Siber Olay Müdahale (IR) Playbook'u: NIST SP 800-61 Çerçevesinde Şirket İçi Hazırlık
NIST SP 800-61 6 fazı (Preparation/Identification/Containment/Eradication/Recovery/Lessons Learned). USOM 3 saat, KVKK 72 saat. CSIRT/SIRT/SOC yapısı, RACI matrisi, 10 hazırlık checklist, 6 olay tipi mini-playbook (ransomware, phishing, DDoS, insider, leak, supply chain). Tabletop egzersiz.
Siber Olay Müdahale (IR) Playbook'u: NIST SP 800-61 Çerçevesinde Şirket İçi Hazırlık
TL;DR: Siber olaylar artık "olur mu" sorusu değil, "ne zaman olacak" sorusu. NIST SP 800-61 Rev 2, kanıtlanmış 6 fazlı bir müdahale çerçevesi sunuyor: Preparation, Identification, Containment, Eradication, Recovery, Lessons Learned. Türkiye'de USOM 3 saat ve KVKK 72 saat bildirim yükümlülükleri var. Bu rehber; CSIRT yapısı, RACI iletişim matrisi, 10 maddelik hazırlık checklist'i ve 6 ayrı olay tipi için mini-playbook içeriyor. Sonunda DSET IR retainer paketini bulacaksınız.
Neden Bir IR Playbook'u Şart?
2021 Colonial Pipeline saldırısı ABD'nin doğu yakası yakıt arzını günlerce felç etti. 2023 MOVEit Transfer zafiyeti binlerce şirketin verisini sızdırdı. 2021 HSE Ireland fidye saldırısı İrlanda sağlık sistemini haftalarca durdurdu. Bu üç vaka tek bir gerçeği gösteriyor: olay öncesi hazırlığı olmayan kurumlar, saldırı sırasında doğaçlama yönetim yapmaya çalışıyor ve çoğu zaman kaybediyor.
Türkiye siber tehdit manzarası hızla ağırlaşıyor. Fidye yazılımları artık şifrelemeden önce veri sızdırıyor, EDR ile XDR farkı önemli ama tek başına yeterli değil. Tespit kabiliyeti kadar koordine müdahale yeteneği de gerekiyor.
NIST SP 800-61 Rev 2, dünyada en yaygın kabul gören IR çerçevesi. Bu yazıda çerçeveyi Türkiye mevzuatı (KVKK + USOM) ile birleştiren uygulanabilir bir playbook çıkaracağız.
Otorite kaynaklar: NIST SP 800-61 Rev 2, NIST CSF, SANS Incident Response, CISA, USOM, KVKK, MITRE ATT&CK.
NIST SP 800-61 Altı Fazı
Faz 1: Preparation (Hazırlık)
Müdahale, olaydan sonra değil aylar önce başlar. Hazırlık fazı tüm IR programının temelidir. Politika dokümanları, varlık envanteri, log toplama altyapısı, iletişim listeleri, hukuki danışman sözleşmeleri, yedek prosedürleri bu fazda kurulur.
Burada en kritik unsur: kararları olay anında değil, sakin kafa ile bugünden vermek. Örneğin "fidye ödenecek mi" sorusunun cevabı, sistemler şifrelenmişken değil tabletop egzersizinde tartışılmalı.
Faz 2: Detection and Analysis (Tespit ve Analiz)
Bir olayın olduğunu anlamak çoğu zaman saldırının kendisinden daha zor. SIEM uyarıları, EDR alarmları, kullanıcı bildirimleri, harici ihbarlar (USOM, müşteri, araştırmacı) tetikleyici olabilir.
Bu fazda iki temel soru cevaplanır: (1) Bu gerçekten bir güvenlik olayı mı yoksa false positive mi? (2) Ne kadar yayıldı? MITRE ATT&CK framework'ü kill chain analizinde yol gösterir.
Faz 3: Containment (Sınırlama)
Yangını söndürmeden önce yayılmasını durdurmak gerekir. NIST iki strateji önerir: kısa vadeli (etkilenen makineyi ağdan izole etmek) ve uzun vadeli (geçici çözümlerle iş sürekliliğini koruyup kalıcı düzeltmeye hazırlık).
Sınırlama kararları her zaman kolay değildir. Etkilenen sunucuyu kapatmak kanıtı yok edebilir, açık bırakmak yayılmaya izin verir. Bu denge önceden tartışılmış olmalı.
Faz 4: Eradication (Temizleme)
Saldırganın varlığı sistemden tamamen kaldırılır. Backdoor'lar, persistance mekanizmaları, ele geçirilmiş hesaplar, kötü amaçlı zamanlanmış görevler temizlenir. Tek bir artık bile saldırganın geri dönmesi için yeterlidir.
Faz 5: Recovery (Kurtarma)
Sistemler temiz hâle getirildikten sonra üretime alınır. Bu fazda monitör seviyesi yükseltilir, yeniden enfeksiyon belirtileri yakından izlenir. Kurtarma yavaş ve kontrollü olmalı, "bir an önce normale dönelim" baskısı genelde yeniden saldırıya kapı açar.
Faz 6: Post-Incident Activity (Olay Sonrası)
72 saat içinde "lessons learned" toplantısı yapılır. Neyi iyi yaptık, neyi geç fark ettik, hangi kontrol işe yaramadı sorgulanır. Bulgular playbook'a yansıtılır. Bu faz atlanırsa aynı olay tekrar yaşanır.
Playbook Formatı: Tehdit Kategorisi Başına
İyi bir IR playbook'u tek bir devasa dokuman değildir. Her olay tipi için ayrı, kısa, eyleme dönük mini-playbook'lar olmalı. Her playbook şu başlıkları içerir:
- Olay tanımı ve tetikleyici sinyaller
- İlk müdahale ekibi (kim aranır, kim karar verir)
- İlk 60 dakika eylemleri (containment)
- İlk 4 saat eylemleri (analiz + eradication başlangıcı)
- İlk 24 saat eylemleri (recovery + dış bildirimler)
- Kanıt toplama listesi
- Hukuki bildirim eşikleri (USOM, KVKK)
- Kapanış kriterleri
Ekip Yapısı
| Rol | Sorumluluk |
|---|---|
| CSIRT (Computer Security Incident Response Team) | Tüm IR programının sahibi, üst seviye koordinasyon |
| SIRT (Security Incident Response Team) | Operasyonel müdahale, teknik eradication |
| SOC (Security Operations Center) | 7/24 izleme, ilk tespit, triage |
| Hukuk | KVKK bildirimi, sözleşmeli yükümlülükler, delil zinciri |
| PR / Kurumsal İletişim | Medya, müşteri ve çalışan iletişimi |
| Üst Yönetim | Stratejik kararlar (fidye, durdurma, kamu bildirimi) |
| İK | Insider olaylarda personel süreci |
| Dış IR firması | Uzmanlık eksiği varsa retainer ile devreye girer |
İletişim Matrisi (RACI)
| Eylem | SOC | SIRT | CSIRT Lead | Hukuk | PR | CEO |
|---|---|---|---|---|---|---|
| İlk triage | R | C | I | I | I | I |
| Containment kararı | C | R | A | I | I | I |
| KVKK bildirimi | I | C | C | R | I | A |
| USOM bildirimi | C | C | R | C | I | A |
| Medya açıklaması | I | I | C | C | R | A |
| Fidye kararı | I | C | C | C | C | A/R |
R: Responsible, A: Accountable, C: Consulted, I: Informed.
Müdahale Öncesi 10 Hazırlık Checklist
- Varlık envanteri: Kritik sistemler, sahipler, iş etkisi seviyeleri belgelenmiş mi?
- Log altyapısı: Endpoint, ağ, kimlik logları en az 90 gün merkezi olarak tutuluyor mu?
- EDR/MDR: Tüm endpoint'lerde davranış tabanlı tespit aktif mi?
- Yedekleme: 3-2-1 kuralı, immutable backup, restore testleri yılda en az iki kez?
- İletişim listesi: Mesai dışı ulaşılacak kişiler, yedekleri, alternatif kanalları (Signal/telefon)?
- Hukuki danışman: Siber olaylar konusunda uzman avukat sözleşmesi hazır mı?
- Dış IR retainer: Olay öncesi sözleşmeli IR firması var mı?
- Tabletop egzersizleri: Yılda en az bir kez senaryo bazlı tatbikat?
- Forensic kit: Disk imaging araçları, write blocker, kanıt çantası hazır mı?
- Karar matrisleri: Fidye ödeme, üretim durdurma, kamu bildirimi eşikleri yazılı mı?
Olay Tipleri ve Mini-Playbook'lar
Ransomware (Fidye Yazılımı)
Sinyaller: Toplu dosya uzantı değişimi, gölge kopya silinmesi, EDR'da şüpheli encryption davranışı, fidye notları.
İlk 60 dakika: Etkilenen segmenti VLAN seviyesinde izole et. AD üzerinde compromise olduğu varsayılan hesapların token'larını revoke et. Yedek sistemlere salt-okunur erişim doğrula.
İlk 4 saat: Patient zero'yu bul (genelde ilk şifrelenen makine değil, ilk persistance kurulan). Lateral movement yollarını haritala. Veri sızdırılma var mı (double extortion) trafik loglarından kontrol et.
İlk 24 saat: USOM bildirimi (3 saat içinde yapılmış olmalı). Kişisel veri sızıntısı varsa KVKK 72 saat sayacı başladı. Restore stratejisi netleşmeli.
Detaylı strateji için fidye yazılım sonrası ilk 24 saat rehberimize bakın.
Phishing
Sinyaller: Kullanıcı raporu, mail gateway uyarısı, anormal OAuth onayı, beklenmedik MFA reddi.
İlk 60 dakika: Maili tüm gelen kutularından geri al, gönderici domain'i bloklayın, tıklayanların makinelerini EDR'da tara, etkilenen hesapların oturumlarını sonlandır.
İlk 4 saat: Hangi credential'ların girildiğini belirle, varsa MFA bypass denemesi araştır, gelen kutusunda yeni inbox kuralları (auto-forward) var mı kontrol et.
Detaylı belirtiler için phishing nasıl anlaşılır yazımıza bakın.
DDoS
Sinyaller: Servislerde yavaşlama, anormal bağlantı sayısı, CDN/WAF'tan alarm.
İlk 60 dakika: Upstream sağlayıcı + CDN ile irtibata geç, rate limiting devreye al, gerekirse coğrafi bloklama uygula.
İlk 4 saat: Saldırı türünü belirle (L3/L4 volumetric, L7 application). DDoS bazen daha büyük saldırının dikkat dağıtıcısıdır, eş zamanlı diğer logları tara.
Insider Threat
Sinyaller: Anormal veri indirme, mesai dışı erişim, ayrılan çalışanın aktivitesi, USB kopyalama.
İlk 60 dakika: İK ve hukuk eşliğinde hareket et. Kanıt zinciri kritik. Erişimi sessizce kısıtla (immediate cut-off kanıt kaybına yol açabilir).
İlk 4 saat: Forensic image al, davranışı zaman çizgisine oturt, yetkisiz veri çıkışını boyutlandır.
Data Leak
Sinyaller: Dark web/Telegram'da veri ilanı, müşteri bildirimi, araştırmacı ihbarı.
İlk 60 dakika: Sızıntının gerçekliğini doğrula (örnek satırları kendi DB'nle karşılaştır). Hangi sistemden çıktığını tespite başla.
İlk 4 saat: KVKK bildirimi için sayaç başladı, etkilenen kişi sayısı ve veri kategorileri netleşmeli. Detaylı süreç için KVKK veri ihlali bildirimi yazısına bakın.
Supply Chain
Sinyaller: Tedarikçi duyurusu, kullandığın bir yazılımda 0-day, SolarWinds tipi paket güncellemesi sonrası anormal davranış.
İlk 60 dakika: Etkilenen yazılımın kurulu olduğu tüm sistemleri listele, gerekirse devre dışı bırak.
İlk 4 saat: Tedarikçinin advisory'sini detaylıca incele, IOC'leri kendi ortamında tara, MITRE ATT&CK eşleştirmesi yap.
Forensic Evidence Preservation
Adli bilişim süreci ISO 27037 standardı çerçevesinde yürütülmeli. Temel ilkeler:
- Orijinali değiştirme. Tüm analiz forensic image üzerinde yapılır, write blocker kullanılır.
- Kanıt zinciri (chain of custody). Kim, ne zaman, neye dokundu kayıt altında.
- Hash doğrulama. SHA-256 ile imaj bütünlüğü her aşamada doğrulanır.
- Volatile data önceliği. RAM, açık bağlantılar, çalışan process'ler kapatılmadan önce alınır.
- Zaman damgası. Tüm aksiyonlar UTC olarak loglanır, sistem saatleri NTP ile senkron olmalı.
Mahkemede kullanılabilir kanıt için bu süreç pazarlık konusu değildir. Tek bir adımın atlanması, tüm davayı çürütebilir.
USOM 3 Saat ve KVKK 72 Saat
Türkiye'de iki kritik bildirim eşiği var:
USOM (Ulusal Siber Olaylara Müdahale Merkezi): Kritik altyapı ve düzenlenmiş sektörlerde siber olaylar 3 saat içinde bildirilmeli. Bildirim formatı USOM portalı üzerinden.
KVKK 72 saat: Kişisel verilerin sızdırıldığı veya yetkisiz erişime uğradığı tespit edildiğinde, makul süre (KVKK kararıyla 72 saat) içinde Kuruma bildirim zorunlu. Detaylar için KVKK veri ihlali bildirimi yazımıza bakabilirsiniz.
Bu süreler "olayı anladıktan sonra" başlar, ancak fark etmenin geciktiğini ispatlamak zordur. Pratikte sayaç ilk anormal sinyalden itibaren çalışır kabul edilmelidir.
Yıllık Tabletop Egzersizi
Playbook kağıt üzerinde mükemmel görünebilir, ama gerçek olayda işe yaramayabilir. Yılda en az bir kez senaryo bazlı tabletop egzersizi yapılmalı. Senaryo örneği: "Cuma saat 17:45'te SOC, ana ERP sunucusunda fidye yazılımı tespit etti. Yedek son 18 saattir alınamıyor. Pazartesi dönem sonu kapanışı var."
Egzersiz sırasında her rol kendi kararını verir, kararlar logged. Sonunda gerçek kararlarla beklenen kararlar karşılaştırılır, playbook güncellenir.
Post-Incident Review
Her olay sonrası 72 saat içinde, suçlamasız (blameless) bir post-mortem yapılır. Üç soru:
- Ne işe yaradı, neyi koruyalım?
- Neyi geç fark ettik, neyi atladık?
- Bir sonraki sefere ne yapacağız (somut aksiyon + sahip + tarih)?
Çıktı playbook'a yansır. Yansımayan ders, öğrenilmiş ders değildir.
SSS
1. Küçük şirketlerin de IR playbook'una ihtiyacı var mı? Evet. Saldırganlar büyük/küçük ayırt etmiyor; küçük şirketler genelde tedarik zinciri kapısı olarak hedefleniyor.
2. Playbook ne sıklıkla güncellenmeli? En az yılda bir, ayrıca her gerçek olay veya tabletop sonrası.
3. Fidye ödenmeli mi? Politika gereği önerilmez. Karar üst yönetime aittir, ödeme bile garantisiz. Kararı bugünden vermelisiniz.
4. Dış IR firması mı, iç ekip mi? İdeal kombinasyon: iç SIRT + dış retainer. Dış firma uzmanlık ve kapasite getirir, iç ekip bağlam ve hız getirir.
5. SIEM olmadan IR yapılabilir mi? Çok zor. En azından merkezi log toplama ve endpoint EDR olmalı. Görmediğinizi durduramazsınız.
6. KVKK bildirimi her veri ihlalinde mi yapılır? Risk değerlendirmesine bağlı. Hukuki danışmanla birlikte karar verilir, ancak şüphede bildirme eğilimi tercih edilmelidir.
7. Cyber sigorta IR'nin yerine geçer mi? Hayır. Sigorta finansal kaybı kısmen telafi eder, müdahaleyi yapmaz. Çoğu poliçe IR firması seçimini bile kendi paneline kısıtlar.
8. Tabletop egzersizinde kimler olmalı? Sadece teknik ekip değil; hukuk, PR, üst yönetim, gerekirse İK ve Finans. Karar verici masada olmalı.
DSET IR Retainer Paketi
Olay anında "şimdi IR firması nasıl bulurum" telaşı, kaybedilen ilk saatler demektir. DSET IR retainer paketi şunları içerir:
- 7/24 hotline + 1 saat içinde uzaktan müdahale başlangıcı
- Yıllık tabletop egzersizi + playbook hazırlık
- Olay anında öncelikli devreye girme garantisi
- Forensic imaging + chain of custody yönetimi
- USOM ve KVKK bildirim desteği
- Post-incident review + dersler raporu
İletişim: Hacettepe Teknokent, Beytepe Ankara · +90 536 662 38 09
Bir sonraki olayda hazırlıklı yakalanmak için bugün arayın.
Kaynaklar: NIST SP 800-61 Rev 2, NIST CSF, SANS Incident Response, CISA, USOM, KVKK, MITRE ATT&CK
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.