Incident Response Part 3.2 : Eradication
Serimizin bu bölümünde Containment aşamasına kadar taşıdığımız etkilenen sistem(ler) veya Ağ(lar)’ın gerekli kanıt ve incelemler sağlandıktan sonra etkilenen sistemelerin yok edilmesi işlemidir. Ancak birincil ve hızlı karar alınacak bir seçenek olmamalıdır. Bunun nedenlerini ve operasyon sürecini birlikte inceleyelim.
Before Eradication
Ilk adımda Containment sürecinin doğru ve ihlalsiz sürdürüldüğünden emin olunmalıdır. Süreç boyu toplanan tüm çıktılar incelenmeli ve Containment’dan olası ihlal durumunun da izleri aranmalıdır. Etkilenen sistemlerin ihlal türleri ve nedenleride incelenmelidir. Bana göre bu aşamada tüm süreci ufakça bir değerlendirdiğimiz Leason Learned’da ekip içinde yapılabilir. Ardından tüm toplanan çıktıların ekipçe bir göz gezdirilmesi gerekiyor. Eradikasyondan dönüş olmayacaktır. Ve eradikasyon’da verilen yanlış karar recovery sürecinizi oldukça uzatıp operasyonel sürekliliğinizi sekteye uğratabilir. Bu nedenle şu adımları eradikasyon öncesi uygulamak oldukça yarar sağlayacaktır;
- Ekibin yada Incident sırasında oluşturulan WarRoom ekibinin bir araya gelerek durum incelemesi ve Lesson Learned yapılabilir. Bu sayede dile getirilmeyen ama süreçte yanlış yapıldığı düşünülen durumlar ekip tarafından dile getirilebilir. Bazen konuşmaya teşvik etmek ekibin rahatça kendini ifade etmesine neden olabilir. Aynı şekilde olay inceleme sırasındaki gergin ortam herkesin düşüncesini dile getirmesine engel olacağından bu kısa mola iyi bir fırsat olabilir.
- Olay artık sonuçlandığına göre önünüzde aslında 3 seçenek olacaktır. Bunlar; Sanallaştırma ortamındaki envanterin imhası, Fiziksel ortam üzerindeki OS’un imhası, Fiziksel ortam’da kalıcı tehdite karşı Disklerin imhası.
- Ayrıca Eradikasyon öncesi ortamın veya sistemin delillerinin eksiksiz alındığı ve korunduğundan emin olmalısınız.
Start the Eradication
Işlemler sırasında ek olarak kontrol edilmesi ve iyileştirilmesi gereken adımlar:
• Ek router & firewall kurallarının yapılandırılması.
• Null routing gerekirse Airgap ve Vlan Segmentasyonu
Saldırgana yönelik kalıntıların ortadan kaldırılması içende:
- Backdoors, rootkits, malicious kernel-mode driver’lar vb. gibi kötü amaçlı yazılımları kaldırılması.
- Rootkit olması durumunda, sürücüyü sıfırlayıp, yeniden biçimlendirerek güvenilir yükleme ortamı için sistemi yeniden oluşturun.
- SSH, RDP, VNC vb. aracılığıyla kimlik bilgilerinin yeniden kullanımını belirlemek için logların kapsamlı bir şekilde analizi.
Ancak makine olduğu gibi kalacaksa uzun süreli containment’a almak ve izlemek gerekir. Bu izleme adımları;
- Makinede zafiyet ve patch kontrollerinin yapılması
- Honeypot agent yüklenmesi
- HIDS agent kurulumu
- Yetkilerin ve şifrelerin değiştirilmesi
- EDR / EPP / XDR üzerinden detect kabiliyetinin arttırılması ( Very Aggressive) engelleme faliyetlerinin business continuity’i etkilemeyecek şekilde düzenlenmesi
- HIDS alarmleştirilmesi
- DLP takibinin SIEM’de alarmlaştırılması ve CIS’e dayalı Hardening’lerin yapılması
Diskin olası durumda imha ve rebuild edilmesinde dikkat edilmesi gerekilen noktalar ise;
- Çoğu durumda, silme işlemi yalnızca verilere yönelik dizin veya katalog bağlantısını kaldırır. Gerçek veriler sürücüde kalır. Ortama yeni dosyalar yazıldığında, sistem sonunda silinen verilerin üzerine yazar, ancak sürücünün boyutuna, ne kadar boş alana sahip olduğuna ve diğer birkaç faktöre bağlı olarak, verilerin üzerine aylarca yazılmayabilir. Temizleme veya üzerine yazma, ortamı yeniden kullanım için hazırlama ve temizlenen verilerin geleneksel kurtarma araçları kullanılarak kurtarılamamasını sağlama sürecidir. Medya temizlendiğinde, medya üzerindeki tüm adreslenebilir konumlara sınıflandırılmamış veriler yazılır.
- Degaussing adı verilen bir süreçte bazı ortamlardaki verileri silen güçlü bir manyetik alan oluşturur. Degaussing optik CD’leri, DVD’leri veya SSD’leri etkilemez.
- Destruction ise diski yok etme adımıdır; İmha yöntemleri arasında yakma, ezme, parçalama, parçalama ve kostik veya asidik kimyasallar kullanarak çözme yer alır.
Ve böylece bu bölümünde sonuna geldik. Okuduğunuz ve güzel geri dönüşleriniz için çok teşekkür ederim. Görüşmek üzere…
