CyberFlow Logo CyberFlow BLOG
Soc L1 Onceliklendirme

Kritiklik ve Öncelik: Siber Güvenlikte Farklılıklar

✍️ Ahmet BİRKAN 📂 Soc L1 Onceliklendirme

Bu yazıda, siber güvenlikte kritiklik ve öncelik arasındaki farkları ve önemini öğreneceksiniz.

Kritiklik ve Öncelik: Siber Güvenlikte Farklılıklar

Siber güvenlik alanında, olayların kritiklik ve öncelik düzeyleri arasındaki farklar kritik öneme sahiptir. Bu yazımızda, bu iki kavramın ne anlama geldiğini ve nasıl yönetilmesi gerektiğini inceleyeceğiz.

Giriş ve Konumlandırma

Giriş

Siber güvenlik, modern iş dünyasının en kritik unsurlarından biri haline gelmiştir. Tehditlerin çeşitlenmesi, saldırı yüzeylerinin genişlemesi ve sistemlerin karmaşıklığı gibi etkenler, güvenlik uzmanlarını sürekli daha etkili çözümler ve yaklaşımlar geliştirmeye zorlamaktadır. Bu süreçte, sistem yöneticileri ve güvenlik analistleri için kritik olan iki kavram: "kritiklik" (severity) ve "öncelik" (priority) kavramlarıdır. Bu kavramların doğru anlaşılması, güvenlik ihlalleriyle başa çıkma stratejilerinin etkili bir şekilde uygulanması açısından hayati öneme sahiptir.

Kritiklik Nedir?

Kritiklik, bir güvenlik açığının veya saldırının sisteme verebileceği teknik hasarın boyutunu ve şiddetini ifade eden bir terimdir. Bir olayın “ne kadar kötü” olduğunu ölçmek için kullanılır. Örneğin, bir siber saldırı sonucunda veritabanına tam erişim sağlanmışsa, bu durum yüksek bir kritiklik olarak değerlendirilecektir. Aşağıdaki kod blokları, kritik bir olayın sistem üzerindeki olası etkilerini örneklemektedir:

Etkiler:
- Varlıkların kaybı
- Veri bütünlüğünün ihlali
- Yasal yükümlülüklerin doğması

Kritiklik, genelde otomatik güvenlik sistemleri (örneğin, EDR veya SIEM) tarafından belirlenir. Ancak, bir olayın teknik şiddeti, her zaman anında müdahale gerektirmeyebilir. Bu noktada, olayın iş hedefleri ve organizasyon yapısı içindeki önemi göz önünde bulundurularak, öncelik kavramı devreye girmektedir.

Öncelik Nedir?

Öncelik, bir güvenlik olayının ne kadar hızlı bir şekilde çözülmesi gerektiğini belirleyen, iş odaklı bir sıralamadır. Örneğin, kritik bir sunucu üzerinde meydana gelen herhangi bir güvenlik açığı, üzerindeki veriler nedeniyle yüksek bir öncelik taşıyabilir. Aşağıdaki örnek, farklı kritiklik seviyelerinin öncelik üzerindeki etkisini açıkça göstermektedir:

Örnek Senaryolar:
1. Düşük kritiklik: Laboratuvar cihazında zararsız bir virüs tespiti (Düşük öncelik).
2. Yüksek kritiklik: Ana ödeme sayfasında kredi kartı hırsızlığı tespiti (Yüksek öncelik).

Farklı senaryolar arasında önceliklendirme yaparken, sadece kritiklik seviyesini dikkate almak yeterli değildir. Bunun yanı sıra, olayın bağlamı (context) ve üzerinde bulunduğu varlığın kritikliği de önceliklendirmeyi etkileyen önemli faktörlerdir. Örneğin, düşük kritiklikte bir olay, iş açısından kritik bir sistemde meydana gelirse, önceliği artabilir.

Bağlamın Önemi

Kritiklik ve öncelik arasındaki bu dinamik ilişki, güvenlik olaylarının yönetiminde doğru kararların alınabilmesi için kritik bir unsur oluşturur. Yüksek öncelikli (P1/P2) olaylar için belirlenen müdahale sürelerinin karşılanması, yasal veya kurumsal sorunların ortaya çıkmasını önlemek açısından da oldukça önemlidir. Bu süreler, genellikle Hizmet Düzeyi Anlaşmaları (Service Level Agreements - SLA) aracılığıyla tanımlanır.

Özet olarak, etkin bir siber güvenlik stratejisi oluşturmak için, analistlerin hem güvenlik olaylarının teknik şiddetini doğru değerlendirmeleri hem de bu olayların önceliklerini belirlemeleri gerekmektedir. Aksi takdirde, bazı önemli tehditlerin göz ardı edilmesi veya yüksek kritikli olayların gereksiz yere önceliklendirilmesi riski ortaya çıkabilir. Siber güvenlikte doğru önceliklendirme, etkin bir riski yönetimini sağlamak açısından kaçınılmazdır.

Teknik Analiz ve Uygulama

Teknik Şiddet

Siber güvenlik alanında, bir olayın veya güvenlik açığının "Kritiklik" (Severity) derecelendirmesi, olayın sistem üzerindeki potansiyel etkisini belirler. Teknik şiddet, bir güvenlik açığının oluşturabileceği hasarın boyutunu ifade eder. Örneğin, bir zararlı yazılımın bir veritabanını tamamen silebilme kapasitesi, bu tür bir olayın yüksek bir şiddet seviyesine sahip olduğunu gösterir.

Kritiklik, genellikle otomatik sistemler (EDR, SIEM gibi) tarafından değerlendirilebilir. Bu sistemler, tehditlerin teknik etkisini analiz ederek kritik olayların derecelendirilmesini sağlar. Ancak, tüm kritik olayların anlık olarak müdahale edilmesi gerekmez; bazı durumlarda, olayın önceliği (Priority) daha da önemli hale gelir.

# Örnek: Güvenlik açığı şiddeti belirleme
def belirle_kritik_seviyesi(olay):
    if olay['etkisi'] == 'yüksek':
        return 'Yüksek Kritiklik'
    elif olay['etkisi'] == 'orta':
        return 'Orta Kritiklik'
    else:
        return 'Düşük Kritiklik'

olay = {'etkisi': 'yüksek'}
print(belirle_kritik_seviyesi(olay))

Müdahale Aciliyeti

Siber güvenlik olay yönetiminde "Öncelik" (Priority), bir olayın çözülmesi gereken aciliyetini ifade eder. Bu, analistin olayları değerlendirme sırasına dayanarak belirlenir ve iş hedefleri ile kritik varlıkların önemi göz önünde bulundurularak ayarlanır. Örneğin, kritik bir sunucuda meydana gelen düşük şiddette bir olay, olayın da yapısına göre yüksek öncelik sınıfına geçebilir.

Aşağıdaki örnekte, yüksek öncelik kategorisinde değerlendirilen olaylarda, analistin hangi adımları dikkate alması gerektiği açıklanmaktadır.

# Örnek: Öncelik belirleme
if [ "$sunucu_durumu" == "kritik" ] && [ "$olay_kritik" == "düşük" ]; then
    echo "Olayı yüksek öncelikli olarak değerlendir."
fi

Üçlü Karşılaştırma

Siber güvenlik yönetiminde hem kritiklik hem de öncelik kavramlarının birbirleriyle ilişkisi önemlidir. Öncelik, çoğu zaman olayın bağlamına göre değişik yönler barındırır. Örneğin, yüksek şiddette bir olay birdenbire daha düşük öncelikli bir durumda kalabilir. Bu tür durumlarda, varsayımlar veya senaryolar üzerinde çalışmak, olayların etkisini daha iyi anlamamıza yardımcı olur.

Kritiklik Öncelik Örnek
Yüksek Yüksek Ana e-ticaret sitesi üzerinde kredi kartı verisi hırsızlığı
Düşük Yüksek CEO bilgisayarında sürekli çıkan zararsız reklam uyarıları
Yüksek Düşük Ağdan tamamen kopmuş bir laboratuvar cihazı

Otomatik vs Manuel

Olayların teknik şiddet dereceleri, çoğu zaman otomatik olarak atanır. Bunun yanında, analistlerin yaptığı değerlendirmeler de olayların öncelik sıralamasını değiştirebilir. Bu noktada, analistlerin durumu gözden geçirirken kullandıkları beceriler devreye girer. Analistin manuel müdahale ile değiştirdiği sıralama, o olay üzerindeki kontrolünü artırır.

Dinamik Önceliklendirme

Dinamik önceliklendirme, hızlı bir şekilde değişen tehdit ortamında kritik öneme sahiptir. Olayın önceliği, işletmenin stratejik hedefleri, süreklenebilirliği ve risk durumlarına göre yeniden belirlenebilir. Analistler bu esnekliği kullanarak acil tehditlere daha hızlı yanıt verebilirler.

Zaman Sınırı

Yüksek öncelikli olayların çözülmesi için genellikle belirli zaman sınırları (Service Level Agreements - SLA) belirlenir. Olayın belirtilen zamanda çözülmemesi, yasal veya işletme sorunlarına yol açabilir. Bu nedenle, yüksek öncelik sınıfındaki olayların göz ardı edilmemesi önemlidir.

Bir olayın zaman sınırı, aşağıdaki gibi değerlendirilebilir:

SLA:
  Düşük Kritiklik: 48 saat
  Orta Kritiklik: 24 saat
  Yüksek Kritiklik: 1 saat

Günümüzde, siber güvenlikte kritiklik ve öncelik kavramlarının iyi anlaşılması, ve doğru yönetilmesi, işletmelerin güvenliği artırmak için attıkları adımların temel unsurlarındandır. Bu konuda yapılacak her iyileştirme, güvenlik silahlarının etkin bir şekilde kullanılması açısından kritik bir öneme sahiptir.

Risk, Yorumlama ve Savunma

Siber güvenlik sistemlerinde risk değerlendirmenin gerekliliği, hem tehditlerin doğasını anlamak hem de bu tehditlere karşı etkili bir savunma mekanizması oluşturabilmek açısından oldukça önemlidir. Bu bağlamda, elde edilen bulguların güvenlik anlamı, yanlış yapılandırmalar ile zafiyetler ve bunların potansiyel etkileri üzerinde durmak gerekmektedir.

Teknik Şiddet

Risk değerlendirmesinde öncelikle "kritiklik" kavramına odaklanmak önemlidir. Kritik bir durum, bir güvenlik açığının veya saldırının sistem üzerindeki etkisinin ciddiyetini belirler. Örneğin, bir sızma testi sırasında elde edilen veriler aşağıdaki gibi teknik sonuçlar doğurabilir:

- Veritabanındaki hassas verilerin tamamının silinmesi
- Ağda yetkisiz erişim sağlanması
- Şifrelerin ele geçirilmesi

Bu tür durumlar, sistemlerin güvenliğini ciddi şekilde tehdit eder ve hızlı müdahale gerektirir. Aksi takdirde, bu tür olayların uzun vadeli etkileri, finansal kayıplar, itibar zedelenmesi ve yasal sorunlar şeklinde kendini gösterebilir.

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırma, genellikle siber saldırganların hedef olarak seçtiği oyun alanlarından biridir. Örneğin, eğer bir sunucu güncel değilse veya varsayılan şifreler kullanılmaya devam ediliyorsa, bu bir zafiyet oluşturur. Bu tür zafiyetlerin etkisi, hedef alınan sistemin kritikliğine göre değişiklik gösterebilir.

Örneğin, kritik bir veritabanı sunucusunda tespit edilen düşük seviyeli bir güvenlik açığı, bir test laboratuvarındaki basit bir uygulamanın zafiyetine göre çok daha ciddi sonuçlar doğurabilir. Teknoloji ortamında, "düşük seviyeli bir zafiyet" kavramı, sistemin nasıl yapılandırıldığına bağlı olarak değişir. Başarılı bir saldırı, sadece verilerin çalınmasıyla sonlanmayıp, tüm sistemin işleyişini engelleyebilir.

Sızan Veri ve Topoloji

Sızan veri, veri sızıntılarında karşılaşılan en kritik konulardan biridir. Örneğin, bir siber saldırı sonucunda sızdırılan müşteri bilgileri, kurum için hem maddi hem de hukuki sonuçlar doğurabilir. Bu durumda kullanılabilecek teknik karşı tedbirler şu şekildedir:

  • Hassas verilerin şifrelenmesi
  • Ağ topolojisinin gözden geçirilmesi ve segmentasyon yapılması
  • İzleme ve alarm sistemlerinin etkin şekilde kullanılması

Ayrıca, ağ topolojisi üzerinde yapılan değişikliklerin, siber güvenlik stratejilerine nasıl yansıdığı büyük önem taşır. Yanlış yapılandırmalar, basit bir ağ yapısı değişikliğinde bile ciddi sonuçlar doğurabilir.

Profesyonel Önlemler ve Hardening Önerileri

Kurumsal bilgi güvenliği için alınması gereken profesyonel önlemler ve hardening olanakları aşağıdaki gibidir:

  1. Düzenli Güncellemeler: Sistemdeki tüm yazılımların düzenli olarak güncellenmesi, bilinen açıkların kapatılmasına yardımcı olur.
  2. Ayrıcalık Yönetimi: Kullanıcıların ayrıcalıklarının minimumda tutulması ve yetkisiz erişimlerin engellenmesi için gerekli yetki seviyelerinin dikkatle belirlenmesi gerekir.
  3. Güvenlik Duvarları ve İzleme: Güvenlik duvarları, ağ savunmasını artıran temel unsurlardır. Ayrıca intrüzyon algılama ve önleme sistemleri (IDS/IPS) kullanmak, saldırganların tespit edilmesini sağlar.
  4. Fiziksel Güvenlik İle Entegrasyon: Fiziksel güvenlik önlemlerinin siber güvenlik ile entegre edilmesi, yerel saldırıları önlemekte etkilidir.

Sonuç

Risk değerlendirme süreçleri, kritik ve öncelikli durumların belirlenmesinde önemli bir rol oynamaktadır. Teknik şiddet, yanlış yapılandırmalar ve zafiyetler gibi unsurlar, kurumların siber güvenliğini tehdit etmektedir. Alınacak önlemler ve hardening stratejileri, sadece mevcut riskleri azaltmakla kalmayıp, gelecekteki ihlallere karşı da güvenli bir zemin sağlayabilir. Doğru bir risk ve savunma yaklaşımı ile sürdürülebilir bir siber güvenlik altyapısı oluşturmak mümkündür.