Aramak


ile etiketlendi USOM x Digital evidence x Reputation x Journalists x Identity x

CERT'ler nedir

Bilgisayar Acil Durum Müdahale Ekipleri (CERT'ler) bilgi güvenliğinin korunmasına adanmış kuruluşlardır ve ulusal düzeyde, sektörel düzeyde (finans veya enerji gibi) ve tek bir kuruluş bünyesinde (örneğin şirket CERT'leri) kurulabilirler. Alternatif olarak, bu tür kuruluşlar CSIRT (Bilgisayar Güvenliği Olay Müdahale Ekibi) veya CIRT (Bilgisayar Olay Müdahale Ekibi) olarak adlandırılır.

Yasal çerçeveye bağlı olarak, CERT'in rolü, ulusal düzeyde kazaları izlemeyi, bilgi güvenliği alanında riskler ve olaylar hakkında erken uyarılar ve bilgiler sağlamayı ve aynı zamanda vatandaşlar arasında, devlet kurumlarında ve özel sektörde güvenlik kültürünü teşvik etmeyi içeren eğitici, tavsiye edici, önleyici ve soruşturmacı olabilir.

Sınırlı sayıda bilgi sisteminden sorumlu olmaları nedeniyle, özel CERT'ler genellikle normal sistem işleyişinin yeniden sağlanması, olay ve kötü amaçlı yazılım analizi sürecinde daha aktif bir rol anlamına gelen bir olay yönetimi işlevine sahiptir.

Bu türden ilk kuruluş, ABD'nin Pittsburgh kentindeki Carnegie Mellon Üniversitesi Yazılım Mühendisliği Enstitüsü'nünCERT Koordinasyon Merkezi'dir (CERT / CC). 1990 gibi erken bir tarihte ulusal kuruluşlar, şu anda dünya çapında 500'den fazla üyesi olan FIRST (Olaylara Müdahale ve Güvenlik Ekipleri Forumu) adlı uluslararası kuruluşu kurmuştur. FIRST, eyalet düzeyinde CERT ekiplerini, ticari CERT'leri ve akademik CERT'leri bir araya getirmektedir.

USOM

CERT'lerin Rolü

Her bir CERT'in görevi, BİT (Bilişim ve İletişim Teknolojileri) sistemlerinin güvenliğine yönelik tehditleri izlemek, analiz etmek; tehditlerin belirlenmesinde ve saldırıların önlenmesinde yardım sağlamak; saldırılara uygun yanıtlar için aktörleri güçlendirmek; siber olayların işlenmesinde yasal yardım sağlamak; ilgili kurumlarla iletişimi sürdürmek ve daha fazlasını yapmaktır.

Bir CERT’in faaliyetlerini başarılı bir şekilde uygulayabilmesi için bir hizmet kataloğu oluşturması gerekmektedir. Hizmetler, vizyon, misyon ve hedefler açık ve kesin bir şekilde tanımlanırsa, CERT’in iş ve gelişiminin temel çerçevesi oluşturulmuş olur. Bunlar, kural olarak, diğer şeylerin yanı sıra, bilginin koordinasyonu, izinsiz giriş tespit sistemlerinin izlenmesi, potansiyel tehditlerin analizi ve BİT sistemlerinin güvenliğine yönelik saldırılar, sistemin saldırıların sonuçlarından kurtarılmasıdır. CERT'lerin temel hizmetleri arasında koruma önlemlerinin önerilmesi ve uygulanması, raporlama, analiz ve teknik destek yer almaktadır. Dört temel süreç ışığında daha ayrıntılı olarak tanımlanabilirler: triyaj, çözümleme, bildirim yayınlama ve kullanıcılara geri bildirim verme.

Triyaj süreci temel temas noktasıdır ve elde edilen bilgilerin kabul edilmesi, toplanması, sıralanması ve iletilmesini içerir. CERT triyaj ekibi bazı bilgileri veya bir sorun raporu aldığında, göndericiye mesajın alındığına dair bir onay gönderir ve ardından bilgiler sıralanır, önceliklendirilir, benzersiz bir tanımlayıcı eklenir ve uygulanan hizmetler içindeki diğer süreçlere iletilir.

Olay çözümleme süreci, bildirilen güvenlik olaylarının veya tehditlerin analiz edilmesini ve bunlara yanıt verilmesini içerir. Analiz sırasında neden belirlenir, kanıtlar analiz edilir, olaya kimin dahil olduğu ve ne tür bir desteğe ne ölçüde ihtiyaç duyulduğu belirlenir. Müdahalenin ne olacağı, CERT'in misyonlarına, hedeflerine ve hizmet tanımlarına ve aynı zamanda belirlenen önceliklere bağlıdır.

Bildirim süreci, duyurular, uyarılar, tavsiyeler, kısa bildirimler, kılavuzlar, teknik prosedürler gibi farklı formatlarda bir bildirimdir. Bildirim yapmanın birincil amacı, kullanıcılara sistemlerini korumalarına yardımcı olacak bilgiler sağlamak ya da olası, devam eden veya yakın tarihli tehditler hakkında bilgi vererek potansiyel bir saldırının izlerini bulmaktır. Ek olarak, olayların önlenmesi, tespit edilmesi veya kurtarılması için yöntemler önerilmektedir.

Geri bildirim süreci, talep üzerine veya düzenli bir biçimde (örneğin bir rapor şeklinde) kullanıcılarla ve kuruluşlarla iletişimdir.

Bilgi yönetimi süreci bahsedilen 4 aşamayı da kapsar ve temel sürecin çok önemli bir parçasıdır. Bilginin toplanması ve kaydedilmesi, ardından doğrulanması, kategorize edilmesi ve son olarak depolanması gerekir. Paydaşlara rehberlik veya destek sağlamak için bazı bilgiler yayınlanabilir, ancak süreç boyunca CERT kuruluşu içindeki tüm bilgilerin güvenliği en üst düzeyde olmalıdır.

Buna ek olarak, işbirliği süreci CERT'in diğer kuruluşlarla olan her türlü etkileşimini içerir. Yerel ve bölgesel ortaklar ve müşterilerle mevcut temasların düzenli olarak sürdürülmesi, yeni temasların kurulması ve ayrıca yeterli veri tabanlarının oluşturulması arzu edilir. Bununla birlikte, dört temel sürecin tamamında bilgi alışverişi yapıldığından, verilerin bütünlüğünü, gizliliğini ve kullanılabilirliğini korumak için ortak kuruluşların dikkatle seçilmesi önemlidir.

Ulusal düzeyde BİT sistemlerindeki güvenlik olaylarıyla kapsamlı bir şekilde ilgilenen ulusal CERT'lere ek olarak, dünya çapında bir sektörde, bir grup kuruluşta ve hatta tek bir şirkette bilgi güvenliğini geliştirmeye odaklanan çok sayıda özel CERT bulunmaktadır. Belirli bir topluluğun veya bir grup kuruluşun (akademik kurumlar, bankalar vb.) karmaşıklığı ve özgünlüğü veya şirketler tarafından yönetilen bilgilerin gizli niteliği göz önüne alındığında, son derece uzmanlaşmış uzmanlarıyla özel CERT'ler, siber olaylara karşı korunmak ve önleyici tedbirler oluşturmak için kesinlikle en yetkin adrestir.

Dijital hijyen USOM

Olay bildirimi

Bu araç setinin amaçları doğrultusunda "olayı" ağ ve bilgi sistemlerinin güvenliği üzerinde olumsuz etkisi olan herhangi bir olay olarak tanımlayacağız. Bu, karmaşık ve sofistike teknik saldırılardan insan hatasından kaynaklanan sistem arızalarına kadar değişebilir.

Ancak, bir ülkenin kritik altyapısının (güç kaynağı, telekomünikasyon vb.) bir parçası olan veya bankacılık hizmetleri için kullanılanlar gibi özel öneme sahip BİT sistemleri söz konusu olduğunda, sistemlerindeki olayları yetkili devlet organlarına ve makamlarına bildirme yükümlülükleri vardır. Örneğin, olay bankacılık sektöründe meydana gelmişse, BİT sisteminin operatörünün ülkenin merkez bankasını bilgilendirmesi gerekir.

Ulusal savunmayı veya ulusal güvenliği güçlü bir şekilde etkileyebilecek daha ciddi olaylar ve saldırılar olduğunda, ilgili istihbarat ve güvenlik hizmetleri ve kurumları (askeri veya sivil) da bilgilendirilmelidir. Buna ek olarak, bir olay kişisel verileri içerdiğinde ve etkilediğinde, ulusal veri koruma otoritesi (Komiserlik, Ajans, Komisyon, vb.) de bilgilendirilmelidir.

Bazen aynı anda meydana gelebildikleri için olay türlerini birbirinden ayırt etmek çok zordur. Aşağıda, genellikle yetkili devlet makamlarına bir olay bildirimi gönderilmesini gerektiren bazı olay türlerinin bir listesi yer almaktadır:

● BİT sistemine girme: koruma önlemlerini ihlal ederek BİT sistemine erişim ve işleyişi üzerinde yetkisiz etki sağlayan bir bilgisayar ağı ve sunucu altyapısına saldırı;

● Veri sızıntısı: korunan verilerin, verilere erişim yetkisi olan kişilerin çevresi dışında bulunması;

● Verilerin izinsiz değiştirilmesi;

● Veri kaybı;

● Sistemin veya sistemin bir bölümünün işleyişinde kesinti;

● Hizmet reddi saldırıları [DDoS] ;

● BİT sistemine kötü amaçlı yazılım yüklenmesi;

● Yetkisiz iletişim gözetimi veya sosyal mühendislik yoluyla yetkisiz veri toplama;

● Belirli kaynaklara sürekli saldırı;

● BİT sistem kaynaklarına erişim yetkisinin kötüye kullanılması;

● Diğer olaylar

DDos Hasar Veri sızıntıları USOM Siber Suç

Güvenlik Yasası

Özel öneme sahip BİT sistemlerinin operatörlerinin genellikle bir güvenlik yasasına sahip olmaları ve uygulamaları gerekmektedir. Güvenlik yasası, yeterli düzeyde sistem güvenliğinin sağlanması için koruma önlemlerini, ilkeleri, yöntemleri ve prosedürleri, ayrıca özel öneme sahip BİT sisteminin güvenliği ve kaynakları ile ilgili yetki ve sorumlulukları düzenler. Özel öneme sahip BİT sisteminin operatörü, BİT sisteminde uygulanan önlemlerin güvenlik yasasına uygunluğunu yılda en az bir kez kontrol etmelidir.

Her bir koruma önlemi, örneğin düzenli veri yedeklemesi yapmak, mümkün olduğunca ayrıntılı bir şekilde açıklanmalıdır. Açıklamaya ek olarak, önlem tatbiki sırasında uygulanan ilke ve prosedürleri de içermelidir.

Tedbirler tanımlandıktan ve ilke ve prosedürlere atıfta bulunulduktan sonra, güvenlik yasası her bir tedbirden sorumlu kişiyi belirlemeli ve bu kişi tedbirlerin uygulamada yerine getirilmesini sağlamakla yükümlü olmalıdır.

Veri yedekleme USOM

Şikayette bulunma

Poliseşikayette bulunurken, sadece söz konusu mesajın içeriğini kopyalamak değil, gerekli tüm dijital kanıtları toplamanız önemlidir. Bu genellikle basit bir iş değildir, çünkü teknik bilgi ve sabır gerektirir ki bu da saldırıdan üzüntü duyan çok az insanın kaldırabileceği bir şeydir. Bununla başa çıkamıyorsanız, yardım için bir arkadaşınızı, meslektaşınızı veya aile üyenizi arayın. Bu kişiler saldırıya ilişkin kanıtları kaydedebilir, ancak aynı zamanda saldırının gerçekleştiği platformdaki hesabınızla da ilgilenebilirler. Belgeler saldırının maddi kanıtlarını içermeli ve aramayı kolaylaştıracak şekilde sınıflandırılmalıdır. Saldırılar zamana, konuma, nedene, süreye ve saldırı türüne, platforma yapılan raporlara ve verilen yanıta göre sıralanabildiğinden, bir elektronik tablo kullanmak uygun olabilir. Tüm bunlar avukat, polis, ileri soruşturma ve mahkeme işlemleri için önemli bilgilerdir. Saldırının türünü belirlemeye çalışın, çünkü bazı çevrimiçi tehdit türleri hala halk ve hatta bazen polis tarafından bilinmemektedir. Bu, soruşturmacıların ne olduğunu ve failleri nasıl arayacaklarını daha iyi anlamalarına yardımcı olacaktır.

İlk olarak, ilgili bağlantıları veya URL adreslerini bütünleşik olarak sağlamalısınız, yani saldırı sosyal medyada gerçekleşiyorsa, size tehdit gönderen hesabın bütünleşik bir bağlantısını sağlamalısınız. Ardından, mesajın bir kopyasını meta verileri, yani e-posta başlıklarını içeren bütünleşik bir biçimde kaydetmelisiniz.

Ayrıca, olayda yer alan mesajın, görüntünün veya videonun ekran görüntüsünü/ekran kaydını almak iyi olacaktır. Öte yandan, olayların birkaç bölümü varsa - birden fazla SMS ile karşı karşıyaysanız, bir bilgisayar veya telefondaki bir uygulama aracılığıyla alınan mesajlar vb. - her birinin ekran görüntüsünü almalı veya muhtemelen tüm sürecin bir videosunu çekmelisiniz.

Buna ek olarak, taciz telefon iletişimi yoluyla gerçekleşiyorsa, rapor telefon operatörü tarafından düzenlenen arama kayıtlarını içermelidir, çünkü bunlar aramanın zamanını ve aramanın yapıldığı numarayı içerir, bu da daha fazla araştırmayı kolaylaştırabilir. Ayrıca, teknik destek sağlayabilecek ve zararı azaltabilecek ülkenizdeki bir CERT’e (Bilgisayar Acil Durum Müdahale Ekibi) veya siber suçları soruşturmakla görevli devlet organlarına başvurabilirsiniz.

Dijital kanıt Veri sızıntıları USOM Siber Suç Cezai suçlamalar Polis