Bu makalemizde BTRWATCH’un SOME(Siber Olaylara Müdahale Ekibi) kavramını nasıl ele aldığına ve nasıl uygulanabilir ve sürdürülebilir somut bir sürece dönüştürdüğüne değineceğiz. Yerli ve USOM'un önerilerine tam uyumlu SOME yazılımı BTRWATCH ile yolunuzu kaybetmeden başarılı bir şekilde SOME süreçlerini uygulayabilirsiniz.
Tavsiye edilen, siber olay henüz gerçekleşmeden, kurumun bilgi güvenliği risk analizi yaptırması ve bilgi güvenliği risklerini belirlemesidir. Risk analiz sonucu, tespit edilen risk senaryoları için düzeltici faaliyetler hazırlanmalıdır. BTRWATCH ile bilgi güvenliği risk analizini (ISO27001:2013 uyumlu) istediğiniz risk hesaplama formülünü(parametrik risk hesaplama formülü) uygulayarak çok kolay bir şekilde hazırlayabilirsiniz. Bilgi güvenliği risk analizi dönemlik olarak tekrarlanması gereken bir süreç olduğu için, kurumun olay hafızasının bulunması ve bu olayların risk analizinde ele alınıyor olması önemlidir. Yani risk analizini gerçekleştirirken, bilgi varlıkları ile ilgili daha önceden gerçekleşmiş olay kayıtlarının tutulup varlıklarla ve bilgi güvenliği kontrolleri ile ilişkili bir biçimde risk analizi sürecinde ele alınarak olasılık değerlerinin tespiti konusunda bilgi vermesi gerekir. BTRWATCH Risk Analizi Modülü ve Olay Yönetimi modülü bu gereksinimleri çok detaylı bir şekilde karşılamaktadır.
Şimdi BTRWATCH SOME - Olay Yönetimi modülü ve Risk Analizi modülünün nasıl çalıştığını inceleyelim. Başlamadan önce BTRWATCH’ kullanıcı rol yapısı hakkında biraz bilgi verelim. Kullanıcılar sistem üzerinde tanımlanırken daha önceden tanımlanmış ve yetkileri belirlenmiş gruplara atanırlar. Kullanıcılar sisteme giriş yaptıklarında dahil oldukları grubun yetkileri çerçevesinde işlem yapabilirler.
SOME - Olay Yönetim Modülü
Olay yönetim modülünde olay türleri öntanımlı olarak gelir ve ekleme güncelleme yapılabilir.Olay Türleri
- Olay Türü
- Olay Türü Açıklaması
- Olay Oluştuğunda Bildirim Yapılacaklar Kullanıcılar
- Olay Kaydı Kapatılınca Bildirilecek Kullanıcılar
- Eskalasyon Yapıldığında Bildirilecek Kullanıcılar
- Hedef Müdahale Süresi
- Olay Müdahale Ekibi
- Eskalasyon Yapılacak Kişi(ler)
SOME – Olay Kayıt
Olay kaydı girme yetkisine sahip kullanıcı(lar), bir olay gerçekleştiğinde Olay Kayıt ekranında Olay kaydı açar.Bir olay kaydı açma işlemi şu adımlardan oluşur;
- Olay türü seçilir.
- Olay Türü seçilince, seçilen olay türünün olay müdahale ekibi listesi gelir(olay türü tanımlanırken olay türü bazında tanımlanmış kullanıcılar). Buradan Olayın atanacağı kullanıcı(lar) seçilir.
- Olayın kesintiye sebep olup olmadığı belirtilir.
- Olayın başlangıç tarihi ve zamanı girilir.
- Olayın tespit edildiği zaman girilir.
- Olay açıklaması girilir.
- Etkilenen bilgi varlık ve sistemleri seçilir.
- Varlık yada olay ile alakalı ISO27001 Bilgi Güvenliği kontrol(leri) seçilir. Bu kontroller BTRWATCH sisteminde ön tanımlı olarak gelmektedir.
- (Varsa) olay ile ilgili dosya ve kanıt yüklenir.
Artık sistemin takip ettiği bir olay kaydı oluşmuştur. Olay müdahale süresi dolmaya yaklaştığında ve olaya müdahale edilmediğinde gerekli gerekli hatırlatma bildirimleri gönderilir.
Olayın atandığı kullanıcılar(olay müdahale ekibi) sisteme giriş yaparak olay ile ilgili aksiyonları, düzeltici faaliyet kayıtlarını, dosya/kanıt girişlerini yapabilirler. Yada başka bir kullanıcıya görevi transfer edebilirler. Bu transfer işlemini aynı zamanda olay yönetim ekibi de gerçekleştirebilir.
Eğer olayın atandığı kullanıcı(lar) olayı müdahale süresi dolmadan kapatmaz ise olay türü basında tanımlanmış olan eskale edilecek olan kullanıcı(lar)’a gerekli bildirimler gönderilir.
SOME – Olay Müdahale
Güvenlik olayı gerçekleştiğinde ve kaydı girildiğinde olayın atandığı kullanıcılara yani olay müdahale ekibine mail ile bildirim yapılır. Aynı zamanda sisteme giriş yaptıklarında da gerekli bildirimi görürler.Olay müdahale ekranında kullanıcılar kendilerine atanmış tüm olayları listeleyebilir durumunu görebilirler.
Olay müdahale işlemlerinden sonra, olay yönetim modülünde olay müdahale ekranını açarak dosya/kanıt girilebilir yada DF(düzeltici faaliyet) oluşturulabilirler. Ardından Gerekli açıklama be aksiyon bilgilerini girerek olay kaydını kapatabilirler.
Olay kaydı kapatılınca olay yönetim ekibi ve olay türü bazında olay kaydı kapatıldığında bildirim yapılacak kullanıcılara gerekli bildirim yapılır.
SOME – Olay Takibi
Olay yönetim ekibi yada yetkisi olan kullanıcılar olay takip ekranında tüm olay kayıtlarını ve durumlarını izleyebilirler. Aynı zamanda detaylı filtreler de uygulayabilirler.Olay kayıtlarını Excel ortamına da export edebilirler.
BTRWATCH, bilgi güvenliği olay kayıtlarını sisteme girdiğimizde bu olayların takibi ve yönetimi konusunda kolaylık sağlamasının yanı sıra risk analizi sürecine de önemli derecede ışık tutmaktadır. Biraz açacak olursak; Artık risk analizi yaparken bir varlığa baktığımızda, bu varlığın başına daha önce hangi olaylar gelmiş bilgisini görebiliriz. Bu da bize daha sağlıklı ve gerçeğe daha yakın bir risk analizi yapmamızı sağlar.
Bu makalemizde BTRWATCH’un yüzeysel olarak bazı fonksiyonlarını ve SOME(Siber Olaylara Müdahale Ekibi) yaklaşımını anlatmaya çalıştık.