Dijital Yangın Tatbikatı
Birçok kurum saldırı anında ne yapacağını bilemez. Fişi çekmek delilleri yok eder, sistemi açık tutmak saldırganın yayılmasına izin verir. Incident Response (Olay Müdahale), bu kaosu yönetmek için önceden hazırlanmış bir plandır.
NIST Müdahale Döngüsü
SANS ve NIST enstitülerinin kabul ettiği 6 adımlı süreç:
1. Preparation (Hazırlık)
Henüz saldırı yokken yapılanlar. Logların açılması, EDR kurulumu, yedeklerin test edilmesi.
2. Identification (Tespit)
Anomalinin fark edilmesi. Bu bir "False Positive" mi yoksa gerçek bir ihlal mi? (Triage).
3. Containment (Çevreleme)
Kanamanın durdurulması. Enfekte sunucunun ağdan izole edilmesi (EDR ile) ama kapatılmaması (RAM analizi için).
4. Eradication (Temizleme)
Kök nedenin (Root Cause) bulunup yok edilmesi. Arka kapıların (Backdoor) silinmesi, şifrelerin değiştirilmesi.
5. Recovery (Kurtarma)
Sistemlerin temiz yedeğe (şifrelenmemiş) döndürülmesi ve kademeli olarak operasyona alınması.
6. Lessons Learned (Ders Çıkarma)
"Nerede hata yaptık?" Raporlama ve prosedürlerin güncellenmesi.