Öncelikle yanlış pozitif uyarıları elememiz gerekiyor. Bunu şu şekilde yapıyoruz:
Gerçekten Hacklendiğinizden Emin Olun
Genellikle bir yönetici, zararsız olduklarından pek emin olmadığı günlükler veya diğer şüpheli izler bulduğunda bir cihazın hacklendiğinden şüphelenir. Bu durumda, kurulumunuzu bir hack veya saldırı izleri açısından kontrol etmenizi öneririz. Olası bilgi kaynakları şunlardır:
- Farklı tarihlerdeki yapılandırma dosyalarının karşılaştırılmasının sonuçları. (Aka Change-Log analizi)
- Çökme günlüğü girişleri
- Günlük mesajları (Olay günlükleri, trafik günlükleri, güvenlik günlükleri…)
Sadece eksiksizlik için: Saldırı altında olduğunuzu veya sisteminizin hacklendiğini bilmenin muhtemelen en iyi yolu, SIEM veya SOAR çözümünüzden gelen bir bildirimdir. Çoğu durumda, bir SIEM veya SOAR çözümü böyle bir olayı algıladığında, bu olay birkaç saniye önce gerçekleşmiştir. Bu, bir sistem ihlali konusunda uyarı almanın en rahat yoludur çünkü hemen yanıt verebilirsiniz ve bu nedenle saldırganın verileri çalmak ve altyapınıza zarar vermek için daha az zamanı olur.
Hiçbir yanlış pozitif olayın gerçekleşmediğinden ve sisteminizin gerçekten saldırıya uğradığından ve tehlikeye atıldığından emin olduğunuzda, bu noktada Fortinet’i sürece dahil etmek isteyebilirsiniz:
Lütfen unutmayın ki, eğer kendi destek departmanı olan bir distribütörünüz varsa, iyi bir ilk adım, distribütörü bir sonraki adımları koordine etmeye dahil etmek olacaktır.
Bir FortiGate tehlikeye girdiğinde nasıl ilerleyeceğinize dair standart bir prosedür vardır: Fortinet destek portalı support.fortinet.com’da mümkün olduğunca zamanında bir destek bileti açın. Biletiniz üzerinde çalışan mühendis vakayı araştırmaya devam edecek ve ardından diğer Fortinet kaynaklarının dahil olup olmadığına karar verecektir. Bazı durumlarda, Fortinet Ürün Güvenliği Olay Müdahale Ekibi ( PSIRT ) dahil olacaktır. Fortinet PSIRT ayrıca cihazınızın kapsamlı bir adli analizini yapmak için geniş olanaklara sahiptir.
Lütfen dikkat edin ve aklınızda bulundurun:
Bileti açarken zaman ayırın ve tüm gerekli bilgileri ve ayrıca tüm ilgili günlükleri ve gözlemleri yükleyin. Destek mühendisine mümkün olduğunca fazla bilgi sağlamak çok önemlidir.
Bilette iş operasyonlarınıza olan etkiyi not edin. Ağın en azından bir kısmı çevrimdışıysa veya önceliklendirme için başka bir önemli neden mevcutsa, bilet yükseltilmeyecektir.
Fortinet teknik destek prosedürlerinin dokümantasyonu, “FortiCompanion to Technical Support” kılavuzunda https://support.fortinet.com/Information/DocumentList.aspx adresinde yer almaktadır.
Saldırganın sisteminize nasıl girdiğini öğrendiğiniz anda, soruşturmalar için her türlü kanıtı saklamak istersiniz:
İzleri ve Adli Verileri Kaydedin
Gerekirse, bu adımda size destek olabilecek harici uzmanları veya devlet kurumlarını dahil etmeyi düşünebilirsiniz. İsviçre’de, Ulusal Siber Güvenlik Merkezi bu tür durumlardan sorumlu olan merkezi federal yetkinlik merkezidir ve Fortinet ürünleri söz konusu olduğunda, Fortinet’in kendisi burada size destek olmak için bir PSIRT birimine sahiptir. Bu birimler yukarıda zaten belirtilmişti ve bu noktada iyi bir destek kaynağı da olabilirler.
Sorun giderme için saklanması gereken önemli bilgi kaynakları şunlardır:
- Log dosyaları
- Yapılandırma dosyaları
- Çökme Günlükleri / Hata Ayıklama Günlükleri
- Kaydedilen trafik (sniffer)
- İzleme verileri
- Gösterge paneli verileri
- CLI hata ayıklama verileri
- Uyarı e-postaları
İzleri yok etmeden önce ilgili bilgileri kaydetmek çok önemlidir. Bazı durumlarda, şirketler bir saldırganın erişimini sürdürür ve saldırganın niyeti hakkında daha fazla bilgi edinmek için henüz keşfedilmemiş olduklarını bilmelerini sağlar.
İstismar edilen güvenlik açıklarına yakın erişim
Bir adım ilerisini düşünmeyi unutmayın: Saldırgan FortiGate yapılandırma dosyanızı indirebildiyse, saldırganın bir SSL VPN portalına vb. erişmesini de engellemek isteyebilirsiniz.
Genellikle hataların düzeltildiği bir yazılım yükseltmesi kurulabilir.
Diğer durumlarda bir hata düzeltmesinin uygulanması daha fazla zaman alır ve bir yazılım güncellemesi anında sağlanamaz. Bu durumlarda, üretici yerel politikalar, IP imzaları, coğrafi engelleme vb. gibi bir geçici çözümle savunmasız kısmın nasıl kapatılacağını bildirecektir.
FortiGate sisteminin kurcalanmadığından kesinlikle emin değilseniz, FortiGate dahili depolamasını biçimlendirmenizi ve ardından FortiOS’u TFTP üzerinden yüklemenizi öneririz. Tüm yapılandırmayı iyice kontrol etmeden sonradan bir yapılandırma yedeğini geri yüklemeyin. Elinizde temiz bir yapılandırma yedeğiniz varsa, “güvenli” bir yapılandırma sürümünü geri yükleyebilirsiniz.
Tehdidin sistemde kalıcı olup olmadığından ve bir yapılandırma geri yüklemesinden veya fabrika ayarlarına sıfırlamadan sağ çıkıp çıkmadığından emin değilseniz, güvenli sürüm FortiGate’i biçimlendirmek, FortiOS’u TFTP üzerinden yeniden yüklemek ve yapılandırmayı elle yeniden oluşturmaktır.
FortiGate’te yapılacak eylemler
Özel durumunuza bağlı olarak faydalı olabilecek diğer tüm ayarlamaların yanı sıra, aşağıdaki eylemlerin yapılması gerekip gerekmediğini kontrol etmelisiniz:
* Tüm kullanıcı adlarını değiştir
* Tüm parolaları değiştir
* Tüm ssh anahtarlarını değiştir
* Tüm sertifikaları değiştir
* Bilinmeyen kullanıcıları/yöneticileri sil
* Otomasyon dikişlerini kontrol et
* WebAdmin ve API erişimini kontrol et
* Günlük kaydı ve uyarı ayarlarınızı fazla düşünün ve buna göre ayarlayın