Siber saldırıların sayısında görülen artış ve saldırganların beceri düzeyinde gözlemlenen iyileşme sonucunda kuruluşların bir siber güvenlik ihlali yaşama ihtimalleri artmaktadır. Saldırıyı önlemeye odaklanan siber güvenlik yaklaşımının pek çok kuruluş için yetersiz kaldığını gözlemlediğimiz yüzlerce olay yaşandı ve yaşanmaya devam ediyor. Günümüz şartlarında bir kuruluşun siber güvenlik ihlali yaşaması halinde yapacaklarını bilmesi ve olay sonrası durumunu/sistemlerini düzeltmek için izleyeceği bir metodolojiye sahip olması çok önemlidir. Bu webinarımızda yaşanması muhtemel bir siber güvenlik olayı sonrasında yapılması gerekenleri ve izlenmesi gereken yolu ele alacağız. Webinarın amacı Kuruluş bünyesinde, ağır veya hafif etkili, yaşanacak bir güvenlik ihlali sonrasında izlenebilecek bir yol haritası paylaşmak. Kimler katılmalı BT Birim çalışanları ve yöneticileri, risk birimi yöneticileri, SOME (Siber Olaylara Müdahale Ekibi) üyeleri

1. Webinar:
Siber Olay Sonrasında
Yapılacaklar
Garnizon Bilgi Güvenliği Ltd. Şti.
www.garnizon.com.tr
Alper Başaran
alper@garnizon.com.tr

2. Garnizon Bilgi Güvenliği Ltd. Şti.
• Sızma testleri
• SOME ve SIEM danışmanlığı
• Siber Güvenlik Risk Ölçümü
• Siber Sigorta
• Eğitimler
www.garnizon.com.tr

3. 4 Köşe Güvenlik
www.garnizon.com.tr
Sızma Testleri Olay Müdahale
Danışmanlık / Siber Sigorta Eği>m

4. • Alper Başaran
– Charles de Gaulle Fransız Lisesi
– Bankacılık ve Finans (Bilkent Üniversitesi)
– MBA: İşletme Yüksek Lisans (Atılım Üniversitesi)
– CEH: Certified Ethical Hacker
– ECSA: Certified Security Analist
– LPT: Licensed Penetration Tester
– ISO 27001 Baş Denetçi
– CPTE: Certified Penetration Testing Engineer
– CPTC: Certified Penetration Testing Consultant
– GPEN: Certified Penetration Tester
www.alperbasaran.comwww.garnizon.com.tr
• Sızma testleri
• SOME kurulumu
• Log ve SIEM danışmanlığı
• Eğitimler

5. Aslında Nedir?
www.garnizon.com.tr
Olay
Öncesi
Olay
Olay
Sonrası
Olay
Müdahale
(Incident
Response)
Düzeltme
(Recovery)

6. Aslında Nedir?
• Olay Müdahalesi (Incident Response)
• Düzeltme (Recovery)
“Recovery yapıyoruz zaten”
www.garnizon.com.tr

7. Recovery Planlamak
• Önkoşullar:
– İş sürekliliği planı
• Siber olay müdahale planı
www.garnizon.com.tr
NIST Special Publica>on 800-184

8. Recovery Planlamak
• Önkoşullar:
– Paydaşların recovery plan ve teknik becerilerini
belirleyin
– Test ve tatbikatları düzenleyin
– Test ve tatbikat sonuçlarını değerlendirin
– Sürekli iyileşTrin
– Recovry süreci siber güvenlik seviyenizde aksayan
yerleri de ortaya çıkarUr
– Recovery planlarını ve olaylarını dokümante edin
www.garnizon.com.tr

9. Paydaş katkısı ve tatbikatların faydası
• Paydaşların risk senaryolarını haUrlamasını
sağlar
• Senaryoların güncel kalmasını sağlar
• Aksaklıkları ortaya çıkarUr
• Özellikle yeni kurulan yapılarda önemli
www.garnizon.com.tr

10. Recovery Metrikleri
• Masrafların belirlenmesi
– yasal masraflar
– İş kaybı
– Zaman kaybı
• Recovery becerisinin arUrılması
– Test/tatbikat kapsamı
– Sistemlerin bağımlılıklarının ortaya çıkarUlması
• Recovery kalitesinin belirlenmesi
– KesinT sayısının azalUlması
– KesinT sürelerinin azalUlması
www.garnizon.com.tr

11. Recovery Playbook
• ŞirkeTn işini yapmak için ihTyaç duyduğu
sistem, veri, süreç ve personellerin ortaya
çıkarUlması VE BAĞIMLILIKLARININ
belirlenmesi
– Bağımlılıklar recovery sürecinin sırasını/önceliğini
belirlememizi sağlayacak
• Varlıkların önceliklendirilmesi
• Recovery süreçlerinin devreye alınacağı
durumların belirlenmesi
www.garnizon.com.tr

12. Recovery Playbook
• Olayın anlaşılması ve uygun recovery
süreçlerinin seçilmesi (!= belirlenmesi)
www.garnizon.com.tr

13. Recovery Süreci: Planlama
• Ağ üzerinden ileTşi (mail, vb.) güvensiz olduğu
düşünüldüğü için ekip yüzyüze görüşmeye
karar verdi
• Saldırganın amacı belirlendi (veri çalmak)
• Saldırgan taracndan kullanılan araç ve
teknikler tespit edildi
• Eldeki bulgular doğrultusunda “playbook”
özelleşTriliyor
www.garnizon.com.tr

14. Recovery Süreci
• Olay müdahale/recovery süreçlerinin
başlaUlmasının saldırgan taracndan fark
edilebileceği değrlendirildi
www.garnizon.com.tr

15. Recovery Süreci: Aksiyon
• Bulgulara göre özelleşTrilmiş playbook
devreye alınıyor
• Saldırganın yayılmasını önlemeye yönelik
önlemlerin alınması
• Playbook’a göre sistemlerin geri döndürme
sırasının belirlenmesi ve süreçlerin işleTlmesi
• Alınan tedbirlerin (örn: yeniden kurulan
sunucuların) aynı açığa sahip olmadığının
teyidi (3. taraf kullanılabilir)
www.garnizon.com.tr

16. Recovery Süreci: Aksiyon
• Recovery süreçlerinin zamanları ölçülüyor (SLA
süreleri)
• İdari kadrolara grekli bilgiler aktarılıyor
• İlgili diğer birimler (hukuk, İK, basın, vb.)
koordinasyon sağlanıyor
• İşlemlerin sonucu ölçülerek/takip edilerek
gerekli düzeltmeler yapılıyor
• ÖLÇ - İYİLEŞTİR
www.garnizon.com.tr

17. Örnek: Ransomware
• Fidye yazılım tek bir sistemde tespit edildi
• Bazı fidye yazılımların yedekleri de şifreleme
özelliği olduğu için yedekler kontrol ediliyor
(yedek dosyaları içerik ve bütünlük kontrolü)
• Playbook bulgulara göre özelleşTriliyor
www.garnizon.com.tr

18. Örnek: Ransomware
• Sistem ağdan ayrılıyor
• Playbook’ta belirTlen kriterlerde yeniden
kurulum yapılıyor
• Kontrol kriterlerine uygun yedekler geri
yükleniyor
• Birim yöneTcilere olay ve müdahale süresi
hakkında bilgi veriliyor
• Yeniden kurulan sistemin kabul kriterlerine
uygunluğu test ediliyor
www.garnizon.com.tr

19. Alper Başaran
alper@garnizon.com.tr
www.alperbasaran.com
T: @basaranalper
Sorular?