Hacklendikten sonra yapılacaklar

“İki tür şirket var, hacklenmiş olanlar ve henüz hacklendiklerini bilmeyenler” bu trajikomik söz A.B.D. Senatosu İstihbarat Komitesi Başkanı Senatör Mike Rogers’a ait. Bilgi güvenliği konusunda çalışanların arasında yaygın olan bir görüşün karikatürü gibi görünse de, senatör bir bakıma haklı. Tehdit o kadar büyük ve etrafımızı o kadar sarmış durumda ki, eninde sonunda bir hata yapacağız.

A.B.D.de J.P. Morgan Chase, bizde HSBC bankaları çok iyi korunan ağlara örnek olarak verilebilecek yerlerdir. Olaylara dahil olmasam bile her iki bankanın günümüz teknolojisi ve uygulamalarını ellerinden gelen en iyi şekilde konumlandırdıklarını ve kullandıklarını düşünüyorum.

Buna rağmen bir güvenlik ihlali yaşanıyorsa bu Mike Rogers’ın veya bizdeki karşılığı olan “iki tür sistem vardır, hacklenenler ve hacklenecek olanlar” sözünün haklı olabileceğini göstermektedir.

Arabanıza veya evinize sigorta yaptırmak gibi bir güvenlik ihlalinin yaşanabileceğini kabul etmek ve buna hazırlık yapmak önemlidir. Bir güvenlik ihlali yaşamanız halinde yapılmasında fayda gördüğüm bazı noktaları toparladım.

Resim 1: Hacklenmek kaza yapmak gibidir


Öncesinde
Güvenlik ihlali öncesinde gerekli yatırımlarımızı yapıp, bilgi güvenliği yönetimi süreçlerimizi ve bilgi güvenliği politikalarımızı oluşturmanın yanında aşağıdaki konuları hatırlamakta fayda var. 

Yedekleyin
Verileri düzenli olarak ve sağlıklı bir şekilde yedeklenen kurumsal ağ sayısı ne yazık ki olması gerekenden az. Yedekleme işlemlerine başlamadan önce yedeği alınacak verileri tanımak önemlidir. Her verinin değerinin aynı olmadığı gibi, oluşma hızları ve sıklıkları da farklıdır. Ağ ve sistemlerimiz üzerindeki her veriyi yedeklemek verimsiz ve maliyetli olduğu için yedeği alınacak verileri belirlemek önemlidir. Verilerin değerini anladıktan sonra yapılacak yatırıma uygun bir fayda/maliyet çalışması yapılabilir, bu çalışma yapılmadan yapılacak yatırım cebimizden gereğinden fazla para çıkmasına neden olacaktır. Yedeklenen verinin şifrelenip saklanması ve gerektiğinde geri getirilmesi için izlenecek prosedürlerin de önceden belirlenmiş olması şarttır.

Normal durumu belirleyin
Bir güvenlik ihlalinin yaşandığını anlamak için ağ ve sistemlerinizin “normal” durumunu kayıt altına almış olmanız gerekiyor. Aksi takdirde saldırganları tespit edemeyeceğimiz gibi ağ ve sistemlere sızdıktan sonra ne yaptıklarını anlamamız da mümkün olamaz. Böyle bir “normal” şablonunun olması arıza tespit ve giderme işlerimizi de son derece kolaylaştıracağı için üzerinde durulması gereken bir konudur.

Sigorta yaptırın
Evet, arabanıza yaptırdığınız gibi bilgi güvenliğinizi de kapsayacak bir sigorta yaptırın. Bilgi güvenliği sigortası yaptırmadan önce bu primleri ödemeye değecek verilerinizin olup olmadığına karar vermeniz önemlidir.
Ülkemizde belirli kapsamda bilgi güvenliği sigortaları mevcuttur, bunlar hakkında ayrıntılı bilgi almak için sigorta şirketinizle görüşmenizde fayda var.

Felaket senaryosunu yazın
İsrail Ordusunun “Ifkha Mistabra” birimi 1973 yılında kuruldu ve çoğu akademik kökenli subaylardan oluşmaktadır. Bu birimin adının kabaca tercümesi “tersi doğrudur” veya “aksi görüş geçerlidir” anlamındadır. Bu birimin görevi, ne kadar saçma olursa olsun, genel olarak kabul edilen görüş veya fikrin aksini araştırmaktır. “Dünya Savaşı Z” (World War Z) filminde bu birimin yaptığı işe “Onuncu Adam Kuralı” adıyla atıfta bulunulduğu düşünebilir. Bilgi güvenliği konusu da, tıpkı ulusal güvenlik gibi, varsayımlara ve genel kabul görmüş fikirlere bırakılmayacak kadar önemlidir. Bu nedenle, herşeyin yolunda gideceğini, firewall’ın doğru kurulduğunu, IPS kurallarının güncellendiğini, yedeklerin alındığını varsaymak yerine bir şeyin ters gitmesi senaryosuna da hazır olunmalıdır. Bütün sistemlerimizin duracağı veya elektriklerimizin kesileceği gibi olağanüstü veya felaket durumlarına hazır olmamız gerekiyor. Ters gidebilecek her şeyin bir listesinin oluşturulması, bunların iş süreçlerine etkilerinin araştırılması ve hayati süreçlerimizin devam etmesini sağlayıp verilerimizi korumamızı sağlayacak bir çözümün hayata geçirilmesi gereklidir.

Sonrasında
Bütün önlemlerimize rağmen bir güvenlik ihlali yaşanabilir, bu durumda yapılabilecek bazı şeyler aşağıdadır.

Paniklemeyin
Hacklendiğimizi fark ettiğimizde elimizde olmadan panikleriz. Birilerinin kurumsal ağ ve sistemlerimize sızmış olması fikri içimizde evimize hırsız girmesine benzer duyguların ortaya çıkmasına neden olabilir. Bu doğal bir tepkidir ancak güvenlik ihlalini asgari zararla atlatmak için sakin kalmanız gerekiyor.

Hacklendiğinizden emin olun
Komik gelebilir ama yaşanmamış bir güvenlik ihlali için yersiz telaş yapılan pek çok duruma şahit oldum. Size güvenlik ihlali gibi görünen olay performans sorunu yaşayan bir sunucu, güncellemelerini yapmaya çalışan bir istemci, bir çalışanın yüklediği bir yazılım da olabilir. Hacker bizzat size mail atıp sistemlerinize sızdığı iddia etse bile bu iddiayı araştırıp emin olmanızda fayda var.

Kontrolü sağlayın
Bir güvenlik ihlalinin yaşandığından emin olduktan sonra sisteminizin kontrolünü tekrar ele almanız lazım. Bu noktada yapılacak şey duruma göre değişiklik gösterebilir ve tek bir doğru hamleden söz etmek zordur. Tek bir bilgisayarın ele geçirildiği durumlarda yapılabilecek en basit şey bilgisayarın internet bağlantısını kesmektir. Yalıtma (isolation) olarak da adlandırılan bu yöntem ile saldırganın sisteme erişimi kesilerek durumu daha net anlamak ve sistemi temizlemek için gerekli adımlar atılabilir.
Olay sonrası yapılacaklara karar vermek için en doğru zaman olayın yaşanmasından öncedir. Sistemlere ve karşılaşılabilecek saldırı türüne göre (rootkit, botnet üyeliği, yetkili kullanıcının ele geçirilmesi, vb.) izlenecek yolu önceden belirlemekte fayda var. Müdahalenizin adli bilişim çalışmalarını da olumsuz etkileyebileceğini düşünürsek güvenlik ihlalinden sonra yapacaklarınız çok kritiktir.

Parolaları değiştirin
Hepsini ve hemen. Güvenlik ihlalinin yaşandığı dönemde yeni açılan hesapları da incelemekte fayda vardır. Saldırganların yetkili kullanıcı parolasını ele geçirdikten sonra bunu kullanarak kendi kullanıcılarını oluşturduklarını pek çok olayda gördüm. Sahipsiz, kimin veya hangi sistemin kullandığını bilmediğiniz hesapların da kapatılması önemlidir. Kurumsal ağ üzerinde bir olay yaşanması durumunda personelin kişisel hesaplarının (kişisel eposta, bankacılık, sosyal medya, vs.) da parolalarının değiştirilmesi önemlidir.

Entegre olduğunuz sistemler
Ağınız veya ağınız üzerindeki bazı sistemler başka ağ ve sistemlerle entegre çalışıyor olabilir. BU basit bir e-fatura uygulaması da olabilir, online bir müşteri ilişkileri yönetimi çözümü de. Güvenlik ihlalinden sonra bu bağlantıların da incelenmesi ve gerekiyorsa kapatılması çok önemlidir. Ağınızdaki bütün sistemleri temizledikten sonra da saldırganlar sizi hesabınızı kullanarak işlem yapmaya devam edebilir.

Geride kalanlara dikkat edin
Çoğunlukla hackerlar bir bilgisayarı ele geçirdiklerinde ona tekrar erişebilmesini sağlayacak bir kapı açarlar. Bu kapının kapatılması saldırının tekrarlanmaması veya devam etmemesi için çok önemlidir. Genellikle diski birkaç kez formatlamak ve güncel bir antivirüs ile sistemi taratmak işe yarar. Bazı özel durumlarda ise saldırganların sıradan bir arka kapının ötesinde “stealth drive” (Hayalet Disk) oluşturduklarını gördük. Bu teknik ile saldırgan sistemin diskinin bir bölümünü işletim sisteminden gizler ve ayırır, işletim sistem yine de diskin bu bölümünden gelen talimatları uygular. Bu sayede saldırgan formatlama çabalarınızdan etkilenmeden sisteme dilediği zaman geri gelebilecektir. Kritik sistemlerde veya içinize sinmeyen durumlarda ve ekonomik olarak yapılabilecekse sistemi yenilemeyi de düşünebiliriz.

Zararı anlayın
Şirketinizi internet sayfasında “hacked by Çılqın H@cker. Lamerlere selam hack’e devam” benzeri bir yazının belirmesi ile muhasebe kayıtlarınızın sızdırılması veya silinmesinin etkileri çok farklı olacaktır. Zararın boyutu olaya müdahale yönteminizi ve müdahale sonrası yapılacakları belirleyecektir. Saldırıdan çok önce, bilgi güvenliği yönetimi kapsamında risk değerlendirmesi yapılırken, belli başlı senaryoların maddi ve manevi (itibar kaybı, vb.) zararları ve bu zararların parasal karşılığı belirlenmelidir.

Bilgilendirin
Güvenlik ihlalinden etkilenenleri bilgilendirmeniz gerekmektedir. Bunu sadece “etik olarak yapılması gerektiği” için değil, paydaşlarımızı korumak için yapmalıyız. Kurumsal ağımızda saldırganların tespit edilmesinden sonra personelimize “facebook, twitter, LinkedIn ve online bankacılık parolalarınızı değiştirmenizde fayda var” gibi basit bir duyuru yapmak birlikte çalıştığımız insanları da korumamızı sağlayacaktır. Bu duyuruyu yaparken mümkün olduğunca açık ve net olmakta fayda var. HSBC tarafından olay sonrası yayınlanan duyuru buna iyi bir örnektir; teknik detaylara çok girmeden bir olay yaşandığını ancak bankanın gereken her şeyi yaptığını ve korkulacak bir şey olmadığı mesajını iyi bir şekilde verdiler.

Nedeni bulun
Saldırganların nereden ve hangi tekniği kullanarak sızdıklarını anlamak bu açığımızı kapatmanın tek yoludur. Siber uzayda size kimin saldırdığını anlamak çoğu zaman zor olsa da siyasi veya diğer bir mesaj veya amaç uğruna saldırıya uğradıysanız bunu anlamakta fayda var. Yeni başladığınız bir inşaata tepki olarak çevreci bir hacker grubunun saldırısına uğradıysanız, çevre gruplarının hassasiyetini tetikleyebilecek gelişmelerin olduğu günlerde biraz daha dikkatli olmanızda fayda olacaktır.

Ders çıkartın
Siber saldırının başarılı olmasına neden olan açıklar ve eksikliklerin giderilmesi çok önemlidir. Saldırının bir daha tekrarlanmayacak, münferit bir olay değerlendirilmesi doğru değildir. Tekrar yaşanmaması için gerekli derslerin çıkartılması ve iyileştirmelerin yapılması gereklidir.

Comments

Post a Comment