Ana Sayfa / Bilgisayar / Siber Güvenlikte Risklerin Tespiti ve Analizi Nasıl Yapılmalıdır ?

Siber Güvenlikte Risklerin Tespiti ve Analizi Nasıl Yapılmalıdır ?

Siber Güvenlikte Risklerin Tespiti ve Analizi Nasıl Yapılmalıdır ?

Kurumun kendi risk profili hakkındaki bilgileri izlediği ve risk azaltma faaliyetlerinin etkinliğindeki boşlukları belirlediği bir süreçtir. risk izleme, hem kurumdaki hem de büyük finansal sektördeki değişen tehdit koşullarını ele almalıdır. Tehditler, özellikle tehdidin kabiliyetleri ve niyetleri ve istismar edebilecekleri güvenlik açıkları açısından sık sık değişmektedir. Yazılımdaki güvenlik açıkları sürekli olarak duyurulur ve kurumun sistemleri değiştirildiği veya güncellendiği için diğer güvenlik açıkları ortaya çıkabilir. Yeni üçüncü taraf hizmet sağlayıcıların kullanımı da dahil olmak üzere harici gereksinimler, kurumun kendi risk profilini de değiştirebilir. risk raporlaması, tehditleri, yetenekleri, güvenlik açıklarını ve doğal risk değişikliklerini ele alan bilgi sistemleri raporları üreten bir süreçtir. risk raporlaması, kurumun karşı karşıya olduğu her türlü bilgi güvenliği olayını ve yönetimin bu etkinliklere tepkisinin ve esnekliğinin etkililiğini açıklamalıdır.

Raporlama süreci, bu raporları uygun yönetim üyelerine yayma yöntemi sağlamalıdır. Raporların içeriği, gerekli risk düzeyini korumak için zamanında gerekli önlemleri almalıdır.  Metrikler Olgun ve etkili bir bilgi güvenliği programı, programın etkinliğini ve verimliliğini artırmak için metrikleri kullanır. Yönetim, güvenlik programının hangi ölçüde uygulandığını ve programın etkili olup olmadığını gösteren ölçümler geliştirmelidir. Metrikler,güvenlik politikası uygulamasının, bilgi güvenliği programına uygunluğunun, güvenlik hizmeti sunumunun yeterliliğinin ve güvenlik olaylarının iş süreçlerine etkisinin ölçülmesi için kullanılır. güvenlik özelliklerinin ölçülmesi, yönetimin denetimi artırmasına ve güvenlik işleminde iyileştirmeleri artırmasına izin verebilir. Politikaları uygulamak için kullanılan standartlara ve prosedürlere uygunluğu ölçmek için genellikle ölçütler oluşturulur. Yönetim, bilgi güvenliği programının risklerini ölçmek ve raporlamak için metrikleri kullanmalıdır. Metrikler harici kaynaklardan ve dahili verilerden toplanmalıdır. Metriklerin kapsamı kapsamlı olmalı ve kurumun faaliyetlerinin karmaşıklığı ile orantılı olmalıdır. Raporlar, farklı kitleler ve paydaşlar için uyarlanmış metrikleri içermelidir. Bu ölçümler ve bilgi güvenliği programının diğer izleme raporları ITRM raporlaması ile beslenmelidir. güvenlik operasyonları çok çeşitli aktiviteler içermektedir. Bu faaliyetler, bilgi güvenliği departmanında ve iş kollarında dağıtılan veya tamamen veya kısmen dış kaynaklı bir güvenlik operasyon merkezinde merkezileştirilebilir. 

güvenlik işlemleri aktiviteleri aşağıdakileri içerebilir:
• güvenlik yazılımı ve cihaz yönetimi (örn., Imzalanan cihazlarda ve güvenlik duvarı kurallarında imzaların sürdürülmesi).
• Adli bilimler (örn. Potansiyel olarak tehlikeye girmiş sistemlerin analiz i).
• Tehdit tanımlama ve değerlendirme.
• güvenlik açığı tanımlaması (örn., güvenlik açığı taramaları, öz bakımları, sızma testleri ve denetim sonuçlarının analiz i).
• güvenlik açığı kataloglama ve iyileştirme izleme.
• Fiziksel güvenlik yönetimi (ör. CCTV, korumalar ve rozet sistemleri)
. • Kanun uygulama arayüzü (örneğin, veri tutma ve yasal müdahaleler).
• Üçüncü taraf entegrasyonu (örneğin, yönetilen güvenlik hizmetleri ve olay tespit hizmetleri).
• Ağ, ana makine ve uygulama etkinliği izleme. • Dış kaynaklardan tehdit istihbaratının analiz i.
• Bilgi paylaşım grupları ile etkileşim.
• Olay tespit ve yönetimi.
• Erişim kontrollerinin uygulanması.

Siber Güvenlikte Risklerin Tespiti ve Analizi Nasıl Yapılmalıdır ?

Yönetim, güvenlik operasyonlarının performansını kolaylaştırmak için tanımlanmış süreçleri ve uygun yönetişimi oluşturmalıdır. Politikalar, güvenlik operasyonlarının zamanlaması ve kapsamını, raporlama, tırmanma tetikleyicileri ve müdahale eylemlerini ele almalıdır. Birçok kurum istekleri ve olayları kaydetmek ve yönetmek için bir sorun izleme sistemi58 kullanır. Bir sorun izleme sistemi bir kanıt kaynağı olabilir, çeşitli güvenlik bilgileri içerebilir ve bilgi güvenliği ortamını güçlendirmek için eylemler yaparken yönetime yardımcı olacak değerli bir araç olarak hizmet eder. Yönetim, güvenlik operasyon etkinliklerini kurumun iş kollarında ve üçüncü taraf hizmet sağlayıcılarıyla koordine etmelidir. Koordinasyonun ne kadar kapsamlı olduğuna bakılmaksızın, amaç tüm çevre boyunca yeterli bir güvenlik operasyon yeteneğini sürdürmek olmalıdır. Sürekli olay tespit ve müdahale faaliyetlerini desteklemek için yeterli teknoloji ve personel bulunmalıdır. Bazı kurumlar, gerekli kapsam ve kapsam derinliğini elde etmek için faaliyetlerine üçüncü taraflarla güvenebilir veya destek verebilir. Daha fazla bilgi için BT El Kitabının “Dış Kaynak Kullanımı Teknolojisi Hizmetleri” kitapçığına bakınız. Tehdit tanımlama ve değerlendirme, tehdit kaynakları ve güvenlik açıkları hakkındaki bilgileri keşfetmeyi ve sömürü potansiyelini analiz etmeyi içerir. Bu, bu kitapçığın “ risk Tanımlama” bölümünde açıklanan risk tanımlama sürecinden çok daha fazla odaklanmıştır.

Tehdit tespitinden ve değerlendirmesinden elde edilen bilgiler, risk değerlendirmesinde ve koruyucu ve dedektif strateji ve taktiklerin yönlendirilmesinde kullanılmalıdır. Stratejiler, bilgi güvenliği programının politikalarını, standartlarını ve prosedürlerini ve uygulama teknolojilerini içerir. Taktiklerin örnekleri, olay tanımlama ve tehdit davranışlarının yönetimi için kullanılan tehdit imzalarını içerir. NIST, tehdit kaynağı türlerinin aşağıdakileri içerdiğini not eder:

• Düşmanca siber veya fiziksel saldırılar.
• İnsan ihmal veya komisyon hataları.
• Organizasyon kontrollü kaynakların yapısal hataları (ör. Donanım, yazılım ve çevresel kontroller).
• Kuruluşun kontrolü dışındaki doğal ve insan kaynaklı afetler, kazalar ve başarısızlıklar.59 Yönetim, gelişen tehdit ve savunmasızlık bilgilerinin elde edilmesi, izlenmesi, değerlendirilmesi ve yanıtlanması için prosedürler geliştirmelidir.

Tehditlerin tanımlanması, tehditlerin kaynaklarını, yeteneklerini ve hedeflerini içerir. Tehditlerle ilgili bilgiler genellikle hükümetten (örneğin ABD-CERT), bilgi paylaşım kuruluşlarından (örneğin FS-ISAC), endüstri kaynaklarından, kurumdan ve üçüncü taraflardan gelmektedir. Üçüncü taraf bilgileri, tehditleri veya geçmiş faaliyetlere ilişkin üçüncü taraf raporlarını özel olarak izleyen ve raporlayan kuruluşlardan olabilir. Bu raporlardan bazıları, dünya çapında birçok kuruluş tarafından rapor edilen olaylardan bilgi derlemek. Bir değerlendirmeyi destekleyen farklı bilgi türleri aşağıdakiler aracılığıyla kullanılabilir:

• güvenlik sağlayıcıları ve diğerleri tarafından yayınlanan raporlardan gelen veriler.
• FS-ISAC ve yönetilen güvenlik hizmeti sağlayıcıları dahil olmak üzere kaynaklardan veri saldırı.
• Ücretsiz ya da bir ücret karşılığında sunulan raporlar aracılığıyla tehdit verileri. Bazı sağlayıcılar, kendini analitik işlemlere kolayca kazandıran tanımlı bir çerçeve içinde tehdit bilgileri sunmasına rağmen, tehdit bilgilerinin kullanılabilirliği genellikle geçicitir.

Bir tehdit taksonomisi kullanarak, kurum, tehdit değerlendirmesinin karmaşıklığını büyük ölçüde azaltabilir ve makul risk azaltmalarının etkin bir şekilde anlaşılmasını sağlayabilir. Tehdit değerlendirmesindeki belirli faktörler arasında bir tanımlama, operasyon bağlamı, kabiliyetler ve amaç ve tehdit kaynaklı perspektiflerden, bir saldırı ile ilgili yararları ve olumsuz sonuçları sayılabilir. Tehlikeli kaynakların bilgisi, özellikle güvenlik açıklarının belirlenmesine yardımcı olmak için önemlidir. Sistem tasarımı, sistem çalışması, güvenlik prosedürleri, iş hattı kontrolleri ve sistem ve kontrollerin uygulanması gibi birçok alanda güvenlik açıkları oluşabilir. Öz değerlendirme, denetimler, taramalar, sızma testleri ve SIEM raporlarının incelemeleri, güvenlik açıklarını tanımlayabilir. Ek olarak, dış bireyler veya gruplar güvenlik açıklarını tanımlayabilir. Katmanlı bir güvenlik ortamındaki güvenlik açıklarını analiz etmek için kullanılan araçlar arasında atak ağaçları, olay ağaçları ve ölüm zincirleri bulunur. Bu araçlar, en etkili ve verimli iyileştirme seçeneklerinin tanımlanmasını sağlamak için bir saldırganın eylemlerini modellemeye çalışır. Bir tehdit tespit edildikten ve potansiyel güvenlik açıkları değerlendirildikten sonra, tehdidin önemi bir yanıtı tetiklemelidir. Yanıt, tehdidin oluşturduğu risk ile orantılı olmalı ve iyileştirme seçeneklerini içermelidir. Yönetim, acil ve sonuç olarak ortaya çıkan tehditlerin süratle ele alınmasına izin verecek politikalar tasarlamalı, daha az önemli tehditler ise daha geniş bir riskyönetim sürecinin parçası olarak ele alınmalıdır.

Siber Güvenlikte Risklerin Tespiti ve Analizi Nasıl Yapılmalıdır ?

Yönetim, dış bireylerden veya gruplardan güvenlik açığı bilgisi aldığında, yönetim, uygun şekilde ele alınacak bilgilerin güvenilirliğini değerlendirmek için uygun süreçlere ve prosedürlere sahip olmalıdır. Tehdit İzleme ve  Tehdit izleme politikaları, tehdit istihbarat iletişimi ve sistemlerinin sürekli olarak ve anlık olarak izlenmesini, etkin olay tespitinin ve müdahalenin yapılmasını ve takip eden yasal prosedürlerde izleme raporlarının kullanılmasını sağlamalıdır. Yönetim, izleme için güvenlik personeli ve sistem yöneticilerinin sorumluluk ve yetkilerini oluşturmalıdır. Ayrıca, yönetim, kullanılan araçları ve kullanım koşullarını gözden geçirmeli ve onaylamalıdır. Tehdit gözetimi, güvenlik politikalarına uymayan veya bunlardan kurtulmaya çalışanlar gibi güvenlik açıklarının, saldırıların, tehlikedeki sistemlerin ve şüpheli kullanıcıların göstergelerini ele almalıdır. İzleme, gelen ve giden ağ trafiğine hitap etmeli, kötü amaçlı etkinlik ve veri sızıntısı tespit etmeyi amaçlamalıdır. Ek olarak, izleme süreci, yöneticileri ve daha yüksek ayrıcalıklara sahip diğer kullanıcıları bağımsız olarak izlemek için oluşturulmalı ve belgelenmelidir. Olay kimliği göstergeleri ve analiz leri içerir. Dış göstergeler müşterilerle, kanun uygulayıcılarla, kart organizasyonlarıyla (örneğin, kredi veya ödeme kartları), diğer finansal kuruluşlar, medya veya başkalarıyla iletişim yoluyla ortaya çıkabilir. Dahili kullanıcılar, yardım masası ile iletişim kurduklarında, BT operasyonları anormalliklerde takip ettiğinde veya güvenlik cihazları ve ağ ve sistem etkinliği aracılığıyla tespit edilen anormalliklerde güvenlik işlemlerini takip ettiğinde iç göstergeler ortaya çıkabilir.

Göstergeler ayrıca “avlanma ekipleri” veya uzlaşma göstergelerini aktif olarak arayan özverili analistlerin kullanımıyla da ortaya çıkabilir. Teknoloji tabanlı saldırı tanımlama sistemlerinin ve araçlarının örnekleri aşağıdakileri içerir:
• Tehdit istihbaratı veri beslemeleri (ör., STIX / TAXII).
• Ağlar ve ana bilgisayarlar için izinsiz giriş tespiti ve önleme sistemleri.
• Son nokta görünürlük araçları (uç noktaların işlevini tanımlayabilen araçlar ve hangi son noktalar hassas bilgileri içerdiği veya bunlara erişimi olan araçlar).
• DLP araçları.
• Bağıntı korelasyon ve analiz araçları.
• Dosya bütünlüğü araçları.
• Kötü amaçlı yazılım algılama araçları.
• Ağ davranış analiz i sistemleri.
• Önceden oluşturulmuş ve ad hoc analiz leri toplayan ve izin veren “Büyük veri” araçları ve analiz leri. Teknolojiye dayalı uzlaşma göstergeleri genellikle, ana bilgisayar durumundaki, ana makine etkinliğindeki ve ağ trafiğindeki anormalliklerdir. Birkaç örnek beklenmedik (1) süreç, (2) dosya, (3) paket kaynak veya hedef, (4) protokol, (5) port, (6) şifreleme, (7) log-ins ve (8) ) paket içeriği.

Diğer göstergeler, anti-virüs ve ağ izleme ürünlerinin kara listelerinin tetiklediği uyarıları içerir. Yönetim, uzlaşma göstergelerini belirlemek ve bu göstergeleri soruşturma için hızla rapor etmek için bir sürece sahip olmalıdır. Rapor, bir uzlaşmanın gerçekleşip gerçekleşmediğini ve bu uzlaşmanın nasıl sınıflandırılması gerektiğini doğrulamaya çalışan bir analiz başlatmalıdır. Soruşturma, adli inceleme gibi kurum dışından ve kurum içinden ek bilgi gerektirebilir. Yönetim, mevcut kaynakları sağlamak için olaylardan önce harici yardımı belirlemek için gerekli özeni göstermelidir. Bir uzlaşma sınıflandırması, etkilenen belirli ana bilgisayarlar, veri kaybı ve etkilenen iş süreçleri hakkında bilgi gerektirebilir. analiz de geliştirilen bilgiler, müdahale faaliyetlerine rehberlik etmek için yararlı olabilir. analiz , olayın sınıflandırılmasına, eskalasyon prosedürlerinin uygulanmasına ve raporlanmasına yol açmalıdır. analiz , aşağıdakiler tarafından yönlendirilmelidir: • Sınıflandırma politikaları, olayların türüne ve şiddetine bağlı olarak müdahale takımlarının ve yanıtlarının kullanılmasına olanak vererek, olayların şiddet derecesine göre zamanında sınıflandırılmasını sağlamak için yeterince açık olmalıdır.

• Eskalasyon, cevap ve raporlama, şiddet düzeyi ile orantılı olmalıdır.
• Eskalasyon politikaları, kurum içinde farklı personel ile iletişime geçildiğinde ve bu personelin olay analiz i ve yanıtında sahip olduğu sorumlulukları ele almalıdır.
• Eskalasyon politikaları, hem üçüncü taraflardan hem de federal hükümetten ne zaman dışarıdan yardım istemek veya elde etmeyi kapsamalıdır.
• Raporlama politikaları, üçüncü taraflarla koordinasyon ve harici kuruluşlara raporlama (örn. FS-ISAC) dahil olmak üzere dahili ve harici raporlamaları ele almalıdır.

Ek olarak, bir politika, bir olayı ilan etmek için yetkilendirilmiş olan kişilere hitap etmelidir. Tanımlanmış bir süreç, olaylara verilen yanıtları yönlendirmelidir. Kurum, olay tırmanma, cevap verme ve raporlama süreçlerini test etmek için prosedürler geliştirmelidir. Saldırı verilerinin FS-ISAC gibi kurumlar aracılığıyla paylaşılması, diğer kurumların mevcut saldırıları daha iyi değerlendirmesini ve bunlara yanıt vermesini sağlayarak endüstrinin yararına olacak potansiyele de sahiptir. Yönetim, söz konusu bilgi paylaşımını kurumun korunmasına yönelik stratejisinin bir parçası olarak eklemeyi düşünmelidir. Yönetim, kurumun veya yönetilen güvenlik hizmeti sağlayıcısının analistlerinin ağ, ana bilgisayar ve uygulama etkinliğini uygun bir şekilde analiz edip, bunlara sunulan izleme ve analiz araçlarını kullanması için yeterince eğitimli olup olmadığını belirlemelidir. Buna ek olarak, güvenlik analistleri, kurumdaki diğer kişilerle dolandırıcılık gibi belirli kötü amaçlı etkinlik türleri için bilgi ve yetki sahibi olmalı ve işbirliği yapmalıdır.  Olay Müdahale Yönetiminin bir olay müdahale programına sahip olması gerekir.61 Olay yanıtının amacı kurum ve müşterilerinin zararlarını en aza indirmektir. Kurumun programı, tanımlanmış bir olayı bildirmek ve yanıtlamak için tanımlanmış protokollere sahip olmalıdır. Daha spesifik olarak, olay müdahale programı, olayı içeren, emniyet görevlilerini ve üçüncü tarafları koordine eden, sistemleri geri yükleyen, verileri ve kanıtları koruyan, müşterilere yardım sağlayan ve kurumun operasyonel esnekliğini kolaylaştıracak şekilde içermelidir. Yanıt, insanların ve teknolojilerin bir kombinasyonunu içerir.

Siber Güvenlikte Risklerin Tespiti ve Analizi Nasıl Yapılmalıdır ?

Olay yanıtının kalitesi kurumun kültürüne, politikalarına, prosedürlerine ve eğitimine bağlanabilir. Olay yanıtı aynı zamanda, kurumun olaydan önce kolluk kuvveti, olay müdahale danışmanları ve avukatlar, bilgi paylaşım kuruluşları (örn. FSISAC) ve diğerleri ile oluşturduğu ilişkilerin bir işlevidir. Yönetim, mevcut kurum politikaları, prosedürleri ve eğitimi ile kapsamlı, koordine ve entegre bir olay müdahale planı geliştirerek potansiyel olaylara hazırlıklı olmalıdır. Kurumun olay müdahale programının etkinliğini doğrulamak için, yönetim periyodik olarak senaryo planlama ve masa üstü testi de dahil olmak üzere farklı test türleri aracılığıyla test etmeli ve testleri uygun iç ve dış taraflarla gerçekleştirmelidir. Hazırlık, herhangi bir saldırı yanıtının başarısını belirler. Böyle bir hazırlık, cevabı yönlendiren politikaları ve prosedürleri tanımlamayı içerir; bireylere sorumlulukların verilmesi; uygun eğitim sağlamak; bilgi akışlarını resmileştirmek; Yanıtlama çabasında kullanılan araçları seçme, kurma ve anlama. Ek olarak, yönetim önemli güvenlik olaylarını bildirmek için eşikleri tanımlamalı ve kurumun faaliyetlerini, itibarını veya hassas müşteri bilgilerini etkileyebilecek olayları düzenleyen kurumlara bildirmesi gereken süreçleri geliştirmeyi düşünmelidir. Bu olaylar finansal sistemi etkileyebilecekleri içerebilir. Olay yanıtı için birincil konular şunlardır:

Cihazlar ve veriler için gizlilik, bütünlük ve kullanılabilirlik ile ilgili endişelerin nasıl dengelenmesi. Bu değerlendirme, bir kontrol stratejisi için önemli bir itici güçtür ve yasal ve sorumlulukla ilgili hususları içerebilir. Yönetim, bazı sistemlerin bağlantısının kesilmesi gerektiğine karar verebilir, diğerlerinin izinsiz girdiği ilk işarette kapatılması veya kapatılması gerekir.

• Olay müdahale faaliyetlerini ne zaman ve hangi koşullara çağırması gerektiği ve uygun personelin bilgilendirilip alınabileceğinden emin olunması.
• Dış uzmanları ne zaman dahil etmeli ve gerektiğinde uygun uzmanlığın nasıl sağlanacağından emin olun. Bu değerlendirmede hem koruma hem de restorasyon ele alınmaktadır.
• Her grup için isim ve iletişim bilgileri de dahil olmak üzere, düzenleyicileri, müşterileri ve yasa uygulayıcıları hangi durumlarda ve ne zaman bilgilendireceğini ve ne şekilde bildireceğini belirleyen protokoller.
• Hangi personelin, sistemin müdahalesinin ve restorasyonunun muhafazasında belirli eylemlerde bulunma yetkisi vardır. Bu değerlendirme, iç iletişim stratejisini, personelin taahhüdünü ve organizasyon içindeki katılımı ve kararları tırmandıran prosedürleri etkiler.
• Kurumun dışında, kanunen yürütme, düzenleyici kurumlar, bilgi paylaşımı kuruluşları, müşteriler, üçüncü taraf hizmet sağlayıcıları, potansiyel mağdurlar veya başkaları dışında nasıl, ne zaman ve ne iletişim kurulacağı. • Delilleri, alınan kararları ve alınan eylemleri nasıl belgeleyip sürdürmek.
• Güvenliği ihlal edilen hizmet, ekipman ve yazılımlar ağa geri gönderilmeden önce hangi kriterlerin karşılanması gerekir.
• İzinsiz girişlerden nasıl öğrenilir ve kurumun güvenliğini artırmak için öğrenilen dersler nasıl kullanılır.
• Şüpheli Faaliyet Raporu nasıl ve ne zaman hazırlanır ve dosyalanır. Herhangi bir müdahale politikasının veya prosedürünün başarılı bir şekilde uygulanması, sorumlulukların, eğitimin ve testlerin yapılmasını gerektirir

. Bazı kurumlar, bir güvenlik olay müdahale ekibinin (SIRT) oluşturulmasıyla yanıt programını resmileştirir. SIRT, tipik olarak güvenlik olaylarına ve izinsiz girişlere karşı tepkileri yerine getirmek, koordine etmek ve desteklemekle görevlidir. Bir saldırı ile ortaya çıkan teknik ve teknik olmayan konulardan dolayı, tipik SIRT üyeliği kurum içinde farklı alanlardan geniş bir geçmişe ve uzmanlığa sahip bireyleri içerir. Bu alanlarda yönetim, yasal ve halkla ilişkiler ve BT personeli bulunmaktadır. Diğer kuruluşlar bazı SIRT fonksiyonlarını (örneğin adli muayeneleri) outsource edebilir. SIRT işlevleri dışarıdan alındığında, yönetim, kurumun politikalarını takip etmek ve verilerin gizliliğini korumak için üçüncü taraf servis sağlayıcısını talep etmelidir.

Hakkında: Admin

Kontrol Ediliyor

İnternet Teknolojileri ve Donanımları Nedir ?

İnternet Teknolojilerinin Başlangıcı Nasıl Oldu ? Küçük bir örnekle başlayalım, bir şirket ABC’de bir pazarlama …

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir