Günümüzün yıkıcı siber saldırıları, “siber esneklik” teriminin kullanımını artırmıştır. Ancak siber esneklik ne anlama geliyor ve bir kuruluş siber esnekliğe nasıl ulaşabilir?
Cohesity Siber Esneklik Stratejisi Başkan Yardımcısı James Blake’e göre, birçok kuruluş siber saldırıların artan hacmine ve karmaşıklığına karşı sanal bir kalkan sağlaması umuduyla önleyici ve tespit edici teknolojilere yatırım yapmaktadır. Ancak M&S, Harrods ve Co-op’a yapılan son saldırılar, teknoloji yatırımlarının tek başına başarıyı garantilemediğini gösteriyor. Gerçek siber esneklik, teknoloji çözümlerinin nasıl kullanıldığına, şirket kültürüne ve bunu sürdürmek için gerekli becerilere ve süreçlere sahip olup olunmadığına bağlıdır.
Araştırmalar, IT ve güvenlik profesyonellerinin %31’inin ekipleri arasındaki işbirliğini “zayıf” bulduğunu ortaya koyuyor. Ayrıca, beşte ikisi (%40) ekipler arasındaki işbirliğinin durgunlaştığını, hatta azaldığını belirtiyor. Blake, IT ve güvenlik ekiplerinin ayrı olmaları doğru olsa da, kriz anında aksaklığı en aza indirmek ve kurtarmayı hızlandırmak için gerekli iletişim hatlarına ve “kas hafızasına” sahip olmaları gerektiğini vurguluyor.
Olay müdahalesi: Esnekliğin temelleri
Etkili bir olay müdahale stratejisi, insanlarınızı, süreçlerinizi ve teknolojinizi bir araya getiren temel bir bağdır. Kritik ilk adım, temel sorumlulukları tanımlamaktır. Örneğin, güvenlik ekibi ihlali tespit etmeye, yayılmasını engellemeye ve giriş noktasını belirlemeye odaklanmalıdır.
Bu arada, IT ekibi iyileştirmeye ve iş sürekliliğini sağlamaya odaklanmalıdır. Sorumluluklar arasında sistem kesintilerine yanıtın yönetilmesi, kritik altyapının geri yüklenmesi, kimlik doğrulama belirteçlerinin ve parolaların sıfırlanması, kötü niyetli hesapların silinmesi ve yazılım yamalarının yüklenmesi yer almalıdır.
IT ve güvenlik ekipleri, yönetim ve olay yükseltme politikaları üzerinde anlaşmalı ve bunları baştan itibaren uygulamaya koymalıdır. Kriz anında iletişim ilk bozulan şeylerden biridir, bu nedenle iletişim protokolleri ve yetenekleri oluşturmak hayati önem taşır. Nasıl konuşulacak? Ne sıklıkla? Büyük bir karar alınması gerektiğinde ne olacak? Bir saldırı için ortak bir iş akışınız var mı?
Belirli sorumlulukları, kilit kişileri, yükseltme yollarını ve kurtarma stratejilerini özetleyen ortak bir belge, her iki ekibin de duyguların yüksek olduğu durumlarda bile hızlı ve metodik hareket etmesi için temel sağlayacaktır.
Ortak sorumluluk modeli oluşturmak
Etkili bir olay müdahale stratejisi, siber saldırılara yanıt vermek için açık, adım adım prosedürler oluşturan bir “ortak sorumluluk modeli”ni de içermelidir.
Bunun bir parçası olarak, işletmelerin, IT ve güvenlik ekiplerinin yeniden enfeksiyon riski olmadan soruşturma ve iyileştirme konusunda uyum sağlayabilecekleri izole, güvenli bir ortam olan “Clean Room” kurmayı düşünmeleri gerekir. Bu kontrollü alan, ekiplerin saldırıyı analiz etmelerine, bir zaman çizelgesi oluşturmalarına ve tehdidi ortadan kaldıran ve yeniden enfeksiyonu önleyen bir kurtarma planı geliştirmelerine olanak tanır.
Sistemler temiz olarak onaylandıktan ve veriler kurtarıldıktan sonra, canlı sistemlere yeniden dahil edilmeden önce test edilmek üzere bir hazırlık alanına taşınabilir. Bu, paydaşların istediğinden daha uzun sürebilir, ancak yanlış kurtarmanın maliyeti sonuçta sistemlerin tekrar vurulmasına ve daha uzun süre devre dışı kalmasına neden olabilir.
Daha fazla IT ve güvenlik uyumu sağlamak
IT ve güvenlik ekipleri arasında sağlıklı bir rekabet genellikle mevcuttur. IT yenilik yapmak isterken, güvenlik her şeyi kilitlemek ister. Bu ekipler parlak zihinlerden oluşur. Ancak, bir krizin baskısıyla karşı karşıya kaldıklarında, kaynayan sorunlar su yüzüne çıkabilir veya sorunu çözmeye o kadar kilitlenebilirler ki diğerlerini bilgilendirmeyi ihmal ederler.
Etkili bir olay müdahale stratejisi oluşturmak için ortak bir vizyon belirlemek çok önemlidir. Liderlik, ekiplerin birbirleri hakkında daha fazla bilgi edineceği ve güvenlik sistem mimarisine nasıl entegre edileceği konusunda fikir alışverişinde bulunacağı ortak çalıştaylara ev sahipliği yapmalıdır. Ayrıca, bu oturumlar gerçek dünya krizlerini simüle etmeli, her ekibin yüksek basınçlı bir durumda rollerinin nasıl kesiştiğine aşina olmasını ve gerçek bir kriz ortaya çıktığında rahat hissetmesini sağlamalıdır.
Olay hazırlığı ve esnekliğini ölçme
En önemlisi, IT ve güvenlik ekipleri insanlarını, süreçlerini ve teknolojilerini optimize etmek için siber esneklik olgunluk modeline karşı sürekli olarak kıyaslama yapmalıdır. Ekiplerin bir şeye doğru çalıştığından emin olmak için Tespit Ortalaması, Yanıt Ortalaması ve İyileştirme Ortalaması gibi klasik ölçümler olsa da, Blake’e göre bu, yapılandırılmış faaliyetler aracılığıyla hazırlığı değerlendirmekle ilgilidir.
Fidye yazılımı olaylarından kötü amaçlı yazılım saldırılarına kadar gerçekçi senaryoları simüle ederek, liderlik pozisyonundaki kişiler olay müdahale planını doğrudan test edebilir ve ölçebilir, böylece bu yerleşik bir süreç haline gelir. Gerektiğinde beklenmedik durumlar ekleyin ve bu alıştırmaları süreçlerde, araçlarda veya iletişimde boşlukları belirlemek için kullanın.
Siber esnekliğin bir zincir gibi olduğunu unutmayın; en zayıf halkanın yeteneği, genel siber esneklik seviyenizi aşağı çekecektir. Bu nedenle, Blake’in temel çıkarımı şudur: ortak bir amaç oluşturun, ön cephedeki müdahale ekiplerine net roller vererek yükseltme yollarını basitleştirin, yapabileceğiniz her şeyi otomatikleştirin ve iletişim kanallarının düzenli ve her zaman erişilebilir olduğundan emin olun. Mesleki siloları aşabilir ve güvenlik ile IT’yi birlikte çalışmaya ikna edebilirseniz, diğer sorunların çoğu ortadan kalkacaktır.
