Malware Olay Müdahalesi

tarih:

 




NIST SP 800-61 Bilgisayar Güvenliği Olay İşleme Kılavuzu'na göre, olay müdahale süreci dört ana aşamadan oluşur: hazırlık, tespit ve analiz, kontrol altına alma/ortadan kaldırma/kurtarma ve olay sonrası etkinlik. Şekil 3-1, bu olay müdahale yaşam döngüsünü gösterir. Kılavuzun bu bölümü, kötü amaçlı yazılım olaylarına yanıt vermekle ilgili ek ayrıntılar sunarak SP 800-61'deki kavramları temel alır.

Kötü amaçlı yazılım olay müdahalesinin ilk aşaması, olay işleme prosedürlerinin geliştirilmesi ve olay müdahale ekipleri için eğitim programlarının düzenlenmesi gibi hazırlık faaliyetlerini kapsar. Bölüm 3'te belirtildiği üzere hazırlık aşaması, kötü amaçlı yazılım olaylarını azaltmak amacıyla politika oluşturma, farkındalık çalışmaları, güvenlik açığı azaltma ve güvenlik araçlarının kullanımı gibi önlemleri içerir. Bu önlemlere rağmen, kalan riskin tamamen ortadan kaldırılamayacağı ve hiçbir çözümün kusursuz olmadığı göz önünde bulundurulmalıdır.

Bu bağlamda, kötü amaçlı yazılım bulaşmalarının tespiti, olaylar gerçekleştiğinde kurumu hızla uyarmak için kritik önem taşır. Kötü amaçlı yazılım olaylarının hızla tespit edilmesi, bu tür olayların kısa sürede çok sayıda kullanıcı ve sistemi etkileyebilme potansiyeli nedeniyle özellikle önemlidir. Hızlı algılama, virüslü sistemlerin sayısını azaltmaya katkı sağlayabilir.


                               Şekil 3-1


Kuruluş, olayın ciddiyetine bağlı olarak, olayı kontrol altına almak, enfeksiyonları ortadan kaldırmak ve nihayetinde olaydan kurtulmak için uygun önlemleri alarak etkisini en aza indirmelidir. Ancak, sistemlerin önemli bir kısmının aynı anda etkilenebileceği yaygın enfeksiyonlar sırasında bu oldukça zor olabilir. Olayın ele alınmasının ardından, kuruluşun bir rapor hazırlaması gerekir. Bu raporda, olayın nedenleri, maliyetleri ve gelecekte benzer olayları önlemek ya da daha etkin bir şekilde müdahale etmek için atılması gereken adımlar ayrıntılı olarak açıklanmalıdır.

Her ne kadar temel olay işleme süreci, kötü amaçlı yazılım olaylarının herwe türü için aynı olsa da, yaygın enfeksiyonlar standart olay yanıt sürecinin genellikle öngörmediği zorluklar doğurabilir. Bu bölüm, yaygın kötü amaçlı yazılım olaylarına odaklanmakta ve sağlanan rehberlik, daha az ciddi olayları ele alanlar için de faydalı olmalıdır.



3.1 Hazırlık

Bir kuruluşun, güçlü bir olay müdahale yeteneğine sahip olması, kötü amaçlı yazılım olaylarına etkili bir şekilde müdahale edebilmek için kritik bir unsurdur. Bu yetenek olmadan, yaygın kötü amaçlı yazılım bulaşmalarını kontrol altına almak ve ortadan kaldırmak, küçük kuruluşlar haricinde oldukça zorlayıcı hale gelebilir. Yüksek düzeyde kötü amaçlı yazılım müdahalesine ihtiyaç duyan bazı kuruluşlar, genel olay müdahale ekibinin yanı sıra özel bir kötü amaçlı yazılım olay müdahale ekibi de bulundurabilir.

Kötü amaçlı yazılım olaylarının, kısa süre içinde bir kuruluş genelinde ciddi olumsuz etkilere yol açabilme potansiyeli göz önünde bulundurularak, kuruluşların tüm bireylerin ve ekiplerin rollerini ve sorumluluklarını açıkça tanımlayan olay işleme politikaları ve prosedürleri oluşturması gereklidir. Bu hazırlık süreci, düzenli olarak gerçekleştirilen kötü amaçlı yazılım odaklı eğitimler ve tatbikatlarla desteklenmelidir. Bu etkinlikler, katılımcıların rollerinin ve sorumluluklarının farkında olmasını sağlarken, politikaların ve prosedürlerin doğruluğunu ve kapsamlılığını artırmada da fayda sağlar. Yaygın enfeksiyonları ele almayı hedefleyen tatbikatlar, nadir ancak etkili olaylar için hazırlık yapmada özellikle yararlı olabilir.

Kuruluşlar, kötü amaçlı yazılım olaylarına etkili bir şekilde yanıt verebilmek amacıyla başka önleyici hazırlık adımları da atmalıdır. Bölüm 3.1.1'den 3.1.3'e kadar olan kısımlar, olay müdahale ekibinin kötü amaçlı yazılıma dair beceriler kazanması ve bu becerileri sürdürmesi, kuruluş genelinde iletişim ve koordinasyonun sağlanması ve gerekli araçların ve kaynakların temin edilmesi gibi çeşitli hazırlık önlemlerini detaylandırır.


3.1.1 Kötü Amaçlı Yazılımlarla İlgili Beceriler Oluşturma ve Koruma

Standart olay müdahale ekibi becerilerinin ötesinde, kötü amaçlı yazılım olay işleyicilerinin aşağıdaki bilgi alanlarında yetkin olmaları faydalı olabilir:

Kötü Amaçlı Yazılım Bulaşma Yöntemleri: Tüm kötü amaçlı yazılım olay işleyicileri, her ana kötü amaçlı yazılım kategorisinin sistemleri nasıl etkilediği ve nasıl yayıldığı konusunda derinlemesine bilgiye sahip olmalıdır.

Kötü Amaçlı Yazılım Algılama Araçları: Bölüm 2.4'te belirtildiği gibi, kötü amaçlı yazılımlar virüsten koruma yazılımı, ağ tabanlı ve ana bilgisayar tabanlı izinsiz giriş önleme sistemleri, casus yazılım algılama araçları ve diğer çeşitli yazılımlar tarafından tespit edilebilir. Kuruluşun bu araçlarını ve yapılandırmalarını iyi bilen olay işleyiciler, destekleyici verileri daha etkin analiz edebilir ve tehditlerin özelliklerini tanımlayabilir. Tüm işleyiciler, en azından kuruluşun kullandığı antivirüs yazılımına hâkim olmalıdır.

Adli Bilişim: Kuruluşlar, adli bilişim araçları ve teknikleri konusunda yetkin en az birkaç olay işleyiciye sahip olmalıdır. Bu uzmanlık, özellikle şüpheli rootkit kurulumları gibi karmaşık kötü amaçlı yazılım olaylarının araştırılmasında gereklidir.

Geniş BT Anlayışı: İşleyiciler, bir kötü amaçlı yazılım tehdidinin kuruluş üzerindeki olası etkilerini değerlendirebilmeli ve sınırlama, ortadan kaldırma ve kurtarma için uygun öneriler sunabilmelidir.

Programlama: Popüler komut dosyası ve makro dillerinde programlama bilgisine sahip ekip üyeleri, yeni ortaya çıkan bir virüsün veya solucanın davranışını ve etkisini hızla anlayabilir. Kuruluş içinde programlama uzmanlığına sahip kişilerin desteği de yararlı olabilir.

Kötü amaçlı yazılımlarla ilgili eğitim ve tatbikatlar (Bölüm 2.1'de ele alındığı gibi) düzenlemek dışında, kuruluşlar becerileri geliştirmek ve sürdürmek için farklı yollar da keşfetmelidir. Bir seçenek, olay işleyicilerin geçici olarak virüsten koruma mühendisleri veya yöneticileri olarak görev yapmasını sağlayarak, teknik becerilerini artırmalarına ve ilgili prosedürleri daha yakından tanımalarına olanak tanımaktır. Ayrıca, işleyiciler güvenlik açığı yönetimi ekipleriyle çalışarak, güvenlik açığı bulunan sistemleri tespit etme ve yamalama süreçlerine dair bilgi edinir. Bu deneyimler, işleyicilerin daha etkili sınırlama ve ortadan kaldırma kararları almasına yardımcı olabilir.


3.1.2 İletişim ve Koordinasyonu Kolaylaştırma

Kötü amaçlı yazılım olayları sırasında, özellikle yaygın olaylarda karşılaşılan en büyük zorluklardan biri, yetersiz iletişim ve koordinasyondur. Olaya dahil olan herkes, kullanıcılar da dahil olmak üzere, durumu tam olarak anlamadığı için istemeden ek sorunlara yol açabilir. Bu nedenle, bir kuruluş önceden, kötü amaçlı yazılım olaylarına müdahaleyi koordine edecek birkaç kişi veya küçük bir ekip belirlemelidir. Bu koordinatörler, durumsal farkındalığı sağlayarak, ilgili tüm bilgileri toplar, kuruluşun çıkarlarını gözeterek kararlar alır ve gerekli bilgileri kuruluş içindeki ilgili taraflara zamanında iletir.

Kötü amaçlı yazılım olaylarıyla ilgili iletişim, genellikle son kullanıcıları da içerir. Kullanıcılara, sistemlerine kötü amaçlı yazılım bulaşmasını nasıl önleyecekleri, enfeksiyon belirtilerini nasıl tanıyacakları ve bulaşma durumunda ne yapmaları gerektiği konusunda talimatlar verilmelidir. Koordinatör ayrıca, kontrol altına alma, ortadan kaldırma ve kurtarma aşamalarında personele teknik rehberlik ve talimatlar sağlamalı, yönetimi ise olayın durumu ve potansiyel etkileri hakkında düzenli olarak bilgilendirmelidir.

Yaygın kötü amaçlı yazılım olayları, e-posta hizmetlerini, dahili web sitelerini, VoIP ve diğer iletişim kanallarını bozabilir. Bu nedenle, olay işleyiciler, teknik personel, yönetim ve kullanıcılar arasında güçlü iletişimi sürdürmek için çeşitli iletişim mekanizmaları geliştirilmelidir. İletişim yöntemleri, telefon sistemi, cep telefonları, çağrı cihazları, e-posta, faks ve basılı materyalleri içerebilir. Farklı hedef kitleler için farklı iletişim yolları kullanmak genellikle etkilidir; örneğin, kullanıcılarla e-posta üzerinden iletişim kurulurken, teknik personel için bir konferans araması ayarlanabilir. Yönetim güncellemeleri yüz yüze, konferans aramaları ile veya güncel olay bilgilerini içeren sesli mesajlar aracılığıyla sağlanabilir. Bölüm 3.3.1, kullanıcılarla iletişim için diğer yöntemleri, örneğin sesli mesajlar ve yoğun ofis alanlarına asılan bilgilendirme tabelalarını açıklar.

Kuruluşlar ayrıca kötü amaçlı yazılım uyarılarının meşruiyeti hakkında sorulara yanıt vermek için bir iletişim noktası oluşturmalıdır. Birçok kuruluş, bu amaçla BT yardım masasını kullanır ve personelin, kötü amaçlı yazılım tehditleri ve sahte uyarılar hakkında doğru bilgiye erişimini sağlar. Bu sayede yardım masası çalışanları, uyarının meşru olup olmadığını hızla belirleyebilir ve kullanıcılara doğru rehberlik sunabilir. Kuruluşlar, meşruiyeti onaylanmayan kötü amaçlı yazılım uyarılarını başkalarına iletmemeleri konusunda kullanıcıları bilgilendirmelidir.


3.1.3 Araçlar ve Kaynaklar Edinme

Kuruluşlar, kötü amaçlı yazılım olaylarına müdahale ederken gerekli olan araçları (hem donanım hem de yazılım) ve kaynakları temin etmelidir. Örnek araçlar arasında paket algılayıcılar ve protokol analizörleri bulunur. Bölüm 2.4'te, virüsten koruma yazılımları, casus yazılım algılama ve kaldırma araçları ile olay işleyicilerin kullanabileceği ana bilgisayar tabanlı IPS yazılımı gibi ek araçlar detaylandırılmaktadır. Olay işleme ekipleri, kötü amaçlı yazılımın bir sistemi nasıl değiştirdiğini tespit etmeyi kolaylaştırmak için, iyi bilinen işletim sistemi ve uygulama dosyalarının hash setlerini oluşturmayı düşünebilir.

Kaynaklara örnek olarak, iletişim ve çağrı bilgileri listeleri, yaygın olarak kullanılan bağlantı noktası numaraları ve bilinen kritik varlıkların tanımları verilebilir. Tablo 3-1, kötü amaçlı yazılım olay işleyicileri için gerekli temel araçların ve kaynakların bir kontrol listesini sunmaktadır.



Tablo 3-1

Araç / Kaynak


Açıklama


İletişim Bilgileri

Telefon numaraları, e-posta adresleri

Yükseltme ve Çağrı
 Bilgileri



Kuruluş içindeki diğer ekipler için çağrı ve yükseltme bilgileri




Çağrı Cihazları veya Cep Telefonları


Ekip üyeleri tarafından taşınacak, olay sırasında iletişim için



Alternatif İnternet Erişimi

Ciddi bir olay sırasında İnternet erişimi kaybolduğunda yamaları/güncellemeleri indirmek ve bilgi bulmak için

Savaş Odası

Gerekirse geçici bir savaş odası kurmak için prosedür; kalıcı savaş odası gerekliyse kurulum

Dizüstü Bilgisayarlar

Veri analizi ve paket koklama gibi etkinlikler için taşınabilir iş istasyonları

Yedek EkipmanKötü amaçlı yazılım incelemeleri için kullanılabilecek yedek iş istasyonları, sunucular ve ağ ekipmanı. Alternatif olarak, sanal laboratuvar kurulumu da yapılabilir

Depolama Ortamı


Kötü amaçlı yazılım örneklerini saklamak için disketler, CD'ler


Paket Koklayıcılar ve Analizörler

Ağ trafiğini yakalamak ve analiz etmek için

Güncel İşletim Sistemi Dosyaları

Virüsten koruma ve sistem yönetim araçları gibi analiz yardımcı programları içeren, kötü amaçlı yazılım belirtilerini tespit için kullanılacak ortamlar




Bağlantı Noktası Listeleri

Yaygın bağlantı noktaları ve bilinen Truva atı/arka kapı bağlantı noktaları listeleri

Belgeler

İşletim sistemleri, uygulamalar, protokoller, antivirüs ve izinsiz giriş algılama imzaları ile ilgili dokümanlar

Kritik Varlık Listeleri

Web, e-posta ve FTP sunucuları gibi kritik varlıkların listeleri

Ağ ve Sistem Temel Bilgileri

Beklenen ağ, sistem ve uygulama etkinliklerinin temelleri

Kötü Amaçlı Yazılım Olayı Azaltma Yazılımı

İşletim sistemi önyükleme diskleri, işletim sistemi medyası ve uygulama medyası

Güvenlik Yamaları

İşletim sistemi ve uygulama satıcılarından elde edilen güvenlik yamaları

Disk Görüntüleme Yazılımıİşletim sistemlerinin, uygulamaların ve ikincil medyada depolanan verilerin yedek görüntülerini oluşturmak için



3.2 Algılama

Kuruluşlar, kötü amaçlı yazılım olaylarını hızla tespit etmeye ve doğrulamaya çalışmalıdır. Enfeksiyonlar, bir kuruluşa yalnızca birkaç dakika içinde yayılabileceğinden, erken tespit, kuruluşun virüslü sistem sayısını en aza indirmesine yardımcı olur. Bu, kurtarma çabasının büyüklüğünü ve kuruluşun maruz kaldığı hasar miktarını azaltır. Büyük olaylar, bir organizasyonu o kadar hızlı vurabilir ki, kimsenin tepki vermesi için zaman kalmaz; çoğu olay ise daha yavaş gerçekleşir.

Kötü amaçlı yazılım birçok biçim alabildiği ve birçok yolla dağıtılabildiğinden, bir kötü amaçlı yazılım olayının birçok olası işareti vardır. Ayrıca, bir kuruluş içinde işaretlerin kaydedilebileceği veya gözlemlenebileceği birçok konum bulunur. Özellikle kötü amaçlı yazılım tehdidi yeni ve bilinmiyorsa, bir olayın kötü amaçlı yazılımdan kaynaklandığını doğrulamak için kapsamlı teknik bilgi ve deneyim gerektiren önemli analizler yapılması gerekebilir.

Kötü amaçlı yazılım olay tespiti ve doğrulamasından sonra, olay işleyicileri, olaya verilen yanıta uygun önceliğin verilebilmesi için sorunun türünü, kapsamını ve büyüklüğünü olabildiğince çabuk belirlemelidir. Aşağıdaki alt bölümler, kötü amaçlı yazılım olaylarının belirtilerini anlama, olayların özelliklerini belirleme ve olay kapsamını belirleme ile müdahale çabalarına öncelik verme konusunda rehberlik sağlar:


3.2.1 Kötü Amaçlı Yazılım Olaylarının İşaretlerini Anlama

Kötü amaçlı yazılım olayının belirtileri, iki ana kategoriye ayrılır: öncüler ve belirtiler. Bir öncü, gelecekte bir kötü amaçlı yazılım saldırısının meydana gelebileceğine dair bir işarettir. Bir belirti ise, mevcut bir kötü amaçlı yazılım olayının meydana gelmiş olabileceğinin veya oluşabileceğinin bir işaretidir.

Kötü Amaçlı Yazılım Öncüleri
Çoğu kötü amaçlı yazılım öncüsü aşağıdaki biçimlerden birini alır:

  1. Kötü Amaçlı Yazılım Önerileri:
    Antivirüs satıcıları ve güvenlikle ilgili diğer kuruluşlar, önemli yeni kötü amaçlı yazılım tehditleri hakkında tavsiyeler dağıtır. Olay işleyicileri, önümüzdeki saatlerde veya günlerde kuruluşu etkileyebilecek tehditlere karşı önceden uyarı alabilmek için kötü amaçlı yazılım danışma posta listelerine abone olmalıdır. Ayrıca, olay işleyicileri genel güvenlik posta listelerinden ve halihazırda etkilenmiş olan diğer kuruluşlardaki meslektaşlarından yeni kötü amaçlı yazılım raporları duyabilir. Kuruluşlar, antivirüs satıcıları gibi diğer kaynaklardan bilgiler kamuya açıklanmadan önce hizmet abonelerine güvenilir bilgiler sağlamak amacıyla erken uyarı hizmetleri için ödeme yapabilir.

  2. Güvenlik Aracı Uyarıları:
    Virüsten koruma yazılımı ve IPS'ler gibi araçlar, kötü amaçlı yazılım örneklerinin sistemlere bulaşmasını algılayabilir ve karantinaya alabilir, silebilir veya başka bir şekilde önleyebilir. Bu eylemler, sonraki bir olayın işaretleri olabilecek güvenlik aracı uyarılarının oluşturulmasına neden olur. Örneğin, kötü amaçlı yazılımlar bir yolla bir sisteme girmeyi denedikten sonra (uyarılarla sonuçlanan) başarısız olursa, aynı tür kötü amaçlı yazılımlar kuruluşa izlenmeyen bir saldırı vektörü ile girebilir. Öncüleri tespit etmek, kuruluşlara güvenlik duruşlarını değiştirerek olayları önleme fırsatı verir. En ciddi durumlarda, kuruluşlar olayın zaten meydana geldiği varsayımıyla hareket edebilir ve olay müdahale yeteneklerini harekete geçirebilir. Bununla birlikte, çoğu kötü amaçlı yazılım olayının net öncülleri yoktur ve öncüller genellikle bir olaydan hemen önce ortaya çıkar; bu nedenle, kuruluşlar bu tür bir ön uyarıya güvenmemelidir.

Kötü Amaçlı Yazılım Olay Belirtileri
Olaylar sıklıkla net öncüller olmadan meydana gelir; ancak, bir kötü amaçlı yazılım olayının sürmekte olduğuna dair birçok belirti vardır. Belirti örnekleri şunlardır:

  • Bir web sunucusu çöküyor.
  • Kullanıcılar, İnternet'teki ana bilgisayarlara yavaş erişimden, sistem kaynaklarının tükenmesinden veya yavaş sistem önyüklemelerinden şikayet eder.
  • Virüsten koruma yazılımı, bir ana bilgisayara bir solucan bulaştığını algılar ve bir uyarı oluşturur.
  • Bir sistem yöneticisi, olağandışı karakterlere sahip bir dosya adı görür.
  • Bir ana bilgisayar, günlüğüne bir denetleme yapılandırması değişikliği kaydeder.
  • Bir kullanıcı bir web tarayıcısı çalıştırmayı denediğinde, kullanıcının dizüstü bilgisayarı kendini yeniden başlatır.
  • Bir e-posta yöneticisi, şüpheli içeriğe sahip çok sayıda geri dönen e-posta görür.
  • Virüsten koruma yazılımı ve kişisel güvenlik duvarları gibi güvenlik kontrolleri birçok ana bilgisayarda devre dışı bırakılır.
  • Bir ağ yöneticisi, tipik ağ trafiği akışlarından olağan dışı bir sapma olduğunu fark eder.

Bu göstergelerin çoğu, kötü amaçlı yazılımdan başka nedenlere sahip olabilir. Örneğin, bir web sunucusu kötü amaçlı olmayan bir saldırı, işletim sistemi hatası veya güç kesintisi nedeniyle çökebilir. Geri dönen e-postalar, sistem donanımı arızasından veya e-posta sunucusunun yanlış yapılandırılmasından kaynaklanabilir. Bu komplikasyonlar, bir kötü amaçlı yazılım olayını tespit etme ve doğrulama ile ilgili zorlukları gösterir ve iyi eğitimli, teknik olarak bilgili olay işleyicilerine duyulan ihtiyacı artırır. İşleyiciler, kötü amaçlı yazılımla ilgili etkinliği belirlemek için çeşitli kaynaklardan gelen olası göstergeleri gözden geçirme ve verileri ilişkilendirme konusunda yetkin olmalıdır.

Endikasyonların Kaynakları
Endikasyonların birincil kaynakları aşağıdaki geniş kategorilere ayrılabilir:

  1. Kullanıcılar:
    Kullanıcılar genellikle kötü amaçlı yazılımla ilgili belirtileri yardım masasına ve diğer teknik destek personeline bildirir. Örneğin, kullanıcılar iş istasyonlarında virüsten koruma uyarıları görebilir veya olağandışı davranışlar fark edebilir.

  2. BT Personeli:
    Sistem, ağ ve güvenlik yöneticilerinin yanı sıra diğer BT personeli genellikle normal aktiviteye aşinadır ve beklenen davranıştan gözlemlenen önemli sapmalara karşı hassastır.

  3. Güvenlik Araçları:
    Virüsten koruma yazılımı ve IPS'ler gibi güvenlik araçları, kötü amaçlı yazılımın açık belirtilerini kaydedebilir. Ağ izleme yazılımı gibi diğer araçlar, özellikle kötü amaçlı yazılımla ilgili olarak beklenen davranıştan sapmaları bildirebilir. Güvenlik araçları tarafından üretilen uyarıların ve bilgilerin, kötü amaçlı yazılımları tespit etmede değerli olması için sürekli olarak izlenmesi gerekir.

Kötü amaçlı yazılımların sergilediği özelliklerin çeşitliliği, kapsamlı bir gösterge listesi geliştirmeyi zorlaştırır. Ancak, Tablo 3-2, çeşitli kötü amaçlı yazılım türleri ve saldırgan araçları için en olası belirtileri listeler ve bireylerin olası kötü amaçlı yazılım olaylarını daha hızlı tanımlamasına yardımcı olabilir. Kötü amaçlı yazılımın yönetici düzeyinde erişim elde ettiği olaylara ilişkin göstergeler Tablo 3-2'de gösterilmemiştir, çünkü bu tür olaylar için göstergeler neredeyse sonsuzdur.


Tablo 3-2




3.2.2 Kötü Amaçlı Yazılım Olay Özelliklerinin Belirlenmesi

Hiçbir gösterge tamamen güvenilir olmadığı için, kötü amaçlı olay işleyicilerinin şüpheli olayları analiz etmesi ve kötü amaçlı yazılımın neden olduğunu doğrulaması gerekmektedir. Virüsten koruma yazılımı bile iyi huylu etkinlikleri yanlış kategorize edebilir. Özellikle büyük, kuruluş çapında bir enfeksiyon durumlarında olayın doğası açık olduğundan doğrulama gereksiz olabilir. Ancak, olay işleyicilerin kötü amaçlı yazılımdan kaynaklandığından mümkün olduğunca emin olmaları ve sorumlu kötü amaçlı yazılım tehditinin türü hakkında temel bir anlayışa sahip olmaları önemlidir.

Olayın kaynağı kolayca doğrulanamıyorsa, kötü amaçlı yazılımdan kaynaklandığı varsayımıyla yanıt vermek ve daha sonra kötü amaçlı yazılımın dahil olmadığı belirlenirse müdahale çabalarını değiştirmek genellikle daha iyi bir yaklaşımdır. Kötü amaçlı yazılımların kesin kanıtlarını beklemek, müdahale çabaları üzerinde olumsuz bir etki yaratabilir ve kuruluşun maruz kaldığı hasarı artırabilir.

Analiz ve doğrulama sürecinin bir parçası olarak, olay işleyicileri genellikle algılama kaynaklarını inceleyerek kötü amaçlı yazılım etkinliğinin özelliklerini belirler. Faaliyetin özelliklerini anlamak, olay müdahale çabalarına uygun öncelik atamada ve etkili çevreleme, yok etme ve kurtarma faaliyetlerini planlamada yardımcı olur. Olay işleyicileri, kötü amaçlı yazılım bilgilerini tespit etmeye yardımcı olabilecek veri kaynaklarını belirlemek ve bu kaynakların kaydedebileceği bilgileri anlamak için güvenlik yöneticileriyle işbirliği yapmalıdır. Bariz veri kaynaklarına ek olarak, aşağıdaki ikincil kaynakları da kullanmalıdırlar:

  • Engellenen bağlantı denemelerini gösterebilen güvenlik duvarı ve yönlendirici günlük dosyaları.
  • E-posta başlıklarını veya ek adlarını kaydedebilen e-posta sunucularından ve ağ tabanlı IPS sensörlerinden gelen günlük dosyaları.
  • Ağ adli analiz araçlarından elde edilen paket yakalama dosyaları, kötü amaçlı yazılımla ilgili ağ trafiğinin kaydını içerebilir.

Olay işleyiciler, algılama kaynak verilerini gözden geçirdikten sonra, virüsten koruma satıcılarının kötü amaçlı yazılım veritabanlarında bu özellikleri aramalıdır. Kötü amaçlı yazılım bir süredir biliniyorsa, satıcıların aşağıdaki gibi bilgiye sahip olması muhtemeldir:

  • Kötü amaçlı yazılım kategorisi (ör. virüs, solucan, Truva atı).
  • Saldırıya uğrayan hizmetler ve bağlantı noktaları.
  • Sömürülen güvenlik açıkları.
  • E-posta konuları, ek adları, ek boyutları, gövde içeriği.
  • Etkilenebilecek işletim sistemleri, cihazlar, uygulamalar vb. sürümleri.
  • Kötü amaçlı yazılımın sisteme nasıl bulaştığı (ör. güvenlik açığı, yanlış yapılandırma).
  • Kötü amaçlı yazılımın virüslü sistemi nasıl etkilediği (ör. etkilenen dosya adları ve konumları, değiştirilen yapılandırma ayarları, kurulu arka kapı bağlantı noktaları vb.).
  • Kötü amaçlı yazılımın yayılması ve kapsamaya yaklaşımı.
  • Kötü amaçlı yazılımın sistemden nasıl kaldırılacağı.

Ne yazık ki, en yeni tehditler, tehditin göreli önemine bağlı olarak birkaç saat veya gün boyunca kötü amaçlı yazılım veritabanlarına dahil edilmeyebilir. Bu nedenle, olay işleyicilerinin müdahale çabalarının daha erken başlayabilmesi için diğer bilgi kaynaklarına başvurması gerekebilir. Örneğin, kamu güvenliği posta listeleri, kötü amaçlı yazılım olaylarının ilk elden hesaplarını içerebilir; ancak bu tür raporlar genellikle eksik veya hatalıdır, bu nedenle olay işleyicileri bu bilgileri doğrulamalıdır.

Kötü amaçlı yazılım karakteristik bilgilerinin değerli bir başka kaynağı, diğer kuruluşlardaki meslektaşlardır. Eğer büyük bir tehdit dünya çapında yavaş yayılıyorsa, diğer kuruluşlar zaten etkilenmiş ve tehdit hakkında veri toplamış olabilir. Örneğin, bir virüs hafta içi Doğu saatiyle sabah 6'da yayılmaya başlarsa, doğudaki kuruluşlar batıdaki kuruluşlardan daha erken etkilenebilir. Bu nedenle, benzer sorunlarla karşılaşan kuruluşlardaki meslektaşlarla iyi ilişkiler kurmak ve sürdürmek avantajlıdır.

Olay işleyicileri, virüs bulaşmış bir sistemde veya kötü amaçlı yazılım test sisteminde kötü amaçlı yazılımın davranışını inceleyebilir. Örneğin, bir olay işleyici, virüslü bir sistemden bir kötü amaçlı yazılım örneği alabilir ve bunu yalıtılmış bir test sistemine yerleştirebilir. Ayrıca, etkilenen bir sistemin veya virüslü bir sistemin disk görüntüsü de yalıtılmış bir test ortamına aktarılabilir. Bu test ortamı, ağ etkinliğini kaydetmek ve dosya değişikliklerini algılamak için gerekli araçları içermelidir.

Kötü amaçlı yazılım test sistemleri, mevcut tehditleri analiz etmek için kullanılırken, aynı zamanda personeli olay yönetimi konusunda eğitmek için de faydalıdır. Analistler, çıkarılabilir medya üzerinde güvenilir araç setleri oluşturmalıdır. Bu araç setleri, kötü amaçlı yazılımları tanımlamak ve ağ bağlantılarını görüntülemek gibi işlevleri yerine getiren güncel araçları içermelidir. Ayrıca, bu araç seti ortamı, kötü amaçlı yazılımların değiştirilmesine karşı korunmalıdır.

Bu tür güvenilir bir araç setini kullanmanın nedeni, sistemdeki kötü amaçlı yazılımın, virüsten koruma yazılımı gibi güvenlik araçlarının işlevlerini devre dışı bırakmış olabileceğidir. Böylece, olay işleyicileri sistemdeki aktivite hakkında daha doğru bir anlayış elde edebilir.


3.2.3 Olay Müdahalesine Öncelik Verme

Bir kötü amaçlı yazılım olayı doğrulandıktan sonra, sonraki adım olayı ele almaya öncelik vermektir. Solucanlar gibi belirli kötü amaçlı yazılım türleri çok hızlı yayılma eğilimindedir ve dakikalar veya saatler içinde önemli bir etki yaratabilir; bu nedenle genellikle yüksek öncelikli bir yanıt gerektirirler. Diğer yandan, Truva atları gibi kötü amaçlı yazılımlar genellikle tek bir sistemi etkiler ve bu tür olaylara verilen yanıt, etkilenen sistemin sağladığı veri ve hizmetlerin değerine dayanmalıdır.

Kuruluşlar, kötü amaçlı yazılımlarla ilgili çeşitli durumlar için uygun yanıt düzeyini belirleyen bir dizi ölçüt oluşturmalıdır. Bu kriterler aşağıdaki gibi hususları içermelidir:

  • Kötü Amaçlı Yazılımın Ortama Girişi: Kötü amaçlı yazılımın nasıl girdiği ve hangi aktarım mekanizmalarını kullandığı.
  • Kötü Amaçlı Yazılım Türü: Hangi tür kötü amaçlı yazılımdır (ör. virüs, solucan, Truva atı).
  • Saldırgan Araçların Yerleştirilmesi: Kötü amaçlı yazılım tarafından sisteme hangi tür saldırgan araçların yerleştirildiği.
  • Etkilenen Ağlar ve Sistemler: Kötü amaçlı yazılımın hangi ağları ve sistemleri etkilediği ve bu sistemlere nasıl zarar verdiği.
  • Olayın Kontrol Altına Alınmaması Durumu: Olay kontrol altına alınmazsa, olayın etkisinin müteakip dakikalar, saatler ve günlerde nasıl artacağı.

3.3 Sınırlama

Kötü amaçlı yazılımın kontrol altına alınmasının iki ana bileşeni vardır: kötü amaçlı yazılımın yayılmasını durdurmak ve sistemlere daha fazla zarar gelmesini önlemek. Neredeyse her kötü amaçlı yazılım olayı, sınırlama eylemleri gerektirir. Bir olayı ele alırken, bir organizasyonun başlangıçta, müdahalenin başlarında hangi sınırlama yöntemlerini kullanacağına karar vermesi önemlidir.

Etkilenen sistemlerin ağlarla bağlantısını kesmek veya sistemleri kapatmak gibi eylemler, bulaşıcı olmayan kötü amaçlı yazılım biçimlerini içeren izole olayların ve durumların sınırlanmasını genellikle kolaylaştırır. Daha yaygın kötü amaçlı yazılım olayları için kuruluşlar, çoğu sistem için olayı kontrol altına almak amacıyla bir strateji uygulamalıdır; bu, virüs bulaşan makine sayısını, yapılan hasar miktarını ve tüm veri ve hizmetlerin tamamen kurtarılması için gereken süreyi sınırlayabilir.

Kötü amaçlı yazılım olayını kontrol altına alırken, kötü amaçlı yazılımın yayılmasını durdurmanın, sistemlere daha fazla zarar gelmesini engellemediğini anlamak önemlidir. Bir kuruluş yayılmayı durdurduktan sonra bile, sistemdeki kötü amaçlı yazılım veri, uygulama ve işletim sistemi dosyalarına bulaşmaya veya bunları silmeye devam edebilir. Ayrıca, bazı kötü amaçlı yazılım örnekleri, ağ bağlantısı kesildiğinde veya diğer sınırlama önlemleri alındığında ek hasara neden olacak şekilde tasarlanmıştır. Örneğin, virüslü bir sistem, başka bir sistemle periyodik olarak iletişim kuran kötü amaçlı bir işlem çalıştırabilir. Eğer etkilenen sistemin ağ bağlantısı kesilirse, kötü amaçlı yazılım ana bilgisayarın sabit sürücüsündeki tüm verilerin üzerine yazabilir.

Bu nedenlerden dolayı, olay işleyicileri bir ana bilgisayarın ağ bağlantısının kesilmesinin daha fazla zarar verilmesini önleyeceğini varsaymamalıdır. Çoğu durumda, daha fazla hasarı önlemek için mümkün olan en kısa sürede yok etme çabalarına başlanmalıdır. Kuruluşlar, kabul edilebilir risk düzeyini yansıtan sınırlama kararları almak için stratejilere ve prosedürlere sahip olmalıdır. Örneğin, bir kuruluş, kritik işlevleri yerine getiren virüslü sistemlerin ağlarla bağlantısının kesilmemesi gerektiğine karar verebilir; zira bu işlevlerin kullanılamaması durumunda kuruluşa gelebilecek olası zarar, sistemin yalıtılmaması veya kapatılmamasından kaynaklanan güvenlik risklerinden daha büyük olabilir.

Sınırlama stratejileri, belirli bir durumun özelliklerine dayalı olarak uygun sınırlama yöntemleri kombinasyonunun seçilmesinde olay işleyicilerini desteklemelidir. Sınırlama yöntemleri dört temel kategoriye ayrılabilir:

  1. Kullanıcı Katılımına Güvenme: Kullanıcıların olayla ilgili bilgi sağlaması ve önlem alması.
  2. Otomatik Algılama Gerçekleştirme: Kötü amaçlı yazılım aktivitelerinin otomatik sistemler tarafından tespit edilmesi.
  3. Hizmetleri Geçici Olarak Durdurma: Etkilenen sistemlerde hizmetlerin geçici olarak durdurulması.
  4. Belirli Ağ Bağlantı Türlerini Engelleme: Kötü amaçlı yazılımın yayılmasını önlemek için belirli ağ bağlantılarının kesilmesi.

3.3.1 Kullanıcı Katılımı Yoluyla Sınırlama

Özellikle büyük ölçekli olaylar sırasında, kullanıcı katılımı sınırlama çabalarının önemli bir parçası olabilir. Kullanıcılara, kötü amaçlı yazılım bulaşmalarını nasıl tanıyacakları ve bir sisteme virüs bulaşırsa alacakları önlemler (örneğin, yardım masasını aramak, sistemin ağ bağlantısını kesmek veya sistemi kapatmak) konusunda talimatlar sağlanabilir. Yönergeler, ayrıca virüsten koruma imzalarını güncelleme, sistem taraması gerçekleştirme veya özel bir kötü amaçlı yazılım temizleme yardımcı programını edinme ve çalıştırma gibi kötü amaçlı yazılımların ortadan kaldırılmasını da kapsayabilir. Bu tür eylemlerin kullanıcılara sağlanması, özellikle yönetilmeyen ortamlarda ve tam otomatik sınırlama yöntemlerinin (Bölüm 3.3.2 ila 3.3.4 arasında açıklananlar gibi) kullanılamadığı durumlarda yararlıdır.

Bölüm 3.1.2'de belirtildiği gibi, kullanıcılara yararlı bilgileri zamanında ve etkili bir şekilde iletmek zordur. E-posta, genellikle en verimli iletişim aracı olsa da, büyük olaylar sırasında kullanılamayabilir veya kullanıcılar çok geç olana kadar e-postalarını okumayabilir. Bu nedenle, kuruluşların kullanıcılara bilgi dağıtmak için çeşitli alternatif mekanizmalara sahip olması önemlidir. Örneğin, kuruluş içindeki tüm sesli posta kutularına mesaj göndermek, çalışma alanlarına işaretler asmak ve bina ile ofis girişlerine talimat vermek gibi yöntemler kullanılabilir.

Giriş sırasında bir sistem mesajının görüntülenmesi de etkili olabilir, ancak birçok kullanıcı günlerce veya haftalarca oturum kapatmayabilir ve bu tür mesajları görmezden gelme eğilimindedir. Ev ofisleri ve küçük şube ofisleri gibi alternatif konumlarda önemli sayıda kullanıcısı bulunan kuruluşlar, iletişim mekanizmalarının bu kullanıcılara ulaşmasını sağlamalıdır. Ayrıca, kullanıcılara temizleme yardımcı programları, yamalar ve güncellenmiş antivirüs imzaları gibi yazılım güncellemelerinin sağlanması gerekebilir. Kuruluşlar, sınırlamaya yardımcı olması beklenen kullanıcılara yazılım yardımcı programları ve güncellemeler sağlamak için birden fazla yöntem belirlemeli ve uygulamalıdır.

Kullanıcı katılımı sınırlama için çok yararlı olsa da, kuruluşlar kötü amaçlı yazılım olaylarını kontrol altına almak için öncelikle bu araçlara güvenmemelidir. Sınırlama kılavuzunun nasıl iletildiğinden bağımsız olarak, tüm kullanıcıların bu bilgiyi alması ve kendileriyle ilgili olabileceğini anlaması olası değildir. Ayrıca, sınırlama talimatları alan bazı kullanıcıların, anlama eksikliği, yönergeleri izlemedeki basit hatalar veya o sistem için yönergeleri yanlış yorumlamaları gibi nedenlerle yönergeleri başarıyla takip edememesi mümkündür. Bazı kullanıcılar, normal görevlerine odaklanmış olabilir ve kötü amaçlı yazılımların sistemleri üzerindeki olası etkileri konusunda endişe duymayabilir.

Ancak, büyük ölçekli olaylar sırasında kullanıcıların katılımı, olay işleyicilerin ve teknik destek personelinin olaya müdahale etme yükünü önemli ölçüde azaltabilir. Bu nedenle, kullanıcıların etkin bir şekilde bilgilendirilmesi ve katılımlarının teşvik edilmesi, kötü amaçlı yazılım olaylarının etkilerini en aza indirmek için kritik öneme sahiptir.


3.3.2 Otomatik Tespit Yoluyla Sınırlama

Birçok kötü amaçlı yazılım olayı, Bölüm 2.4'te açıklanan otomatik teknolojilerin kullanımı yoluyla kontrol altına alınabilir. Bu teknolojiler arasında virüsten koruma yazılımları, e-posta filtreleme ve izinsiz giriş önleme yazılımları bulunmaktadır. Ana bilgisayarlardaki virüsten koruma yazılımı, bulaşmaları algılayıp kaldırabildiğinden, otomatik algılama yöntemleri arasında genellikle tercih edilen bir yöntemdir. Ancak, yeni bir tehdit ortaya çıktığında, kötü amaçlı yazılımı tanıyamayan veya durduramayan algılama araçları, bu kötü amaçlı yazılımın özelliklerini tanıyıp yayılmasını durdurmak için güncellenebilir veya yeniden yapılandırılabilir. Ne yazık ki, büyük bir olay sırasında bunu zamanında yapmak zor bir girişim olabilir. Özellikle güncellemelerin kuruluş içindeki birçok ana bilgisayara dağıtılması gerekiyorsa, kötü amaçlı yazılım etkinliğinin hacmi nedeniyle ciddi şekilde bozulmuş ağlar ve sistemler (örneğin, antivirüs sunucuları) üzerinden yazılım güncellemelerini dağıtmak mümkün olmayabilir.

Bu tür sorunlar, yazılım güncellemeleri için ağ bant genişliğini ayırarak ve otomatik algılama teknolojileri için sağlam dağıtılmış altyapılar oluşturarak hafifletilebilir. Ancak bazı kötü amaçlı yazılım tehditleri o kadar şiddetlidir ki çoğu ağ iletişimini geçici olarak bozabilir. Güncellemeler dağıtılabilse bile, tüm sistemleri hemen güncellemek genellikle mümkün değildir. Bazı sistemlerde virüsten koruma yazılımı etkinleştirilmemiş veya doğru yapılandırılmamış olabilir. Bu, özellikle kullanıcıların sistemler üzerinde daha fazla kontrole sahip olma eğiliminde oldukları yönetilmeyen ortamlarda sıkça görülen bir durumdur. Ayrıca, bazı kötü amaçlı yazılımlar virüsten koruma yazılımlarını ve diğer güvenlik kontrollerini devre dışı bırakabilir; dolayısıyla yönetilen ortamlarda bile sistemlerin önemli bir yüzdesini otomatik olarak güncellemek mümkün olmayabilir.

Yaygın bir olayda, kötü amaçlı yazılım güncellenmiş virüsten koruma yazılımı tarafından tanımlanamazsa veya güncellenen imzalar henüz tam olarak dağıtılmamışsa, kuruluşlar virüsten koruma imzaları korumayı etkili bir şekilde gerçekleştirene kadar kötü amaçlı yazılımları içermek için diğer güvenlik araçlarını kullanmaya hazır olmalıdır. Bir kuruluş güncellenmiş imzaları aldıktan sonra, bu güncellemelerin kuruluş üzerinde olumsuz bir etki yaratmadığını sağlamak için dağıtımdan önce en azından minimum düzeyde test edilmesi akıllıca olacaktır.

Otomatik algılama ve sınırlama faaliyetleri için birden fazla güvenlik aracı kullanmanın başka bir nedeni de yük dengelemedir. Virüsten koruma yazılımının, yüksek hacimli enfeksiyonlar sırasında kötü amaçlı yazılım olayının tüm iş yükünü karşılamasını beklemek gerçekçi değildir. Bir kuruluş, kötü amaçlı yazılımları tespit etmek ve engellemek için kapsamlı bir savunma stratejisi kullanarak iş yükünü birden çok bileşene yayabilir. Birden fazla otomatik algılama türünün hazır olması, farklı durumlarda farklı dedektörlerin daha etkili olabilmesini sağlar.

Virüsten koruma yazılımı dışındaki otomatik algılama yöntemlerine örnekler şunlardır:

  • E-posta Filtreleme: E-posta sunucuları ve istemcileri, bilinen kötü bir konu, gönderen, mesaj metni veya ek adı gibi belirli özelliklere sahip e-postaları veya e-posta eklerini engelleyecek şekilde yapılandırılabilir. Ancak kötü amaçlı yazılım giderek daha geniş bir özellik yelpazesi kullanmakta; örneğin, bir virüs yasal e-postalar için de kullanılabilen yüzlerce farklı konu kullanabilir. Bazı virüsler e-posta filtreleme yöntemlerini etkisiz hale getirebilecek rastgele konular veya ek adları oluşturur veya mevcut iyi huylu e-postalara yanıtlar oluşturur. Çoğu kötü amaçlı dosya ekinin şüpheli dosya uzantıları olmasına rağmen (.bat, .cmd, .exe, .pif, .scr), .zip gibi bir zamanlar iyi huylu olan dosya uzantılarının kötü amaçlı dosya eklerinde kullanımı daha yaygın hale gelmiştir.

  • Ağ Tabanlı IPS Yazılımı: Çoğu IPS ürünü, belirli imzalar için engelleme yeteneklerinin etkinleştirilmesine izin verir. Ağ tabanlı bir IPS cihazı hat üzerinde ise, yani ağın aktif bir parçasıysa ve kötü amaçlı yazılım için bir imzası varsa, kötü amaçlı yazılımı tanımlayıp hedeflerine ulaşmasını durdurabilmelidir. IPS cihazının önleme yetenekleri etkinleştirilmemişse, ciddi bir olay sırasında bir veya daha fazla IPS sensörünü yeniden yapılandırmak veya yeniden dağıtmak ve IPS'yi etkinleştirerek etkinliğini durdurmak ihtiyatlı olabilir. IPS teknolojileri hem gelen hem de giden bulaşma girişimlerini durdurabilmelidir. IPS'lerin değeri, kötü amaçlı yazılımı tanımlamak için bir imzanın mevcudiyetine ve doğruluğuna bağlıdır. Bazı IPS ürünleri, yöneticilerin kötü amaçlı yazılımın bilinen bazı özelliklerine dayalı özel imzalar yazmasına veya mevcut imzaları özelleştirmesine olanak tanır. Bu durumda, IPS yöneticileri antivirüs satıcılarının imzalarını hazır hale getirmeden saatler önce kendi doğru imzalarına sahip olabilirler. IPS imzası yalnızca ağ tabanlı IPS sensörlerini etkilediğinden, virüsten koruma imzaları genellikle tüm iş istasyonlarını ve sunucuları etkilerken, yeni bir IPS imzasını hızla dağıtmak, yeni virüsten koruma imzalarından daha az risklidir.

  • Ana Bilgisayar Tabanlı IPS Yazılımı: Bazı ana bilgisayar tabanlı IPS ürünleri, belirli yürütülebilir dosyaların çalıştırılmasını kısıtlayabilir. Örneğin, yöneticiler yürütülmemesi gereken dosyaların adlarını girebilir. Yeni bir tehdit için virüsten koruma imzaları henüz mevcut değilse, yeni tehdidin parçası olan dosyaların yürütülmesini engellemek için ana bilgisayar tabanlı IPS yazılımı yapılandırılabilir.


3.3.3 Hizmetleri Devre Dışı Bırakma Yoluyla Sınırlama

Bazı kötü amaçlı yazılım olayları, sınırlama için daha sert ve potansiyel olarak yıkıcı önlemler gerektirir. Örneğin, bir olay çok fazla ağ trafiği veya uygulama etkinliği üretebilir, bu da birçok uygulamanın etkin bir şekilde kullanılamaz hale gelmesine yol açabilir. Böyle bir durumu hızlı ve etkili bir şekilde kontrol altına almak için kötü amaçlı yazılım tarafından kullanılan bir hizmetin kapatılması, ağ çevresinde belirli bir hizmetin engellenmesi veya belirli hizmetlerin (örneğin büyük posta listeleri) devre dışı bırakılması gibi yöntemler kullanılabilir. Ayrıca, bir hizmet, bulaşma veya virüs bulaşmış ana bilgisayarlardan veri aktarımı için bir kanal sağlayabilir. Bu gibi durumlarda, etkilenen hizmetleri kapatmak, tüm hizmetleri kaybetmeden enfeksiyonu kontrol altına almanın en iyi yolu olabilir.

Bu tür eylemler genellikle uygulama düzeyinde (örneğin, sunucularda bir hizmeti devre dışı bırakmak) veya ağ düzeyinde (örneğin, bir hizmetle ilişkili IP adreslerini veya bağlantı noktalarını engellemek için güvenlik duvarlarını yapılandırmak) gerçekleştirilir. Amaç, olayı etkili bir şekilde kontrol altına alırken mümkün olduğunca az işlevselliği devre dışı bırakmaktır. Kuruluşlar, kullandıkları hizmetlerin ve her hizmet tarafından kullanılan TCP ve UDP bağlantı noktalarının listelerini tutarak ağ hizmetlerinin devre dışı bırakılmasını desteklemelidir.

Kötü amaçlı yazılımlardan en çok etkilenen hizmet e-posta hizmetidir. E-posta sunucuları, e-posta yoluyla yayılmaya çalışan virüsler veya solucanlar tarafından tamamen boğulabilir. E-posta kaynaklı kötü amaçlı yazılımların yayılmasını durdurmak için e-posta sunucularını kapatmak, bazı durumlarda olayları çok hızlı bir şekilde kontrol altına alabilir. Ancak, bir kuruluşun kapatılması gereken bilinmeyen e-posta sunucuları (örneğin, yanlışlıkla çalıştırılan bir e-posta sunucusu) olabilir, bu da kapsamayı yavaşlatabilir. Daha az ciddi durumlarda, e-posta hizmetlerinin bazı bölümlerinin devre dışı bırakılması, tüm e-posta hizmetlerinin kaybolmasına neden olmadan etkili bir koruma sağlayabilir. Örneğin, denetlenmeyen posta listelerinin geçici olarak devre dışı bırakılması, kötü amaçlı yazılımın yayılmasını ve e-posta sunucuları üzerindeki yükü önemli ölçüde azaltabilir.

Teknolojik olarak bir hizmeti devre dışı bırakmak genellikle basit bir işlemdir; ancak, bunu yapmanın sonuçlarını anlamak daha karmaşık olabilir. Kuruluşun güvendiği bir hizmetin devre dışı bırakılması, kuruluşun işlevleri üzerinde bariz olumsuz bir etki yaratabilir. Ayrıca, bir hizmeti devre dışı bırakmak, ona bağlı olan diğer hizmetleri istemeden bozabilir. Örneğin, e-posta hizmetlerinin devre dışı bırakılması, bilgileri e-posta yoluyla çoğaltan dizin hizmetlerini etkileyebilir. Olay işleyicilerin sınırlama kararları alırken bu tür bağımlılıkların farkında olmaları için kuruluşlar, ana hizmetler arasındaki bağımlılıkların bir listesini tutmalıdır.

Kuruluşlar, benzer işlevlere sahip alternatif hizmetler sağlamayı da yararlı bulabilir. Örneğin, yüksek düzeyde yönetilen bir ortamda, bir e-posta istemcisindeki bir güvenlik açığı yeni bir virüs tarafından kullanılıyorsa, kullanıcıların bu istemciyi geçici olarak kullanmalarına engel olunabilir ve bunun yerine güvenlik açığı olmayan web tabanlı bir e-posta istemcisine yönlendirilebilir. Bu, kullanıcılara e-posta erişimi sağlarken olayın kontrol altına alınmasına yardımcı olur. Aynı strateji, web tarayıcılarındaki ve diğer yaygın istemci uygulamalarındaki güvenlik açıklarından yararlanmayı içeren durumlar için de uygulanabilir.

Ayrıca, kuruluşlar, bir kötü amaçlı yazılım olayına yanıt olarak kendi hizmetlerini devre dışı bırakan diğer kuruluşların neden olduğu sorunlara da yanıt vermeye hazır olmalıdır. Örneğin, başka bir kuruluş için geçici olarak çalışan bir ekibi olan bir kuruluş, ekip üyelerinin e-posta hesaplarını, e-postalarını diğer kuruluşun e-posta sistemindeki hesaplara iletmek üzere yapılandırmış olabilir. Bu durumda, diğer kuruluş e-posta hizmetlerini devre dışı bırakırsa, iletilen e-postalar geri dönebilir ve yeniden iletilebilir; bu durum bir posta döngüsüne neden olabilir. Böyle bir durum, birkaç kullanıcı hesabının e-posta hizmetlerinde önemli bir bozulmaya yol açmasına neden olabilir.


3.3.4 Bağlantıyı Devre Dışı Bırakma Yoluyla Sınırlama

Ağ bağlantısına geçici kısıtlamalar getirerek olayları kontrol altına almak etkili bir stratejidir. Örneğin, virüslü sistemler rootkit'leri indirmek için dış sistemlerle bağlantı kurmaya çalıştığında, olay işleyicileri bu harici sistemlerin IP adreslerine erişimi engellemeyi düşünebilir. Ayrıca, kuruluş içindeki virüslü sistemler kötü amaçlı yazılımlarını yaymaya çalıştığında, etkilenen ana bilgisayarların IP adreslerinden gelen ağ trafiğini engelleyerek durumu kontrol altında tutmak mümkündür. Belirli IP adresleri için ağ erişimini engellemenin alternatifleri arasında, ağ cihazlarını yeniden yapılandırmak, ağ kablolarını fiziksel olarak ayırmak veya virüslü sistemlerden çıkarılabilir ağ arabirim kartlarını kaldırmak gibi yöntemler bulunmaktadır.

En sert sınırlama adımı, virüs bulaşmamış sistemler için gerekli olan ağ bağlantısını bilinçli olarak kesmektir. Bu, uzaktan erişim ve VPN kullanıcıları gibi belirli sistem grupları için ağ erişimini ortadan kaldırabilir. En kötü senaryolarda, kötü amaçlı yazılımların yayılmasını durdurmak, sistemlere verilen zararı engellemek ve güvenlik açıklarını azaltmak amacıyla alt ağları ana ağdan izole etmek veya tüm kuruluşun internet bağlantısını kesmek gerekebilir. Kötü amaçlı yazılım etkinliği ciddi ağ kesintilerine neden oluyorsa veya virüslü sistemler diğer kuruluşlara saldırılar düzenliyorsa, yaygın bir bağlantı kaybı uygulamak kabul edilebilir bir önlem olabilir. Ancak, büyük bir bağlantı kaybı çoğu organizasyonun işlevlerini olumsuz etkilediğinden, bağlantının mümkün olan en kısa sürede geri yüklenmesi önemlidir.

Kuruluşlar, bağlantı kaybı yoluyla çevrelemeyi daha az yıkıcı hale getirmek için ağlarını tasarlayıp uygulayabilir. Örneğin, bazı kuruluşlar sunucularını ve iş istasyonlarını ayrı alt ağlara yerleştirir; böylece iş istasyonlarını hedefleyen bir kötü amaçlı yazılım olayı sırasında etkilenen iş istasyonu alt ağları ana ağdan izole edilebilirken, sunucu alt ağları virüs bulaşmamış dış müşterilere ve iç iş istasyonu alt ağlarına işlevsellik sağlamaya devam edebilir. Kötü amaçlı yazılımların tutulmasıyla ilgili bir başka ağ tasarım stratejisi, virüslü sistemler için ayrı sanal yerel alan ağları (VLAN) kullanmaktır. Bu tasarım, ana bilgisayarın güvenlik durumunun ağa katılmadan önce kontrol edilmesini sağlar. Genellikle, her ana bilgisayara, işletim sistemi yamaları ve virüsten koruma güncellemeleri gibi özelliklerini izleyen bir aracı yerleştirilir. Ana bilgisayar ağa bağlanmaya çalıştığında, ağ aygıtı aracısından bilgi talep eder. Eğer ana bilgisayar talebe yanıt vermezse veya yanıt güvenilir değilse, ağ aygıtı onu ayrı bir VLAN'a yerleştirir. Bu yöntem, halihazırda kuruluşun normal ağlarında bulunan ana bilgisayarlarla da kullanılabilir ve virüslü ana bilgisayarların otomatik olarak ayrı bir VLAN'a taşınmasını sağlar.

Virüs bulaşmış ana bilgisayarlar için ayrı bir VLAN oluşturmak, kuruluşların yapabileceklerini ciddi şekilde kısıtlarken, aynı zamanda ana bilgisayarlara virüsten koruma imza güncellemeleri ve işletim sistemi ile uygulama yamaları sağlamalarına yardımcı olur. Ayrı bir VLAN olmadan, kuruluşun virüslü ana bilgisayarların ağ erişimini tamamen kaldırması gerekebilir; bu durumda, kötü amaçlı yazılımı içermek, ortadan kaldırmak ve güvenlik açıklarını azaltmak için güncellemelerin her ana bilgisayara manuel olarak aktarılması ve uygulanması gerekecektir. Bazı durumlarda etkili olan ayrı VLAN stratejisinin bir çeşidi, tüm ana bilgisayarları belirli bir ağ segmentine yerleştirip, her biri temiz ve yamalı kabul edildiğinde üretim ağına taşımaktır. Ancak VLAN kullanmanın bir dezavantajı, virüslü ana bilgisayarlardan gelen trafiğin hala üretim trafiğiyle aynı cihazlar üzerinden taşınmasıdır; bu, mantıksal bir ayrım sağlarken fiziksel bir ayırma yapmaz. Sonuç olarak, kötü amaçlı yazılım etkinliği ve sistem güncellemesi ile yama uygulaması sırasında VLAN üzerindeki yüksek hacimli trafik, ağ cihazlarının tüm kullanıcıları için operasyonel sorunlara neden olabilir.


3.3.5 Sınırlama Önerileri

Sınırlama, yukarıda açıklanan dört kategoride (kullanıcılar, otomatik algılama, hizmet kaybı ve bağlantı kaybı) çeşitli yöntemlerle gerçekleştirilebilir. Tek bir kötü amaçlı yazılım içerme kategorisi veya yöntem her durumda uygun veya etkili olmayabilir, bu nedenle olay işleyicileri, sistemlere verilen zararı sınırlarken ve sınırlama yöntemlerinin olası etkilerini azaltırken, mevcut olayı içermede etkili olabilecek bir sınırlama yöntemi kombinasyonu seçmelidir.

Örneğin, tüm ağ erişimini kapatmak, kötü amaçlı yazılımların yayılmasını durdurmada son derece etkili olabilir, ancak bu durum sistemlerdeki enfeksiyonların dosyalara zarar vermeye devam etmesine izin verir ve kuruluşun birçok önemli işlevini bozabilir. En sert sınırlama yöntemleri, çoğu kuruluş tarafından yalnızca kısa bir süre için tolere edilebilir.

Bu bağlamda, kuruluşlar önemli sınırlama kararları verme yetkisinin kimde olduğunu ve hangi koşullar altında çeşitli eylemlerin (örneğin, kuruluşun internet bağlantısını kesmek) uygun olduğunu açıkça belirten politikalara sahip olmalıdır. Böylece, sağlam sınırlama kararları desteklenmiş olur ve olayların etkili bir şekilde yönetilmesi sağlanır.


3.3.6 Enfekte Konakların Tanımlanması

Kötü amaçlı yazılımdan etkilenen ana bilgisayarların belirlenmesi, her kötü amaçlı yazılım olayının kritik bir parçasıdır ve özellikle yaygın olaylar için büyük bir önem taşır. Virüslü konaklar tanımlandıktan sonra, uygun koruma, yok etme ve kurtarma eylemlerine tabi tutulabilir. Ancak, enfekte olmuş ana bilgisayarların tanımlanması, bilgi işlemin dinamik doğası nedeniyle genellikle karmaşık bir süreçtir. Örneğin, kullanıcılar sistemleri kapatabilir, ağ bağlantılarını kesebilir veya taşınabilir, bu da hangi ana bilgisayarlara virüs bulaştığını belirlemeyi zorlaştırır. Ayrıca, bazı ana bilgisayarlar birden çok işletim sistemine önyükleme yapabilir veya sanal işletim sistemi yazılımlarını kullanabilir; bir işletim sistemi örneğindeki enfeksiyon, sistem başka bir işletim sistemi kullanırken algılanamayabilir.

Enfekte olmuş konakların doğru tanımlanması, diğer faktörler nedeniyle de karmaşık hale gelebilir. Örneğin, azaltılmamış güvenlik açıklarına sahip sistemler birden fazla kez dezenfekte edilebilir ve yeniden virüs bulaştırılabilir. Bazı kötü amaçlı yazılım türleri, kısmen veya tamamen kaldırılan enfeksiyonların algılanmamasına neden olabilecek diğer kötü amaçlı yazılımların izlerini kaldırabilir. Büyük ölçekli olaylara dahil olan tüm ana bilgisayarları belirlemek, çok sayıda virüs bulaşmış sistem nedeniyle genellikle özellikle zordur. Bunun yanı sıra, virüs bulaşmış ana bilgisayarlarla ilgili veriler, çeşitli kaynaklardan — virüsten koruma yazılımı, IDS'ler, kullanıcı raporları ve diğer yöntemler — elde edilebilir ve bu verilerin birleştirilmesi ve güncel tutulması zorluklar yaratabilir.

İdeal olarak, tüm tanımlamalar otomatik yöntemlerle gerçekleştirilebilir, ancak çeşitli nedenlerle (Bölüm 3.3.6.1 ve 3.3.6.2'de açıklanmıştır) bu genellikle mümkün değildir. Kullanıcılara güvenmek ve teknik personelin her sistemi kişisel olarak kontrol etmesini sağlamak gibi manuel tanımlama yöntemleri, çoğu kuruluşta olaylar sırasında kapsamlı tanımlama için uygun olmayabilir. Bu nedenle, kuruluşlar, büyük ölçekli bir kötü amaçlı yazılım olayı meydana gelmeden önce ana bilgisayar tanımlama sorunlarını dikkatle değerlendirmeli ve etkili sınırlama stratejilerinin uygulanmasının bir parçası olarak birden fazla tanımlama stratejisi kullanmaya hazır olmalıdır.

Kuruluşlar ayrıca hangi tür tanımlayıcı bilgilere ihtiyaç duyulacağını ve bilgilerin hangi veri kaynakları tarafından kaydedilebileceğini belirlemelidir. Örneğin, bir ana bilgisayarın mevcut IP adresi genellikle uzak eylemler için gereklidir; elbette, yerel eylemler için bir ana bilgisayarın fiziksel konumu da önemlidir. Bir IP adresini bir medya erişim kontrolü (MAC) adresine eşlemek gibi diğer bilgilerin belirlenmesi için genellikle ek veri parçaları kullanılabilir. Bu bilgiler, belirli bir ofis grubuna hizmet eden bir anahtara eşlenebilir. Ayrıca, bir IP adresi, ağ oturumu sırasında eşleme kaydederek bir sistem sahibine veya kullanıcısına da bağlanabilir.

Enfekte olmuş bir konağın fiziksel konumunu belirlemedeki zorluk, birkaç faktöre bağlıdır. Yönetilen bir ortamda, işlerin standart hale getirilmiş şekli nedeniyle bir ana bilgisayarın konumunu belirlemek genellikle daha kolaydır. Örneğin, sistem adları, kullanıcının kimliğini veya ofis numarasını veya sistemin seri numarasını içerebilir. Varlık envanter yönetimi araçları, ana bilgisayar özellikleri hakkında güncel bilgiler sağlayabilir. Diğer ortamlarda, özellikle kullanıcıların sistemleri üzerindeki tam kontrolü olduğu ve ağ yönetiminin merkezileşmediği durumlarda, bir makineyi belirli bir konuma bağlamak zor olabilir. Örneğin, bir yönetici, 10.3.1.70 adresindeki sisteme virüs bulaşmış olduğunu bilse de, o makinenin nerede olduğu veya kimin kullandığı konusunda bilgi sahibi olmayabilir.

Yöneticilerin, virüslü bir sistemi ağ cihazları aracılığıyla izlemesi gerekebilir. Örneğin, bir anahtar bağlantı noktası eşleyicisi, belirli bir IP adresine karşılık gelen anahtar bağlantı noktası numarasını ve ana bilgisayar adını tanımlamak için yoklama yapabilir. Eğer etkilenen sistem birkaç anahtar ötedeyse, tek bir makineyi bulmak saatler alabilir. Eğer etkilenen sistem doğrudan değiştirilmediyse, yöneticinin çeşitli kablolama dolapları ve ağ cihazları aracılığıyla bağlantıyı manuel olarak izlemesi gerekebilir. Bir alternatif, ağ kablosunu çekmek veya görünüşte virüslü bir sistem için anahtar portunu kapatmak ve bir kullanıcının bir kesinti bildirmesini beklemektir. Bu yaklaşım, istemeden az sayıda bulaşmamış sistem için bağlantı kaybına neden olabilir; ancak son çare tanımlama ve sınırlama yöntemi olarak dikkatli bir şekilde gerçekleştirildiğinde oldukça etkili olabilir.

Bazı kuruluşlar, önce virüslü ana bilgisayarları belirlemek ve bunlar üzerinde sınırlama, ortadan kaldırma ve kurtarma çalışmaları yapmak için makul çabayı gösterir. Ardından, virüslü olmadığı doğrulanmamış ve uygun şekilde güvence altına alınmamış ana bilgisayarların ağa bağlanmasını önlemek için önlemler alır. Bu önlemler önceden tartışılmalı ve olay işleyicilerinin, belirli koşullar altında ana bilgisayarları kilitlemek için önceden yazılı izne sahip olmaları sağlanmalıdır. Genel olarak, kilitleme önlemleri, MAC adresleri veya statik IP adresleri gibi belirli ana bilgisayar özelliklerine dayanır. Ancak bir sistem tek bir kullanıcıyla ilişkilendirilmişse, kilitlemeler kullanıcı kimliğine dayalı olarak da gerçekleştirilebilir. Diğer bir olasılık, virüslü ana bilgisayarları belirlemek ve erişimi reddetmek için ağ oturum açma komut dosyalarının kullanılmasıdır. Ancak virüslü bir sistem, sistem önyüklemesinden sonra fakat kullanıcı kimlik doğrulamasından önce kötü amaçlı yazılım yaymaya başlarsa bu yöntem etkisiz olabilir.

Bölüm 4.3.4'te açıklandığı gibi, virüslü veya doğrulanmamış ana bilgisayarlar için ayrı bir VLAN'a sahip olmak, enfeksiyonları algılama mekanizması güvenilir olduğu sürece sistemleri kilitlemek için iyi bir yol sağlayabilir. Kilitleme yöntemlerine yalnızca aşırı durumlarda ihtiyaç duyulabilmesine rağmen, kuruluşlar gerektiğinde kilitlemelerin hızlı bir şekilde gerçekleştirilebilmesi için bireysel ana bilgisayarların veya kullanıcıların nasıl kilitlenebileceğini önceden düşünmelidir.

Bölüm 3.3.6.1'den 3.3.6.3'e kadar olan bölümler, olası enfekte konak tanımlama tekniklerini tartışmaktadır: adli, aktif ve manuel.


3.3.6.1 Adli Tanımlama

Adli tanımlama, son zamanlarda yaşanan enfeksiyonlara dair kanıtları inceleyerek virüslü sistemleri tanımlama sürecidir. Toplanan kanıtlar, çok yakın tarihli (dakikalar) veya daha eski (saatler veya günler) olabilir; bilgi ne kadar eskiyse, doğruluğu o kadar azalır. En belirgin kanıt kaynakları arasında virüsten koruma yazılımları, casus yazılım algılama ve kaldırma araçları ile içerik filtreleme sistemleri bulunur. Bu güvenlik uygulamaları, şüpheli etkinlikleri içeren ayrıntılı günlükler tutabilir ve güvenlik ihlallerinin meydana gelip gelmediğini gösterebilir. Eğer güvenlik uygulaması yönetilen bir kurumsal dağıtımın parçasıysa, günlükler hem bireysel ana bilgisayarlarda hem de merkezi bir uygulama günlüğünde bulunabilir.

Tipik kanıt kaynaklarının yeterli bilgiyi sağlamadığı durumlarda, kuruluşların aşağıdaki ikincil kaynaklara başvurması gerekebilir:

  • Ağ Cihazı Günlükleri: Güvenlik duvarları, yönlendiriciler ve diğer filtreleme cihazları gibi ağ izleme araçları, belirli kötü amaçlı yazılımlar ile tutarlı ağ bağlantısı etkinliğini (örneğin, belirli bağlantı noktası kombinasyonları veya olağandışı protokoller) belirlemede yardımcı olabilir.

  • Düden Yönlendiriciler: Bir kuruluş içindeki bilinmeyen bir rotaya (örneğin, kullanılmayan bir alt ağdaki hedef IP adresleri) sahip olan tüm trafiği yakalayan yönlendiricilerdir. Yayılmaya çalışan kötü amaçlı yazılımlar, bu tür trafik oluşturabilir; dolayısıyla, düden yönlendirici tarafından görülen trafikteki olağandışı değişiklikler yeni bir kötü amaçlı yazılım tehdidine işaret edebilir. Düden yönlendiriciler genellikle alınan trafik hakkında bir günlük sunucusuna ve bir IDS’ye bilgi göndermek için yapılandırılır; bazen şüpheli aktiviteyi kaydetmek için bir paket dinleyicisi de kullanılır.

  • Uygulama Sunucusu Günlükleri: E-posta ve HTTP gibi yaygın olarak kötü amaçlı yazılım iletim mekanizmalarını kullanan uygulamalar, hangi ana bilgisayarların enfekte olduğunu gösteren bilgileri kaydedebilir. Örneğin, bir e-posta mesajıyla ilgili bilgiler, gönderenin sistemi, mesajı işleyen her e-posta sunucusu ve alıcının sistemi gibi birden fazla yerde kaydedilebilir. Ayrıca, web tarayıcıları, kötü amaçlı web etkinliği hakkında bilgi sağlayan birçok veriyi (önbelleğe alınmış dosyalar, tanımlama bilgileri vb.) tutabilir.

  • Adli Ağ Araçları: Kötü amaçlı yazılım etkinliği hakkında ayrıntılı bilgi sağlayan adli ağ analiz araçları ve paket dinleyicileri, genellikle ağ etkinliğinin büyük bir kısmını kaydeder. Ancak, bu araçlar tarafından toplanan veriler arasından yalnızca gerekli bilgileri çıkarmak zaman alıcı olabilir. Enfekte konakçıları tanımlamanın daha etkili yolları genellikle mevcuttur.

Adli verilerin virüs bulaşmış ana bilgisayarları belirlemek için kullanılması, diğer yöntemlere göre bazı avantajlar sunar; çünkü veriler zaten toplanmıştır ve ilgili verilerin yalnızca toplam veri kümesinden çıkarılması gerekir. Ancak, bazı veri kaynakları için bu verilerin çıkarılması önemli ölçüde zaman alabilir. Ayrıca, olay bilgileri hızla güncelliğini yitirebilir, bu da virüs bulaşmamış konakların gereksiz yere kontrol altına alınmasına ve virüs bulaşmış konakların sınırlama önlemlerinden kaçınmasına neden olabilir. Doğru, kapsamlı ve makul ölçüde güncel bir adli veri kaynağı mevcutsa, virüs bulaşmış konakları tanımlamanın en etkili yolunu sağlayabilir.


3.3.6.2 Aktif Tanımlama

Aktif tanımlama, şu anda hangi ana bilgisayarların enfekte olduğunu belirlemek için kullanılan yöntemlerdir. Enfeksiyon tespit edildikten hemen sonra, dezenfeksiyon yardımcı programlarının çalıştırılması, yamaların veya virüsten koruma güncellemelerinin dağıtılması ya da enfekte ana bilgisayarın virüslü sistemler için bir VLAN'a taşınması gibi önlemler alınabilir. Aktif tanımlama, aşağıdaki yöntemlerle gerçekleştirilebilir:

  • Oturum Açma Komut Dosyası: Ağ oturum açma komut dosyaları, kötü amaçlı yazılım belirtileri için belirli ana bilgisayar özelliklerini kontrol etmek amacıyla değiştirilebilir. Ancak, bu yöntemin dezavantajı, virüs bulaşmış ana bilgisayarların bulaşma sonrası günler, haftalar veya aylar boyunca ağa ayrılmamaları ve yeniden katılmaya çalışmamalarıdır.

  • Özel Ağ Tabanlı IPS veya IDS İmzası: Etkilenen ana bilgisayarları tanımlayan özel bir IPS veya IDS imzası yazmak genellikle etkili bir tekniktir. Bazı kuruluşlar, kötü amaçlı yazılım bulaşmalarını tespit etmek için güçlü imza yazma yeteneklerine sahip özel IPS veya IDS sensörlerine sahip olabilir. Bu, diğer sensörlerin aşırı yüklenmesini önlerken yüksek kaliteli bir bilgi kaynağı sağlar.

  • Paket Sniffers: Paket dinleyicilerini, belirli bir kötü amaçlı yazılım tehdidinin özellikleriyle eşleşen ağ trafiğini arayacak şekilde yapılandırmak, virüslü ana bilgisayarları belirlemede etkili olabilir. Kötü amaçlı yazılım tarafından oluşturulan ağ trafiği çoğu veya tamamı aynı ağ cihazından veya birkaç cihazdan geçiyorsa, paket dinleyicileri en fazla faydayı sağlar.

  • Güvenlik Açığı Değerlendirme Yazılımı: Ana bilgisayar güvenlik açıklarını belirlemek için tasarlanmış birçok yazılım programı, bilinen belirli kötü amaçlı yazılım tehditlerini de algılayabilir. Ancak bu yazılımlar, genellikle yeni bir tehdidin bulaştığı ana bilgisayarları belirlemede yetersiz kalabilir. Ayrıca, birçok güvenlik açığı değerlendirme aracı, ana bilgisayar tabanlı güvenlik duvarlarını kullanan sistemlerdeki güvenlik açıklarını tespit edemeyebilir.

  • Ana Bilgisayar Taramaları: Belirli bir kötü amaçlı yazılım tehdidi, virüs bulaşmış ana bilgisayarların belirli bir bağlantı noktasını dinleyen bir arka kapı çalıştırmasına neden oluyorsa, bu bağlantı noktası için yapılan ana bilgisayar taramaları, virüslü ana bilgisayarları tespit etmede etkili olabilir.

  • Diğer Taramalar: Ana bilgisayar taramalarına ek olarak, belirli bir yapılandırma ayarı veya bir bulaşmayı gösteren belirli bir boyuta sahip sistem dosyaları gibi özelliklere sahip ana bilgisayarları bulmaya yönelik diğer tarama türleri de yardımcı olabilir.

Aktif tanımlama yöntemlerinin bir kombinasyonunu kullanmak en iyisidir, çünkü her bir yöntem yalnızca belirli konaklarda belirli enfeksiyon türlerinin tespitine yardımcı olur. Örneğin, güvenlik duvarları taramaları engellediğinden, ana bilgisayar taramaları kişisel güvenlik duvarları kullanan sistemlerdeki bulaşmaları belirlemede başarısız olabilir. Ancak, paket algılayıcıları ve oturum açma komut dosyaları bu sistemlerdeki enfeksiyonları tanımlayabilir. Aktif yaklaşımların kombinasyonu son derece doğru sonuçlar verebilir; ancak enfeksiyonların durumu sürekli değiştiğinden ve verilerin belirli bir süre boyunca toplandığından, aktif yaklaşımların tekrar tekrar uygulanması gerekir.


3.3.6.3 Manuel Tanımlama

Virüs bulaşmış ana bilgisayarları tanımlamanın bir diğer yöntemi manuel yaklaşımdır. Bu yöntem, üç teknik arasında en zahmetli olanıdır, ancak genellikle enfekte olmuş ana bilgisayarları başarılı bir şekilde tanımlamak için gerekli bir önlemdir. Ağlar, enfeksiyonla ilgili trafik tarafından tamamen boğulduğunda, aktif yaklaşımlar uygulanamayabilir. Kötü amaçlı yazılım ağ trafiğinde sahte adresler kullanıldığında ve yüksek hacimlerde etkinlik oluşturulduğunda, geçerli girişler büyük veri hacmi içinde kaybolabilir; bu da adli yaklaşımları pratik olmaktan çıkarır. Ayrıca, yönetilmeyen birçok ortamda, kullanıcıların sistemleri üzerinde kontrolleri varsa, sistem özelliklerinin farklılığı, otomatik tanımlama yöntemlerinin sonuçlarını yetersiz ve hatalı hale getirebilir. Bu gibi durumlarda, manuel bir yaklaşım en iyi seçenek olabilir.

Manuel bir yaklaşım uygulamak için birkaç olası teknik mevcuttur. Bunlardan biri, kullanıcılardan kötü amaçlı yazılım ve bulaşma belirtilerinin yanı sıra virüsten koruma yazılımı, işletim sistemi veya uygulama yamaları veya tarama araçları hakkında bilgi sağlayarak bulaşmaları kendilerinin tanımlamalarını istemektir. Bu bilgi, CD'ler veya başka ortamlarda dağıtılabilir.

Benzer bir manuel teknik, yerel BT personelinin, genellikle kötü amaçlı yazılım olaylarının ele alınmasında yer almayan kişiler de dahil olmak üzere, tüm sistemleri veya virüs bulaştığından şüphelenilen sistemleri kontrol etmesini sağlamaktır. Bazı durumlarda, BT personeli olmayan uzak ofislerde BT dışı personel bu görevi üstlenebilir. Önemli kötü amaçlı yazılım olayları sırasında yardıma ihtiyaç duyabilecek tüm personel önceden belirlenmeli ve olası görevleriyle ilgili dokümantasyon ve periyodik eğitim sağlanmalıdır.


3.3.6.4 Tanımlama Önerileri

Aktif yaklaşımlar genellikle en doğru sonuçları verse de, enfeksiyonları tanımlamanın en hızlı yolu olmayabilir. Bir kuruluştaki her ana bilgisayarı taramak zaman alıcıdır ve bağlantısı kesilen veya kapatılan sistemler tanımlanamayacağından, taramanın tekrarlanması gerekecektir. Adli veriler çok yeni olduğunda, bilgiler kapsamlı olmasa da hazır bilgiler için iyi bir kaynak olabilir. Manuel yöntemler, kuruluş çapında kapsamlı tanımlama için genellikle uygun değildir, ancak diğer yöntemler mevcut olmadığında tanımlamanın gerekli bir parçası olabilir ve yetersiz kaldıkları durumlarda boşlukları doldurabilir. Çoğu durumda, en iyi sonuçları sağlamak için birden fazla yaklaşımın aynı anda veya sırayla kullanılması en etkili yöntemdir.

Kuruluşlar, ortamları için olası yaklaşımları önceden dikkatlice düşünmeli, yeterince geniş bir yaklaşım yelpazesi seçmeli ve büyük bir kötü amaçlı yazılım olayı meydana geldiğinde seçilen her bir yaklaşımı etkin bir şekilde gerçekleştirmek için prosedürler ve teknik yetenekler geliştirmelidir. Ayrıca, tanımlama çabalarında hangi bireylerin veya grupların yardımcı olabileceğini belirlemelidir.

Tanımlama, aşağıdaki kişiler tarafından gerçekleştirilebilir:

  • Güvenlik Yöneticileri: Antivirüs yazılımı, IPS, güvenlik duvarları, güvenlik açığı değerlendirmesi ve taramalar ile ilgili görevleri üstlenir.
  • Sistem Yöneticileri: DNS, e-posta ve web sunucuları üzerinde çalışır.
  • Ağ Yöneticileri: Paket dinleyicileri ve yönlendiricilerle ilgili işlemleri yönetir.
  • Masaüstü Yöneticileri: Windows kayıt defteri veya dosya taramaları, oturum açma komut dosyası değişiklikleri gibi görevleri gerçekleştirir.

Kuruluşlar, tanımlamaya dahil olabilecek herkesin rolünün ne olduğunu ve gerekli görevlerin nasıl gerçekleştirileceğini bilmesini sağlamalıdır. Bu, tanımlama sürecinin etkinliğini artıracak ve hızlı bir yanıt sağlanmasına yardımcı olacaktır.


3.4 Eradikasyon

Yok etmenin birincil amacı, kötü amaçlı yazılımları virüslü sistemlerden kaldırmaktır; ancak, yok etme işlemi genellikle bunun ötesini de kapsar. Eğer bir bulaşma, sistem güvenlik açığı veya güvenli olmayan bir dosya paylaşımı gibi başka bir güvenlik zayıflığı nedeniyle gerçekleşmişse, bu zayıflığın ortadan kaldırılması veya azaltılması gereklidir. Bu, sistemin yeniden bulaşmasını veya başka bir kötü amaçlı yazılım türüyle etkilenmesini önlemek için önemlidir.

Yok etme eylemleri genellikle sınırlama çabalarıyla birleştirilir. Örneğin, kuruluşlar, virüs bulaşmış ana bilgisayarları tanımlayarak, güvenlik açıklarını gidermek için yamalar uygulayabilir ve bulaşmaları ortadan kaldırmak için virüsten koruma yazılımı kullanabilir. Ancak sınırlama eylemleri, yok etme seçeneklerini kısıtlayabilir; örneğin, virüslü sistemlerin ana ağla bağlantısının kesilmesi durumunda, bu sistemlerin uzaktan güncellenmesi için ayrı bir VLAN'a bağlanmaları veya manuel olarak yamalanmaları gerekebilir. Olay müdahale ekibi, kullanıcıların sistemlerini mümkün olan en kısa sürede yeniden kullanabilmeleri için yok etme eylemlerini hızlı bir şekilde gerçekleştirmeye çalışmalıdır.

Farklı durumlar, çeşitli eradikasyon tekniklerinin kombinasyonlarını gerektirebilir. Eradikasyon için en yaygın araçlar, virüsten koruma yazılımları, casus yazılım algılama ve kaldırma yardımcı programları ile yama yönetimi yazılımlarıdır. Otomatik yöntemler, virüslü sistemleri şahsen ziyaret etmek ve bir CD'den dezenfeksiyon yazılımı çalıştırmaktan daha etkilidir; ancak her durum için en uygun yöntem olmayabilir. Örneğin, ağlardan izole kalması gereken bir virüslü ana bilgisayar, manuel işlemlerle ele alınmalıdır. Ayrıca, bazı durumlarda, kullanıcının katılımı gerekebilir. Kullanıcılara talimatlar ve yazılım güncellemeleri sağlamak faydalı olabilir; ancak, bazı durumlarda diğer kullanıcıların yardıma ihtiyacı olabilir. Büyük tesislerde, resmi veya resmi olmayan yardım masalarının oluşturulması da etkili bir çözüm olabilir.

Büyük olaylar sırasında ek BT personeli, ortadan kaldırma çabalarına yardımcı olmak için geçici olarak başka görevlerden alınabilir. BT personeli olmayan konumlar için, birkaç kişinin temel eradikasyon eylemleri konusunda eğitilmesi yararlı olabilir. Kuruluşlar, gerektiğinde birkaç farklı türde eradikasyon çabasını aynı anda gerçekleştirmeye hazır olmalıdır.

Bazı kötü amaçlı yazılım olaylarında, yok etme çabalarının bir parçası olarak virüslü ana bilgisayarların yeniden oluşturulması gerekebilir. Yeniden oluşturma, işletim sisteminin ve uygulamaların yeniden yüklenmesini ve güvenliğinin sağlanmasını, iyi durumda bilinen yedeklerden verilerin geri yüklenmesini içerir. Yeniden oluşturma, diğer yok etme yöntemlerine göre daha fazla kaynak gerektirdiğinden, yalnızca başka bir yok etme yöntemi yeterli olmadığında yapılmalıdır. Örneğin, bazı casus yazılımlarının ana bilgisayarlardan kaldırılması son derece zor olabilir; bu durumda yeniden oluşturma en güvenilir yok etme seçeneği olacaktır.

Kuruluşlar, kötü amaçlı yazılım olayları meydana geldiğinde, ana bilgisayarları hızla yeniden oluşturmaya hazır olmalıdır. Temizlenmesi gereken sistem sayısı ve büyük olaylar sırasında günler, haftalar veya aylar boyunca meydana gelen ek enfeksiyonlar ve yeniden bulaşmalar nedeniyle eradikasyon süreci zorlayıcı olabilir. Olay müdahale ekipleri, virüs bulaşmış ana bilgisayarları belirlemek ve ortadan kaldırma çabalarının başarısını tahmin etmek için periyodik olarak tanımlama etkinlikleri gerçekleştirmelidir.

Etkilenen ana bilgisayarların sayısındaki azalma, ilerleme kaydedildiğini gösterecek ve ekip, kalan ana bilgisayarlarla başa çıkmak için en iyi stratejiyi seçip yeterli zaman ve kaynak ayırabilecektir. Bir olayın çözüldüğünü ilan etmek, virüs bulaşmış ana bilgisayarların sayısının orijinal sayıdan önemli ölçüde düştüğünde cazip olabilir; ancak kuruluş, şüphelenilen virüslü ve savunmasız makine sayısını yeterince düşük seviyelere indirmeye çalışmalıdır.

Kurum genelindeki insanlar, özellikle kullanıcılar ve yönetim, ortadan kaldırma süresi konusunda gerçekçi beklentilere sahip olmalı, zira virüslü sistemlerin ortadan kaldırılması birkaç gün veya bir hafta sürebilirken, tüm sistemlerdeki kötü amaçlı yazılım tehditleri haftalar veya aylar sürebilir. Ortadan kaldırma ve kurtarma çabaları için makul beklentiler belirlemek, büyük kötü amaçlı yazılım olaylarının yarattığı stresi azaltabilir.

Rootkit'lerin sistemlerde yüzlerce değişiklik yapması nedeniyle, bu tür kötü amaçlı yazılımların ortadan kaldırılması yoğun zaman ve kaynak gerektirir. Genellikle, rootkit bulunan veya şüphelenilen herhangi bir sistemin yeniden oluşturulması önerilir. Bu işlem, işletim sistemi ve uygulamaların yeniden yüklenmesi veya bilinen iyi yedeklerden geri yüklenmesi yoluyla gerçekleştirilmelidir.

Kuruluşlar, aşağıdaki durumlara sahip herhangi bir sistemi yeniden oluşturmayı şiddetle düşünmelidir:

  • Saldırganlar, sisteme yönetici düzeyinde erişim elde ettiyse.
  • Sisteme yetkisiz erişim yolları varsa (arka kapı, korumasız paylaşım vb.).
  • Sistem dosyalarının yerini kötü amaçlı yazılımlar aldıysa.
  • Kötü amaçlı yazılımlar silindiğinde sistem kararsız hale geldiyse.

Eğer bir kötü amaçlı yazılım olayı bu özelliklerden herhangi birine sahipse, genellikle sistemi yeniden oluşturmak yerine kötü amaçlı yazılımların silinmesi yeterli olacaktır. Ancak, sistemde verilen hasarın veya yetkisiz erişimin boyutu belirsiz olduğunda, kuruluşlar yeniden oluşturmayı düşünmelidir.


3.5 Kurtarma

Kötü amaçlı yazılım olaylarından kurtarmanın iki ana yönü, virüslü sistemlerin işlevselliğini ve verilerini geri yüklemek ile geçici sınırlama önlemlerini kaldırmaktır. Çoğu durumda, sınırlı sistem hasarına neden olan kötü amaçlı yazılım olayları için ek eylemler gerekmeyebilir. Örneğin, yalnızca birkaç veri dosyasını değiştiren ve virüsten koruma yazılımı ile tamamen kaldırılabilen bir virüs için geri yükleme işlemi basit olabilir. Ancak, Truva atları, rootkit'ler veya arka kapılar gibi daha zararlı kötü amaçlı yazılımlar, binlerce sistemi ve veri dosyasını etkileyebilir veya sabit diskleri silebilir. Bu tür durumlarda, genellikle öncelikle sistemin yeniden kurulması veya iyi bilinen bir yedekten geri yüklenmesi, ardından sistemin güvenli hale getirilmesi gerekir. Bu adımlar, sistemin kötü amaçlı yazılım tehditlerine karşı savunmasız kalmamasını sağlamak amacıyla atılmalıdır.

Kuruluşlar, örneğin sabit sürücülerini silen yeni bir kötü amaçlı yazılım tehdidi gibi olası en kötü durum senaryolarını dikkatlice düşünmeli ve bu durumlarda sistemlerin nasıl kurtarılacağına dair planlar yapmalıdır. Bu, kurtarma görevlerini kimin gerçekleştireceğini belirlemeyi, gerekli çalışma saatlerini ve takvim sürelerini tahmin etmeyi, ayrıca kurtarma çabalarına nasıl öncelik verilmesi gerektiğini planlamayı içermelidir.

Geçici sınırlama önlemlerinin (örneğin e-posta hizmetinin askıya alınması veya internet bağlantısının kesilmesi) ne zaman kaldırılacağı, büyük kötü amaçlı yazılım olayları sırasında sıkça zor bir karardır. Örneğin, e-posta hizmetinin kapatıldığını varsayalım; bu, savunmasız sistemlere yama uygulanırken ve virüs bulaşmış sistemler yok etme ve kurtarma önlemlerinden geçerken, kötü amaçlı yazılım bulaşmasının yayılmasını durdurmak için yapılmış olabilir. Tüm savunmasız sistemlerin bulunması ve yamaların uygulanması, yanı sıra tüm virüslü sistemlerin temizlenmesi günler veya haftalar sürebilir; bu süreç boyunca e-posta hizmeti askıya alınamaz. E-posta hizmeti geri yüklendiğinde, virüslü bir sistemin kötü amaçlı yazılımı yeniden yaymaya başlayacağı neredeyse kesindir. Ancak, neredeyse tüm sistemlere yama uygulanmış ve temizlenmişse, yeni bir kötü amaçlı yazılım bulaşmasının etkisi minimum düzeyde olmalıdır.

Olay müdahale ekipleri, tahmini yama uygulanmamış veya virüs bulaşmış sistem sayısını, sonraki olayların sonuç doğurması için yeterince düşük olana kadar sınırlama önlemlerini sürdürmeye çalışmalıdır. Olay işleyicileri, aynı zamanda, kuruluşun normal işlevleri üzerinde daha az etkiye neden olurken, olayın kontrol altına alınmasını yeterince sağlayabilecek alternatif sınırlama önlemlerini de dikkate almalıdır. Ancak, olay müdahale ekibi hizmeti geri yüklemenin risklerini değerlendirmeli; nihayetinde ne yapılması gerektiğini belirlemek yönetimin sorumluluğundadır. Yönetim, olay müdahale ekibinin tavsiyelerine ve sınırlama önlemlerinin iş üzerindeki etkisine ilişkin anlayışa dayanarak karar vermelidir.


3.6 Alınan Dersler

Büyük bir kötü amaçlı yazılım olayı meydana geldiğinde, müdahaleyi gerçekleştiren anahtar kişiler genellikle günler veya haftalarca yoğun bir şekilde çalışır. Ana müdahale çabaları sona erdiğinde, bu kişiler zihinsel ve fiziksel olarak yorgun düşebilir ve olay süresince bekleyen diğer görevleri yerine getirmekte geride kalabilirler. Bu nedenle, olay müdahalesinin öğrenilen dersler aşaması, büyük kötü amaçlı yazılım olayları için önemli ölçüde ertelenebilir veya tamamen atlanabilir. Ancak, büyük kötü amaçlı yazılım olaylarının üstesinden gelmek son derece pahalı olabileceğinden, kuruluşların bu olaylar için sağlam dersler çıkarma faaliyetleri yürütmesi özellikle önemlidir.

Olay sona erdikten sonra, işleyicilere ve diğer kilit kişilere diğer görevlerini tamamlamaları için birkaç gün vermek makul olabilir. Bununla birlikte, olay herkesin zihninde tazeyken gözden geçirme toplantıları ve diğer çabaların hızlı bir şekilde gerçekleştirilmesi gerekmektedir. Kötü amaçlı yazılım olayları için öğrenilen dersler süreci, diğer olay türlerinden farklı değildir. Kötü amaçlı yazılım olaylarından çıkarılan derslerin olası sonuçlarına ilişkin bazı örnekler şunlardır:

  • Güvenlik Politikası Değişiklikleri: Benzer olayları önlemek için güvenlik politikalarında değişiklik yapılabilir. Örneğin, .scr uzantılı e-posta eklerinin yaygın bir enfeksiyona neden olduğu tespit edildiyse, bu dosyaların e-posta ile gönderilmesini yasaklayacak bir politika önerilebilir.

  • Farkındalık Programı Değişiklikleri: Kullanıcılara yönelik güvenlik bilinci eğitimi, bulaşma sayısını azaltmak veya kullanıcıların olayları raporlama ve kendi sistemlerinde olayları ele alma becerilerini iyileştirmek için değiştirilebilir.

  • Yazılım Yeniden Yapılandırma: Güvenlik politikası değişikliklerini desteklemek veya mevcut ilkeye uyumluluğu sağlamak için işletim sistemi veya uygulama ayarlarının değiştirilmesi gerekebilir.

  • Kötü Amaçlı Yazılım Algılama Yazılımı Dağıtımı: Sistemlere virüsten koruma yazılımı veya diğer kötü amaçlı yazılım algılama araçlarıyla korunmayan bir aktarım mekanizması yoluyla bulaşmışsa, ek yazılımlar satın almak ve dağıtmak için yeterli gerekçe sağlanabilir.

  • Kötü Amaçlı Yazılım Algılama Yazılımının Yeniden Yapılandırması: Algılama yazılımının şu gibi çeşitli şekillerde yeniden yapılandırılması gerekebilir:

    • Yazılım ve imza güncellemelerinin sıklığını artırmak
    • Tespitin doğruluğunu iyileştirmek (örneğin, daha az yanlış pozitif, daha az yanlış negatif)
    • İzleme kapsamını artırmak (örneğin, ek aktarım mekanizmalarının izlenmesi, ek dosyaların veya dosya sistemlerinin izlenmesi)
    • Algılanan kötü amaçlı yazılıma yanıt olarak otomatik olarak gerçekleştirilen eylemi değiştirmek
    • İmza güncelleme dağıtımının verimliliğini artırmak


3.7 Özet

Kuruluşların, kötü amaçlı yazılım olaylarına etkili bir şekilde yanıt verebilmeleri için güçlü bir olay yanıt sürecine sahip olmaları gerekmektedir. NIST SP 800-61'de tanımlandığı üzere, olay müdahale süreci dört ana aşamadan oluşur: hazırlık, tespit ve analiz, kontrol altına alma/ortadan kaldırma/kurtarma, ve olay sonrası faaliyet. Aşağıda, kötü amaçlı yazılım olaylarının ele alınması için her aşamaya ilişkin önemli önerilerin bir özeti verilmiştir:

Hazırlık

Kuruluşlar, kötü amaçlı yazılım olaylarına etkin bir şekilde yanıt verebilmek için hazırlık önlemleri almalıdır. Önerilen eylemler şunlardır:

  • Kötü amaçlı yazılım olaylarına dahil olabilecek tüm bireylerin ve ekiplerin rollerini tanımlayan olay işleme politikaları geliştirmek.
  • Kötü amaçlı yazılıma yönelik eğitim ve alıştırmaları düzenli olarak yürütmek.
  • Kötü amaçlı yazılım bulaşma yöntemleri ve algılama araçları konusundaki bilgi ve becerileri oluşturmak ve sürdürmek.
  • Olay yanıtını koordine etmekten sorumlu kişiler veya ekipler belirlemek.
  • Olay sırasında iletişimi sürdürebilmek için çeşitli iletişim mekanizmaları oluşturmak.
  • Kötü amaçlı yazılım uyarılarının meşruluğu hakkında soruları yanıtlamak üzere bir iletişim noktası oluşturmak.
  • Gerekli donanım ve yazılım araçlarını edinmek.

Tespit ve Analiz

Kuruluşlar, kötü amaçlı yazılım olaylarını hızlı bir şekilde tespit edip doğrulamalıdır. Erken tespit, virüslü sistem sayısını azaltarak kurtarma sürecini kolaylaştırır. Bu aşamada önerilen eylemler:

  • Kötü amaçlı yazılım önerileri ve güvenlik aracı uyarılarını izleyerek olası vakaları tespit etmek.
  • Kullanıcı raporları ve güvenlik araçlarından gelen verileri gözden geçirerek kötü amaçlı yazılım etkinliğini analiz etmek.
  • Güncel araçlar kullanarak çıkarılabilir medya üzerinde güvenilir araç takımları oluşturmak.
  • Kötü amaçlı yazılım olayları için uygun yanıt düzeyini belirlemek üzere önceliklendirme kriterleri oluşturmak.

Kontrol Altına Alma

Sınırlama, kötü amaçlı yazılımın yayılmasını durdurmak ve sistemlere daha fazla zarar gelmesini önlemek için gereklidir. Bu aşamada önemli noktalar:

  • Kullanıcılara enfeksiyonları tanımlamaları ve gerekli önlemleri alma konusunda bilgi vermek.
  • Otomatik algılama teknolojilerini (antivirüs, e-posta filtreleme, vb.) etkin kullanmak.
  • Kötü amaçlı yazılımlar tarafından kullanılan hizmetleri devre dışı bırakmak.
  • Ağ bağlantısına kısıtlamalar getirmek.

Eradikasyon

Yok etme sürecinin temel amacı, virüslü sistemlerden kötü amaçlı yazılımları kaldırmaktır. Bu aşamada önerilenler:

  • Farklı durumlar için çeşitli eradikasyon teknikleri kullanmaya hazır olmak.
  • Etkilenen sistemleri yeniden yükleyerek veya yedeklerden geri yükleyerek yeniden oluşturmak.

Kurtarma

Kurtarma sürecinde, virüslü sistemlerin işlevselliğini ve verilerini geri yüklemek önemlidir. Önerilen eylemler:

  • Geçici sınırlama önlemlerinin ne zaman kaldırılacağına dair kararlar almak.
  • Olay müdahale ekiplerinin, kurtarma sürecinin nasıl gerçekleştirileceğine dair net bir plan belirlemesi.

Olay Sonrası Faaliyet

Kötü amaçlı yazılım olaylarının üstesinden gelmek pahalı olabileceğinden, kuruluşların bu olaylardan çıkarılan dersleri değerlendirmesi önemlidir. Alınan dersler, güvenlik politikalarında, yazılım yapılandırmalarında ve kötü amaçlı yazılım algılama ve önleme yazılımlarında gerekli değişiklikleri yaparak olay işleme kapasitesini ve kötü amaçlı yazılım savunmasını iyileştirmeye yardımcı olmalıdır.