Incident Response and Forensics
Incident Response ve Forensics, bir siber güvenlik olayına müdahale ve inceleme sürecidir. Bir olay (saldırı, veri sızıntısı, kötü amaçlı yazılım bulaşması vb.) yaşandığında hızlı müdahale ve kanıt analizi çok önemlidir.
Incident Response (Olay Müdahalesi) Nedir? Bir güvenlik olayına (incident) hızlı, sistematik ve etkili şekilde müdahale etme sürecidir. Amaç zararı sınırlamak, saldırıyı durdurmak ve sistemleri normale döndürmektir.
Incident Response Aşamaları (NIST’e göre): Hazırlık (Preparation) Planlar, ekipler, araçlar, eğitimler Tanımlama (Identification) Olay olup olmadığının belirlenmesi (log, IDS, uyarılar) İçerme (Containment) Saldırının yayılmasının durdurulması (izolasyon, ağ kesme) Kaldırma (Eradication) Kötü yazılım veya saldırganın sistemden temizlenmesi Kurtarma (Recovery) Sistemlerin tekrar güvenli şekilde çalışır hale getirilmesi Ders Alma (Lessons Learned) Raporlama, açıkların kapatılması, süreç geliştirme
Digital Forensics (Dijital Adli Bilişim) Nedir? Bir siber olayın delillerini toplama, analiz etme ve raporlama sürecidir. Amaç, olayın ne zaman, nasıl ve kim tarafından yapıldığını ortaya çıkarmaktır.
Forensics Süreci: Delil Toplama (Acquisition) Disk görüntüsü alma, RAM dump, log yedekleme (yasalara uygun) Delil Koruma (Preservation) Orijinalliği bozmadan delili saklama Analiz (Analysis) Zaman çizelgesi oluşturma, dosya sistemi, ağ trafiği inceleme Raporlama (Reporting) Teknik ve hukuki olarak anlaşılır rapor hazırlanması
