Cyber Security -Incident Response Part 1 : Preparation

Bu yazı serimde IR Süreçlerinin oluşturulması, gelişim süreçleri ve örnekler ile müdahaleleri ele alacağız.

İçerik;

1. Incident Response : Preparation Aşaması nedir?
2. Preparation Aşamasında İş Süreci
3. Preparation Altyapısının Hazırlanması
4. Preparation Envanter Listelerinin Dizaynı
5. IR Örnekleri : IR Phishing Plan

İlk olarak IR sürecini anlamak için NIST’in tanımladığı Olay Müdahale sürecini ele alarak ilk aşamasını incelemeye başlayalım. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf

Kaynak: NIST.SP.800–61

1. Preparation: Hazırlık aşaması süreç ilerlerken elde edilen deneyim ve araştırmalar ile devamlı geliştirilen bir adımdır. Bir olayın yaşanmaması için alınacak önlemlerin belirlendiği, olası bir IR anında müdahalede bulunacak ekibin ve dahil olacak ekiplerin sorumluluklarının, bu ekibin kullanacağı araçların, süreç boyunca ele alınacak politika ve prosedürlerin belirlendiği ilk adımdır. Önemli olan nokta Preparation aşaması sadece IR’ın oluşumunda el atılan bir aşama değildir! IR hazırlık süreci öncesi ve sırasında yaşanan olaylardan elde edilen Lessons Learned çıkarımlarını, ekip ile yapılan Tabletop egzersizlerinden elde edilen veya fark edilen noktaların devamlı dahil edilmesi ile sürekli gelişim halinde olan bir noktadır. Bu nedenle IR sürecinin devamlı geliştirilen ve güncellenen bir süreç olduğunu ilk adımından anlayabiliriz.

IR Hazırlık aşamasında en önemli noktalardan biri olaya müdahale edecek Incident Handler’lar için (IH) gerekli tüm bilgilerin hazırlanması ve olay müdahale incelencesi adımlarına dahil edilmesidir. Gerekli bu bilgileri kategorize edip inceleyecek olursak;

• İletişim Listelerinin Hazırlanması : Olaya ilk müdahale sırasında iletişim kurulacak kişilerin belirlenmesidir. Burada ki önemli nokta olaya dahil olacak ekiplerin, olay ölçeklendirmesi baz alınarak iletişim listesindeki sıra ve konumunun belirlenmesidir. Mümkün olduğunca bu listede olay müdahalesi sırasında yer alması gereken kişilerin, ekiplerin ve kurumların sıkılaştırma sağlanarak yer verilmesi gerekir; Örneğin oluşan Olay derecesi ve Kuruma impact’ı Düşük bir Olay ile Yüksek dereceli bir olayın farklı iletişim listeleri olmalıdır. Ayrıca farklı risk ölçeklerindeki Olayların incelenmeye başlanması sırasında bilgilendirilecek kişiler ve doğrudan iletişime geçilip olay incelemesine dahil edilecek kişilerin de yine kendi iç kırılımında belirlenmesi sağlanmalıdır. Olayların incelenme sırasında oluşacak alt task’ların ele alınması için eskalasyon listelerininde oluşturulması fayda sağlayacaktır.
• Raporlama Mekanizmaları : Olay müdahale aşamasının hızlı işlemesi için pipeline’nın başlangıç kısmı yani bir Olayın Size bildirilme kısmı aslında sıfır noktasıdır. Olayın Size bildirilmesi kısmında ne kadar kolaylık sağlar ve uygun kanallar oluşturursanız, olaya o kadar hızlı başlarsınız. Bunun için 2 aşamalı bir plan düşünebilirsiniz; İlki Kurum içinde yapılacak bildirileri ele alacağınız bir Abuse hattı oluşturmaktır. Bunun için mail, slack, telefon gibi kanallar oluşturup buraya gelen bildirimlerin kurum içinde teşvik edilmesi ve hızla çözülmesi gerekir. İkincisi ise Kurum dışından gelecek bilgilendirmeler için bir Abuse mail hattı oluşturmak ve birde anonim bilgilendirme sağlanacak bir web form oluşturmak olmalıdır.
• Incident Süreç Takibi : Oluşan incident için, yetkinlikler kapsamında Olaya doğrudan veya dolaylı dahil olan kişilerin Olay akışını takip etmeleri için bir platform yada süreç bilgilendirme sisteminin oluşturulması gerekir.

• Haberleşme : Olay Müdahalede yer alıcak kişilerle en kısa zamanda iletişime geçilmesi için MDM ile güvenliği sağlanan ve çalışanın coğrafi konumu, cihazın kullanım biçimi baz alınarak birçok prosedür ile denetlenen, gerek bios gerekse disk şifrelenmesi sağlanmış mobil cihazlar ile haberleşme halinde olunmalıdır. Olay hakkında bilgilendirmeler uç noktalar arasındaki işleniş ve aktarım aşamalarında kriptografik standartları karşılayan servis ve teknolojiler ile gerçekleştirilmelidir.

Ayrıca aşağıdaki fiziksel ve yazılımsal araç setleri hazır halde bulunmalıdır;

• Adli Analiz sırasında kullanılacak yazılımlar ve donanımlar
• Endpoint ve Ağ analiz aşamalarında kullanılacak araç setleri
• Anlık ve Geçmiş logların incelenmesi için Log review ortamı
• Şüpheli dosya ve veri kümelerinin incelenmesi için Sandbox ortamı
• Ilgili Şüpheli makinenin izolasyona alınabilmesi için gerekli yazılımlar
• Ilgili Olayın geliştiği Ağın izolasyona alınabilmesi için gerekli yazılımlar

“Kontrolsüz güç, güç değildir!”

Kurum Envanterinin belirlenmesi ve listelenmesi;

• Kurum içinde var olan fiziksel ve yazılımsal ticari ürünlerin belirlenmesi. Belirlenen bu ürünlerin kurum topolojisindeki yeri ve öneminin işaretlenmesi.
• Ağ diyagramlarının ve veri akış şemasının çıkarılması. Olası cihazlar arasındaki servis konuşmalarının belirlenmesi.
• Server ve Client’lar daki yazılımların belirlenmesi.
• Server’larda sık kullanılan komutların, process’lerin ve servis kümelerinin çıkarılması
• Client’larda ki ağ erişim nokta ve sınırlarının listelenmesi
• Güvenlik cihazlarının listelenmesi ve birbirleri arasında oluşturabileceği olası FP durumlarının analiz edilmesi
• Client gruplarının sahip olduğu harici disk kullanım hakları, download/upload politikaları, application whitelist/blacklist durumlarının listelenmesi
• Client gruplarındaki ve Sunucu vlan’ların daki yüklü olan Agent’ların listelenmesi ve gruplanması
• Sunucuların görevleri, risk değerlendirmeleri ve iş süreklilik durumlarına göre değerlendirilmesi ve listelenmesi
• Client grupları arasında yüksek yetkinlikte olan kullanıcılarının listelenmesi ve ardından separation duties kapsaminda değerlendirilip düzenlenip listelenmesi
• AD’de, DB’de ve Servis hesaplarında yetki matriks’inin oluşturulması ve separation duties kapsaminda değerlendirilip düzenlenip listelenmesi
• AD’de, DB’de ve Servis hesaplarında Vlan’lar ve topolojiler arasında erişilebilirliğin kontrol edilmesi ve listelenmesi
• 3rd Party destek alınan danışman hesaplarının listelenmesi ve yetki/erişim denetiminin belirlenip listelenmesi
• Kurum dışı destek alınan Danışman hesaplarının sahip olduğu vpn hesaplarının belirlenmesi ve listelenmesi
• Sunucular ve kullandıkları OS’lar ile versiyonlarına göre listelenmesi ve kümelemesi

Gibi kurumunuzun sahip olduğu birçok nokta için listeler oluşturup incident anında elinizi güçlendirebilirsiniz. Bu listelerin lookup listeleri halinde SIEM’e aktarmanız IH’ler için inanılmaz kolaylık ve analiz yeteneği sağlayacaktır.

Envanter Derecelendirmesi ve Analizindeki Önemli Unsurlar

• Risk Değerlendirmeleri : Kurumunuzdaki IR altyapısının oluşturulması, envanterlerin belirlenmesi gibi adımları tamamladıktan sonra altyapının ve envanterin ortak ölçekte bir araya getirilip kullanılması için ortak bir değerlendirme/derecelendirme/ölçeklendirme gerekir. Oluşan bir Incident’ın; Hangi envanteri veya sistemi kapsadığı, Kurum için ne kadar önemli olduğu, Kurumda hangi ekiplere hit ettiği, olası sonuçlarının büyüklüğü ve son olarak toplanacak incident ekibinde kimlerin olması gerektiği gibi metrikleri derecelendirmek IR ekibine inanılmaz hız katacaktır.

Örneğin; İlk olarak bir Phishing IR Planınında Preparation aşamasını planlayalım ve ardından olayı simule ederken ki yararlarını görelim. Planımızda su adımları öncelikle hazırlamamız gerekir;

a. Mail kullanıcılarının sahip olduğu yetkiler, erişimler ve iş kollarına göre kategorize edilmiş matriks

b. Mail güvenliğinde kullandığımız yazılımlar

c. Mail Servisimiz ve versiyon bilgileri

d. Mail güvenliğinde kullandığımız teknolojilerin ( DKIM, S/MIME vb.) listesi ve kapsamı

e. VPN’de iken gelişen bir incident da sahip olduğumuz extra korunma kalkanları ( IPS, EDR, SIEM, NDR vb) listesi

f. VPN’de değil iken gelişen bir incident da sahip olduğumuz korunma kalkanları ( EDR, EPP, DLP vb.) listesi

g. Bilgi güvenliği farkındalık eğitimine katılmayan veya yapılan phishing testlerinde fail alan kullanıcıların listesi

h. Kurum içi Phishing bildirim hattının durum kontrolü

i .Client’larda eksik olan Agent’ların kontrolü

j. Client’larda yüklü olan Agent’ların Policy kontrolü

Bu adımlarımız elimizde hazır olsun.

Örnek INCIDENT : ACME isimli bir kuruma support@acmeit.com mail adresinden bir phishing maili geliyor ve kullanıcıları bir linke tıklayıp zararlı bir dosya indirtmeye çalıştırıyor. Olayı kurumda kullandığınız şüpheli olay bildirim mail’inize (abuse@acme.com) kendisine bu adresten bir mail gelen acme ankara kullanıcı şüpheli bulup bildiriyor. SOC ekibi maili görüp incelemeye başlıyor.

Impact : Acme Kurumunun Alt kuruluşu olan Acme Ankara’nın tamamının etkilendiği ortaya çıkıyor

Bu durumda SOC ekibinin izlemesi gereken adımlarda Preparation adımlarının yararını inceleyelim;

IR Ekibimizin;

• 3 Incident Handler
• 2 Threat Hunter
• 1 Malware Analyst
• 1 DFIR Specialist

Oluştuğunu var sayıp ilerleyelim.

1. Incident Handler 1: İlk olarak mail’in geldiği Mail’in geldiği support@acmeit.com envanterimizde olup olmadığını ve reputasyon kontrollerini sağlarız.(Farz edelim ki bu zararlı bir deneme) Acme Ankara ekibini kullandığı Mail teknolojisini c, b ve d adımından öğreniriz.
2. Incident Handler 2 : Ardından ilgili mail servisinin admin panelinden support@acmeit.com ‘dan kimlere mail gelmiş ve mail açılmış mı kontrol ederiz.
3. Incident Handler 3 : Mail’leri hızlıca IR ekibinin incelemesi için kopyalarını alıp kullanıcıların Inbox’ın dan çöp kutusuna taşırız.
4. Threat Hunter 1 : Maili açan kullanıcıların i ve j adımlarından agent kontrolünü yapar, EDR’dan ve SIEM ortamından DNS kayıtlarına bakıp maildaki link’e gidişleri kontrol ederiz.
5. Threat Hunter 2 : Linke tıklayan kullanıcıların a,e ve f adımını kontrol edip kontrollü bir şekilde şüpheli grubu izolasyona alıp EDR üzerinden kontrol aşamalarına devam ederiz.
6. Threat Hunter 2 : Bu kullancıların servis account’larının askıya alınmasını sağlıyor.
7. Malware Analyst : Yapılan incelemelerde Mail’deki zararlı dosyanın bir rootkit olduğu ortaya çıkıyor.
8. Threat Hunter 2 : Yapılan inceleme sonrası ilgili zararlının 2 client’da başarılıyla enfekte olduğu görülüyor.
9. Threat Hunter 1 : Kurum DNS kayıtları SIEM’de incelendiğinde ilgili c&c’ye gidiş olmadığını ama malware indirme linkine gidiş olduğunu indirme linkine gidenlerinde başarıyla enfekte olan kullanıcılar olmadığı görülüyor. Bu nedenle zararlıya tıkladıklarında vpn ortamında olmadıklarından şüphelenip vpn logları kontrol edildiğinde emin olunuyor.
10. Incident Handler 2 : İlgili malware indirme linkinin bağlı olduğu hosting firmasının abuse adresine bildirimde bulunuluyor. Ve takedown için süreç baslatılıyor.
11. Incident Handler 1: Ilgili mail adresinin patternleri ayıklayıp block kuralları giriyor mail servisine.
12. Threat Hunter 2 : İlgili kullanıcıların makinelerini teslim etmesi ve yeni iş istasyonu sağlanmasını organize ediyor.
13. Incident Handler 3 : Linke tıklayan kullanıcılara Security Awareness eğitimi planlıyor.
14. DFIR Specialist : İlgili makinede DFIR Analiz ve adımlarını sağlayıp raporlandırmalarını tamamlıyor.
15. TEAM : Ekip incident sonucu toplanıp Lesson Learned session’ı planlayıp değerlendirmelerini sağlıyor. Ve eksik süreçleri hakkında bilgilenip IR süreçlerinin güncelliyor.

Okuduğunuz için teşekkür ederim. Bir sonraki yazımda Detection & Analysis kısmında yine önce bu aşamayı iyice anlayıp ardından daha fazla detaylandırıp elimizi kirlettiğimiz zorlu IR örnekleri yapıyor olacağız.