Open in app

Sign in

Write

Sign in

Incident Response Part 3.1 : Containment

Alican Kiraz
5 min readMar 7, 2022

Serimizin bu bölümünde bir olayın sistem yada sistemlerimizin bir şekilde savunma katmanını aşıp ihlal sağladığında neler yapabileceğimizi ele alacağız.

IR aşamalarının temelindeki 4 adımının 3. aşamasında Containment, Eradication, and Recovery adımları bulunur. Bu adımlar ihlal edilen sistem yada sistemlerimizde ihlal’i muhafaza edip yayılmasını engelleme, ihlalin etkilerini ve kalıcılığını yok etme ve onarılmasını sağlayarak tekrar hizmet eder hala getirmeyi hedefler.

via AuditBoard

3. Adım olan; Containment, Eradication, and Recovery bölümünde her aşamaya daha kapsamlı bakabilmek için tek tek odaklanacağız. Ilk olarak Containment’ı tüm hatlarıyla inceleyelim.

Containment

IR adımlarında 3.adım aslında İlk Yardım uygulaması gibidir. Hazırlıklarını yapıp tetikte olduğumuz olay artık gerçekleşmiş ve bizimde ilk olarak yaraya müdahale etmemiz ve daha fazla kan kaybetmemizi/hasar almamızı engellememiz gerekiyor. Bunun için Containment adımı ilk yardımda ilk devreye girecek adım olduğundan, bu sürecimizide simule edip adımlarımızı önceden dizayn etmemiz gerekiyor.

Containment Aşamaları

Containment aşağıdaki gibi alt aşamalara ayrılır:

  • Short-Term Containment
  • System Back-Up
  • Long-Term Containment

Bu aşamaların üzerinden tek tek geçeceğiz. Öncesinde Containment aşamalarına başlamadan önce kafamızda şu adımları netleştirmemiz gerekiyor. Bunun için şu soruları netleştirmeliyiz.

  • Bu olay’da insider threat’in rolü olabilir mi?

Bu sorunun nedeni Siz bir saldırganın aktivitelerini veya onun dokunduğu tespit edilen sistemleri izole edip o kümede onu hapsederken yayılmasını durdumuş olursunuz, ama saldırının kaynağı bir insider threat ise iç ağ erişimleri dahilinde tekrardan dış saldırgana erişim sağlatabilir, farklı ağ kümelerine tekrardan dahil edebilir. Bu nedenle ilk olarak iç güvenlikten emin olmalısınız.

  • Izolasyon kapsamı ve ölçeği nasıl olacak? Olayın kayıplarını belirleme-ölçeklendirme nasıl olacak?

Izole edeceğiniz sistem veya sistem/ağ kümelerinin iç ve dış ağ ile iletişimi kesileceğinden kurumun risk ekibiyle irtibat sağlanıp olası maddi kayıplar hesaplanmalı ve ortak noktada el sıkışılarak ilerlenmelidir. Birçok olayda kritik sistemlerin izolasyonu çeşitli operasyonları durduracağından gerekli risk derecelendirilmesi ve maliyeti hesaplanarak izolasyon ölçeklendirmesi yapılmalı.

Artık bir olay ile uğraştığımız netleştiğinden bu olayı Tipine, Etkisine, Kapsamına göre sınıflandırmamız ve bu sınıflandırma ile olayın incelemesini sürdürmemiz gerekiyor.

Type

  • Malware Infection : Bir zararlının doğrudan yada dolaylı olarak internal sistemlere dahil olabileceği bir cihaz yada sistemlere enfekte olma durumudur. Bu durumda enfeksiyonun iç ağa bir şekilde dokunabileceği tüm uç nokta ve 3rd party cihazları kapsar.
  • DoS Attacks : Saldırılar bir sistemin veya sistem bütünlerinin hizmetini engelleyecek şekilde gerçekleştiği durumlarda ele alınacak saldırı tipidir.
  • Unauthorized Access : İlgili organizasyonun BT sistemlerine, Kurumun fiziksel envanterine hatta hizmet sağladığı bir servis üzerinde gercekleşen ve belirlenen erişim sınırlarının bir şekilde bypass edilmesi sonrası yetkisinin olmadığı alanlara erişmesi durumudur.
  • Internal Security Breach : İç ağda gercekleşen anormal durumlar sonrası politika ve prosedürlerde dahil olmak üzere konulan güvenlik önlemlerinin fiziksel veya sanal açıdan bir şekilde ihlal edilmesi durumudur.
  • Advanced Persistent Threat : APT tehdidini özellikle ayrı olarak vurgulamak istedim çünkü bu gelişmiş saldırı tiplerinde hem fiziksel ve sanal envanter, hem fiziksel olarak insan etkisi (Stuxnet zararlısının bazı aşamalarında kişilerin bir uygulama imzalatma kuruluşunun sistemlerine fiziki olarak gizlice girip uygulamasını internet’den kopuk uygulama imzalatma sisteminde imzalatması gibi) dahil olduğundan ayrıca incelenmesi gerektiğinden ayırdım.
  • Network intrusion : Ağ temelinde gerçekleşen ihlalleri bu kapsamda değerlendirebiliriz.
  • Insider threats : İç saldırganlara özellikle dikkat etmeli ve erişim/yetki kapsamında risk değerlendirmesi yapıp, olay özelinde dikkat çekilen noktada kontrol ve doğrulama aşamalarına tabi tutulmalıdır.
  • Credential Leaks: Iç ve dış ağda kullanılan kimlik doğrulama bilgilerinin bir şekilde sızması sonrası tabi tutulacak saldırı tipidir.

Impact

  • Kritik sistem veya sistemleri etkileyen olay
  • Kritik olmayan sistem veya sistemleri etkileyen olay

Kurumunuz için çıkardığınız BT envanter risk matriksinden de yararlanarak bir ölçeklendirme yapabilirsiniz.

Sizler için bir örneklendirme hazırladım.

Extent

Kapsam, olay aktarım düzeyiyle sıkı bir şekilde bağlantılıdır. Örneğin, CISO veya üst yönetimi bilgilendirilmeli miyiz? Hangi olay da hangi ekibin olaya dahil olması gerektiği aslında olayın sağlıklı ilerlemesi için avantaj sağlayacaktır.

Tümleşik Case Yönetimi : Incident Tracking

Incident boyunca hem iç hemde dış müşteriden gelen bildirimler ikincil bir bildirim kanalı yoluyla incident ile bağlantısı olabilecek durumlar ayıklanmalı ve kayda alınmalıdır. Örneğin; A lokasyonunda sürdürülen bir incident response case’in de kurum geneline gelen bildirimler ile bağlantısı sorgulanmalıdır. Bu bize olayın yayılımı ve ikincil saldırı durumlarına karşı önlemin ilk adımını oluşturacaktır. RTIR gibi araçlar bize bunu sağlar.

RTIR : https://bestpractical.com/rtir

Şimdi Containment’ın adımlarını tek tek incelemeye başlayalım.

Short-term Containment

Containment’ı sağlarken sistem/sistemlerin delil bütünlüğünü bozmadığına emin olmamız gerekiyor. Bu nedenle çeşitli Security ürünleri yardımı yada sistem yönetim panelinden ilgili sistem/sistemlerin ağ bağlantısını keserek saldırganın erişebilirliğini durdurmayı ele alırız.

Bunu yapmak için ise;

  • Makineyi ayrı/izole bir VLAN’a yerleştirebilir
  • DNS’ini değiştirerek kör noktaya sürükleyebilir.
  • Router veya firewall yardımıyla izole edebiliriz.
  • Ilgili kullanıcıların lock’lanması sağlanır
  • Ilgili sistemlerde bulunan pass kombinasyonlarının kurumda tekrar kullanılmamasının sağlanması sağlanır

Tabi bu adımları yaparken kararımızı Saldırı Tipi — Etki — Kapsam üçgeninin aşamalarından geçirmeliyiz.

System Back-Up

Burada devreye DFIR adımları devreye girer. Chain of custody ve Data acquisition adımlarını izleyerek etkilenen sistemlerini yedeklerini almak ve korumak gerekir.

Veri toplamada sıralama;

Registers => CPU Cache => Ram => HDD => External & secondary storage devices

DFIR konularının detaylı incelemelerini ilerleyen seride ele alacağım.

Long-term Containment

Kısa Süreli muhafaza önlemlerimizi sağladıktan sonra sıradaki adımımız biraz daha detaylı ve iz sürme üzerine olacaktır. Saldırı tipine göre değilde erişim düzeyinde düşünecek olursak Internal Assets Compromise ve External Assets Under Attack olarak üst kategoriden bakalım.

External Assets Under Attack

Saldırganın bir şekilde dışarıdan bizim DMZ yada çıkış noktalarımı etkileyen bir saldırı durumunu ele aldığımız ihlali değerlendiriyor oluruz. Bu durumda ilk noktalardan biri Ağ trafik takibi konusunda ISP ile iletişim halinde olmak ve Dış çıkış IP’lerinin güvenli bir şekilde proxy ediliyor olmasıdır.

Internal Assets Compromise

Bu kapsamda saldırgan bir şekilde iç ağa sıçramış veya erişmiş olduğu durumlar için ele alabiliriz. Saldırganın yatay ve dikey erişimlerinde sınırlama sağlayacak şekilde muhafaza ettikten sonra iki karar üzerinde durmalıyız.

  1. Eradication aşamasını başlatıp yok edebilir.
  2. Izlemeye alıp iz sürebiliriz.

2. Yöntem oldukça ilgi çekici bir seçenek olarak gözüksede burada durum bir nevi Snake charming(Yılan Oynatıcılığı)’dir. Yanlış hamle yapmanız veya APT gibi bir tehditle uğraşma durumunuzu göz önünde bulunduracak olursanız oynadığınız bu oyun ölümcül sonuçlar doğurabilir.

Bir sonraki yazımda özellikle bu deneysel yaklaşım üzerinde detaylandırma sağlamaya ve kafa yormaya başlayacağım.

Tekrardan okuduğunuz için teşekkür ederim. Görüşmek üzere…

Incident Response
Cyber Security Training
Containment
Threat Detection

--

--

Alican Kiraz

Written by Alican Kiraz

876 Followers

Head of Cyber Defense Center | CSIE | CSAE | CCISO | CASP+ | OSCP | eCIR | CPENT | eWPTXv2 | eCDFP | eCTHPv2 | OSWP | CEH Master | Pentest+ | CySA+ and more...

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams