Siber güvenlik olay müdahale planı (IRP), bir siber saldırı anında kurumun hızlı ve koordineli hareket etmesini sağlayan kritik bir dokümandır. Doğru yapılandırılmış bir plan, saldırının yayılmasını engeller, veri kaybını azaltır ve itibar kaybını minimize eder. Peki bu plan nasıl oluşturulur? Gelin adım adım inceleyelim.
1. Hazırlık Aşaması: Ekip ve Kaynaklar
İlk adım, olay müdahale ekibini (CSIRT) belirlemektir. Ekipte BT yöneticileri, güvenlik analistleri, hukuk danışmanları ve üst düzey yöneticiler yer almalıdır. Herkesin rolü net olmalıdır. Aşağıdaki tablo tipik rolleri göstermektedir:
| Rol | Sorumluluklar |
|---|---|
| Olay Yöneticisi | Müdahale sürecini koordine eder, kararları alır ve raporlar. |
| Teknik Analist | Saldırı tekniğini analiz eder, delil toplar ve zararı belirler. |
| İletişim Sorumlusu | İç ve dış paydaşlarla (müşteri, basın) iletişimi yönetir. |
| Hukuk Danışmanı | Yasal yükümlülükleri ve uyum gereksinimlerini denetler. |
| BT Altyapı Uzmanı | Sistemleri yedekler, izole eder ve kurtarma işlemlerini yürütür. |
Ekibin düzenli olarak eğitim alması ve yetkilerinin önceden tanımlanması gerekir. SIEM ve SOAR çözümleri gibi araçlar, olay tespiti ve otomasyonu için ekibe destek sağlar.
2. Olay Türlerini ve Önceliklendirmeyi Belirleyin
Her olay aynı önemde değildir. Kimlik avı saldırısı ile fidye yazılımı saldırısı farklı müdahale gerektirir. Olay türlerini (kötü amaçlı yazılım, DDoS, veri ihlali vb.) sınıflandırın ve her biri için öncelik seviyesi belirleyin. Örneğin:
- Kritik: Fidye yazılımı, veri ihlali, sistem durması
- Yüksek: Yetkisiz erişim, zararlı yazılım tespiti
- Orta: Şüpheli e-posta, başarısız oturum açma denemeleri
- Düşük: Bilgi sorgulama, yanlış pozitif uyarılar
Önemli: Önceliklendirme, ekiplerin kaynaklarını en kritik olaylara yönlendirmesini sağlar. Tüm olayları aynı önemde ele almak kaynak israfına ve kritik saldırıların gözden kaçmasına neden olabilir.
3. İletişim Protokolleri ve Raporlama Zinciri
Olay anında kime, hangi kanaldan, ne zaman bilgi verileceği planlanmalıdır. Acil durum telefon numaraları, yedek iletişim araçları (örneğin Signal) ve kullanılmayacak kanallar (saldırı altındaki e-posta) belirlenmelidir. Ayrıca raporlama şablonları hazırlayın. Örneğin:
- İlk müdahale raporu (30 dakika içinde)
- Durum güncelleme raporu (saatlik)
- Olay sonrası kapanış raporu (24 saat içinde)
Bu süreçte EDR ve antivirüs çözümlerinin sağladığı uyarılar, ekibin hızlı hareket etmesine yardımcı olur.
4. Tespit ve Analiz Süreçleri
Olay tespit edildiğinde, saldırının kapsamını anlamak için adli bilişim incelemesi yapılmalıdır. Hangi sistemler etkilendi? Hangi verilere erişildi? Saldırı vektörü nedir? Bu aşamada günlük kayıtları (log), ağ akış verileri ve uç nokta telemetrisi incelenir. Analiz sonucunda olayın doğruluğu teyit edilir ve öncelik seviyesi netleşir.
5. Kontrol Altına Alma (Containment)
Saldırının yayılmasını durdurmak için geçici ve kalıcı önlemler alınır. Geçici önlemler: etkilenen sistemleri ağdan izole etmek, hesapları devre dışı bırakmak. Kalıcı önlemler: güvenlik yamaları uygulamak, erişim politikalarını güncellemek. Örneğin, SASE mimarisi, uzaktan çalışanlar için daha güvenli ve merkezi bir kontrol sağlar.
6. Kök Neden Analizi ve Düzeltici Faaliyetler
Saldırı kontrol altına alındıktan sonra, altta yatan güvenlik açığı tespit edilmelidir. Zayıf parola mı? Güncellenmemiş yazılım mı? Yoksa bir insan hatası mı? Kök neden bulunduktan sonra düzeltici faaliyetler planlanır ve uygulanır. Bu adım, aynı saldırının tekrarlanmasını engeller.
7. Kurtarma ve İyileştirme
Etkilenen sistemler temiz bir yedekten geri yüklenir, veri bütünlüğü kontrol edilir ve normal iş akışına dönülür. Kurtarma işlemi sırasında ek güvenlik önlemleri alınmalı (örneğin, çok faktörlü kimlik doğrulama etkinleştirme). Ayrıca, olay sonrası bir değerlendirme toplantısı yapılır ve planda güncellemeler yapılır.
Olay Müdahale Planı Kontrol Listesi
- [ ] Ekip üyeleri ve rolleri tanımlandı mı?
- [ ] İletişim kanalları ve acil durum numaraları güncel mi?
- [ ] Olay türleri ve önceliklendirme matrisi hazır mı?
- [ ] Adli bilişim araçları hazır ve eğitimli mi?
- [ ] Düzenli tatbikatlar (masa başı ve canlı) planlandı mı?
- [ ] Yedekleme ve kurtarma prosedürleri test edildi mi?
- [ ] Raporlama şablonları ve zaman çizelgesi belirlendi mi?
- [ ] Hukuk ve uyum gereksinimleri dikkate alındı mı?
Sık Yapılan Hatalar
- Planı rafta bırakmak: Olay müdahale planı kağıt üzerinde kalırsa hiçbir işe yaramaz. Düzenli tatbikatlar yapın.
- Eksik iletişim: Kriz anında hangi kanalın kullanılacağı belli değilse panik başlar.
- Yanlış önceliklendirme: Düşük öncelikli bir olaya fazla kaynak ayırıp kritik olanı kaçırmak.
- Yetersiz delil toplama: Adli bilişim sürecini atlamak, hukuki sorunlara yol açabilir.
Unutmayın: Olay müdahale planı statik değildir. Kurumunuz büyüdükçe, yeni tehditler ortaya çıktıkça planı güncelleyin. Zero Trust mimarisi gibi modern yaklaşımlar, planınızın temelini oluşturabilir. Doğru hazırlanmış bir plan, siber saldırıların etkisini en aza indirmenin anahtarıdır.
Sık Sorulan Sorular
Olay müdahale planı ne sıklıkla güncellenmelidir?
Plan yılda en az bir kez veya büyük bir olay, altyapı değişikliği veya yeni tehdit türü ortaya çıktığında güncellenmelidir. Düzenli tatbikatlar sonunda da elde edilen derslerle revize edilmesi önerilir.
Küçük işletmeler için olay müdahale planı gerekli midir?
Evet, küçük işletmeler de en az büyük kuruluşlar kadar risk altındadır. Sadeleştirilmiş bir plan, ekip rollerini, iletişim protokolünü ve temel adımları içermelidir. Önemli olan plandan çok uygulanabilir olmasıdır.
Olay müdahale planında hangi araçlar kullanılmalıdır?
SIEM ve SOAR platformları olay tespiti ve otomasyon için, EDR çözümleri uç nokta analizi için, adli bilişim araçları (FTK, Autopsy) delil toplama için kullanılabilir. Araç seçimi bütçe ve ihtiyaca göre yapılmalıdır.
Olay müdahale tatbikatı nasıl yapılır?
Masa başı tatbikat (tabletop) senaryolar üzerinden ekip üyelerinin karar verme sürecini test eder. Canlı tatbikat (live fire) ise simüle edilmiş bir saldırıyla gerçek zamanlı müdahaleyi içerir. Her iki yöntem de planın zayıf noktalarını ortaya çıkarır.






