Yanıt

Müdahale aşamasında SOC, neden olduğu zararı azaltmak için bir olayla ilgilenir. Her olay farklıdır, ancak yönetim ilkeleri ve adımları aynıdır.

İş Sürekliliği

Süreklilik kavramı, bir olaya müdahale etmek için atılan adımların merkezinde yer alır. Amacın işlerin devam etmesini sağlamak ve hizmetleri erişilebilir kılmak olduğunu unutmayın. İş Sürekliliğinin üç ana bölümü vardır: İş Sürekliliği Planlaması (BCP), İş Etki Analizi (BIA) ve Felaket Kurtarma Planlaması (DRP).

İş Sürekliliği Planlaması (BCP), işlerin devam etmesini sağlamaya yönelik bir metodolojidir. BCP ile tehditler önceden belirlenir ve kritik iş süreçleri önceliklendirilir. Bu süreçler için kurtarma prosedürleri geliştirilmiş ve test edilmiştir. Bir olaya yanıt olarak bu prosedürler uygulandığı şekilde takip edilir.

İş Etki Analizi (BIA) iş fonksiyonlarını tanımlar ve bir kesintinin bu fonksiyonlar üzerindeki etkisini derecelendirir. BIA, bir kesintinin aşağıdakiler üzerindeki etkisini ölçer:

  • Mülk (maddi varlıklar)
  • Finans (parasal finansman)
  • Güvenlik (fiziksel koruma)
  • İtibar (statü)
  • Yaşam (refah)
  • Müşteriler

BIA, görev açısından önemli işlevlerin ve tek arıza noktalarının belirlenmesine yardımcı olabilir. Bu, SOC'lerin iş sürekliliğini sürdürmek için en iyi şansa sahip olmak açısından kaynakların nereye gitmesi gerektiğini belirlemelerine olanak tanır.

Son olarak bir Felaket Kurtarma Planına (DRP) sahip olmak, büyük ölçekli bir sorun durumunda kurtarmayı kolaylaştırır. Felaket Kurtarma (DR), bir kesintiden kurtulmak için politikalar, araçlar ve prosedürler gerektirir. DRP'ler geri yükleme sırasını detaylandıracak ve desteklenen tüm uygulama paketinin geri getirilebilmesini sağlamak için çok sayıda test yapılmasını gerektirecektir. Standart bir DRP şunları detaylandıracaktır:

  • Amaç ve Kapsam
  • Kurtarma Ekibi
  • Bir Afete Hazırlanmak
  • Bir Olay Sırasında Acil Durum Prosedürleri veya Olaya Müdahale
  • Restorasyon Prosedürleri ve Normale Dönüş

Yedeklilik

Yedekli hizmetler, her zaman ödün verilmemiş bir hizmetin mevcut olmasını sağlayarak sürekliliğe yardımcı olabilir. Yedekliliğin temel kavramları, kullandığı dil içinde ayrıntılı olarak açıklanmıştır:

Yedeklilik

arıza durumunda çalışan ekstra bileşenler/hizmetler

Yük Devretme

ikincil bir cihaza devretme işlemi

Yüksek kullanılabilirlik (HA)

yüksek düzeyde çalışma performansı sağlar

Hata toleransı

bir arıza durumunda sistemin devam etmesini sağlar

Tek Arıza Noktası (SPOF)

kesintiye neden olabilecek tek bir arıza

Sıcak, Soğuk ve Ilık

Yedekliliği uygulamanın tipik bir yolu, sıcak, soğuk ve ılık sitelerin kullanılmasıdır.

Sıcak site, canlı olan ve üretimde olup bitenleri gerçek zamanlı olarak kopyalayan ikincil bir konumdur. Birincil sitenin çökmesi durumunda, sıcak site derhal yük devredebilir.

Soğuk saha, ekipmanı olmayan ikincil bir konumdur. Bir kesinti durumunda soğuk sahanın kurulması ve yapılandırılması biraz zaman alacaktır.

Ilık tesis, tüm ekipman ve bağlantıların bulunduğu ikincil bir konumdur. Ekipmanın hala açılması ve üretime hazır hale getirilmesi gerekecektir, ancak ılık bir siteye yük devretmek soğuk bir site kadar uzun sürmeyecektir.

RAID

RAID, sunucu depolama düzeyinde gerçekleşen ilginç bir yedeklilik durumudur. RAID, Redundant Array of Inexpensive/Independent Disks anlamına gelir ve adından da anlaşılacağı gibi okuma/yazma işlemlerini daha hızlı hale getirmek ve disklerden biri arızalandığında kurtarabilmek için birden fazla disk kullanır. RAID'in bir yedekleme olmadığına dikkat etmek önemlidir. Yedekler kurtarmaya yardımcı olmak içindir ve aynı yerde bulunabilirler. Bir RAID dizisi tek bir makinede çalışmak ve disk arızalarının neden olduğu hasarları azaltmaya yardımcı olmak içindir.

RAID, her biri farklı bir özelliğe öncelik veren birden fazla seviyeye sahiptir:

  • RAID 0: Okuma/yazma işlemlerini hızlandırmak için veriler birden fazla diske dağıtılır. Tek bir disk kaybolursa tüm dizi çöker.
  • RAID 1: Veri, yedeklilik için birden fazla diske yansıtılır. Tek bir disk kaybolursa dizi diğer disklerden kurtarılabilir.
  • RAID 5: En az üç disk, okuma/yazma hızlarının artırılması ve tek bir diskin bozulması durumunda dizinin yeniden oluşturulabilmesi için soyulmuş ve aynalanmış bir şekilde kullanılır.
  • RAID 10: RAID0 ve RAID1'in bir kombinasyonu.

İzolasyon ve Çevreleme

Bir olaya tepki vermenin ilk adımı, hasarın yayılmaması için varlığı ağdan çıkarmaktır. Kötü amaçlı yazılımların diğer makinelere yayılmaya çalışması standart bir prosedürdür ve bunu yapmanın en hızlı yolu dahili bir ağdır. Virüs bulaşmış varlığı izole ederek bunu önlemeye yardımcı olabiliriz.

Kötü amaçlı yazılımları kontrol altına almak için sandboxing ve snapshots gibi birkaç araç daha vardır. Sandboxing, bir makinede kontrollü bir ortamda işlem çalıştırma uygulamasını ifade eder. Çoğu web tarayıcısı çalıştırdıkları JavaScript'i sandbox'a alır, yani bir web sitesi kötü amaçlı JS sunuyorsa makinedeki başka hiçbir şeyi etkileyememelidir. Anlık görüntüler, bir makinedeki depolama cihazının durumunun periyodik olarak kaydedilmesi anlamına gelir. Bu, SOC'nin makineyi kötü amaçlı yazılım aktif olmadan önceki bir duruma geri döndürmesini sağlar.

Kurtarma

Kurtarma uzun bir süreç olabilir, ancak bir olaya müdahale etmenin özünü oluşturur. Bir makineden kötü amaçlı yazılımı kaldırmak mümkünse, bu adımda bu işlem gerçekleştirilir. İhlal edilen hesaplar da devre dışı bırakılır.

Ne yazık ki bazı varlıkları daha önce tehlikeye atılmamış bir duruma geri döndürmek imkansız olabilir, bu durumda bir yedekten geri yüklenmeleri veya sıfırdan yeniden inşa edilmeleri gerekebilir. Yedeklemeler kurtarmayı çok daha basit hale getirir ve yedekleme planı olmayan şirketler genellikle ilk olaylarından sonra bunları uygularlar. Bununla birlikte, sistemde yeterince zaman geçirilirse kötü amaçlı yazılımlar da yedeklere girmiş olabilir. Bu durumda varlık genellikle imha edilir ve yeni bir varlık oluşturulur. Bu uzun zaman alsa da, varlığın tehlikeye atılmadığından emin olmanın birkaç yolundan biridir.

İyileştirme

İyileştirme, bir olayın tekrarlanmamasını sağlamaya odaklanır. İyileştirme yamaları, güvenlik duvarı değişikliklerini, IoC veritabanı güncellemelerini ve hatta daha fazla güvenlik katmanı eklemeyi gerektirebilir. Amaç, tüm varlıkların güvende olmasını sağlamaktır.

Raporlama

Raporlama kritik bir adımdır. Zaman damgalı günlüklerin yanı sıra olay planlarının nasıl uygulandığına dair hesapların toplanması da önemlidir. Bu, planların değiştirilmesi gerekip gerekmediğini belirlemenize ve gelecekte nelere dikkat etmeniz gerektiğini bilmenize yardımcı olabilir. En iyi senaryoda iyi bir raporlama, gelecekteki öncüleri olay haline gelmeden yakalamanızı sağlar.

Bilgilendirme de raporlama aşamasının önemli bir yönüdür. Hem uyumluluk hem de temel etik, müşterilerin kaybedilen verilerden haberdar edilmesini zorunlu kılar. Bir olayın ayrıntılarını açıklayarak, diğer şirketlerin de "vahşi doğada" ne tür saldırıların meydana geldiğinden haberdar olmasını sağlayabilirsiniz.

Önceki Ders: Olaylar

Sonraki Ders: MITRE ATT&CK Framework

 

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Dentin Oluşumu

Resim
  Dentinogenez (diş gelişimi) sırasında önemli bölgeler. Gösterge: P = pre-dentin, D = olgun dentin, oklar = pulpanın kenarında bulunan odontoblastların hücre gövdeleri. [Image credit: "Histological section of tooth" by Doc. RNDr. Josef Reischig, CSc. is licensed under CC BY-SA 3.0 / labels added] Dentinogenez , dentin oluşumu sürecidir (ve odontogenez kelimesi ile karıştırılmamalıdır). Dentinogenez diş gelişiminin çan evresi nde başlar. Odontoblastlar (Yukarıdaki şekil) dentin üreten hücrelerdir. İlk adım, iskele görevi gören kolajen de dahil olmak üzere proteinlerin salgılanmasıdır. İkinci adım, iskelenin etrafındaki mineralizasyondur. Başlangıçtaki proteinden zengin materyal pre-dentin dir, mineralize olduktan sonra dentin olarak adlandırılır. Amelogenez in aksine, üçüncü bir protein kaldırma (yeniden şekillendirme) adımı yoktur. İndüksiyon (veya Başlatma) Amelogenez ve dentinogenezin animasyonlu görünümü. İndüksiyon fazı sırasında odontoblast lar orta...
Daha fazla oku »

Periodonsiyum Klinik Uygulamalar

Resim
  Hiper-Sementoz Sementoblast lar yetişkin sementumun yüzeyinde ( PDL içinde) bulunduğu için, sementum yeniden şekillenme ve onarım geçirme yeteneğine sahiptir. Bu da sementumu dentine benzetir ancak mineden farklı kılar. Aşırı sementoblast fonksiyonu hiper-sementoz ile sonuçlanabilir. Bu durum, diş üzerindeki aşırı oklüzal kuvvetler nedeniyle kök ucunda daha sık görülür. Gigantizm/akromegali veya Paget hastalığı gibi büyüme faktörü bozukluklarından da kaynaklanabilir. Konkresans Konkresyon örnekleri.  [Image credit : “Second and third molars joined by cement, in teeth with and without hypercementosis” by Consolaro A et al is licensed under CC BY 4.0] Yeterli miktarda hiper-sementoz iki dişi köklerinden birbirine yapıştırabilir, buna konkresyon denir. Bu, diş çekimi öncesinde radyografinin neden gerekli olduğunu gösterir. Bu durum en sık ikinci ve üçüncü üst azı dişleri arasında görülür. Kök Çürükleri Semental çürükler. [Image credit: “Photograph showing ...
Daha fazla oku »

Ağız Mukozasının Genel Histolojisi

Resim
  Ağız mukozası , ağız boşluğunu kaplayan mukoza zarıdır. Deri ile aynı köken i paylaşır ve bu nedenle aynı doku tiplerini aynı sırada görürüz. Bununla birlikte, katmanları farklı isimler alır ve farklı şekilde sınıflandırılır. Deri tabakaları üç embriyonik germ tabakası na dayanarak bölünmüştür, ancak ağız mukozası bu bölündürmeye uymamıştır. İlk olarak, çok katlı yassı epitel ve altta yatan areolar bağ dokusu bir araya toplanır ve oral mukoza olarak adlandırılır. Çok katlı yassı epitel tek başına ağız epiteli olarak adlandırılabilir ve epidermis gibi ektoderm den türemiştir. Dermis in papiller tabakasına homolog olan areolar bağ dokusu tabakasına lamina propria denir. Mezoderm den türetilen hücreler tarafından üretilir. Ağız mukozasının derinliklerinde, sıkı düzensiz bağ dokusu tabakası alt mukoza olarak adlandırılır ve dermisin retiküler tabakasının homologudur. Alt mukoza da mezodermden türetilen hücreler tarafından üretilir. Ağız mukozasında artan keratin miktarı...
Daha fazla oku »