NIST Special Publication 800-61 Revision 2, başlığıyla "Computer Security Incident Handling Guide", Ağustos 2012'de yayımlanmıştır. NIST kataloğunda nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf adresinden erişilebilir. ABD Ticaret Bakanlığı bünyesindeki bu kılavuz, kurumsal siber olay müdahalesi için dünya çapında en yaygın kullanılan referans dokümanıdır. ENISA'nın Good Practice Guide for Incident Management belgesi, Microsoft Incident Response Playbook'u ve SANS PICERL modeli bu kaynakla aynı dil ailesindendir.
NIST SP 800-61 Revision 2, olay müdahale yaşam döngüsünü dört faza ayırır.
- Preparation, hazırlık
- Detection and Analysis, tespit ve analiz
- Containment, Eradication and Recovery, çevreleme, ortadan kaldırma ve kurtarma
- Post-Incident Activity, olay sonrası faaliyet
Bu rehber, dört fazın her birini somut kontrol listeleri ile Türkçe ortama uyarlamaktadır. Her bölümün sonunda DSET ekibinin saha deneyiminden gelen pratik notlar yer almaktadır.
Bölüm 1. Faz 1 - Hazırlık
Hazırlık fazı, olay olmadan önce yapılan tüm yatırımı içerir. NIST, bu fazın iki ana hedefi olduğunu söyler. Birincisi, olay müdahale kabiliyetinin oluşturulması. İkincisi, olayların oluşma ihtimalinin azaltılması yani önleyici güvenlik.
1.1. Olay müdahale kabiliyeti kontrol listesi
| Sıra | Kontrol maddesi | Durum |
|---|---|---|
| 1 | Olay müdahale politikasının yönetim onayı ile yayımlanmış olması | _ |
| 2 | Olay müdahale ekibinin (CSIRT veya IRT) tanımlı olması | _ |
| 3 | Komuta zinciri ve yedek imza yetkilerinin yazılı olması | _ |
| 4 | İletişim ağacı (çağrı listesi) son 90 gün içinde güncellenmiş olması | _ |
| 5 | Dış destek sözleşmesinin (forensic retainer) imzalanmış olması | _ |
| 6 | Olay sınıflandırma matrisinin tanımlı olması | _ |
| 7 | Önemli sistemler için runbook'ların yazılı olması | _ |
| 8 | İletişim şablonlarının hazır olması (iç, dış, basın, regülatör) | _ |
| 9 | Hukuki süreç akışının (KVKK, USOM, BTK) belgelenmiş olması | _ |
| 10 | Yıllık tatbikat takvimine en az 2 tabletop ve 1 canlı tatbikat eklenmiş olması | _ |
1.2. Önleyici kontroller kontrol listesi
| Sıra | Kontrol maddesi | Durum |
|---|---|---|
| 1 | Varlık envanteri (CMDB) son 30 gün içinde tutarlılık kontrolünden geçmiş olması | _ |
| 2 | Yama yönetiminin CVSS 9 ve üzeri için 7 gün, 7-9 arası için 30 gün SLA ile çalışması | _ |
| 3 | EDR / XDR konuşlandırmasının uç noktaların yüzde 95 üzerinde olması | _ |
| 4 | Privileged Access Management (PAM) yetkili hesaplar için aktif olması | _ |
| 5 | Çoklu faktör kimlik doğrulamasının yönetici hesaplarının yüzde 100'ünde aktif olması | _ |
| 6 | SIEM ve log toplamanın kritik kaynakların yüzde 95 üzerinde olması | _ |
| 7 | Yedeklerin 3-2-1 kuralına uyumlu olması, en az birinin offline olması | _ |
| 8 | Ağ segmentasyonunun production / yönetim / kullanıcı / DMZ ayrımını sağlaması | _ |
| 9 | E-posta için DMARC, DKIM, SPF kayıtlarının enforce modunda olması | _ |
| 10 | Yıllık güvenlik farkındalık eğitiminin yüzde 90 katılım ile tamamlanmış olması | _ |
1.3. DSET saha notu
Hazırlık fazında en sık karşılaşılan eksiklik, kağıt üstünde var olan ama erişilebilir olmayan dokümanlardır. Olay anında "kim aranacak" çizelgesinin paylaşılan bir dosya sunucusunda durması, o sunucunun fidye yazılım nedeniyle erişilemez hale gelmesiyle anlamsız bir bilgiye dönüşür. Çağrı ağacı, ofline kopya olarak basılı klasörde de bulunmalıdır.
Bölüm 2. Faz 2 - Tespit ve Analiz
NIST SP 800-61, tespit aşamasında olay göstergelerini iki gruba ayırır.
- Precursor, olay öncesi gösterge. Henüz olay yok, ama gelecekteki olayın işaretleri var. Örneğin port taraması.
- Indicator, olay göstergesi. Olay olmuş ya da olmaktadır. Örneğin yetkisiz hesap oluşturma.
2.1. Tespit kontrol listesi
| Sıra | Kontrol maddesi | Çıktı |
|---|---|---|
| 1 | SIEM uyarısının ya da kullanıcı bildiriminin alınması | Olay bileti |
| 2 | Olayın ilk teyit edilmesi, false positive elenmesi | Triage notu |
| 3 | Olay numarasının ve önem derecesinin atanması | Önem etiketi |
| 4 | İlk komuta zinciri çağrısının yapılması | Çağrı kaydı |
| 5 | Etkilenen sistem ve kullanıcı tahmini | Ön envanter |
| 6 | İlk delil koruma kararı (snapshot, RAM dump, log korumaya alma) | Delil kayıt formu |
| 7 | Hukuk birimi bilgilendirmesi (KVKK kategorisi var mı) | Hukuk notu |
| 8 | İlk içsel iletişim mesajının atılması | Mesaj kopyası |
| 9 | Olay biletinin kapsama dahil edilen tüm aktörlerle paylaşılması | Erişim listesi |
| 10 | Süre takip saatinin başlatılması (T0 ataması) | Süre çizelgesi |
2.2. Etki ölçütleri tablosu
NIST SP 800-61 Figure 3-2'nin Türkçe uyarlaması aşağıdadır. Bu tablo, olayın yarattığı etkinin üç boyutta puanlanmasına yardımcı olur.
| Boyut | Düşük | Orta | Yüksek |
|---|---|---|---|
| Fonksiyonel etki | Hiçbir kritik servise etki yok | Bazı kritik olmayan servisler aksıyor | Kritik servislerin tamamı durmuş |
| Bilgi etkisi | Hassas veriye erişim yok | Hassas veriye olası erişim, henüz teyit yok | Hassas veri sızıntısı teyit edildi |
| Kurtarılabilirlik | Önceden tanımlı kaynaklarla saatler içinde geri dönüş | Ek kaynak gerekli, günler içinde geri dönüş | Kurtarmanın mümkün olduğu belirsiz |
Bir olayın önem derecesi, üç boyuttan en yükseğine göre belirlenir.
2.3. Volatility 3 ile RAM dump akışı
Volatility 3, Python tabanlı açık kaynak hafıza analiz çerçevesidir. github.com/volatilityfoundation/volatility3 deposunda yayımlanır. Bir Windows sistemden uçucu kanıt toplama akışı aşağıdaki gibidir.
- Disk üzerinden değil, yazma korumalı USB üzerinden çalıştırılan WinPMem veya FTK Imager Lite ile fiziksel RAM imajı alınır.
- İmajın SHA-256 hash'i alınır, delil formuna yazılır.
- İmaj iki kopya halinde delil deposuna yerleştirilir.
- Analiz kopyası üzerinde Volatility 3 çalıştırılır.
- windows.pslist plugini ile aktif process listesi çıkarılır.
- windows.pstree plugini ile parent-child ilişkisi görselleştirilir.
- windows.netscan plugini ile ağ bağlantıları ve dinleyen portlar çıkarılır.
- windows.cmdline plugini ile her process'in komut satırı argümanları alınır.
- windows.malfind plugini ile şüpheli injection bölgeleri taranır.
- windows.dlllist ve windows.handles plugini ile yüklenen DLL'ler ve handle'lar incelenir.
Linux sistemler için linux.pslist, linux.pstree, linux.netstat plugini benzer iş akışını sağlar.
2.4. Chain of custody form şablonu
ISO 27037 standardı, dijital delilin tanımlanması, toplanması, edinilmesi ve korunması süreçlerini tanımlar. Aşağıdaki form, ISO 27037 ile uyumlu temel delil zinciri kaydını çıkarmaya yarar.
| Alan | Açıklama |
|---|---|
| Delil ID | Benzersiz numara, örneğin DSET-2026-001 |
| Edinim tarihi ve saati | UTC ve yerel saat dilimi |
| Edinim yeri | Coğrafi konum, sistem ve port |
| Edinen kişi | Ad, soyad, unvan, iletişim |
| Edinim aracı | Donanım veya yazılım, sürüm |
| Yazma koruma | Var, yok, hangi yöntem |
| Hash algoritması | SHA-256, SHA-1 (sadece referans) |
| Hash değeri | Tam karakter dizisi |
| Saklama yeri | Fiziksel kasa, mantıksal vault |
| Erişim kaydı | Tarih, kişi, amaç, imza |
Form, her transferde yeni bir satırla genişletilir. Boş bırakılan alan, delilin mahkemede reddedilmesine yol açabilir.
Bölüm 3. Faz 3 - Çevreleme, Ortadan Kaldırma ve Kurtarma
NIST, bu fazı tek bir başlık altında toplar çünkü adımlar birbirini takip eder, ancak iç içe geçmiş kararlar içerir.
3.1. Containment trade-off, kısa vadeli ve uzun vadeli
Çevreleme kararı verilirken iki ayrı zaman ufku gözetilir.
Kısa vadeli çevreleme: Saldırının yayılmasını dakikalar içinde durdurmak için yapılan acil müdahalelerdir. Etkilenen uç noktanın ağdan izolasyonu, şüpheli hesabın askıya alınması, dış bağlantının firewall ile kesilmesi tipik örneklerdir. Kısa vadeli çevreleme delilleri tahrip etmemeli, ancak hızı hedeflemelidir.
Uzun vadeli çevreleme: Kalıcı çözüm yerine geçici sağlam zeminin oluşturulmasıdır. Etkilenen sistem için yeni bir izole VLAN, geçici proxy üzerinden internet erişimi, eski kimlik bilgilerinin tamamen invalidate edilmesi gibi adımları içerir. Uzun vadeli çevreleme, kurtarmaya hazırlık fazıdır.
Bu ikilemde tipik hata, kısa vadeli çözümün hızla "kalıcı" hale gelmesi ve uzun vadeli sağlamlaştırmanın askıya alınmasıdır.
3.2. Çevreleme kontrol listesi
| Sıra | Kontrol maddesi | Sonuç |
|---|---|---|
| 1 | Etkilenen uç noktanın ağdan izolasyonu (EDR isolation) | _ |
| 2 | Şüpheli hesabın askıya alınması, oturumlarının invalidate edilmesi | _ |
| 3 | C2 IP adreslerinin firewall ve DNS sinkhole ile bloklanması | _ |
| 4 | Yedek sunucularının saldırgan trafiğinden ayrılması | _ |
| 5 | Domain Controller log kayıtlarının ek korumaya alınması | _ |
| 6 | Etkilenen segmentin geçici VLAN'a taşınması | _ |
| 7 | Üçüncü taraf bağlantılarının (VPN, B2B) kapatılması | _ |
| 8 | Etki halen genişliyor mu, ölçüm gözden geçirmesi | _ |
| 9 | Kısa vadeli ile uzun vadeli arasında karar revizyonu | _ |
| 10 | Hukuki paydaşların çevreleme kararından haberdar edilmesi | _ |
3.3. Ortadan kaldırma kontrol listesi
| Sıra | Kontrol maddesi | Sonuç |
|---|---|---|
| 1 | Tüm IoC'lerin (hash, IP, domain, registry key, dosya yolu) listelenmesi | _ |
| 2 | Etkilenen tüm uç noktalarda IoC taraması yapılması | _ |
| 3 | Persistence mekanizmalarının (scheduled task, service, registry, startup) temizlenmesi | _ |
| 4 | Kullanılan hesapların parolalarının ve Kerberos KRBTGT'nin sıfırlanması | _ |
| 5 | API anahtarları ve sertifikaların rotasyonu | _ |
| 6 | Yetki yükseltme zafiyetlerinin yamalanması | _ |
| 7 | Kötücül yazılım üreten yan etkilerin (yan ürün dosyalar, dump'lar) silinmesi | _ |
| 8 | Etkilenen yedeklerin de temizlik kontrolünden geçirilmesi | _ |
| 9 | Antivirüs ve EDR imza güncellemelerinin teyidi | _ |
| 10 | Tekrarlanan tarama ile temizlik doğrulaması | _ |
3.4. Kurtarma kontrol listesi
| Sıra | Kontrol maddesi | Sonuç |
|---|---|---|
| 1 | Yedek bütünlük doğrulaması (hash karşılaştırması) | _ |
| 2 | Kurtarma sırasının iş kritikliği önceliğiyle planlanması | _ |
| 3 | Sistem üzerinde temizlik doğrulanmadan production'a açma yasağı | _ |
| 4 | Restore sonrası ek izleme (artırılmış log seviyesi, EDR canary) | _ |
| 5 | Performans ve fonksiyonel kabul testleri | _ |
| 6 | Kullanıcılara hizmet açılış duyurusu, beklenen kısıt notları | _ |
| 7 | İlk 14 gün için artırılmış izleme dönemi | _ |
| 8 | Kurtarma sırasında değiştirilen konfigürasyon kayıtları | _ |
| 9 | Geri dönüşü olmayan değişikliklerin onay zincirinin saklanması | _ |
| 10 | Tüm aşamaların timestamp'li dokümantasyonu | _ |
3.5. DSET saha notu
Kurtarma fazında en kritik hata, "olay bitti" psikolojisiyle artırılmış izleme süresini kısaltmaktır. Saldırganların ikinci dalga için günler hatta haftalar bekleyebildiği gözlenmiştir. NIST'in tavsiyesi, kurtarma sonrası en az 2 haftalık artırılmış izleme dönemidir.
Bölüm 4. Faz 4 - Olay Sonrası Faaliyet
Bu faz, olayın etkisinin ölçüldüğü, dersin çıkarıldığı ve kurumun güçlendiği fazdır. NIST, lessons learned toplantısının olaydan en geç iki hafta sonra yapılmasını önermektedir.
4.1. Lessons learned toplantı şablonu
Toplantı süresi: 90 dakika. Katılımcılar: olay müdahale ekibi, hukuk, üst yönetim temsilcisi, ilgili iş birimi sahibi.
| Süre | Gündem |
|---|---|
| 0-10 dk | Olay özeti ve etki tablosu |
| 10-25 dk | Zaman çizelgesi yürüyüşü, kritik kararlar |
| 25-45 dk | Neyi iyi yaptık tartışması |
| 45-65 dk | Neyi iyileştirebiliriz tartışması |
| 65-80 dk | Aksiyon maddeleri, sahip ve tarih atama |
| 80-90 dk | Belge ve iletişim planı, kapanış |
Toplantıdan çıkan her aksiyon, sahip, tarih ve doğrulanabilir kabul kriteri ile dokümante edilmelidir. Sahibi olmayan veya tarihsiz aksiyon, sonraki olaydan önce kapanmaz.
4.2. KVKK ve USOM bildirim entegrasyonu
Olay sonrası faaliyet, regülatör süreçleriyle iç içedir.
- KVKK 72 saat içinde Kuruma bildirim. Detaylar için DSET'in KVKK 72 Saat Bildirim Şablonu rehberi referans alınabilir.
- USOM, kritik altyapı sektörlerinde 3 saat içinde bildirim. usom.gov.tr üzerinden açılan vaka bileti, sektörel SOME ile koordineli ilerler.
- BTK, elektronik haberleşme sektöründe ayrı bildirim yükümlülüğü taşır.
- Sektörel düzenleyiciler. BDDK, SPK, EPDK, Sağlık Bakanlığı KKTC entegrasyonu gibi alanlarda ek bildirimler söz konusu olabilir.
4.3. Tabletop tatbikat senaryosu
Aşağıda örnek bir tabletop akışı sunulmaktadır. Süre 120 dakika, katılımcılar CISO, BT müdürü, hukuk müşaviri, iletişim direktörü, üst yönetim temsilcisi.
Senaryo: Cuma 16:30. SOC ekibi domain controller üzerinde yeni oluşturulmuş şüpheli bir hesap tespit ediyor. Hesap son 2 saatte 12 farklı sunucuya bağlanmış. Bağlantı kaynağı bir yönetici kullanıcı hesabıdır, ancak ilgili yönetici tatildedir. Cuma akşamı, hafta sonu vardiyası başlamak üzere.
Tatbikat akışı:
- 0-15 dk. SOC ekibi olayı bildirir. Komuta zinciri çağrılır. Süre takibi başlatılır.
- 15-30 dk. Yöneticiyle iletişim, hesabın gerçekten kullanılıp kullanılmadığının teyidi. İlk izolasyon kararı.
- 30-50 dk. Etki ölçütleri tablosu doldurulur. Hangi sistemlere bağlanılmış, hangi veriler etkilenmiş olabilir.
- 50-70 dk. Hukuk birimi KVKK kategorisi tartışması. Hassas veri var mı, etkilenen kişi sayısı tahmini.
- 70-90 dk. İletişim planı. Müşterilere ne zaman ne söylenecek. Üst yönetime brifing zamanlaması.
- 90-110 dk. Hafta sonu vardiya planı. Dış destek sağlayıcısı çağrılacak mı, hangi maliyetle.
- 110-120 dk. Kapanış, lessons learned ön notları.
Tatbikatın hedefi mükemmel cevap üretmek değil, ekibin karar süreçlerini, iletişim zincirlerini ve baskı altında performansını ölçmektir.
Bölüm 5. Dört Faz Birleşik Master Checklist
Aşağıdaki master tablo, dört fazı tek bakışta görme imkanı sunar. Her madde yıllık denetim sırasında işaretlenir.
| Faz | Madde sayısı | Hedef tamamlanma oranı |
|---|---|---|
| Hazırlık · olay müdahale kabiliyeti | 10 | yüzde 100 |
| Hazırlık · önleyici kontroller | 10 | en az yüzde 90 |
| Tespit ve analiz | 10 | yüzde 100 (her olay için) |
| Çevreleme | 10 | yüzde 100 (her olay için) |
| Ortadan kaldırma | 10 | yüzde 100 (her olay için) |
| Kurtarma | 10 | yüzde 100 (her olay için) |
| Olay sonrası | 10 | yüzde 100 (her olay için) |
Bölüm 6. DSET Olay Müdahale Retainer ve IR Tatbikat Hizmeti
DSET ekibi, 20 yılı aşkın siber olay müdahale ve adli bilişim deneyimiyle Türkiye'nin sayılı bağımsız uzman ekiplerinden biridir. Hacettepe Üniversitesi Teknokent Beytepe yerleşkesinde konuşlanan ekibimiz, ISO 27037 standardına uygun çalışmalar yürütür.
6.1. Retainer hizmet kapsamı
- 7/24 acil çağrı hattı. +90 536 662 38 09 numaralı hattan saha ekibi yönlendirmesi.
- Olay anında uzaktan ve yerinde adli bilişim desteği.
- KVKK ve USOM bildirim koordinasyonu, form hazırlığı, savunma metni hazırlığı.
- Olay sonrası rapor ve lessons learned koordinasyonu.
- Aylık tehdit avı saatleri (threat hunting hours) opsiyonel ek paket olarak.
6.2. IR tatbikat hizmeti
DSET, yıllık tatbikat takviminizi NIST SP 800-61 Rev. 2 çerçevesinde hazırlar.
- Tabletop tatbikatı, 2-3 saat sürer, masa başı senaryo üzerinden ekip kararlarını test eder.
- Purple team tatbikatı, 1-2 gün sürer, kontrollü saldırı simülasyonu ile teknik müdahale performansını ölçer.
- Tam ölçek tatbikat, 1 hafta sürer, üst yönetim katılımı ile kriz iletişimi de dahil tüm zinciri test eder.
Görüşme talepleriniz için [email protected] adresine yazabilir, +90 536 662 38 09 numaralı hattı arayabilirsiniz. İlk kapsam görüşmesi ücretsizdir ve gizlilik anlaşması altında yapılır.
Kapanış Notu
NIST SP 800-61 Rev. 2, dünyada en yaygın kabul gören olay müdahale rehberidir, ancak kağıt üstünde okunup raflarda kalan bir doküman olarak değer üretmez. Bu rehberi kurum içi runbook'larınıza, çağrı ağaçlarınıza, tatbikat planlarınıza yedirmediğiniz sürece NIST'in dört fazı sadece zarif bir resim olarak kalır. Dönüştürme adımı, bu playbook'un asıl önerisidir.