Siber Saldırı Anında ve Sonrasında Ne Yapılmalı? 🚨 Kriz Yönetimi Rehberi
Siber güvenlikte her zaman söylediğimiz bir kural vardır: "Saldırıya uğrayacak mıyım?" değil, "Ne zaman uğrayacağım ve buna ne kadar hazırım?" Günümüzde ne kadar güçlü savunma duvarları (Firewall, EDR) kurarsak kuralım, siber saldırganların hedefi olabilmekteyiz.
Peki, o kaçınılmaz kriz anı geldiğinde ve bir siber saldırı tespit edildiğinde ilk 1-2 saat içinde ve sonrasında ne yapılması gerekir? İşte bir sistem ve ağ yöneticisinin gözünden Olay Müdahale (Incident Response) adımları:
🛑 1. İzolasyon (Yayılımı Durdurun!)
Saldırının fark edildiği an en büyük hata panikle tüm sistemleri kapatmak veya internet fişini çekmektir.
Harekete Geçin: Etkilenen sunucu, istemci veya cihazları ağdan (VLAN) hemen izole edin.
Karantina: Virüsün veya saldırganın yerel ağdaki (lateral movement) diğer sistemlere sıçramasını engellemek için ağ içi firewall kurallarını ve VPN tünellerini geçici olarak askıya alın.
🔍 2. Kanıtları Koruyun (Forensic & Log Analizi)
Saldırganın içeriye nasıl sızdığını (root cause) anlamadan sistemleri ayağa kaldırmaya çalışmak, ikinci bir saldırıya davetiye çıkarır.
Logları Güvenceye Alın: Güvenlik duvarı (Firewall) loglarını, Active Directory loglarını ve SIEM/merkezi loglama sistemlerindeki verileri hemen koruma altına alın.
Analiz: Tehdit avcılığı ve siber istihbarat pratiklerini kullanarak zararlı yazılımın türünü ve sızıntı noktasını tespit edin.
💾 3. Temiz ve Güvenli Geri Dönüş (Yedeklerin Kontrolü)
Sistemleri kurtarmanın en güvenli yolu yedeklerdir, ancak burada kritik bir tuzak var.
Yedek Güvenliği: Saldırganların ilk hedefi genellikle yedekleme sunucularıdır. Veeam veya bulut yedekleme (Cloud Backup) mimarinizin şifrelenmediğinden (Ransomware tarafından etkilenmediğinden) emin olun.
Geri Dönüş (Restore): Yedekleri canlıya almadan önce temiz bir izole ortamda (sandbox) taratın. Saldırganın haftalar önce sızıp yedeklerin içine de arka kapı (backdoor) bırakmış olma ihtimalini mutlaka değerlendirin.
📝 4. Ders Çıkarma (Post-Incident Review)
Kriz atlatıldıktan sonra sistem eski haline dönmüş olabilir, ancak süreç burada bitmez. Ekip olarak masaya oturulmalı; zafiyet analizi yapılmalı, sızma testleri (pentest) yenilenmeli ve son kullanıcı siber güvenlik farkındalık eğitimleri artırılmalıdır.
Sözün Özü: Siber kriz anlarında teknik bilgi kadar, soğukkanlılık ve önceden hazırlanmış bir "Acil Eylem Planı" hayat kurtarır.
