Güvenlik Çerçevesinin Uygulanması

tarih:

 


Siber olayların gerçekleşmesi kaçınılmazdır. Savunma güvenliğinde, bilgisayar ağlarımızı ve uygulamalarımızı olabildiğince sağlamlaştırmak için elimizden gelenin en iyisini yapmalıyız. Ancak, 21. yüzyılda başarılı olabilmek için bir siber saldırı meydana geldiğinde harekete geçmeye hazır olmalısınız. Hızlı, kapsamlı ve etkili bir olay müdahalesi, kuruluşunuzun uzun vadeli başarısına katkıda bulunacaktır.

Bölüm 2'de, her sektörden ve her büyüklükteki şirket için nasıl iyi bir güvenlik ekibi oluşturabileceğinizi tartıştık. Eğer işletmenizde 100’den az çalışan varsa, BT departmanınızda muhtemelen bir veya iki kişi bulunacak ve şirket içi tüm bilgisayar operasyonları, yönetim ve bakım ihtiyaçlarını onlar karşılayacaktır. Diğer yandan, 10.000’den fazla çalışanı olan büyük şirketlerde, kapsamlı bir BT departmanı ve güvenlik operasyon merkezi bulunabilir.

Kuruluşunuzun olaylara nasıl hazırlanacağı ve nasıl yanıt vereceği, ekibinizdeki personel sayısına ve bilgisayar ağlarınızın boyutuna bağlıdır. Şirketinizin herhangi bir bilgisayar ağı varsa, bir Bilgisayar Güvenlik Olay Müdahale Ekibi'ne (CSIRT) sahip olmalısınız.

Bölüm 1'de güçlü bir güvenlik kültürünün yalnızca BT departmanınızı değil, şirketinizdeki herkesi kapsaması gerektiğinden bahsedildi. CSIRT’niz, BT dışındaki bazı kişileri de içermelidir. Etkili bir CSIRT; ağ yöneticileri, diğer BT çalışanları, bir hukuk uzmanı ve bir halkla ilişkiler (PR) uzmanından oluşmalıdır. Bu roller BT uzmanlığı gerektirmese de, bu kişiler şirketinizin siber olayların yasal ve tanıtım süreçlerini yönetmesine yardımcı olabilir. Hukuk derecesi, medya ve pazarlama deneyimi, CSIRT’nize büyük katkı sağlar ve genellikle gereklidir.

Bu bölümde, olay müdahale prosedürleri, bir CSIRT delegasyonu için yönergeler ve güvenlik çerçevelerinin neden faydalı olabileceği konuları ele alınacaktır.

Olay Müdahalesi Nedir?

Siber güvenlik odaklı bir şirket, önce siber olayların kaçınılmaz olduğunu kabul eder ve ardından bu olaylara yanıt vermek için bir dizi adım belirler. Kuruluşunuz olay müdahale politikalarını ve prosedürlerini resmi bir güvenlik çerçevesine dayandırsa da dayandırmasa da bu prensip geçerlidir. Etkili bir olay müdahale planı, aşağıdaki aşamalara dayalı bir döngü içinde yürütülür:


Hazırlık

İlk olarak, kuruluşunuz siber olaylara hazırlanır ve bir olay müdahale planı geliştirir. Ardından çalışanlarınıza, bir siber olay sırasında nasıl hareket etmeleri gerektiği konusunda eğitim verirsiniz. Hazırlık aşamasında, planınızın her bölümü için finansman sağlandığından ve yönetimden onay alındığından emin olmalısınız. Sistem güvenliğini artırmanın maliyeti yüksektir ve şirketinizin, bilgisayar sistemlerinden yasal ve idari yönlere kadar tüm olay yanıt süreçlerine dâhil olması çok önemlidir.

Hazırlık aşamasının diğer önemli bir unsuru, CSIRT (Bilgisayar Güvenlik Olay Müdahale Ekibi) üyelerinin, belirli siber olaylar meydana geldiğinde kiminle ve nasıl iletişim kuracaklarını bilmelerini sağlamaktır. Bu, olayın niteliğine ve göstergesine (herhangi bir siber olay ipucuna) bağlı olarak farklılık gösterebilir.

Olay müdahale planınız hazır olduktan sonra, hazırlık aşamasının bir sonraki adımı eğitimdir. Güvenlik eğitimi, bir kez yapılan bir şey değildir; düzenli aralıklarla, hatta yılda birkaç kez tekrarlanmalıdır. İnsanlar zamanla unutkan olabilir. Bir sınava çalışıp yıllar sonra müfredatı unuttuysanız, tekrar etmenin ve hatırlatmaların neden faydalı olduğunu anlamışsınızdır.

Olay müdahale eğitimi, genel güvenlik eğitiminizin bir parçasıdır. Eğitim sırasında, kuruluşunuz belirli siber olay senaryolarına dayalı tatbikatlar yapmayı tercih edebilir. Veri ihlalleri, en yaygın ve maliyetli olay türlerinden biridir, bu yüzden tatbikatlarınızı bu senaryolara göre hazırlayabilirsiniz. Veri ihlali, şirketinizin hassas veya gizli bilgilerinin siber saldırganlara ya da kamuya açılmasıdır. Bu, şirket e-postalarından müşterilerin mali kayıtlarına veya kimlik doğrulama bilgilerine kadar her türlü veri olabilir. Ayrıca fidye yazılımı ve hizmet reddi saldırısı senaryolarını da tatbik etmenizi öneririm.


Fidye Yazılımı

Fidye yazılımı, bir siber suçlunun yalnızca kendisinde bulunan bir şifre çözme anahtarıyla verilerinizi şifreleyen kötü amaçlı yazılımdır. Suçlu, verilerinizi geri alabilmeniz için sizden fidye talep eder. Günümüzde, birçok şirket verilerini yedekleme konusunda daha başarılı olduğundan fidye ödeme ihtimalleri düşmektedir. Ancak, bazı fidye yazılımları artık verilerinizi kamuya açıklamakla tehdit ederek ek bir korkutma taktiği kullanmaktadır. Bu nedenle, etkili veri yedeklemeleri önemli olsa da, bu yeni tehdit karşısında tek başına yeterli koruma sağlamamaktadır.


Hizmet Reddi Saldırıları

Hizmet reddi saldırıları da yaygın bir siber olay türüdür. Bazı kuruluşlar haftada birden fazla hizmet reddi saldırısına maruz kalabilir. Bu saldırılar, sunucularınızın aşırı veri yüklemesi nedeniyle işleyemez hale gelmesine neden olur. Şirketinizin operasyonlarını sürdürebilmesi için web sunucularınızın ve diğer ağ sunucularınızın kesintisiz çalışması gereklidir.

Hizmet reddi saldırıları, genellikle daha yıkıcı siber saldırılara zemin hazırlamak amacıyla güvenlik cihazlarınızı ve ekibinizi oyalamak için kullanılır. Bu nedenle, bu saldırılara karşı etkili bir yanıt vermek kritik öneme sahiptir.


Tanımlama veya Analiz

Uyguladığınız güvenlik çerçevesine bağlı olarak bu aşama genellikle tanımlama veya analiz olarak adlandırılır. Kuruluşunuzda bir kişi ilk kez bir uzlaşma belirtisi (IoC - Indicator of Compromise) fark ettiğinde bu aşama başlar. Tüm IoC'ler gerçek bir siber olayın göstergesi olmayabilir; bazıları yanlış alarm olabilir. Ancak hiçbir siber saldırının gözden kaçmaması için her IoC'nin detaylı bir şekilde incelenmesi gereklidir.

Casus yazılım, fidye yazılımı veya veri ihlali içeren başarılı bir siber saldırı, şirketinize milyonlarca dolara mal olabilir. Bu tür saldırıların maliyeti genellikle düzenleyici cezalar, dava masrafları, üretkenlik kaybı, ağ kesintisi ve itibar kaybının bir kombinasyonundan kaynaklanır. Şirketinizin itibarının zedelenmesi, müşterilerinizi başka seçeneklere yönlendirebilir ve bu, muhasebesi zor bir kayıp olabilir.

Bazı IoC'ler, güvenlik duvarları ve diğer anormallik tespit sistemleri aracılığıyla algılanır. Yapay zeka teknolojileri, algoritmalar ve makine öğrenimi kullanarak ağ veya uygulama etkinliğinin normal mi yoksa kötü amaçlı mı olduğunu belirlemeye yardımcı olabilir. Ancak bilgisayarlar bazen hata yapabilir. Ağ cihazlarının ürettiği günlükleri inceleyip doğru kararı vermek genellikle kuruluşunuzdaki insanlara bağlıdır. Bazı ağlar, tüm günlükleri işleyip sorun olduğunda güvenlik ekiplerini uyarmak için bir Güvenlik Bilgisi ve Olay Yönetim (SIEM) sistemi kullanır. SIEM genellikle büyük kuruluşlarda bulunur, ancak daha küçük şirketlerde bu sistemin bulunmaması yaygındır. Güvenlik duvarlarının, antivirüs yazılımlarının ve SIEM kurallarının doğru yapılandırılması önemlidir; aksi takdirde yanlış pozitif uyarılarla uğraşmak zorunda kalınabilir veya gerçek siber olaylar gözden kaçabilir. Ağ güvenliği teknolojisinin yapılandırılmasını uzmanlara bırakmak önemlidir, ancak her IoC'nin araştırılması gerektiğini unutmamak gerekir.

IoC'ler başka yollarla da ortaya çıkabilir. Örneğin, çalışanlar şüpheli e-postalar, Rus uyarıları veya teknik sorunlar bildirebilir. BT dışındaki bir çalışan, bilgisayarının normalden yavaş çalıştığını fark edebilir ya da ekranında fidye yazılımı ile ilgili bir not görebilir. Bir siber olayın fark edilebildiği her şey bir IoC olarak değerlendirilmelidir. CSIRT (Bilgisayar Güvenlik Olay Müdahale Ekibi), uyarıyı genellikle BT departmanından alır, ancak bu uyarı bir resepsiyonist veya İK yöneticisi gibi BT uzmanı olmayan birinden de gelebilir. Bir IoC'yi ilk fark eden kişi, bilgisayar sistemlerini kullanan herhangi biri hatta bir müşteri olabilir.

Tanımlama veya analiz aşamasında tüm IoC'ler ciddiye alınmalı ve araştırılmalıdır. Bu süreci şu şekilde düşünün: Meme kanseri erken fark edilirse tedavi şansı yüksektir ve kişi uygun tıbbi müdahaleyi hızlıca alır. Ancak geç fark edilirse, tedavi çok daha zor ve tehlikeli olabilir. Aynı prensip siber saldırılar için de geçerlidir. Erken tespit edilen bir siber olay, ağınıza bir miktar zarar verebilir ve maliyeti daha düşük olabilir. Ancak geç fark edilen bir siber olay, çok daha ciddi zararlar verebilir ve başa çıkılması çok daha maliyetli olabilir. Bu nedenle tanımlama ve analiz aşaması, olay yanıtı sürecinizin kritik bir parçasıdır.


Sınırlama, Azaltma veya Eradikasyon

Bir sonraki aşama, olayın sınırlanması, hafifletilmesi veya ortadan kaldırılmasıdır. Bu aşama, CSIRT ekibinizin mümkün olan en az hasarla siber olayın durdurulmasını sağladığı süreçtir. Bu noktada, olayın tanımlanma süresinin önemi oldukça büyüktür.

Bu aşamada atılacak adımlar, siber saldırının türüne bağlı olarak değişiklik gösterebilir. Örneğin, kötü amaçlı yazılımlar (virüsler ve solucanlar) cihazdan cihaza yayılmak üzere tasarlanmıştır. Eğer ağınızdaki bir bilgisayara virüs veya solucan bulaşırsa ve bu durdurulmazsa, zararlı yazılım ağınızdaki diğer cihazlara yayılabilir. Bazı kötü amaçlı yazılımlar, hassas finansal bilgileri internet üzerinden bir siber saldırganın bilgisayarına aktarırken, bazıları ise bilgisayarların tamamen işlevsiz hale gelmesine neden olabilir. Kötü amaçlı yazılımın tek bir bilgisayara bulaşması bile yeterince ciddi bir sorundur, ancak bu yazılım ağınızdaki onlarca veya yüzlerce bilgisayara bulaşırsa, durum çok daha kötüleşebilir.

Bu durumda CSIRT’nin amacı, virüs bulaşmış bilgisayarı tespit etmek ve zararlı yazılımı kaldırmak ya da kötü amaçlı yazılımın ağınızda yayılmasını durdurmanın bir yolunu bulmaktır. Kötü amaçlı yazılımın kontrol altına alınması, belirlenmiş bir siber saldırıyı çözmenin bir yoludur. Eğer olay kötü amaçlı yazılımdan ibaret değilse veya karmaşık bir siber saldırı söz konusuysa, başka adımlar da atılması gerekebilir. Temel prensip aynıdır: Bir siber saldırı, bilgisayar ağınıza zarar vermiştir; bu yüzden hasarın yayılmasını ve olayın daha kötü hale gelmesini engellemelisiniz.

Örneğin, ağ yöneticileri, kötü amaçlı yazılımın diğer bilgisayarlara yayılmaması için virüslü bilgisayarı ağdan geçici olarak ayırmaya karar verebilir. Sınırlama, siber saldırının daha fazla kötüleşmesini engellerken, eradikasyon (ortadan kaldırma) saldırıdan tamamen kurtulmayı ifade eder. Örneğin, BT ekibiniz, virüs bulaşmış bir makineden kötü amaçlı yazılımı temizleyebilir. Bazı güvenlik çerçeveleri, bu aşamaları ayrı süreçler olarak ele alırken, bazıları bu iki aşamayı birleştirir.



Kurtarma

Kurtarma aşaması, siber saldırının yol açtığı hasarın onarılmasını ve bilgisayar sistemlerinin eski işlevlerine döndürülmesini içerir. Bu aşamada, fidye yazılımı gibi bir saldırı nedeniyle bozulan veriler yedeklerden geri yüklenir, çevrimdışı hale getirilen sunucular onarılır ve yeniden çevrimiçi duruma getirilir. Önceki aşamalarda saldırıyı sınırlamak için bazı ağ bölümleri askıya alındıysa, bu bölümlerin yeniden işleyişe geçirilmesi de kurtarma sürecine dahildir.

Eğer saldırı, yazılımlarınızdaki bir güvenlik açığından kaynaklanmışsa, bu açıkları kapatmak amacıyla gerekli yamaların yüklenmesi önemlidir. Eğer yazılımınız üçüncü bir tarafça sağlanıyorsa, bu yamalar satıcı tarafından sağlanmalıdır; ancak şirketiniz kendi yazılımını geliştiriyorsa, bu yamalar iç kaynaklarla hazırlanıp uygulanmalıdır. Fiziksel bir saldırı sonucu donanım zarar gördüyse, örneğin sunucu odasının kapısına zarar verilmişse, bu tür donanımların da onarımı veya değiştirilmesi gerekecektir.

Başarılı bir kurtarma süreci, işletmenizin mümkün olan en kısa sürede normal işleyişine dönmesini sağlamayı hedefler. Siber olayın etkilerini hafifletmek için alınan teknik önlemler kadar, şirketinizin itibarı üzerindeki olumsuz etkileri de göz önünde bulundurmalısınız. Özellikle büyük siber saldırılar kamuya açık hale gelebilir ve medya tarafından rapor edilebilir. Bu durumda, CSIRT ekibinizde bir halkla ilişkiler uzmanının bulunması, şirketinizin itibarını koruma ve medya sorularına profesyonelce yanıt verme açısından önemli olabilir.

Siber saldırılar bazen hukuki sonuçlar da doğurabilir. Müşteriler, tedarikçiler veya diğer paydaşlar, ihmal iddiasıyla şirketinize dava açabilir. Davaların şirketinizin yanlış bir şey yapmamış olduğuna karar verilse bile ciddi yasal maliyetlere neden olabileceğini unutmamalısınız. Hukuk uzmanları, olası davaların önüne geçmeye yardımcı olabilir ya da davaya karışılması kaçınılmaz olduğunda, süreci yöneterek daha olumlu bir sonuç alınmasına katkıda bulunabilirler. Ayrıca, veri ihlali gibi durumlarda şirketinize verilen para cezalarını azaltmak için de yasal danışmanlık önemli bir rol oynar.

Sonuç olarak, başarılı bir kurtarma süreci, hem teknik hem de itibari anlamda şirketinizi tekrar işleyişe sokarken, hukuki sonuçlarla başa çıkmak için de gerekli adımları içerir.

Olay sonrası aşama, olay müdahalesi sürecinin son adımıdır ve en önemli aşamalardan biridir. Bu aşamada, CSIRT (Computer Security Incident Response Team) ekibi yaşanan siber olaydan öğrenilen dersleri değerlendirir ve gelecekte benzer olayların tekrar yaşanma ihtimalini azaltmak için gerekli adımları atar. Olay sonrası analiz, şirketin güvenlik politikasını güçlendirmek ve güvenlik süreçlerinde yapılan hataları düzeltmek için kritik öneme sahiptir.

Bu aşamada genellikle aşağıdaki adımlar izlenir:

  1. Olayın İncelenmesi ve Değerlendirilmesi: Yaşanan siber olay tüm detaylarıyla analiz edilir. Olayın nasıl gerçekleştiği, hangi güvenlik önlemlerinin yetersiz kaldığı ve saldırganların hangi yöntemleri kullandığı incelenir. CSIRT ekibi, bu bilgiler doğrultusunda hangi alanlarda iyileştirmeler yapılması gerektiğini belirler.

  2. Raporlama: Olayın detayları ve müdahale süreci raporlanır. Bu rapor, hem teknik hem de yönetimsel düzeyde incelenmek üzere hazırlanır ve ileride benzer olaylar için referans niteliği taşır.

  3. Güvenlik Politikalarının Gözden Geçirilmesi ve Güncellenmesi: Yaşanan olayın ardından, şirketin güvenlik politikaları ve prosedürleri yeniden değerlendirilir. Zayıf noktalar belirlenir ve bu alanlarda iyileştirme yapılır. Eğer bir güvenlik açığı mevcutsa, bu açığı kapatmak için yeni prosedürler oluşturulabilir.

  4. Eğitim ve Farkındalık: Çalışanlar için güvenlik farkındalığı eğitimleri güncellenir ve iyileştirilir. Yaşanan olayda insan hatası varsa, bu hataların tekrarlanmaması için çalışanlar yeni güvenlik protokolleri konusunda eğitilir.

  5. Olay Müdahale Planının Güncellenmesi: CSIRT ekibi, olay müdahale planını gözden geçirir ve gerekirse iyileştirmeler yapar. Olay sırasında yaşanan eksiklikler, daha etkin müdahale yöntemlerinin geliştirilmesine olanak sağlar. Örneğin, daha hızlı yanıt verebilmek için ek adımlar eklenebilir veya yeni teknolojiler entegre edilebilir.

  6. Derslerin Çıkarılması: Olaydan elde edilen tüm veriler ve analizler, gelecekteki olaylara karşı daha hazırlıklı olabilmek için öğrenilen dersler olarak kaydedilir. Bu aşama, kurumun güvenlik duruşunu güçlendirmeye yönelik bir fırsattır.

Olay sonrası aşama, yaşanan olaydan ders çıkarmayı ve kuruluşun siber güvenlik duruşunu geliştirmeyi amaçlar. Bu aşamayı atlamak, kuruluşun aynı hataları tekrarlama riskini artırabilir. Etkin bir olay müdahale döngüsü, yaşanan olaylardan sürekli olarak ders alarak güvenliği artırmayı hedefler.


Bilgisayar Güvenliği Olayı Müdahale Ekibi (CSIRT), siber olaylara etkili yanıt vermek için iyi yapılandırılmış bir ekipten oluşmalıdır. CSIRT'nin başarısı, ekipte yer alan kişilerin rollerini net bir şekilde anlamasına ve doğru kişilerin doğru pozisyonlara atanmasına bağlıdır. İşte CSIRT'nizde yer alması gereken başlıca roller:

1. CSIRT Lideri

  • Sorumluluklar: CSIRT'nin genel yönetiminden sorumludur. Olay müdahale protokolleri, politikaları ve prosedürleri hakkında nihai kararları verir. Olayların doğru bir şekilde yönetildiğinden emin olur.
  • Kim Olmalı?: Bu rol, genellikle kuruluşun CISO'su (Chief Information Security Officer), CTO'su (Chief Technology Officer) veya en kıdemli BT yöneticisi tarafından üstlenilir.

2. Olay Lideri

  • Sorumluluklar: Olay müdahalesinin operasyonel detaylarını yönetir. Teknik ekipler ve diğer CSIRT üyeleriyle koordinasyon sağlar.
  • Kim Olmalı?: En fazla teknik deneyime sahip kişi ya da bir SoC yöneticisi bu role uygun olabilir.

3. Teknik Ekip

  • Sorumluluklar: Ağ izleme, güvenlik açıklarının tespiti, sistemlerin savunulması, tehditlerin belirlenmesi ve çözülmesi gibi teknik görevleri yerine getirirler.
  • Kim Olmalı?: Ağ yöneticileri, BT uzmanları ve diğer teknik personel bu ekipte yer alır.

4. Halkla İlişkiler (PR) Uzmanı

  • Sorumluluklar: Olayın dış dünyaya yansıması, medya ile ilişkiler ve itibar yönetiminden sorumludur. Müşteriler ve kamuoyuna uygun açıklamaların yapılmasını sağlar.
  • Kim Olmalı?: Kuruluşta bir PR uzmanı varsa bu kişi, yoksa üçüncü taraf bir PR ajansı bu rolü üstlenebilir.

5. Hukuk Uzmanı

  • Sorumluluklar: Olayla ilgili hukuki süreçlerin yönetimi, olası dava ve cezalarla başa çıkma gibi yasal sorumlulukları yerine getirir.
  • Kim Olmalı?: Büyük kuruluşlarda genellikle bir hukuk departmanı bulunur, ancak küçük işletmelerde dışarıdan bir avukat bu görevi üstlenebilir.


Siber güvenlik çerçeveleri, bir kuruluşun bilgi güvenliği ve olay müdahale politikalarını oluşturmada önemli bir rehber sağlar. Dünya çapında yaygın olarak kullanılan bu çerçeveler, kuruluşların güvenlik standartlarını belirlemesine ve uygulamasına yardımcı olur. İşte en popüler siber güvenlik çerçevelerinden bazıları:

1. NIST Siber Güvenlik Çerçevesi (CSF)

  • Hakkında: ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından geliştirilmiştir. Bu çerçeve, kritik altyapıları korumak için bir risk yönetim yaklaşımı sunar ve beş temel fonksiyona (Tanımla, Koru, Tespit Et, Yanıt Ver, Kurtar) dayalıdır.
  • Artıları: Geniş bir kapsama alanına sahiptir ve kolayca özelleştirilebilir. Hem özel sektör hem de kamu sektörü tarafından benimsenmiştir.
  • Eleştiriler: Özellikle küçük işletmeler için uygulanabilirliği bazen zorlayıcı olabilir ve rehberliğinin çok genel olduğu düşünülebilir.

2. ISO 27000 Serisi

  • Hakkında: Uluslararası Standardizasyon Örgütü (ISO) tarafından geliştirilen bu çerçeve, bilgi güvenliği yönetim sistemlerine (ISMS) odaklanır. ISO 27001, risk yönetimine dayalı bir güvenlik yönetim sistemi sunarken, ISO 27002 uygulama yönergeleri sağlar.
  • Artıları: Uluslararası kabul görmüştür ve çok sayıda sektörde yaygın olarak uygulanır.
  • Eleştiriler: Sertifikalandırma süreci maliyetli ve zaman alıcı olabilir. Ayrıca, dökümantasyon ve uyumluluk gereksinimleri küçük işletmeler için zorlayıcı olabilir.

3. CIS Kontrolleri (Center for Internet Security)

  • Hakkında: CIS tarafından geliştirilen bu çerçeve, kuruluşların siber tehditlere karşı korunmasına yardımcı olmak için 18 kritik güvenlik kontrolü sunar.
  • Artıları: Pratik ve uygulanması nispeten kolaydır. Özellikle temel güvenlik gereksinimlerini karşılamak isteyen küçük ve orta ölçekli işletmeler için uygundur.
  • Eleştiriler: Daha gelişmiş tehditlerle başa çıkmada yetersiz kalabilir ve büyük ölçekli organizasyonlar için kapsamı sınırlı olabilir.

4. COBIT (Control Objectives for Information and Related Technologies)

  • Hakkında: ISACA tarafından geliştirilen bu çerçeve, BT yönetimi ve bilgi güvenliği süreçlerini optimize etmek için tasarlanmıştır. COBIT, iş hedefleri ile BT hedeflerini uyumlu hale getirmeye odaklanır.
  • Artıları: BT yönetimi ve iş hedefleri arasındaki bağı güçlü bir şekilde kurar. Özellikle yönetişim odaklı kuruluşlar için uygundur.
  • Eleştiriler: Teknik güvenlik kontrolleri açısından eksik olabilir ve uygulaması karmaşık olabilir.

Sonuç

Siber güvenlik çerçevelerini uygulamak, bir kuruluşun güvenlik duruşunu güçlendirmek için kritik bir adımdır. Her çerçevenin kendine özgü avantajları ve zorlukları vardır, bu yüzden doğru çerçeveyi seçerken kuruluşunuzun ihtiyaçlarına, boyutuna ve sektörüne dikkat etmek önemlidir.


NIST Siber Güvenlik Çerçevesi

Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Siber Güvenlik Çerçevesi, siber güvenlik yönetimi ve risk yönetimi için kapsamlı bir yaklaşım sunar. Bu çerçeve, kuruluşların siber güvenlik duruşlarını geliştirmelerine ve siber olaylara yanıt verme yeteneklerini güçlendirmelerine yardımcı olmak için tasarlanmıştır. İşte NIST Siber Güvenlik Çerçevesi’nin temel özellikleri ve aşamaları:

Tarihçesi ve Gelişimi

  • Başlangıç: NIST, kritik altyapılar üzerindeki siber olayların etkilerini ele almak amacıyla 2013 yılında bir yürütme emri çıkararak çerçeveyi geliştirmeye başlamıştır. Özellikle enerji santralleri, hastaneler ve telekomünikasyon gibi sektörler bu çerçevenin odak noktası olmuştur.
  • Yayınlar: 2014 yılında NIST Siber Güvenlik Çerçevesi 1.0 sürümü yayınlandı. Bu sürüm, kritik altyapı siber güvenliği alanında önemli bir etki yarattı. 2018'de ise 1.1 sürümü yayınlanarak çerçevede çeşitli güncellemeler ve iyileştirmeler yapıldı.

Ana Bileşenler

NIST Siber Güvenlik Çerçevesi, beş temel fonksiyona dayanır:

  1. Tanımla (Identify): Kuruluşların varlıklarını, risklerini ve güvenlik gereksinimlerini anlamalarına yardımcı olur. Bu aşama, organizasyonun güvenlik hedeflerini belirlemesine ve siber riskleri yönetmek için gerekli adımları atmasına olanak tanır.

  2. Koru (Protect): Belirlenen risklere karşı koruma önlemleri oluşturulmasını sağlar. Bu aşamada, güvenlik kontrol sistemleri ve süreçleri geliştirilir.

  3. Tespit Et (Detect): Olası siber olayların veya güvenlik ihlallerinin zamanında tespit edilmesi için mekanizmaların kurulmasını sağlar. Bu, anomali ve olay tespiti için uygun araçların ve süreçlerin uygulanmasını içerir.

  4. Yanıt Ver (Respond): Bir siber olay meydana geldiğinde, hızlı ve etkili bir şekilde yanıt verebilmek için planların oluşturulmasını ve uygulanmasını sağlar. Bu aşamada olay yanıt planları, iletişim stratejileri ve iyileştirme süreçleri geliştirilir.

  5. Kurtar (Recover): Olay sonrası geri dönüş sürecini yönetir. Kuruluşların normal iş süreçlerine dönüşlerini sağlamak için kurtarma planları ve stratejileri oluşturur.

Uygulama ve Etki

NIST Siber Güvenlik Çerçevesi, kuruluşların siber güvenlik stratejilerini şekillendirmelerine yardımcı olurken, aynı zamanda sektörel ve uluslararası düzeyde de yaygın olarak benimsenmiştir. Başta enerji, sağlık ve telekomünikasyon sektörleri olmak üzere birçok sektördeki kuruluşlar bu çerçeveyi uygulamaktadır.

Sonuç

NIST Siber Güvenlik Çerçevesi, kuruluşların siber güvenlik risklerini yönetmelerine ve olaylara etkili bir şekilde yanıt vermelerine olanak tanıyan esnek ve kapsamlı bir yapı sunmaktadır. Bu çerçeve, giderek daha fazla kuruluş tarafından benimsenmekte ve siber güvenlik alanında standart oluşturma konusunda önemli bir rol oynamaktadır.


Tanımlama Aşaması

NIST Siber Güvenlik Çerçevesi’nin ilk aşaması olan Tanımlama, kuruluşun koruması gereken tüm önemli kaynakları belirlemeyi amaçlar. Bu aşama, siber güvenlik risk yönetiminin temel taşıdır; çünkü "göremediğinizi koruyamazsınız." İşte bu aşamanın ayrıntıları:

1. Varlıkların Belirlenmesi

  • Varlık Yönetimi: Tanımlama aşamasında, sunucular, veriler ve uygulamalar gibi tüm risk konuları belirlenmelidir. Bu, varlık yönetimi programı oluşturmayı içerir. Varlıklar, hem fiziksel hem de yazılım biçiminde olabilir ve her biri kuruluşun işleyişi için kritik öneme sahiptir.
  • Ağ Yapısı: Kuruluşlar, hibrit ağlar veya tamamen bulut tabanlı sistemler kullanabilir. Bu yapıların her biri, varlık yönetimi programında dikkate alınmalıdır. Örneğin, AWS veya Google Cloud gibi bulut sağlayıcıları, bulut altyapısındaki uygulamalardan ve verilerden kuruluşu sorumlu tutar.

2. İş Ortamının Belirlenmesi

  • Tedarik Zinciri: Kuruluşun iş ortamı, bir tedarik zincirinin parçası olarak var olabilir. Bir tedarik zincirindeki herhangi bir siber olay, diğer bağlantılı şirketleri etkileyebilir. Bu nedenle, tüm bu bağımlılıkların dikkate alınması gerekmektedir.
  • Misyon ve Hedefler: CISO ve güvenlik paydaşları, şirketin misyonu, hedefleri, paydaşları ve süreçlerini belirlemelidir. Bu bilgiler, güvenlik karar vericilerinin rollerinin ve sorumluluklarının belirlenmesinde kullanılır.

3. İdari Güvenlik Kontrolleri

  • Politikaların ve Prosedürlerin Belirlenmesi: Her kuruluşun siber güvenliği için gerekli olan politikalar ve prosedürler, olayların nasıl tanımlandığını etkileyen güvenlik kontrolleridir. Kuruluşunuzun güvenlik politikalarını anlamak, bu kontrol mekanizmalarının etkili olup olmadığını değerlendirmek açısından önemlidir.

4. Risklerin Belirlenmesi

  • Risk Analizi: Kuruluş, varlıkları tanımladıktan sonra karşılaştığı riskleri belirlemelidir. Her varlığın belirli bir risk düzeyi vardır ve bu risklerin kuruluşun kullanıcıları, iş süreçleri ve kritik BT sistemleri üzerindeki etkileri değerlendirilmelidir.
  • Siber Olayların Etkileri: Örneğin, bir veri ihlali durumunda kaybedilen veya çalınan verilerin operasyonel, yasal ve uyumlu olma durumunu nasıl etkileyeceği gibi sorulara yanıt verilmelidir.

5. Risk Yönetimi

  • Uzlaşma Sağlama: Kuruluş, güvenlik ile kullanılabilirlik arasında bir denge sağlamalıdır. Karmaşık kimlik doğrulama yöntemleri kullanılabilir, ancak bunların kullanıcı deneyimini nasıl etkilediği göz önünde bulundurulmalıdır.
  • Risk Toleransı: Kuruluşun en büyük önceliğe sahip sistemleri, daha az risk toleransına sahip olabilirken, düşük öncelikli sistemler daha fazla risk alabilir. CISO rehberliğinde, risk yönetim stratejileri belirlenmelidir.



Korumak Aşaması

NIST Siber Güvenlik Çerçevesi’nin ikinci aşaması olan Korumak, kuruluşun belirlediği varlıkları korumak için gerekli politika ve prosedürlerin geliştirilmesine odaklanır. Bu aşama, siber güvenlik stratejisinin uygulanması açısından kritik bir öneme sahiptir. İşte bu aşamanın ana görevleri:

1. Erişim Kontrolü

  • Erişim Kontrolü İlkeleri: Erişim kontrolü, yalnızca yetkili kişilerin veri varlıklarına, binalara ve sistemlere erişmesini sağlamayı amaçlar. Uygulamanın çeşitli yolları vardır, örneğin hesap kimlik bilgileri ve kriptografik anahtarlar.
  • En Az Ayrıcalık İlkesi: Bu ilke, kullanıcılara yalnızca görevlerini yerine getirmek için gerekli olan minimum erişim izni verilmesini gerektirir. Erişimin sınırlı olması, güvenliği artırırken, işlevsellik ve kullanılabilirlik arasında bir denge kurmak önemlidir.
  • Erişim Kontrol Metodolojileri:
    • Rol Tabanlı Erişim Kontrolü (RBAC): Kullanıcıların erişim yetkileri, kuruluş içindeki rollerine göre belirlenir. Örneğin, muhasebeci ve ağ yöneticisi için farklı gruplar oluşturulur.
    • Zorunlu Erişim Kontrolü: Erişim, merkezi bir otorite tarafından belirlenir ve kullanıcıların kendi oluşturdukları dosyalara dahi izin verememeleri gerektiği katı bir sistemdir.
    • İsteğe Bağlı Erişim Kontrolü: Kullanıcı izinlerine dayalı olarak erişim sağlayan esnek bir sistemdir.

2. İnsan Unsuru

  • Eğitim ve Farkındalık: İnsan hatası, birçok güvenlik açığının kaynağıdır. CISO ve güvenlik paydaşları, çalışanlara güvenlik politikaları hakkında eğitim vermekle sorumludur. Eğitim programları düzenli ve etkili olmalı; tüm çalışanlar, güvenlik politikalarını anlamalıdır.

3. Verilerin İşlenmesi

  • Gizlilik, Bütünlük ve Kullanılabilirlik (CIA): Kuruluş, verilerin gizliliğini (yalnızca yetkili erişim), bütünlüğünü (izinsiz değişiklik olmaması) ve kullanılabilirliğini (gerektiğinde verilerin mevcut olması) sağlamalıdır. Bu üçlüyü korumak için gerekli süreçler ve prosedürler oluşturulmalıdır.

4. Olay Müdahale ve İş Sürekliliği

  • Olay Müdahale Prosedürleri: Kuruluş, olası siber olaylara karşı hazırlıklı olmalı; kasırga ve sel gibi doğal afetler için iş sürekliliği planları geliştirmelidir.

5. Sürekli Güvenlik Süreçleri

  • Yama Yönetimi ve Güvenlik Testleri: Güvenlik politikaları ve prosedürleri periyodik olarak gözden geçirilmeli; sızma testleri veya kırmızı ekip çalışmaları gibi düzenli güvenlik testleri yapılmalıdır.
  • Koruyucu Teknolojiler: Güvenlik duvarları, izinsiz giriş algılama ve önleme sistemleri gibi koruyucu teknolojilerin etkin bir şekilde çalıştığından emin olunmalıdır.


Tespit Etmek

NIST Siber Güvenlik Çerçevesinin üçüncü aşaması olan Detect, siber saldırıları önleyebilmek için görmediğimiz şeyleri tespit etmeyi amaçlar. Ağınızdaki birçok cihazın günlüklerinde yer alan anormallikler ve olaylar, genellikle bir siber saldırının ilk işaretlerini oluşturur. Bu nedenle, kuruluşunuzun güvenlik duvarları, virüsten koruma yazılımları, izinsiz giriş algılama ve izinsiz giriş önleme sistemleri ile tüm istemci ve sunucu makinelerindeki davranışları kaydettiğinizden emin olmalısınız.

Günlükleri besleyecek bir SIEM (Güvenlik Bilgisi ve Olay Yönetimi) sistemi veya iyi günlük analiz araçları bulundurmak, etkin bir güvenlik izleme sağlamak için önemlidir. SIEM sistemleri, ağ yöneticilerine ve SOC analistlerine yararlı olabilecek gerçek pozitif uyarıları sunarken, yanlış pozitif ve yanlış negatif uyarıları en aza indirmek için iyi tasarlanmış korelasyon kurallarına sahip olmalıdır.

Zamanında tespit, siber güvenlikte kritik bir öneme sahiptir; ancak zamanın anlamı bazen yoruma açık olabilir. CISO'nuz ve güvenlik paydaşlarınız, ağınızdaki sürekli meydana gelen anormallikler ve olaylar hakkında bilgi sahibi olmalıdır. Her anomali veya olay bir siber olayla ilgili olmayabilir; örneğin, bir çalışan özel bir iş görevinden dolayı bir sunucuyla normalden daha fazla etkileşimde bulunuyor olabilir. Bu nedenle, kuruluşunuzun bu tür nüanslarla başa çıkacak politika ve prosedürlere sahip olması önemlidir.

Kuruluşunuzun güvenlikle ilgili anormallikleri ve olayları tespit edebilmesi için sürekli izleme şarttır. Ağlarınız, çeşitli BT sistemlerinde uçtan uca izleme gerektirir ve kuruluşunuzun hiçbir şeyi kaçırmadığından emin olmalısınız.

Bu görevde, izleme sistemlerinizin zorluklara karşı hazır olduğundan emin olun. Güvenlik duvarlarınız, izinsiz giriş algılama ve önleme sistemleri, veri kaybı önleme sistemleri, virüsten koruma yazılımları ve günlük kaydı gibi sistemlerin her zaman düzgün çalıştığını varsaymayın. Bu sistemlerin sürekli çalışır durumda olmasını sağlamak için geçerli politikalara ve prosedürlere sahip olmalısınız. Ayrıca, izlenmesi gereken tüm cihazların bu sistemlere etkin bir şekilde bağlı olması gerekmektedir.

Fiziksel güvenlik de burada önemli bir rol oynar. Güvenlik kameralarının çalıştığından emin olun ve binanın giriş ve çıkışlarını izleyen bir güvenlik görevlisi gerekip gerekmediğini düşünün. Kötü niyetli bir varlık, yetkisiz fiziksel erişim elde etmek için bir çalışanın kimliğini kullanmaya çalışırsa yakalanabilecek mi?

Tespit işlevinin son görevi, kuruluşunuzun çeşitli tespit süreçlerinin etkin ve sürekli çalıştığından emin olmaktır. Sızma testi cihazları ve kırmızı ekip çalışanları, kuruluşunuzu ve verilerinizi tehdit edebilecek olayları tespit etmede faydalı olabilir. NIST, bu görevi şu şekilde tanımlar: "Anormal olaylar hakkında zamanında ve yeterli farkındalığı sağlamak için algılama süreçleri ve prosedürleri sürdürülür ve test edilir." Algılama süreçlerinizin sık sık güvenlik testlerinden geçmesi gerektiği gibi, kuruluşunuzun da sorumlulukları uygun şekilde devretmesi önemlidir. Kuruluştaki herkesin tespit sürecindeki rolünü anladığından emin olun ve algılamaya yanıt verme hızınızın, risk yönetimi politikalarınız ve uyum düzenlemeleriyle (örneğin, GDPR) uyumlu olduğundan emin olun.


Cevap Vermek

Siber olaylar sırasında anormalliklerin ve olayların meydana geldiğini gözlemlediğimizde, NIST Siber Güvenlik Çerçevesinin ilk üç işlevini kurduysak, bu durumları hızlı ve net bir şekilde fark edebiliriz. Bu, genel olay yanıt döngüsündeki Yanıtla aşamasına geçişi sağlar. Yanıt işlevinin altı önemli görevi bulunmaktadır.

Bu noktada, ağlarınızda şüpheli bir şey olursa onu görebilmekteyiz. Şimdi, bu durumla nasıl başa çıkmamız gerektiği üzerine düşünmeliyiz. Kuruluşunuzun olası bir siber saldırıya nasıl yanıt verdiği, siber dayanıklılığınızı, kamu itibarınızı ve kurumsal kârlılığınızı etkileyen kritik bir faktördür. Saldırganların değerli veri varlıklarınıza ve sistemlerinize verebileceği zararın boyutuna karşı hızlı ve etkili bir yanıt vermek, siber güvenliğinizi önemli ölçüde artırabilir. Bazı kanser türleri gibi, hızlı müdahale ile durumu kontrol altına almak ve zararı minimize etmek mümkündür. En yıkıcı siber saldırılar, yeterince zaman tanındığında çok daha fazla zarar verebilir; bu nedenle, kuruluşunuzun bu tür durumlarla başa çıkacak hazırlığa sahip olması gerekir.

Siber olaylara etkin bir şekilde yanıt verebilmek için ilk adım, olay yanıtınızı planlamaktır. Kuruluşunuzun bir CSIRT (Siber Olaylara Müdahale Takımı) oluşturması önemlidir. Ardından, CSIRT ile birlikte çeşitli siber olay türlerini ele almak için detaylı planlar geliştirmeniz gerekir. Ağınızdaki bir veri ihlali veya kötü amaçlı yazılım keşfedildiğinde, ne yapmanız gerektiğini belirlemelisiniz. Örneğin, ağınızda gelişmiş kalıcı tehdit (APT) belirtileri varsa veya aynı anda dağıtılmış hizmet reddi (DDoS) saldırılarına maruz kalıyorsanız, CISO ve diğer siber güvenlik uzmanlarınızın bu tür tehditlere karşı hazırlıklı olması önemlidir.

Kuruluşunuz, her bir siber olay müdahale prosedürünü tasarlamalı ve bu prosedürlerde herkesin rolünü anlamasını sağlamalıdır. Olay müdahale prosedürleri, bir siber saldırı sırasında ve sonrasında duruma uygun olarak uygulanabilir. Bu görevler büyük ölçüde CISO, hukuk ekibi ve halkla ilişkiler ekibinin sorumluluğundadır. Olayın niteliğine bağlı olarak, kapsamlı bir ceza soruşturması başlatmak için kolluk kuvvetleri ile iletişim kurmanız gerekebilir. Ayrıca, olayın tedarik zincirinizi, müşterilerinizi veya diğer paydaşlarınızı etkileyip etkilemediğini belirlemelisiniz. Eğer etkilenmişlerse, olayın onlara nasıl bir etkisi olabileceğini analiz etmelisiniz.

Bu bilgileri topladıktan sonra, hukuk ve halkla ilişkiler uzmanlarıyla işbirliği yaparak olay hakkında nasıl iletişim kurmanız gerektiğini belirlemelisiniz. Ayrıca, veri gizliliği düzenlemeleri gibi mevzuata uyum sorumluluklarınızı göz önünde bulundurmalısınız; örneğin, bazı düzenlemeler veri ihlallerinin belirli bir süre içinde kamuya bildirilmesini zorunlu kılar.

Bir siber olay gerçekleştiğinde, nedenlerini anlamak ve yanıtınızın etkinliğini değerlendirmek için hangi güvenlik açıklarının kullanıldığını belirlemelisiniz. Açıklar, yazılım veya donanım hataları, sosyal mühendislik açıkları, ağ yapılandırma hataları ve fiziksel güvenlik eksiklikleri şeklinde olabilir. Her siber olay genellikle birden fazla güvenlik açığını hedef alır.

Kuruluşunuz, yaşadığınız siber olayla ilgili dijital adli inceleme yapmak üzere harici bir siber güvenlik firması veya kolluk kuvvetleri kiralamak isteyebilir. Bu aşama, olayın adli analizini yapmanızı sağlar. Artık, karşılaştığınız siber olayın adli incelemesini gerçekleştirdiğinize göre, hafifletme için neler yapılabileceğini belirlemenin zamanı gelmiştir. Kuruluşunuz, ağlarınızda hangi güvenlik açıklarının kullanıldığını bilmelidir.

Hafifletme süreci, yamaları yönetmeyi, yamaları geliştirmeyi, yamaları dağıtmayı, ağ yapılandırmanızı değiştirmeyi, cihazlarınızdaki yapılandırmaları güncellemeyi, kötü amaçlı yazılımları kaldırmayı, güvenlik cihazları eklemeyi ve çalışanları eğitmeyi içerebilir.

Yanıt aşaması, NIST Siber Güvenlik Çerçevesinin olay müdahalesinin kısıtlama, azaltma veya ortadan kaldırma aşamasına eşdeğerdir. Bu nedenle, siber olaylara etkin bir şekilde yanıt vermek için proaktif ve iyi planlanmış bir yaklaşım benimsemek kritik öneme sahiptir.



İyileşmek

Bu noktada, kuruluşunuz atlattığınız siber olay hakkında önemli bilgilere sahip olmalıdır. Adli bilişim çalışmaları sayesinde bol miktarda veri edinmiş olmalısınız. Şimdi, güvenlik politikalarınızı ve prosedürlerinizi geliştirmek için mevcut durumun ötesine geçme zamanı. Belki daha iyi algılama sistemlerine ihtiyaç vardır. Belki bina güvenliğinizi güçlendirmelisiniz. Belki de çalışanlarınız ve yüklenicileriniz için daha etkili ve düzenli eğitimler düzenlemeniz gerekecek. Bu durum, tüm güvenlik politikalarınızı ve prosedürlerinizi gözden geçirme ve iyileştirme fırsatı sunar.

Bu aşama, NIST Siber Güvenlik Çerçevesinin son aşaması olan Kurtarma aşamasına geçişi ifade eder. Bu aşama, olay sonrası elde edilen derslere dayanır. Bir siber olay meydana geldiğinde, bu durumun engellenemeyeceğini kabul etmeliyiz. Ancak, kuruluşunuz etkili bir olay müdahalesi gerçekleştirmiş olmalıdır. BT, hukuk, halkla ilişkiler ve CISO'nuzdaki personelden oluşan bir CSIRT kurarak, kapsamlı olay müdahale planları hazırladınız. CSIRT’teki herkesin rollerinin ve sorumluluklarının netleşmesi sağlandı. Gerektiğinde çalışacak olan kolluk kuvvetleri ve dijital adli bilişim uzmanlarıyla iletişim kurdunuz. Saldırganın yararlandığı güvenlik açıklarını azaltmak için çaba gösterdiniz ve güvenlik politikalarınızda gerekli iyileştirmeleri yapmayı kontrol ettiniz. Artık siber olaydan kurtulma zamanıdır.

Kurtarma aşamasının üç ana görevi bulunmaktadır. Bu görevler, yanıt işlevindeki görevlerle benzerlik gösterse de farklı bir bakış açısıyla ele alınmalıdır. Kuruluşunuzun, siber olay meydana gelmeden önce olay kurtarma planlarına sahip olması gerektiği kadar, olay kurtarma planlarınızı da oluşturmanız önemlidir. Bu planlar, CISO'nuzun yönetimi altında CSIRT tarafından tasarlanabilir.

Farklı siber olay türleri, farklı kurtarma stratejileri gerektirir. Ağınızdaki verilerin mümkün olduğu kadar büyük bir kısmı yedeklenmeli ve tercihen farklı konumlarda birden fazla yedekleme yapılmalıdır. Yedeklemeler, kuruluşunuzun doğal afetler, fidye yazılımı saldırıları ve hırsızlık gibi olaylardan kurtulmasına yardımcı olabilir. Özellikle hastaneler ve okullar gibi kuruluşlar, fidye yazılımlarının sık hedefleri haline gelmiştir. Kapsamlı yedeklemeleri olan kuruluşlar bile, temel operasyonlarını sürdürebilmek için bazen fidye ödemek zorunda kalmaktadır; çünkü yedeklerinden yeterince hızlı kurtaramazlar.

Kurtarma planlaması yaparken, yedeklerinizden kurtarmanın ne kadar süreceğini göz önünde bulundurmalı ve her ihtimale karşı yedek kurtarmanızı test etmelisiniz. Verilerinizi, bulut dahil olmak üzere birden fazla fiziksel konumda yedeklemek, bir siber olay meydana geldiğinde önemli bir avantaj sağlar; bu, başka bir yedekleme kaynağınız olmasını sağlar.

Ayrıca, olağanüstü durumlar ve benzeri olaylar için iş sürekliliği planları oluşturmalısınız. Birçok büyük kuruluş, olağan çalışma alanlarına zarar gelmesi durumunda yeni çalışma alanlarına hızlıca geçebilecek yedek sıcak sitelere veya önceden hazırlıkla yeni çalışma alanları olarak kullanılabilecek soğuk sitelere sahiptir. Olay kurtarma ve iş sürekliliği planlarınız, kuruluşunuzun özel ihtiyaçlarına göre değişiklik gösterecektir.

Ağlarınız ister şirket içinde ister bulutta olsun, ekstra sunucular, ekstra bant genişliği, daha fazla güvenlik duvarı, yönlendirici gibi yedek ağ kapasitesine de ihtiyacınız olacaktır. Bu, ağınızın çoğu siber saldırı nedeniyle hizmet dışı kalırsa faydalı olabilir. Eğer ağınızın bir kısmı bulutta ise, bu tür bir artıklığı elde etmek daha kolaydır; çünkü bu durumda ekstra ekipman ve alan satın almak zorunda kalmazsınız; yalnızca bulut sağlayıcınızı arayarak ek hizmet talep edebilirsiniz.

Müdahale işlevinde, siber olaydan öğrendiklerinizi kuruluşunuzun politikalarını ve prosedürlerini iyileştirmek için nasıl kullanacağınızı araştırdınız. Burada, kurtarma işlevinde benzer bir yaklaşım ile kurtarma planlarınıza odaklanarak bu süreci tekrar gerçekleştirme şansınız vardır.

Kuruluşunuz, kurtarmanız gereken verileri yedekledi mi? Yedekleme süreci verimli ve başarılı mıydı? Ağınızdaki önemli hizmetleri hızlı bir şekilde yeniden çevrimiçi hale getirebildiniz mi? Günlük faaliyetlerinizde herhangi bir kesinti oldu mu? Bir çalışma alanı veya ağınızın büyük bir kısmı devre dışı bırakıldığında iş sürekliliğiniz nasıl sağlandı? Bu sorulara yanıt bulmak, neyin doğru gittiğini ve neyin yanlış olduğunu anlamanıza yardımcı olacaktır. Bu bilgilerin ışığında, kurtarma planlarınızı geliştirmek için gerekli iyileştirmeleri yapmalısınız.

Son olarak, kurtarma operasyonunuz hakkında benzer iletişim kararları vermek için zaman geldi. Kurtarma planlarınızı ve süreçlerinizi iç yöneticiler ve yönetim ekibiyle paylaşmalısınız. Bu bilgi paylaşımı, kuruluşunuzu gelecekteki siber olaylara karşı daha dayanıklı hale getirecektir.


ISO 27000 Siber Güvenlik Çerçeveleri

Uluslararası Standardizasyon Örgütü (ISO), sanayinin çeşitli alanları için uluslararası standartlar geliştiren bir kuruluştur. ISO 27000, NIST Siber Güvenlik Çerçevesi ile benzerlikler taşıyan bir dizi siber güvenlik çerçevesini kapsamaktadır. Ancak, olay müdahalesine yaklaşım açısından farklılıklar göstermektedir. ISO 27000 çerçeveleri şunlardan oluşmaktadır:

  • ISO 27001: Bir kuruluşun hassas verilerini sistematik olarak yönetmek için bilgi güvenliği yönetim sistemi (ISMS) spesifikasyonunu belirler.
  • ISO 27002: Bilgi güvenliği kontrol mekanizmalarını tanımlar; fiziksel kontrollerden (kapılar) teknik kontrollere (antivirüs yazılımları) ve yönetimsel kontrollere (güvenlik politikaları) kadar geniş bir yelpazeye sahiptir. Bu standart, resmi risk değerlendirmesi ile belirlenen özel güvenlik gereksinimlerini hedef alır.
  • ISO 27003: ISMS'nin uygulanmasına dair rehberlik sağlar.
  • ISO 27004: ISO 27002'de tanımlanan güvenlik kontrollerine yönelik ISMS ölçüm ve metriklerini ele alır.
  • ISO 27005: Güvenlik riski yönetimi hakkında daha fazla ayrıntı sunar.
  • ISO 27006: ISMS sertifikası sunan kuruluşların akreditasyonu için yönergeler sağlar.

Bir CSIRT (Bilgisayar Acil Durum Müdahale Takımı) içinde çalışıyorsanız, olay müdahale döngüsüne karşılık gelen planla, yap, kontrol et ve harekete geç (PDCA) döngüsü ile ilgili bilgiler özellikle önemlidir.

  • Plan: Kuruluşun hedeflerini karşılamak amacıyla risk yönetimi ve bilgi güvenliğinin iyileştirilmesine yönelik ISMS politikaları, hedefleri, süreçleri ve prosedürlerinin oluşturulmasını içerir. Bu aşama hazırlık aşamasına eşdeğerdir.
  • Do: ISMS politikasının, kontrollerinin, süreçlerinin ve prosedürlerinin uygulanmasını ifade eder. Bu, sınırlama, azaltma veya yok etme aşamasına karşılık gelir.
  • Kontrol: ISMS'nin izlenmesi ve gözden geçirilmesini kapsar. Bu aşamada, süreçlerin performansı ISMS politikasına, hedeflerine ve pratik deneyimlere göre değerlendirilir ve ölçülür.
  • Yasa: Kurtarma aşamasının olay sonrası aşama ile entegrasyonunu sağlar. ISMS'nin güncellenmesi ve iyileştirilmesi, iç denetim sonuçlarına dayanarak önleyici faaliyetlerin uygulanmasını ve olay yanıtının geliştirilmesini içerir.


CIS Kontrolleri

İnternet Güvenliği Merkezi (CIS), Ekim 2000'de kurulmuş kar amacı gütmeyen bir kuruluştur ve NIST Siber Güvenlik Çerçevesi ile uyumlu bir siber güvenlik çerçevesine sahiptir. Bu çerçeve, 20 temel kontrol içermektedir:

  1. Donanım Varlıklarının Envanteri ve Kontrolü: Ağınızdaki tüm cihazların envanterini çıkararak, yetkili cihazlara erişimi sağlamak ve yetkisiz cihazların erişimini engellemek.

  2. Yazılım Varlıklarının Envanteri ve Kontrolü: Ağınızdaki yazılımların envanterini çıkararak yalnızca yetkili yazılımların yüklenmesini sağlamak ve yetkisiz yazılımları tespit etmek.

  3. Sürekli Güvenlik Açığı Yönetimi: Yeni güvenlik açıklarını izlemek, bunları yamalamak ve azaltmak.

  4. Yönetici Ayrıcalıklarının Kontrollü Kullanımı: Yönetici ayrıcalıklarının dikkatli ve uygun şekilde kullanılmasını sağlamak için izlemek.

  5. Güvenli Yapılandırma: Mobil cihazlar, dizüstü bilgisayarlar, iş istasyonları ve sunucular için güvenli yapılandırma sağlamak; yapılandırma yönetimi ve değişiklik kontrol süreçlerini uygulamak.

  6. Denetim Günlüklerinin Bakımı, İzlenmesi ve Analizi: Loglanabilir tüm cihazların günlüklerini tutmak; günlük verilerini siber olayların önlenmesi ve kurtarılması için kullanmak.

  7. E-posta ve Web Tarayıcı Korumaları: Siber saldırganların e-posta ve web tarayıcıları üzerinden insan davranışlarını manipüle etme fırsatlarını azaltmak.

  8. Kötü Amaçlı Yazılım Savunmaları: Kötü amaçlı etkinlikleri kaydetmek ve kötü amaçlı yazılımları önlemek için otomasyonu optimize etmek.

  9. Ağ Bağlantı Noktaları, Protokoller ve Servislerin Sınırlandırılması ve Kontrolü: Internet bağlantı noktalarını izleyerek ve kontrol ederek saldırganların güvenlik açıklarından yararlanmasını en aza indirmek.

  10. Veri Kurtarma Yeteneği: Veri yedekleme işlemlerini gerçekleştirmek ve gerektiğinde etkili bir şekilde kurtarma sağlamak.

  11. Ağ Cihazları için Güvenli Yapılandırma: Güvenlik duvarları, yönlendiriciler ve anahtarlar gibi ağ altyapısı cihazlarının güvenlik yapılandırmasını oluşturmak ve yönetmek.

  12. Sınır Savunması: Hassas verilere yönelik veri aktarımını tespit etmek, önlemek ve izlemek.

  13. Veri Koruma: Veri sızmasını önlemek ve hassas bilgilerin gizliliğini ve bütünlüğünü sağlamak için kullanılan süreçler ve araçlar.

  14. Bilme İhtiyacına Dayalı Kontrollü Erişim: Kullanıcıların yalnızca işlerini yapmaları için gerekli verilere erişim sağlamasını ve bu erişimi sınırlamak.

  15. Kablosuz Erişim Kontrolü: Kablosuz ağların güvenliğini sağlamak için kullanılan süreçler ve araçlar.

  16. Hesap İzleme ve Kontrol: Sistem ve uygulama hesaplarının yaşam döngüsünü aktif olarak yöneterek siber saldırganların fırsatlarını azaltmak.

  17. Güvenlik Bilinci ve Eğitim Programı: Çalışanlara gerekli bilgi, beceri ve yetenekleri kazandırmak için kapsamlı bir güvenlik bilinci ve eğitim programı uygulamak.

  18. Uygulama Yazılımı Güvenliği: Tüm yazılımların güvenlik yaşam döngüsünü yönetmek; güvenlik zayıflıklarını önlemek, tespit etmek ve düzeltmek.

  19. Olay Müdahalesi ve Yönetimi: Olaylara hızlı bir şekilde müdahale etmek ve ağın bütünlüğünü sağlamak için bir olay müdahale altyapısı oluşturmak.

  20. Sızma Testleri ve Kırmızı Ekip Egzersizleri: Güvenlik açıklarını tespit etmek için siber saldırıları simüle etmek.


COBIT Siber Güvenlik Çerçevesi

Bilgi ve İlgili Teknolojiler için Kontrol Hedefleri (COBIT) standardı, Bilgi Sistemleri Denetim ve Kontrol Derneği (ISACA) tarafından geliştirilmiş bir siber güvenlik standardıdır. En son versiyonu COBIT 2019'dur. COBIT, kuruluşların ihtiyaçlarına göre NIST Siber Güvenlik Çerçevesi ile birlikte veya bağımsız olarak kullanılmak üzere tasarlanmıştır. COBIT çerçevesi aşağıdaki alanlardan oluşur:

  • Planlama ve Organizasyon
  • Teslim ve Destek
  • Edinme ve Uygulama
  • İzleme ve Değerlendirme

Güvenlik Çerçeveleri ve Bulut Güvenliği

Güvenlik çerçeveleri, kuruluşların olay müdahale politikalarını ve prosedürlerini tasarlayıp uygulamalarına yardımcı olabilir. Ancak bu çerçeveler mükemmel değildir; siber güvenlik alanındaki yapıcı eleştirileri dikkate almak, olay yanıtını geliştirmede faydalı olabilir.

NIST Siber Güvenlik Çerçevesinin bulut ağlarını koruma konusunda yetersiz olabileceği belirtilmektedir. Bulut hizmetlerinin kullanımı son on yılda artmıştır; AWS, Google Cloud Platform ve Microsoft Azure gibi popüler bulut sağlayıcıları bulunmaktadır.

Bulut, işletmeler için faydalı bir çözüm sunar; ağ kapasitesini genişletmek için kendi sunucularını kullanmak zorunda kalmadan kaynak sağlama imkanı tanır. Bulut ağları ölçeklenebilir; ihtiyaçlar değiştiğinde, bulut sağlayıcısıyla iletişime geçerek kaynaklar ayarlanabilir. Kendi sunucularınızı yönetmek, daha fazla iş yükü gerektirir.

Ancak, bulut ağlarının yaygınlaşması NIST Siber Güvenlik Çerçevesinin yetersiz yönlerini ortaya çıkarmaktadır. Örneğin, günlüklerin 30 gün boyunca saklanması gerektiği belirtilirken, veri ihlallerinin tespit edilip yanıtlanması genellikle bir aydan fazla zaman alır; bu nedenle günlük saklama süresinin birkaç ay olması önerilir.

NIST, bulut güvenliği sorumluluklarının kimde olduğunu net bir şekilde tanımlamamaktadır. Bulut altyapısı sağlayıcıya, veriler ve uygulamalar ise kuruluşunuza aittir. Örneğin, AWS yalnızca fiziksel erişimi kontrol ederken, sizin yazılım güvenlik açıklarını düzeltmek ve sağlanan güvenlik kontrollerini kullanmak gibi sorumluluklarınız vardır.

NIST, en az ayrıcalık ilkesini benimsemektedir; kullanıcılar yalnızca işlerini yapmak için ihtiyaç duydukları verilere erişebilmelidir. Ancak NIST Siber Güvenlik Çerçevesi, sanal kiracıları tanımlamaz. Sanal kiracılar, bulut sağlayıcısında kaynakları paylaşan varlıklardır. Uygun kiracı delegasyonu olmadan, kiracılar arasındaki hassas verilerin yönetimi risk taşıyabilir. Bir kiracının diğerine ait verilere erişme hakkı yoktur; fakat veri sahipliği belirsiz olduğunda güvenlik kontrolleri karmaşık hale gelebilir.

Sonuç olarak, güvenlik çerçeveleri birçok kuruluşun olay müdahale planlarını geliştirmesine yardımcı olabilir. Ancak, bu çerçeveleri uygulasanız da uygulamasanız da, iyi tasarlanmış bir olay yanıtına sahip olmak ve bir CSIRT (Siber Olaylara Müdahale Ekibi) atamak önemlidir.