Siber saldırıların sayısı her yıl artarken, siber güvenlik alanında dünya lideri ESET, siber saldırı tespit edildikten sonra atılması gereken 5 önemli adımı paylaştı. Siber saldırı durumlarında hazırlık ve hassasiyet, aksaklık ile felaket arasındaki farkı belirlemektedir.

Yapılan araştırmalara göre, saldırganlar 2024 yılında ilk erişimden yanal harekete (kaçış süresi) önceki yıla göre yüzde 22 daha hızlı ilerlemiştir. Ortalama kaçış süresi 48 dakika iken, kaydedilen en hızlı saldırı ise 27 dakika sürmüştür.

İhlal Sonrası İlk 24-48 Saatte Atılması Gereken 5 Adım

Hiçbir kuruluş ihlalden yüzde 100 korunamaz. Yetkisiz erişimden şüphelenildiğinde, hızlı ve metodik hareket etmek önemlidir. ESET uzmanlarının paylaştığı, ilk 24-48 saatte yol gösterecek 5 adım şunlardır:

1. Bilgi Toplayın ve Kapsamı Anlayın

• IR Planını Etkinleştirin: Önceden oluşturulmuş Olay Müdahale (IR) planınızı etkinleştirin ve İK, Halkla İlişkiler, Hukuk ve Yönetici Liderlik dahil tüm paydaşları bilgilendirin.

• Etki Alanını Belirleyin: Saldırının ağa nasıl girdiğini, hangi sistemlerin tehlikeye girdiğini ve saldırganların hangi kötü niyetli eylemleri gerçekleştirdiğini (veri çalma, fidye yazılımı dağıtma vb.) saptayın.

• Kanıt Toplama: Adli soruşturma ve yasal amaçlar için her adımı belgelemeniz ve kanıtları toplamanız gerekir.

2. İlgili Üçüncü Tarafları Bilgilendirin

Olayın kapsamı belirlendikten sonra, şeffaflık ilkesiyle hareket edilmeli ve ilgili makamlar hızla bilgilendirilmelidir:

• Düzenleyici Kurumlar: Kişisel olarak tanımlanabilir bilgiler (PII) çalındıysa, veri koruma yasaları kapsamında ilgili yetkililerle iletişime geçin.

• Sigorta Şirketleri: Çoğu poliçe, ihlal meydana gelir gelmez sigorta sağlayıcısının bilgilendirilmesini şart koşar.

• Müşteriler, Ortaklar, Çalışanlar: Olayı sosyal medyadan veya haberlerden öğrenmelerini önlemek için şeffaf iletişim kurun.

• Kolluk Kuvvetleri: Özellikle fidye yazılımları, daha büyük kampanyaların tespitine yardımcı olabilir.

• Dışarıdan Uzmanlar: Şirket içinde kaynak yoksa dışarıdan hukuk ve BT uzmanlarıyla iletişime geçin.

3. İzole Edin ve Kontrol Altına Alın

Saldırının yayılmasını önlemek için hızlı hareket edin:

• İzolasyon: Etkilenen sistemleri internetten izole edin.

• Kanıt Koruma: Cihazları kapatmayın (bu, kanıtları yok etme riskini taşır).

• Yedeklemeler: Tüm yedeklemeler çevrim dışı ve bağlantısı kesilmiş olmalıdır.

• Erişim Engelleme: Tüm uzaktan erişimi devre dışı bırakın, VPN kimlik bilgilerini sıfırlayın ve gelen kötü amaçlı trafiği engellemek için güvenlik araçlarını kullanın.

4. Kaldırma ve Kurtarma

Yayılma engellendikten sonra, ortadan kaldırma ve kurtarma aşamasına geçilir:

• Adli Analiz: Saldırganın taktik, teknik ve prosedürlerini (TTP) anlamak için adli analiz yapın.

• Kötü Amaçlı Yazılımı Kaldırma: Kalan tüm kötü amaçlı yazılımları, arka kapıları, sahte hesapları ve diğer güvenlik ihlali belirtilerini kaldırın.

• Geri Yükleme: Kritik sistemlerin bütünlüğünü doğrulayın ve güvenlik ihlali olmadığından emin olduktan sonra temiz yedeklemeleri geri yükleyin.

• Güçlendirme: Kurtarma aşamasını, ayrıcalık kontrollerinin sıkılaştırılması, daha güçlü kimlik doğrulama uygulamaları ve ağ segmentasyonunun uygulanması gibi güçlendirme için de kullanın.

5. İnceleme ve İyileştirme

Acil tehlike geçtikten sonra öğrenilen derslerle sistem dayanıklılığı artırılmalıdır:

• Yasal Yükümlülükler: Düzenleyici kurumlara bildirimde bulunmak dahil olmak üzere yasal yükümlülükler yerine getirilmeli ve güncellenmiş iletişim kurulmalıdır.

• Olay Sonrası İnceleme: Nelerin yanlış gittiğini, nelerin işe yaradığını ve nerede gecikmeler yaşandığını inceleyin.

• Plan Güncelleme: IR planınızı, eskalasyon prosedürlerinizi ve oyun kitaplarınızı buna göre güncelleyin.

• Eğitim: Güçlü bir olay sonrası kültürü geliştirerek, her ihlali bir sonraki olay için bir eğitim alıştırması olarak değerlendirin ve stresi azaltmak için IR planınızı düzenli olarak test edin.