SOME ve Triyaj: Siberde bir Maymun Hikayesi

3 maymun veya kurumsal kültürün etkisini anlatmak için aktarılan 5 maymun da değil.

Bu tek maymunun hikayesi.

Afrika’da bir düzlükte tek başına yürüyen bir maymun. Arkasındaki otların arasında bir hışırtı duyuyor… 2 seçeneği var; dönüp bakmak veya yürümeye devam etmek. Hışırtının nedeni otların arasında ona saldırmaya hazırlanan bir aslan da olabilir, sadece rüzgârın sesi de.

  • Dönüp bakarsa ve bu sadece rüzgârın sesiyse; sorun yok. Maymun belki de her hışırtıya dönüp bakmaması gerektiğini öğrenmiş olur.
  • Dönüp bakarsa ve bu bir aslansa; kaçacak vakti olabilir. Bu sayede otların arasındaki hışırtının bir aslan olabileceğini ve bu seslere daha dikkatli yaklaşması gerektiğini öğrenmiş olur.
  • Dönüp bakmazsa ve bu sadece rüzgârın sesiyse; her hışırtıda tedirgin olmamayı öğrenir.
  • Dönüp bakmazsa ve bu bir aslansa; yem olur, bir şey öğrenmez. Ama dikkatsiz maymun genleri havuzdan çıktığı için bütün maymun ırkının gelişmesine katkısı olur.

Bu eski hikâyeyi siber olaylara müdahale ekibi (SOME) eğitimlerinde anlatıyorum. Loglarda bir sorun görürsek veya (varsa) SIEM (merkezi log yönetimi) çözümü bir alarm verirse; iki seçeneğimiz var. Olayı araştırabilir veya görmezden gelebiliriz.

  • Araştırırsak ve gerçek bir olay değilse; sorun yok.
  • Araştırırsak ve gerçek bir olaysa; müdahale etmiş oluruz, sorun yok.
  • Araştırmazsak ve gerçek bir olay değilse; sorun yok.
  • Araştırmazsak ve gerçek bir olaysa; bizi kovup yerimize işe alacakları kişilerin daha dikkatli çalışmasını sağlamış oluruz 🙂

Şaka bir yana her gün karşılaştığımız onlarca, belki yüzlerce uyaran içerisinden hangilerine dikkat edeceğimize karar verebilmek bu nedenle önemli.

Bu adımda bize yardımcı olacak şey tıp dünyasından ödünç aldığımız bir yaklaşım; triyaj.

İkinci dünya savaşı sırasında yaralı askerlerin tedavilerinin planlanmasını kolaylaştırmak için geliştirilen yöntem 1960’lardan itibaren sivil hastanelerin acil servislerinde uygulanmaya başlanmış. Kısaca “bunu kurtarabilir miyiz? Yoksa morfin verip acısız ölmesini mi sağlayalım?” kararını vermek için kullanılan yöntemi “bu bir siber saldırı mı?” sorusunu yanıtlamak için kullanacağız.

SOME hazırlıklarımızı tamamladıktan sonra (süreçlerimizi belirledik, eğitimlerimizi aldık, vs.) müdahale için olay beklemeye başladığımız süreyi triyajla geçirmemiz gerekiyor. Triyaj yapmıyorsanız, hyani gün içerisinde “bu bir olay mı?” sorusunu kendinize sormuyorsanız SOME yapınızda iyileştirilmesi gereken bazı noktalar olabilir, bakmanızı tavsiye ederim.

Triyaj aşamasında 4 temel görevimiz olacak;

  1. Tespit
  2. Doğrulama
  3. Derecelendirme
  4. Önceliklendirme

Tespit

IPS/IDS, antivirüs, SIEM, kullanıcı bildirimi veya manüel log incelemesi yaparken rastladığınız bir durum sonucunda bir olay yaşanmasından şüphelenebilirsiniz (otların arasındaki hışırtı)

Doğrulama

Bunun bakılması gereken bir olay olduğunun teyit edilmesi. Bir kullanıcı “sigara içmeye gitmiştim, döndüğümde bilgisayarım yeniden başlatılmıştı” gibi bir bildirimde bulunabilir. Yeniden başlamasına neden olacak bir şey yaptıysanız (güncelleme, yama, vb.) bunu dikkate almayabilirsiniz. Ama sizin bir müdahaleniz olmadıysa bu incelenmesi gereken bir konu olabilir.

Derecelendirme

İlk bakışta gördüğünüz kadarıyla bu olay ne kadar ciddi? Antivirüs bir zararlı tespit edip müdahale ettiyse çok önemli olmayabilir ama üzerinde kuruluşunuza ait kritik verilerin bulunduğu bir sistemde ICMP tünel bulduysanız durum biraz daha kritik olabilir.

Önceliklendirme

Bu incelemeleri yaparken başka bir olay bildirimi gelebilir veya aynı anda birden fazla olay bildirimi tetiklenebilir. Bu durumda müdahaleye en önemli olaydan başlamanız gerekiyor veya siz bir olay incelerken daha önemli bir olay meydana gelirse önce ona müdahale etmek gerekebilir. Bu nedenle; bir önceki adımda yaptığımız derecelendirme çalışması çok önemli.

Derecelendirme için kullanabileceğimiz bazı göstergeler şunlar olabilir;

İş süreçlerine etkisi: Fabrika durması veya vatandaşa hizmet veremez hale gelmemiz haftalık alınan bir raporun 1-2 saat gecikmesinden daha önemlidir.

Gözlemlediğiniz faaliyet: Tek bir zararlı yazılımın (bu da fidye yazılım gibi dışarıdan nispeten bağımsızsa) tespit edilmesi etkilenen sistemde bir Truva atının tespit edilmesinden daha az önemli olabilir. Truva atı tespit edildiyse bunun ne zamandan beri o sistemde yüklü olduğunu ve nerelere müdahale ettiğini araştırmam şart.

Etkilenen sistem: Şoförlerin durduğu odada bulunan ve ağımızdan nispeten yalıtılmış bir sistem mi? Hukuk müşavirinin laptopu mu?

Etki: Dosyalar mı şifrelendi? Dışarıya veri mi sızdırıldı? Kurtarabiliyor muyuz? Kayıp mı ettik?

Bunun gibi belirlenecek bazı göstergelere, kuruluşunuzun özelliklerine ve kabul edebileceği risk seviyesine bağlı olarak, ağırlıklar vermek ve bunu biraz daha geniş bir risk derecelendirme çalışmasında kullanmak SOME’nin işini kolaylaştırabilir.