Bilgi Güvenliği
Eğitim
Nasıl Yapılır?
Teknoloji
Adli bilişim, BCP, BT Sürekliliği, Business Continuity Plan, Chain of Custody, Containment, ddos, Detection, Disaster Recovery Plan, drp, EDR/XDR, Eradication, firewall, Hash, Hazırlık, Hukuk & Uyum Sorumlusu, İletişim Sorumlusu, Incident Response Plan, Incident Response Team, IRP, IRT, IRT Yöneticisi, İş Birimi Temsilcileri, ISO, İzolasyon, Kanıt Yönetimi, Kanıtların zincirleme teslimi, Kurumsal Siber Olay Yönetimi Planı, kvkk, KVKK ihlali, Lessons Learned, Loglama, Müdahale, Olay Playbook Örneği, Olay Sonrası Analiz, Olay Yönetim Yaşam Döngüsü, Olay Yönetimi, Olay Yönetimi Ekibi, phishing, Preparation, Ransomware, Recovery, RTO/RPO, Siber olay, SIEM, Sınıflandırma ve Önceliklendirme, Teknik Müdahale Ekibi, Tespit, Veri sızıntısı
Yasin Yiğit
0 Yorumlar
Kurumsal Siber Olay Yönetimi Planı (IRP – Incident Response Plan)
Siber saldırılar artık “olabilir” değil, “ne zaman olacak?” sorusuna dönmüş durumda.
Bu nedenle her kurumun iyi tasarlanmış, test edilmiş ve uygulanabilir bir Olay Yönetimi Planına ihtiyacı vardır.
Aşağıdaki içerik, hem küçük hem de kurumsal ölçekli şirketlerde uygulanabilir şekilde hazırlanmıştır.
1) Olay Yönetiminin Amacı
- Güvenlik olaylarını hızlı tespit etmek
- Etkiyi en aza indirmek
- Sistem sürekliliğini sağlamak
- Veri kaybını önlemek
- Yasal ve regülasyon gerekliliklerini karşılamak
- Sonrasında olaydan ders çıkararak iyileştirmek
2) Olay Yönetimi Ekibi (IRT – Incident Response Team)
Açık sorumluluklar belirlenmelidir.
IRT Rolleri:
- IRT Yöneticisi: BT Müdürü
- Teknik Müdahale Ekibi: Sistem, ağ, güvenlik uzmanları
- İletişim Sorumlusu: Kurumsal iletişim / İnsan Kaynakları
- Hukuk & Uyum Sorumlusu: KVKK / ISO uyum
- İş Birimi Temsilcileri: Süreç sahipleri
IRT’nin iletişim bilgileri 7/24 erişilebilir olmalıdır.
3) Siber Olay Türleri
Kurumlarda yaşanabilecek olayların kategorize edilmesi gereklidir.
A. Yüksek Etkili Olaylar
- Ransomware
- Veri sızıntısı (KVKK ihlali)
- Domain admin ele geçirilmesi
- Kritik sistem kesintisi
B. Orta Etkili Olaylar
- Phishing sonucu hesap ele geçirilmesi
- Şüpheli ağ trafiği
- Yetkisiz cihaz bağlanması
C. Düşük Etkili Olaylar
- Politika ihlali
- Yanlışlıkla dosya paylaşımı
- Başarısız oturum denemeleri
4) Olay Yönetim Yaşam Döngüsü (6 Adım)
ISO 27001, NIST 800-61 ve modern SOC operasyonlarına uyumlu model.
1) Hazırlık (Preparation)
- Olay yönetimi politikası
- Playbook’lar
- Erişim yetkileri
- Loglama & SIEM yapılandırması
- Yedekleme stratejisi
- Olay testleri (Tabletop Exercise)
2) Tespit (Detection)
Olayı tespit etmek için kullanılan kaynaklar:
- SIEM alarmları
- Firewall logları
- EDR/XDR bildirimleri
- Kullanıcı ihbarları
- Anormal davranış analizleri
Her tespit lojik kanıtlarla kayıt altına alınmalıdır.
3) Sınıflandırma ve Önceliklendirme
Olayın hangi kategoriye girdiği belirlenir.
Kriterler:
- Etkilenen sistem sayısı
- Etkilenen veri türü
- Operasyonel etki
- Yasal zorunluluk olup olmadığı (ör. KVKK 72 saat ihbar süresi)
4) Müdahale / İzolasyon (Containment)
Zararın büyümesini engelleme aşaması.
Yüksek etkili olaylarda:
- Etkilenen cihaz ağdan izolasyonu
- Hesapların kilitlenmesi
- Ağ segmentlerinin geçici kapatılması
- Şüpheli uygulamaların durdurulması
Dikkat:
Hiçbir log silinmemeli, sistem yeniden başlatılmamalıdır.
5) Çözüm ve Kurtarma (Eradication & Recovery)
- Zararlı yazılım temizlenir
- Kompromize hesaplar sıfırlanır
- Güvenlik yamaları uygulanır
- Temiz yedekten geri dönüş yapılabilir
- Sistemlerin normal çalışır hale dönmesi doğrulanır
6) Olay Sonrası Analiz (Lessons Learned)
Olay kapandıktan sonra en kritik aşamadır.
Bu aşamada:
- Olay raporu yazılır
- Hangi güvenlik açığı kullanılmış?
- Hangi süreç iyi çalıştı / nerede sorun çıktı?
- Aynı olayın tekrarını engelleyecek aksiyonlar belirlenir
5) Olay Playbook Örneği (Phishing + Hesap Ele Geçirme)
- Kullanıcı şüpheli e-postayı bildirir
- BT ekibi e-postayı analiz eder
- Kullanıcının hesabında oturum açma kayıtları incelenir
- Yetkisiz oturum varsa hesap kilitlenir
- Parolası resetlenir ve MFA yeniden yapılandırılır
- Etki analizi yapılır (dosya paylaşımı, e-posta gönderimi vb.)
- Olay raporu oluşturulur
Bu playbook kurum özelinde çoğaltılabilir:
- Ransomware
- DDoS
- Veri sızıntısı
- USB üzerinden virüs
- Yetkisiz cihaz
6) İletişim Yönetimi
Siber olay sırasında iletişim çok önemlidir.
Dahili iletişim:
- BT ekibi
- Üst yönetim
- İK
- Süreç sahipleri
Harici iletişim:
- KVKK bildirimleri
- Tedarikçiler
- Kamu otoriteleri
- Gerekirse müşteriler
Yanlış bilgilendirme ve panikten kaçınmak için tüm açıklamalar kontrollü yapılır.
7) Loglama ve Kanıt Yönetimi
Kanıtların hukuka uygun şekilde saklanması kritik önemdedir.
- Adli bilişim standartlarına uygun saklama
- Logların değiştirilmeden korunması
- Hash değerleri ile bütünlüğün sağlanması
- Kanıtların zincirleme teslimi (Chain of Custody)
8) BT Sürekliliği ve Yedekleme Entegrasyonu
IRP, tek başına yeterli değildir.
BCP (Business Continuity Plan) ve DRP (Disaster Recovery Plan) ile birlikte çalışmalıdır.
Kritik noktalar:
- Yedeklerin offline kopyası olmalı
- Felaket senaryoları test edilmeli
- Kurtarma süreleri (RTO/RPO) belirlenmeli
9) En Sık Yapılan Hatalar
- Olay kapatıldıktan sonra analiz yapmamak
- Olay bildirimi için açık ve net prosedür olmaması
- Loglamanın eksik yapılması
- Şifre sıfırlayıp “olay çözüldü” sanmak
- IRT ekibinin güncel olmaması
- Tabletop testlerinin yapılmaması
10) Sonuç
Kurumsal siber olay yönetimi, bir belgeden daha fazlasıdır:
Hazırlık + Teknik uzmanlık + Doğru iletişim + Hızlı karar verme birleşimidir.
En güçlü savunma: Test edilmiş ve düzenli güncellenen bir olay yönetimi planıdır.
