Hazırlık, etkili olay müdahalesinin (IR) anahtarıdır. Olay müdahale ekibindeki herkes ne yapacağını tam olarak biliyorsa hızlı, tatmin edici ve düşük maliyetli bir çözümün şansı daha yüksektir.  Tehdit aktörleri bir ağa girdikten sonra, zaman kurbanın aleyhine işlemeye başlar. İster hassas verileri çalmak ve fidye istemek, ister fidye yazılımı veya diğer kötü amaçlı yükleri dağıtmak istiyor olsunlar, önemli olan onları en değerli varlıklarınıza ulaşmadan durdurmaktır. Son araştırmalara göre, saldırganlar 2024 yılında ilk erişimden yanal harekete (diğer adıyla “kaçış süresi”) önceki yıla göre  yüzde 22 daha hızlı ilerlemiştir. Ortalama kaçış süresi 48 dakikaydı ancak kaydedilen en hızlı saldırı bunun neredeyse yarısı kadar olan 27 dakika. 

İhlal sonrası atılması gereken 5 adım 

Hiçbir kuruluş ihlalden yüzde 100 korunamaz. Bir olayla karşılaşırsanız ve yetkisiz erişimden şüphelenirseniz hızlı ama aynı zamanda metodik bir şekilde hareket edin. ESET uzmanlarının paylaştığı  beş adım, ilk 24 ila 48 saatte size yol gösterebilir. Odak noktası hız olmalı ancak doğruluk veya kanıtlardan ödün vermeden titizlik de önemlidir. 

1. Bilgi toplayın ve kapsamı anlayın

İlk adım, tam olarak ne olduğunu anlamak ve bir yanıt üzerinde çalışmaya başlamaktır. Bu, önceden oluşturulmuş IR planınızı etkinleştirmek ve ekibi bilgilendirmek anlamına gelir. Bu grup, İK, Halkla İlişkiler ve İletişim, Hukuk ve Yönetici Liderlik dâhil olmak üzere tüm işletmeden paydaşları içermelidir.  Ardından, saldırının etki alanını belirleyin: Düşmanınız şirket ağına nasıl girdi?  Hangi sistemler tehlikeye girdi? Saldırganlar hâlihazırda hangi kötü niyetli eylemleri gerçekleştirmişler?   

Saldırının etkisini değerlendirmek için değil, aynı zamanda adli soruşturma ve muhtemelen yasal amaçlar için de her adımı belgelemeniz ve kanıtları toplamanız gerekecektir. Zincirleme sorumluluk, kolluk kuvvetleri veya mahkemelerin müdahil olması gerektiğinde güvenilirliği sağlar.  

2. İlgili üçüncü tarafları bilgilendirin

Olayın ne olduğunu belirledikten sonra, ilgili makamları bilgilendirmek gerekir. 

• Düzenleyici kurumlar: Kişisel olarak tanımlanabilir bilgiler (PII) çalındıysa veri koruma veya sektöre özgü yasalar kapsamında ilgili yetkililerle iletişime geçin. 
• Sigorta şirketleri: Çoğu sigorta poliçesi, bir ihlal meydana gelir gelmez sigorta sağlayıcınızın bilgilendirilmesini şart koşar.
• Müşteriler, ortaklar ve çalışanlar: Şeffaflık güven oluşturur ve yanlış bilgilerin yayılmasını önler. Olayı sosyal medyadan veya televizyon haberlerinden öğrenmemeleri daha iyidir.
• Kolluk kuvvetleri: Olayları, özellikle fidye yazılımlarını bildirmek, daha büyük kampanyaların tespit edilmesine yardımcı olabilir ve bazen şifre çözme araçları veya istihbarat desteği sağlayabilir.
• Dışarıdan uzmanlar: Özellikle şirket içinde bu tür kaynaklara sahip değilseniz dışarıdan hukuk ve BT uzmanlarıyla da iletişime geçmeniz gerekebilir.

3. İzole edin ve kontrol altına alın

İlgili üçüncü taraflarla iletişim devam ederken saldırının yayılmasını önlemek için hızlı bir şekilde çalışmanız gerekir. Etkilenen sistemleri internetten izole edin ancak kanıtları yok etme riskine karşı cihazları kapatmayın. Amaç değerli kanıtları yok etmeden saldırganın erişimini sınırlamaktır.  Saldırganların bunları ele geçirememesi ve fidye yazılımının bunları bozamaması için tüm yedeklemeler çevrim dışı ve bağlantısı kesilmiş olmalıdır. Tüm uzaktan erişim devre dışı bırakılmalı, VPN kimlik bilgileri sıfırlanmalı ve gelen kötü amaçlı trafiği ve komut ve kontrol bağlantılarını engellemek için güvenlik araçları kullanılmalıdır. 

4. Kaldırma ve kurtarma

Yayılma engellendikten sonra, ortadan kaldırma ve kurtarma aşamasına geçin. Saldırganın taktik, teknik ve prosedürlerini (TTP) anlamak için adli analiz yapın; ilk girişten yanal harekete ve (ilgiliyse) veri şifrelemeye veya sızdırmaya kadar. Kalan tüm kötü amaçlı yazılımları, arka kapıları, sahte hesapları ve diğer güvenlik ihlali belirtilerini kaldırın.  

Kurtarma ve geri yükleme kapsamında önemli eylemler şunlardır:  Kötü amaçlı yazılımları ve yetkisiz hesapları kaldırmak, kritik sistemlerin ve verilerin bütünlüğünü doğrulamak, temiz yedeklemeleri geri yüklemek (güvenlik ihlali olmadığından emin olduktan sonra), yeniden tehlikeye girme veya kalıcılık mekanizmalarına dair işaretleri yakından izlemek.

Kurtarma aşamasını sadece sistemleri yeniden kurmak için değil, güçlendirmek için de kullanın. Bu, ayrıcalık kontrollerinin sıkılaştırılması, daha güçlü kimlik doğrulama uygulamaları ve ağ segmentasyonunun uygulanmasını içerebilir. Geri yüklemeyi hızlandırmak için ortakların yardımını alın veya süreci hızlandırmak için ESET’in Fidye Yazılımı İyileştirme gibi araçları kullanmayı düşünün. 

5. İnceleme ve iyileştirme

Acil tehlike geçtikten sonra, işiniz henüz bitmiş sayılmaz. Düzenleyiciler, müşteriler ve diğer paydaşlar  nezdindeki yükümlülüklerinizi yerine getirin. İhlalin boyutunu anladıktan sonra, düzenleyici kurumlara bildirimde bulunmak da dâhil olmak üzere, güncellenmiş iletişim kurmanız gerekecektir. Bu konuda halkla ilişkiler ve hukuk danışmanlarınız öncülük etmelidir.  

Olay sonrası inceleme, acı verici bir olayı dayanıklılık için bir katalizöre dönüştürmeye yardımcı olur. Ortam sakinleştikten sonra, gelecekte benzer bir olayın tekrar yaşanmasını önlemek için neler olduğunu ve hangi derslerin çıkarılabileceğini belirlemek de iyi bir fikirdir. Nelerin yanlış gittiğini, nelerin işe yaradığını ve algılama veya iletişimde nerede gecikmeler yaşandığını inceleyin. IR planınızı, oyun kitaplarınızı ve eskalasyon prosedürlerinizi buna göre güncelleyin. IR planında yapılacak herhangi bir değişiklik veya yeni güvenlik kontrolleri ve çalışan eğitimi ipuçları için öneriler faydalı olacaktır.  Güçlü bir olay sonrası kültürü, her ihlali bir sonraki olay için bir eğitim alıştırması olarak değerlendirir ve stres altında savunma ve karar verme becerilerini geliştirir. 

İhlalleri önlemek her zaman mümkün olmayabilir ancak hasarı en aza indirmek mümkündür. Kuruluşunuzun tehditleri 7/24 izlemek için gerekli kaynakları yoksa güvenilir bir üçüncü tarafın sunduğu yönetilen tespit ve müdahale (MDR) hizmetini değerlendirin. Ne olursa olsun, IR planınızı test edin ve ardından tekrar test edin. Çünkü başarılı bir olay müdahalesi sadece BT’nin görevi değildir. Kuruluşun içinden ve dışından birçok paydaşın uyum içinde çalışmasını gerektirir. Hepinizin ihtiyaç duyduğu türden bir kas hafızası geliştirmek için genellikle bol miktarda pratik yapmak gerekir. 

Siber saldırı tespit edildikten sonra atılması gereken 5 adım yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Yazım ve  dil bilgisi hataları, acil veya korku hissi veren bir dil ve bağlam eksikliği gibi özellikler kimlik avı saldırılarının ortak ipuçlarıdır. Bu tür saldırıları gerçekleştirenler, hedeflerinin geçmiş iletişim kayıtlarını sabırla ve titizlikle inceleyerek planlama yaptıkları için çok inandırıcı görünür ve başarılı olurlar. Dolandırıcıların büyük ölçekli dolandırıcılık girişimlerinde en sık kullandığı yöntemlerden biri de güncel olaylardan faydalanmaktır. Ücretsiz COVID-19 testi yapılıyor gibi görünen bir e-posta, aslında kurbanların kişisel bilgilerini sahte bir form aracılığıyla elde etmenin bir yolu olarak planlanmış olabilir. 

ESET uzmanları oltaya takıldıktan sonra yapılması gerekenlerle ilgili ipuçlarını kullanıcılar için derledi.

1. Herhangi ek bir bilgi vermeyin 

Bir çevrimiçi mağazadan şüphe uyandıran bir e-posta aldınız, merak ettiniz ve üzerinde çok fazla düşünmeden bağlantıya tıkladınız. Bağlantı sizi güvenilir görünen bir web sitesine yönlendirdi ama yine de aklınızda bazı şüpheler var. Yapılacak ilk şey herhangi bir ek bilgi paylaşmaktan kaçınmaktır. Kimlik bilgilerinizi girmeyin, banka hesap bilgilerinizi vermeyin. Dolandırıcılar yalnızca verilerinizi elde etmek istiyor ve cihazınıza kötü amaçlı yazılım yüklemediyse oltadan kurtulmuş olma ihtimaliniz yüksektir.

2. Cihazınızın internet bağlantısını kesin

Bazı kimlik avı saldırılarında, dolandırıcılara bilgisayarınıza, cep telefonunuza veya başka bir cihazınıza erişim izni vermiş olabilirsiniz. Kötü amaçlı yazılım içerebilir, sizin ve cihazınız hakkında bilgi toplayabilir veya cihazın uzaktan kontrolünü ele geçirebilirler. Zarar görmeyi engellemek için hızlı hareket etmek şarttır. Tehlikeye giren cihazın internet bağlantısını keserek başlayın. Kablolu bağlantıya sahip bir bilgisayar kullanıyorsanız, internet kablosunu bilgisayarınızdan çıkarmanız yeterlidir. Wi-Fi üzerinden bağlıysanız, cihazın ayarlarından bağlantıyı kesmeniz veya cep telefonunuzdaki ‘uçak modu’ özelliğini açmanız gerekir.  

3. Verilerinizi yedekleyin 

İnternet bağlantısını kesmek, kötü amaçlı yazılım sunucusuna daha fazla veri gönderilmesini önleyecektir ancak verileriniz hala tehlike altındadır. Başta fotoğraf ve video gibi kişisel veriler olmak üzere hassas belgeler, yüksek değerli dosyalarınızı yedeklemelisiniz. Ancak verileriniz kötü amaçlı yazılım tarafından çoktan ele geçirilmiş olabileceğinden yedekleme riskli olabilir. Çünkü muhtemelen son doğum günü partinizin fotoğraflarıyla birlikte kötü amaçlı yazılımı da yedeklemiş olacaksınız.  Bunun yerine, dosyalarınızı düzenli olarak ve önceden yedeklemelisiniz. Kötü amaçlı yazılım cihazınızı ele geçirirse, verilerinizi harici bir sabit sürücüden, USB bellekten veya bir bulut depolama hizmetinden kurtarabilirsiniz.

4. Kötü amaçlı yazılım ve diğer tehditler için bir tarama yapın

Cihazınızı yeniden internete bağlamadan güvenilir bir sağlayıcının anti-virüs yazılımını kullanarak cihazınızı tam bir taramadan geçirin.  Mümkünse ESET’in Ücretsiz Çevrimiçi Tarayıcısı gibi bir tarayıcı kullanarak ikinci bir tarama daha yapın. Tarayıcıyı bilgisayara ya da USB hard disk gibi ayrı bir cihaza indirin. Böylece sonrasında ele geçirilen bilgisayara bunu takabilir ve yazılımı buradan yükleyebilirsiniz. Tarama sırasında cihazı kullanmayın ve sonucu bekleyin. Tarayıcı şüpheli dosyalar tespit ederse bunları kaldırmak için talimatları izleyin. Tarama işlemi herhangi bir potansiyel risk bulmazsa ancak hala şüpheleriniz varsa güvenlik sağlayıcınızla iletişime geçin. Ayrıca hala çok katmanlı, kimlik avı önleme özelliklerine sahip kötü amaçlı yazılımdan koruma programı kullanmıyorsanız, hemen bir tane edinin! 

5. Fabrika ayarlarına dönmeyi düşünün 

Fabrika ayarlarına dönme, yüklü tüm uygulamaları ve dosyaları kaldırarak telefonu ilk haline getirmek anlamına gelir. Bazı kötü amaçlı yazılım türleri tam sıfırlamadan sonra bile cihazınızda kalabilir fakat mobil cihazınızı veya bilgisayarınızı sıfırlamanın tehdidi başarıyla ortadan kaldırma ihtimali vardır.  Fabrika ayarlarına dönme işleminin geri alınamadığını ve yerel olarak depolanan tüm verileri sileceğini unutmayın. Düzenli yedekleme yapmanın önemi kesinlikle unutulmamalıdır.

6. Parolalarınızı değiştirin 

Kimlik avı e-postaları sizi kimlik numaralarınızı, banka ve kredi kartı bilgilerinizi veya oturum açma bilgileri gibi hassas verilerinizi paylaşmaya yönlendirebilir. Dolandırıcı sizi yakaladığında mümkün olan en çok bilgiyi almaya çalışacaktır. Siz bilgilerinizi vermeseniz bile cihazınıza kötü amaçlı yazılım yüklendiğinde bu bilgilere ulaşabilirler. Bu durumda olduğunuzu düşünüyorsanız, özellikle de kimlik avı e-postaları sizden oturum açmanızı istiyorsa (örneğin LinkedIn temalı bir dolandırıcılık gibi) oturum açma bilgilerinizi derhal değiştirmelisiniz; aynı parolayı e-posta, çevrimiçi bankacılık ve/veya sosyal medya gibi çeşitli hesaplarda da kullanıyorsanız daha dikkatli olmalısınız. Bu tür durumlar, her farklı çevrimiçi hizmet için farklı bir kullanıcı adı ve parola oluşturmanın önemini vurgulamaktadır. Çeşitli hesaplarda aynı kimlik bilgilerini kullanmak, saldırganların kişisel verilerinizi veya paranızı çalmasını çok daha kolay hale getirir. 

7. Bankalar, yetkililer ve hizmet sağlayıcılarla iletişime geçin

Banka, kredi kartı bilgilerinizi veya kartlarınıza erişimi olan bir web sitesinin giriş bilgilerini girdiyseniz, hemen bankanızı bilgilendirin. Dolandırıcılığı önlemek için kartınızı bloke ederek veya dondurarak herhangi bir mali kaybı önleyebilir veya en aza indirebilirsiniz. Başka insanların da bu dolandırıcılığa uğramaması için yetkililerle irtibata geçmeniz doğru olacaktır. 

8. Yapılan değişiklikleri tespit edin

Cihazlarınızdan veya hesaplarınızdan birine girmeyi başaran suçlular, mümkün olduğunca uzun süre orada bulunmaya çalışabilirler. Giriş bilgilerini, e-posta adreslerini, telefon numaralarını veya hesabınıza erişimlerini sürdürmelerine yardımcı olabilecek her şeyi değiştirebilirler. Sosyal medya hesaplarınızdaki faaliyetlerinizi, banka bilgilerinizi ve çevrimiçi alışveriş sitelerindeki sipariş geçmişinizi inceleyin. Örneğin yanlış, bilinmeyen veya onaylanmamış herhangi bir ödeme görürseniz bunu bildirin, giriş bilgilerinizi değiştirin ve para iadesi isteyin.

9. Tanımadığınız cihazlar olup olmadığını kontrol edin

Bilgisayar korsanları hesap bilgilerinizi çaldıysa büyük olasılıkla kendi cihazlarından giriş yapmaya çalışacaklardır. Çoğu sosyal medya platformu, gizlilik ayarları altında mevcut giriş oturumlarınızın kaydını tutar. Bunu kontrol edin ve bilinmeyen cihazları oturumu kapatmaya zorlayın.

10. Arkadaşlarınızı, bağlantılarınızı, hizmet sağlayıcılarınızı ve işvereninizi bilgilendirin

Dolandırıcılar bazen kimlik avı bağlantıları veya spam yaymak için ele geçirilen hesaptaki kişi listesini kullanır. Bu konuda dikkatli olun ve başkalarının da aynı dolandırıcılığa maruz kalmasını önlemek için gerekli önlemleri alın. Eğer siber saldırı iş hesaplarınızda veya işvereniniz tarafından verilen cihazlarda meydana geldiyse şirketinizin siber olaylarla başa çıkma kurallarına uyun ve durumu derhal yöneticinize ve BT departmanına bildirin. Outlook  veya  Gmail gibi yaygın e-posta hizmetleri de kimlik avı e-postalarını doğrudan gelen kutunuzdan bildirebileceğiniz araçlar sunar. 

Kaynak: (BYZHA) Beyaz Haber Ajansı

Oltaya Takıldıktan Sonra Atılması Gereken 10 Adım yazısı ilk önce En Gazete üzerinde ortaya çıktı.