"Siber saldırı tespit edildikten sonra atılması gereken 5 adım"

Veri ihlallerinin sayısı her yıl artış gösteriyor.

Yorum Ekle
105

Her dakikanın önemli olduğu siber saldırı durumlarında hazırlık ve hassasiyet, aksaklık ile felaket arasındaki farkı belirliyor. Siber güvenlik alanında dünya lideri olan ESET, siber saldırı tespit edildikten sonra atılması gereken 5 adımla ilgili önerilerini paylaştı.Her dakikanın önemli olduğu siber saldırı durumlarında, hazırlık ve hassasiyet, aksaklık ile felaket arasındaki farkı belirleyebilir

Siber saldırı tespit edildikten sonra atılması gereken 5 adım

Veri ihlallerinin sayısı her yıl artış gösteriyor. Her dakikanın önemli olduÄŸu siber saldırı durumlarında hazırlık ve hassasiyet, aksaklık ile felaket arasındaki farkı belirliyor. Siber güvenlik alanında dünya lideri olan ESET, siber saldırı tespit edildikten sonra atılması gereken beÅŸ adım ile ilgili önerilerini paylaÅŸtı. 

Hazırlık, etkili olay müdahalesinin (IR) anahtarıdır. Olay müdahale ekibindeki herkes ne yapacağını tam olarak biliyorsa hızlı, tatmin edici ve düşük maliyetli bir çözümün ÅŸansı daha yüksektir.  Tehdit aktörleri bir aÄŸa girdikten sonra, zaman kurbanın aleyhine iÅŸlemeye baÅŸlar. Ä°ster hassas verileri çalmak ve fidye istemek, ister fidye yazılımı veya diÄŸer kötü amaçlı yükleri dağıtmak istiyor olsunlar, önemli olan onları en deÄŸerli varlıklarınıza ulaÅŸmadan durdurmaktır. Son araÅŸtırmalara göre, saldırganlar 2024 yılında ilk eriÅŸimden yanal harekete (diÄŸer adıyla kaçış süresi) önceki yıla göre  yüzde 22 daha hızlı ilerlemiÅŸtir. Ortalama kaçış süresi 48 dakikaydı ancak kaydedilen en hızlı saldırı bunun neredeyse yarısı kadar olan 27 dakika. 

Ä°hlal sonrası atılması gereken 5 adım 

Hiçbir kuruluÅŸ ihlalden yüzde 100 korunamaz. Bir olayla karşılaşırsanız ve yetkisiz eriÅŸimden şüphelenirseniz hızlı ama aynı zamanda metodik bir ÅŸekilde hareket edin. ESET uzmanlarının paylaÅŸtığı  beÅŸ adım, ilk 24 ila 48 saatte size yol gösterebilir. Odak noktası hız olmalı ancak doÄŸruluk veya kanıtlardan ödün vermeden titizlik de önemlidir. 

1. Bilgi toplayın ve kapsamı anlayın

Ä°lk adım, tam olarak ne olduÄŸunu anlamak ve bir yanıt üzerinde çalışmaya baÅŸlamaktır. Bu, önceden oluÅŸturulmuÅŸ IR planınızı etkinleÅŸtirmek ve ekibi bilgilendirmek anlamına gelir. Bu grup, Ä°K, Halkla Ä°liÅŸkiler ve Ä°letiÅŸim, Hukuk ve Yönetici Liderlik dâhil olmak üzere tüm iÅŸletmeden paydaÅŸları içermelidir.  Ardından, saldırının etki alanını belirleyin: Düşmanınız ÅŸirket ağına nasıl girdi,  Hangi sistemler tehlikeye girdi, Saldırganlar hâlihazırda hangi kötü niyetli eylemleri gerçekleÅŸtirmiÅŸler

Saldırının etkisini deÄŸerlendirmek için deÄŸil, aynı zamanda adli soruÅŸturma ve muhtemelen yasal amaçlar için de her adımı belgelemeniz ve kanıtları toplamanız gerekecektir. Zincirleme sorumluluk, kolluk kuvvetleri veya mahkemelerin müdahil olması gerektiÄŸinde güvenilirliÄŸi saÄŸlar.  

2. İlgili üçüncü tarafları bilgilendirin

Olayın ne olduğunu belirledikten sonra, ilgili makamları bilgilendirmek gerekir.

Düzenleyici kurumlar: KiÅŸisel olarak tanımlanabilir bilgiler (PII) çalındıysa veri koruma veya sektöre özgü yasalar kapsamında ilgili yetkililerle iletiÅŸime geçin. 

Sigorta şirketleri: Çoğu sigorta poliçesi, bir ihlal meydana gelir gelmez sigorta sağlayıcınızın bilgilendirilmesini şart koşar.

Müşteriler, ortaklar ve çalışanlar: Şeffaflık güven oluşturur ve yanlış bilgilerin yayılmasını önler. Olayı sosyal medyadan veya televizyon haberlerinden öğrenmemeleri daha iyidir.

Kolluk kuvvetleri: Olayları, özellikle fidye yazılımlarını bildirmek, daha büyük kampanyaların tespit edilmesine yardımcı olabilir ve bazen şifre çözme araçları veya istihbarat desteği sağlayabilir.

Dışarıdan uzmanlar: Özellikle şirket içinde bu tür kaynaklara sahip değilseniz dışarıdan hukuk ve BT uzmanlarıyla da iletişime geçmeniz gerekebilir.

3. İzole edin ve kontrol altına alın

Ä°lgili üçüncü taraflarla iletiÅŸim devam ederken saldırının yayılmasını önlemek için hızlı bir ÅŸekilde çalışmanız gerekir. Etkilenen sistemleri internetten izole edin ancak kanıtları yok etme riskine karşı cihazları kapatmayın. Amaç deÄŸerli kanıtları yok etmeden saldırganın eriÅŸimini sınırlamaktır.  Saldırganların bunları ele geçirememesi ve fidye yazılımının bunları bozamaması için tüm yedeklemeler çevrim dışı ve baÄŸlantısı kesilmiÅŸ olmalıdır. Tüm uzaktan eriÅŸim devre dışı bırakılmalı, VPN kimlik bilgileri sıfırlanmalı ve gelen kötü amaçlı trafiÄŸi ve komut ve kontrol baÄŸlantılarını engellemek için güvenlik araçları kullanılmalıdır. 

4. Kaldırma ve kurtarma

Yayılma engellendikten sonra, ortadan kaldırma ve kurtarma aÅŸamasına geçin. Saldırganın taktik, teknik ve prosedürlerini (TTP) anlamak için adli analiz yapın; ilk giriÅŸten yanal harekete ve (ilgiliyse) veri ÅŸifrelemeye veya sızdırmaya kadar. Kalan tüm kötü amaçlı yazılımları, arka kapıları, sahte hesapları ve diÄŸer güvenlik ihlali belirtilerini kaldırın.  

Kurtarma ve geri yükleme kapsamında önemli eylemler ÅŸunlardır:  Kötü amaçlı yazılımları ve yetkisiz hesapları kaldırmak, kritik sistemlerin ve verilerin bütünlüğünü doÄŸrulamak, temiz yedeklemeleri geri yüklemek (güvenlik ihlali olmadığından emin olduktan sonra), yeniden tehlikeye girme veya kalıcılık mekanizmalarına dair iÅŸaretleri yakından izlemek.

Kurtarma aÅŸamasını sadece sistemleri yeniden kurmak için deÄŸil, güçlendirmek için de kullanın. Bu, ayrıcalık kontrollerinin sıkılaÅŸtırılması, daha güçlü kimlik doÄŸrulama uygulamaları ve aÄŸ segmentasyonunun uygulanmasını içerebilir. Geri yüklemeyi hızlandırmak için ortakların yardımını alın veya süreci hızlandırmak için ESET’in Fidye Yazılımı Ä°yileÅŸtirme gibi araçları kullanmayı düşünün. 

5. Ä°nceleme ve iyileÅŸtirme

Acil tehlike geçtikten sonra, iÅŸiniz henüz bitmiÅŸ sayılmaz. Düzenleyiciler, müşteriler ve diÄŸer paydaÅŸlar  nezdindeki yükümlülüklerinizi yerine getirin. Ä°hlalin boyutunu anladıktan sonra, düzenleyici kurumlara bildirimde bulunmak da dâhil olmak üzere, güncellenmiÅŸ iletiÅŸim kurmanız gerekecektir. Bu konuda halkla iliÅŸkiler ve hukuk danışmanlarınız öncülük etmelidir.  

Olay sonrası inceleme, acı verici bir olayı dayanıklılık için bir katalizöre dönüştürmeye yardımcı olur. Ortam sakinleÅŸtikten sonra, gelecekte benzer bir olayın tekrar yaÅŸanmasını önlemek için neler olduÄŸunu ve hangi derslerin çıkarılabileceÄŸini belirlemek de iyi bir fikirdir. Nelerin yanlış gittiÄŸini, nelerin iÅŸe yaradığını ve algılama veya iletiÅŸimde nerede gecikmeler yaÅŸandığını inceleyin. IR planınızı, oyun kitaplarınızı ve eskalasyon prosedürlerinizi buna göre güncelleyin. IR planında yapılacak herhangi bir deÄŸiÅŸiklik veya yeni güvenlik kontrolleri ve çalışan eÄŸitimi ipuçları için öneriler faydalı olacaktır.  Güçlü bir olay sonrası kültürü, her ihlali bir sonraki olay için bir eÄŸitim alıştırması olarak deÄŸerlendirir ve stres altında savunma ve karar verme becerilerini geliÅŸtirir. 


İhlalleri önlemek her zaman mümkün olmayabilir ancak hasarı en aza indirmek mümkündür. Kuruluşunuzun tehditleri 7/24 izlemek için gerekli kaynakları yoksa güvenilir bir üçüncü tarafın sunduğu yönetilen tespit ve müdahale (MDR) hizmetini değerlendirin. Ne olursa olsun, IR planınızı test edin ve ardından tekrar test edin. Çünkü başarılı bir olay müdahalesi sadece BT'nin görevi değildir. Kuruluşun içinden ve dışından birçok paydaşın uyum içinde çalışmasını gerektirir. Hepinizin ihtiyaç duyduğu türden bir kas hafızası geliştirmek için genellikle bol miktarda pratik yapmak gerekir.

Giriş: 17 Kasım 2025 | Güncelleme: 17 Kasım 2025 | Okunma: 105

Kaynak: Serhat Özkütükçü


Bu karekodu kullanarak haberi telefonunuzda görebilir ve paylaşabilirsiniz.