz kaldığı tüm bilinen ve bilinmeyen varlıkları, açıklıkları ve olası saldırı vektörlerini keşfeder.

Türkiye’deki Yasal Yükümlülükler

Türkiye’de siber saldırılara ve veri ihlallerine yanıt vermede şirketlerin uyması gereken yasal yükümlülükler çeşitli regülasyonlar tarafından düzenlenmektedir.

Bu yükümlülüklere uymamanın para cezaları, tazminat yükümlülükleri ve cezai kovuşturma gibi çeşitli yaptırımları olabilir.

Yazının bu kısmı Google Gemini ile üretilmiştir.

Kişisel Verileri Koruma Kanunu (KVKK)

Bir veri ihlali gerçekleştiğinde, şirketlerin KVKK'ya göre belirli yükümlülükleri vardır. Bu yükümlülükler şunları içerir:

  • Veri ihlalini Kişisel Verileri Koruma Kurumu’na (KVKK) bildirmek
  • Etkilenen kişileri bilgilendirmek
  • Gerekli teknik ve idari önlemleri almak

5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun

Bir siber saldırı gerçekleştiğinde, şirketlerin bu kanuna göre de belirli yükümlülükleri olabilir. Bu yükümlülükler şunları içerir:

  • Suç teşkil eden içerikleri yetkililere bildirmek
  • Log kayıtlarını saklamak

Incident Response Araçları

  • AT&T Managed Threat Detection and Response
  • AT&T USM Anywhere
  • BAE Systems Incident Response
  • CrowdStrike Falcon Insight
  • Cyderes Enterprise Managed Detection and Response
  • Cynet 360 AutoXDR Platform
  • Cynet CyOps
  • Datadog Cloud SIEM
  • Exabeam Fusion
  • IBM QRadar
  • KnowBe4 PhishER
  • LogRhythm SIEM
  • Mandiant Incident Response
  • NTT Managed Detection and Response
  • Secureworks Emergency Incident Response
  • Splunk Enterprise Security
  • Sygnia Incident Response
  • Trustwave Managed Detection and Response
  • Verizon Incident Response & Investigation
  • xMatters

Sonuç ve Çıkarımlar

Incident Response Siber Güvenlik mimarisinin önemli bir parçasıdır. Güvenlik ihlallerini tespit etme, müdahale etme ve bu ihlallerden kurtulma yeteneği, potansiyel hasarın, itibarın ve müşteri güveninin en aza indirilmesi açısından önemlidir. Etkin bir Incident Response planı ve süreci, bir saldırının neden olabileceği hasarı ve maliyeti önemli ölçüde azaltabilir.

İleri Okuma ve Kaynakça

IBM

IBM YouTube

TechTarget

CyNet

CrowdStrike

BBSTeknoloji

--

--

Burak Koçyiğit
Burak Koçyiğit

Written by Burak Koçyiğit

CSE Student and Cyber Security Researcher

No responses yet