Risk reyestr əsasən audit, idarəetmə və risklərin idarə edilməsi sahəsində istifadə olunan əsas sənəddir. Qısa izah edəsi olsaq, risk reyestri bir təşkilatın müəyyən etdiyi bütün riskləri, onların xüsusiyyətlərini, qiymətləndirilməsini və cavab tədbirlərini bir yerdə toplayıb sənədləşdirən canlı bir sənəd və ya bazadır. Sadə dillə desək, “nə yanlış gedə bilər, nə qədər ciddi olar, biz nə edəcəyik?” suallarına cavab verən struktur siyahıdır.

Niyə gərəklidir?

Risk reyestrinin var olmasının bir neçə səbəbi var. Belə ki, riskləri ağızdan-ağıza izləmək mümkün olmur. Xüsusilə böyük bir təşkilatlarda yüzlərlə risk var, texniki, maliyyə, insan, tənzimləyici və s. Risk reyestr bu dağınıqlığı nizama salır, görünürlük yaradır, cavabdehliyi müəyyən edir, yəni bu riskdən kim məsuldur bunu müəyyən edir, bundan başqa, qərar qəbulunu asanlaşdırır. Auditorlar üçün isə bu sənəd mövcud nəzarət mexanizmlərinin nə qədər kifayət etdiyini anlamağın başlanğıc nöqtəsidir. Hazırladığım diaqramda tipik bir risk reyestrinin ehtiva etdiyi elementlər var.

Bəs yaxşı, İnformasiya Sistemləri auditi kontekstində bu reyestr nə üçün vacibdir?

İS auditi zamanı auditor risk reyestrindən iki məqsədlə istifadə edir:

1. Risk əsaslı planlama (əvvəlki postda yazdığım): hansı sahələrin daha dərin yoxlanılması lazım olduğunu müəyyən etmək üçün. Yüksək dərəcəli risklər auditor diqqətini oraya çəkir.
2. Nəzarətlərin effektivliyini qiymətləndirmək — reyestrdə qeyd olunan nəzarətlər faktiki olaraq mövcuddurmu, işləyirmi? Bu, COBIT 2019, ISO 27001 kimi standartlarla tutuşdurulur.

Bu reyestr statik yox, canlı sənəddir. Yəni bir dəfə yazılıb saxlanılan şey deyil, mühit dəyişdikcə (yeni texnologiya, yeni təhdid, yeni qanunvericilik və s.), o da yenilənməlidir.

Riskləri müəyyən etdikdən sonra hər bir rəhbərliyin verdiyi ilk sual adətən bu olur: “Bunu necə dayandıraq?” İS auditoru üçün cavab sadədir: Effektiv nəzarət mexanizmləri qurmaqla. Gəlin, bu “qalxanların” anatomiyasına birlikdə baxaq və onların informasiya ilə necə əlaqəli olduğunu öyrənək.

1. DAXİLİ NƏZARƏT (INTERNAL CONTROLS) NƏDİR?

Daxili nəzarət — təşkilatın öz hədəflərinə çatması, aktivlərini qoruması və qanunlara uyğun fəaliyyət göstərməsi üçün tətbiq etdiyi qaydalar və proseslər bütünüdür. Bunu şirkətin immun sistemi kimi təsəvvür edin: o, kənar mikrobları (təhlükələri) tanımalı və onları zərərsizləşdirməlidir.

2. NƏZARƏT MƏQSƏDLƏRİ VƏ NƏZARƏT TƏDBİRLƏRİ

Auditor bu iki anlayışı həmişə fərqləndirir:

• Nəzarət məqsədi (Control objective): Nəyə nail olmaq istəyirik? (Məsələn: “Məlumatların gizliliyini qorumaq”).
• Nəzarət tədbiri (Control measure): Bunu necə edirik? (Məsələn: “Şifrələmə (Encryption) tətbiq etməklə”).

İS Nəzarət məqsədləri (IS Control Objectives)

İS auditoru üçün əsas məqsəd məşhur CIA triadını təmin etməkdir. CIA triadı 3 hissədən ibarətdir:

1. Məxfiik (Confidentiality): Məlumatı yalnız icazəsi olanlar görsün.
2. Bütövlük (Integrity): Məlumat icazəsiz dəyişdirilməsin.
3. Əlçatanlıq (Availability): Lazım olanda sistem işlək olsun.

3. NƏZARƏT ÜSULLARININ BÖLÜNMƏSİ

İS mühitində nəzarət mexanizmləri üç əsas səviyyəyə bölünür:

A. Ümumi Nəzarət Metodları (General IT Controls – GITC)

Bu, bütün İT infrastrukturunu əhatə edən “təməl” nəzarətlərdir. Məsələn, data mərkəzinin fiziki mühafizəsi, şifrə siyasəti, sistem dəyişikliklərinin idarə olunması. Əgər ümumi nəzarət zəifdirsə, tək-tək proqramların yaxşı işləməsinin mənası yoxdur.

B. İS-ə Spesifik Nəzarətlər (IS-Specific Controls)

Konkret texnoloji sahələrə yönəlmiş nəzarətlərdir. Məsələn, şəbəkə firewall-ları, antiviruslar, məlumatların ehtiyat nüsxələnməsi (backup).

C. Biznes Prosesləri və Tətbiqi Nəzarətlər (Application Controls)

Bu nəzarətlər birbaşa proqram təminatının (məsələn, mühasibatlıq proqramı) daxilinə yerləşdirilir. Məsələn, bir bank proqramında balansdan artıq pul çıxarmağa icazə verilməməsi (“Edit check”).

4. NƏZARƏT MEXANİZMLƏRİNİN TƏSNİFATI (Classifications)

Bu, İS auditorunun ən çox istifadə etdiyi hissədir. Nəzarətlər funksiyasına görə 3 yerə bölünür:

Yekun olaraq: İS auditoru olaraq bizim işimiz sadəcə “Nəzarət varmı?” sualına cavab tapmaq deyil, həm də həmin nəzarətin effektiv (məqsədə çatırmı?) və səmərəli (xərci riskdən azdırmı?) olduğunu sübut etməkdir.

İnformasiya Sistemləri (İS) auditorunun gözü ilə Risk Qiymətləndirməsi (risk assessment) sadəcə bir hesabat deyil, təşkilatın “rəqəmsal sağlamlıq arayışı”dır. Bir auditor üçün bu proses, kodların və serverlərin arxasındakı gizli təhlükələri üzə çıxarmaq üçün həyata keçirilən bir detektiv araşdırmasına oxşayır.

Gəlin, bir İS auditorunun bu prosesi necə idarə etdiyinə nəzər salaq.

Risk qiymətləndirməsi

İS auditoru otağa daxil olanda hamı onun səhvlər axtaracağını düşünür. Lakin auditorun əsl məqsədi səhv tapmaq yox, “Nəzarət mexanizmləri (Controls) riski boğa bilirmi?” sualına cavab tapmaqdır.

1. Əvvəla, “Nəyi qoruyuruq?”

Auditor işə sistemlərin siyahısını tutmaqla başlayır. Onun üçün hər bir server, hər bir database bir “aktivdir”. Auditor özünə soruşur: “Əgər bu server yox olsa, şirkət çökərmi?”.  Burada auditorun yanaşması: “Qapının harada olduğunu bilmirsənsə, onu kilidləyə bilməzsən.” Prinsipi ilədir.

2. Təhlükə və boşluq

Auditor bu iki anlayışı heç vaxt qarışdırmaz. Təhlükə (Threat) çöldəki yağışdır (məsələn, kiber-hücumçu). Boşluq (Vulnerability) isə, damdakı deşikdir (məsələn, yenilənməmiş proqram təminatı). Auditorun işi bu ikisinin kəsişdiyi nöqtəni tapmaqdır. Əgər çöldə yağış yağırsa və damda deşik varsa, deməli, bizim “ilkin riskimiz” (inherent risk) çox yüksəkdir.

3. “Riyaziyyat, yoxsa məntiq?” (Qiymətləndirmə fazası)

Burada auditor iki metoddan birini seçir. Birinci metod, kəmiyyət: “Bu boşluq bizə 100.000 manata başa gələ bilər.” (Maliyyə hesabatı üçün). İkinci metod isə, keyfiyyət: “Bu risk ‘kritik’dir, çünki müştəri məlumatları sızsa, reputasiyamız sıfıra enər.” (Strateji qərar üçün).

Auditor bu mərhələdə risk matrisini (5×5) masanın üstünə qoyur və rəhbərliyin diqqətini “qırmızı zona”ya yönəldir.

4. Qalıq riskimiz (Residual risk): “Ələkdən nə keçdi?”

Bu, auditorlara adətən ən maraqlı hissədir. Şirkət deyir ki: “Bizim firewall-umuz var, risk yoxdur”. Auditor isə cavab verir: “Gəlin yoxlayaq”. Auditor mövcud nəzarət mexanizmlərini (məsələn, şifrələmə, backup) test edir. Nəzarət tədbirlərindən sonra yerdə qalan riskə Qalıq Risk (residual) deyilir.

Auditorun bilməsi gərəkən: Risk heç vaxt sıfır olmur. Məqsəd, riski rəhbərliyin “iştahasına”, yəni, qəbul edə biləcəyi (Risk Appetite) uyğun səviyyəyə endirməkdir.

5. Tövsiyə və hesabat.

Sonda auditor sadəcə problemləri demir, həll yollarını göstərir. “Bu deşiyi bağlamaq üçün bu yamaqdan (patch) istifadə etməlisiniz” deyərək hesabatını tamamlayır. Onun hesabatı rəhbərlik üçün bir növ “sığorta siyasəti” kimidir.

Nəticə etibarilə, İS auditoru üçün risk qiymətləndirməsi gələcəyi görmək cəhdidir. O, rəqəmləri və təcrübəni birləşdirərək şirkətin rəqəmsal gəmisinin su almaması üçün kapitanı (rəhbərliyi) vaxtında xəbərdar edir.

Risk Qiymətləndirmə Texnikaları

Hər bir audit yoxlaması bir “Audit Kainatı”ndan başlayır. Auditor bütün sistemləri yoxlaya bilməyəcəyi üçün bu texnikalardan istifadə edərək ən “yaralı” yerləri tapır.

1. Keyfiyyət Texnikası (Qualitative):

Bu, İS auditində ən çox istifadə olunan metoddur. Auditor rəqəmlərlə başını yormur, bunun əvəzinə Risk Matrisi (Heat Map) hazırlayır. Necə işləyir? Auditor hadisəni “yüksək”, “orta” və ya “aşağı” risk kateqoriyalarına bölür. Məsələn, “Ehtiyat nüsxələrin (Backup) olmaması” o an “kritik” zonaya düşür. Bəs bu üsul niyə seçilir? Çox sürətlidir və mürəkkəb riyazi hesablamalar tələb etmir.

2. Kəmiyyət Texnikası (Quantitative):

Əgər rəhbərlik “Bunun bizə ziyanı nədir?” deyə soruşursa, auditor bu texnikaya keçir. Burada hər şey rəqəmsallaşır. Bu necə işləyir? Auditor ALE (İllik gözlənilən itki) düsturunu tətbiq edir. Məsələn, bir kiber-hücumun ehtimalı ildə 10%, itki isə 100000 manatdırsa, illik risk 10000 manatdır. Bəs, bu üsul niyə seçilir? Çünki, büdcə tələb edəndə və investisiya qərarları verəndə ən tutarlı sübutdur.

3. Yarı-kəmiyyət texnikası (Semi-quantitative):

Bəzən nə təmiz hiss, nə də dəqiq rəqəm kifayət etmir. Bu zaman auditor hər bir riskə 1-dən 10-a qədər bal verir. Bu necə işləyir? Məsələn, “Giriş nəzarəti” riskinə 8 bal, “Sənədləşmə” riskinə 3 bal verir. Ballar toplandıqda ən çox bal yığan sahə birinci audit olunur.

Auditorun “üçlük” düsturu

İS auditoru bu texnikaları tətbiq edərkən üç növ riski analiz edir:

1. İlkin risk (Inherent risk): Heç bir qorunma olmasaydı, nə baş verərdi?
2. Nəzarət riski (Control risk): Mövcud qorunma sistemləri (Firewall, antivirus) işləməsə nə olar?
3. Qalıq risk (Residual risk): Bütün qorunmalardan sonra hələ də açıq qalan təhlükə nədir?

Nəticə olaraq: Yaxşı bir auditor “keyfiyyət” texnikası ilə ümumi mənzərəni görür, “kəmiyyət” texnikası ilə rəhbərliyi razı salır və sonda diqqətini “Qalıq risk”ləri azaltmağa yönəldir.

Risk Analizi

Təsəvvür edin ki, əlinizdə bir siyahı var: “Server otağında yanğın çıxa bilər”. Bu, sadəcə bir ehtimaldır. Amma auditor risk analizi mərhələsinə keçəndə, o, suallar verməyə başlayır: “Yanğın çıxsa, bizə nə qədər ziyan dəyər? Bu yanğının baş vermə şansı nə qədərdir?”

1.      Qərarvermə

Bütün rəqəmlər toplandı, matrislər rəngləndi. İndi isə auditorun ən məsuliyyətli anı gəlib çatdı: Bu məlumatlarla nə edirik? Risk analizi sadəcə hesablama deyil, o, “hansı yanğını birinci söndürməliyik?” sualına cavab tapan bir süzgəcdir.

2.      Niyə analiz edirik? (Prioritetləşdirmə)

Əlimizdə 50 dənə risk ola bilər. Hər bir şirkətin pulu və vaxtı məhduddur. Auditorun bütün riskləri eyni vaxtda həll etməsi qeyri-mümkündür. Risk analizi bizə “Hansı yanğın daha böyükdür?” sualına cavab verir. Analiz sayəsində biz resurslarımızı ən kiçik risklərə yox, gəmini batıra biləcək ən böyük risklərə yönəldirik.

–  “Qırmızı” və ya “Yüksək ALE” ballı risklər: Bunlar şirkəti batıra biləcək risklərdir. Bütün resurslar bura yönəlir.

– “Yaşıl” zonadakı risklər: Bunlar “olsa yaxşı olar” tipli risklərdir. Auditor bunları növbəti ilə saxlayır.

3.      Resursların Bölüşdürülməsi: Cost-Benefit Analizi

Analiz bizə göstərir ki, hər riskə eyni dərəcədə pul xərcləmək axmaqlıqdır.

• Məsələn, kəmiyyət analizi bizə dedi ki, bir riskin illik dəyəri 5.000 manatdır. Əgər bu riski bağlamaq üçün 20.000 manatlıq sistem lazımdırsa, auditor burada “Riski qəbul etmək” qərarını təklif edə bilər. Çünki dərdi dərmanından baha başa gəlir.

4.      Auditorun nəticəsi

Analizin sonunda auditorun əlində sadəcə bir “qorxu siyahısı” deyil, bir “Yol xəritəsi” olur. O bilir ki, hansı qapını birinci kilidləmək lazımdır, hansına isə hələlik bir az gözləmək olar. Auditor rəhbərliyin qarşısına sadəcə rəqəmlərlə yox, bir icra planı ilə çıxır:

“Cənab direktor, analizlərimiz göstərir ki, növbəti 3 ayda bütün gücümüzü ‘Məlumat sızıntısı’ riskinə verməliyik, ‘İnternetin sürəti’ riski isə hələlik gözləyə bilər.”

Nəticə: Beləliklə, analiz mərhələsi “məlumatsızlıq dumanı”nı dağıdır və rəhbərliyə hara investisiya edəcəyini dəqiq göstərir.

Ənənəvi auditlə müasir İnformasiya Sistemləri auditi fərqləndirən əsas amil məhz “Riskə Əsaslanan Yanaşma”dır.

Və bu mövzuda da, bu gün auditin qızıl qaydasından danışacam:

1.3 Risk-Based Audit Planning (yəni, Riskə Əsaslanan Audit Planlaması).

Təsəvvür edin, böyük bir şirkətdə işləyirsiniz. Hər bir fərdi kompüteri, hər bir kiçik proqramı yoxlamağa nə vaxt, nə də resurs çatar. Bəs auditor hara baxmalı olduğunu necə seçir? Təbii ki, risk hardadırsa, auditor öncə ora yönələcəkdir!

Gəlin bu planlamanın iki vacib komponentinə baxaq:

1.3.1 Fərdi Audit ttapşırıqlarının planlaşdırılması (Individual Audit Assignments)

Hər hansı bir konkret auditi (məsələn, “mobil bankinq tətbiqinin auditi”) planlaşdırarkən kor-koranə işə başlaya bilmərik. Əvvəlcə etməli olduğumuz bir neçə xüsus var.

İlk olaraq, biznesi anlamalıyıq. Bu sistem biznes üçün niyə vacibdir? Olmasa və ya dayansa nə qədər pul itirərik? Ardınca, riskləri müəyyən etməliyik. Ən böyük təhlükələr nələrdir? Haker hücumu, daxili sızıntı, yoxsa sistem çökməsi? Sonra əhatə dairəsini və məqsədləri müəyyən etməliyik. Nəyi yoxlayacağıq və nəyi YOX? Çərçivələri cızmaq ən vacib addımdır. Son olaraq da, resursların bölgüsü. Yəni, bu iş üçün bizə hansı texniki biliklərə sahib auditorlar lazımdır?

1.3.2 Qanun və qaydaların İT Auditə təsiri (Effect of laws and regulations)

Ok, biznes öz daxili risklərini hesabladı, bəs dövlət nə deyir? İT auditi qapalı bir qutuda aparılmır. Qanunlar bizim audit planımızı birbaşa formalaşdırır. Məsələn, Mərkəzi Bankın və ya Fərdi Məlumatların Qorunması haqqında qanunun tələbləri. Əgər qanun deyirsə ki, “İstifadəçi logları 1 il saxlanılmalıdır”, auditor artıq məcburdur ki, sistemin bunu edib-etmədiyini yoxlasın. Qaydalara tabe olmamaq (Non-compliance) ən böyük risklərdən biridir, çünki bu, şirkətə nəinki maliyyə cərimələri, hətta fəaliyyətinin dayandırılması bahasına başa gələ bilər! Qanuni tələblər bir çox halda auditin minimum əhatə dairəsini cızır.

1. Hazırlıq (Preparation)
İnsident baş verməmişdən əvvəl komandanı, alətləri və prosedurları hazır vəziyyətə gətirmək.

2. Aşkaretmə (Detection/İdentification)
Təhdid və ya insidentin baş verdiyini müəyyən edib təsdiqləmək.

3. Qarşısını alma-Təcrid (Containment/Isolate)
İnsidentin yayılmasının qarşısını almaq üçün təsirlənmiş sistemləri şəbəkədən ayırmaq.

4. Təmizləmə (Eradication/Eliminate)
Təhdidin kökünü (zərərli proqramı, zəifliyi və ya giriş nöqtəsini) sistemdən tamamilə silmək.

5. Bərpa (Recovery)
Təmizlənmiş sistemləri yoxlayaraq normal iş rejiminə qaytarmaq.

Kibertəhlükəsizlik sahəsində insident baş verdikdə təsadüfi deyil, standart bir ardıcıllıqla hərəkət etmək tələb olunur. Bunun üçün dünyada ən çox qəbul edilmiş iki çərçivə mövcuddur: SANS və NIST. Hər ikisi təşkilatlara insidenti idarə etmək üçün aydın bir yol xəritəsi təqdim edir — hazırlıqdan başlayaraq aşkaretmə, təcrid, təmizləmə və nəhayət tam bərpaya qədər. Bu standartlara əməl etmək təşkilatın həm ziyanı minimuma endirməsinə, həm də gələcək insidentlərə daha hazırlıqlı olmasına imkan verir.

#insident #kibertəhlükəsizlik #IRP #SANS #NIST #SOC #detection #monitoring #SIEM #containment #malware #recovery #bərpa #forensics #patch #response #DataSec

Data & Security

“Kill Chain” və ya Ölüm Zənciri, əslində hərbi termin olaraq meydana çıxıbdır və hərbi sistem tərəfindən hədəfli hücumun mərhələlərini müəyyənləşdirmək üçün istifadə edilir. Lockheed Martin firması, Cyber Kill Chain modelini, hədəfli hücumları (və ya APT-ləri) analiz etmək məqsədilə uyğunlaşdıraraq sonradan yaratmışdır. Son illərdə sıx olaraq istifadə olunan bu modeldə hədəfli kiber hücumların Kəşf, Silahlanma, Ötürmə, İstismar etmə, Əmr Nəzarət və Hərəkətə Keçmə olaraq izah edilən 7 addımda həyata keçdiyi görünməkdədir.

Şəkil 6. Cyber Kill Chain, www.lockheedmartin.com

Bu addımların hər biri digərilə əlaqəlidir, bir addım həyata keçməmiş digərinə keçilməz, bu səbəblə zəncir olaraq xarakterizə edilmişdir. Zəncir, ən zəif halqası qədər güclüdür deyimi bu nöqtədə müdafiə edən tərəf üçün deyil, hücum edən tərəf üçün istifadə edilməkdədir. Modelin əsas fikrini “Hücum addımlarının hər hansı birinin uğursuz olması, hücumu uğursuz qılacaqdır” düşüncəsi əmələ gətirməkdədir. Cyber Kill Chain addımları qısaca aşağıda izah edilmişdir:

1. Kəşf (Reconnaisance): Kəşfin ilkin məqsədi sistemlərə giriş ediləcək nöqtələrin müəyyənləşdirilməsidir. Hədəf (qurum/təşkilat) və hücumun məqsədi müəyyən edildikdən sonra, hücumun təkmilləşdirilməsi üçün lazımi məlumatlar yığılar. Bu məlumatlar hədəfə aid IP adresləri, xaricə açıq servislər, şəxsi heyət məlumatları, qurum/təşkilatın iş üsulları və s. məlumatlardır. Kəşf əməliyyatlarında sosial mühəndislik, sosial media araşdırmaları, yeraltı forumları, aktiv/passiv axtarış alətləri və metodları istifadə edilir.
2. Silahlanma (Weaponization): Kəşf ərəfəsində hədəfə aid hücum səviyyəsi və hücum nöqtələri aşkar edildikdən sonra hücum vektorları müəyyən edilir. Silahlanma mərhələsi, istifadə ediləcək silahın müəyyən edildiyi, zərərli proqramların yaradıldığı və paketləndiyi mərhələdir. Zərərli proqram veb səhifəsinə, PDF, Microsoft Office və ya rəsm/fotoşəkil faylı içərisinə yerləşdirilə bilinər.
3. Ötürmə (Delivery): Ötürmə mərhələsində zərərli proqramın qurum/təşkilat şəbəkəsinə necə nüfuz etdiriləcəyinə qərar verilir. Paketlənən zərərli proqram URL vasitəsilə təqdim edilə də bilinər, eyni zamanda e-mail əlavəsində və ya USB və s. media ilə də ötürülə bilinər. Ötürmə mərhələsində ən çox istifadə edilən üsul phishing üsuludur. Faktura, kredit kartı bəyanatı, təşkilati elan, xəbərdarlıq kimi göstərilən e-maillər içərisində əlavə olaraq və ya bir URL vasitəsilə zərərli proqram ehtiva edən faylın istifadəçi komputerlərinə ötürülməsi təmin edilir.
4. İstismar etmə (Exploitation): İstismar etmə mərhələsi adətən hədəf sistemlərdəki boşluqdan fayda əldə etmə mərhələsidir. Hədəfin ələ keçirilə bilməsi və nəzarət altına alına bilməsi üçün zərərli proqramın sistemə qurulması və istifadəçi hiss etmədən uzaqdan əlaqənin yaradılması lazım gələcəkdir. Bunun ola bilməsi üçün əlaqədar istifadəçi maşınındaki əməliyyat sistemində və ya tətbiqlərdə bir boşluq olması şərtdir. Ötürmə mərhələsi ilə komputerə endirilən fayl işə salındıqda, sistemdəki boşluq istismar edilərək yükləmə mərhələsinə yol açılacaqdır.
5. Yükləmə (İnstallation): Yükləmə mərhələsi cinayətkarın sistemlərə uzaqdan qoşula bilməsi üçün lazımi tətbiqlərin qurulmasının aparıldığı mərhələdir. İstifadəçi sistemindəki boşluqları istismar edən zərərli proqram, əməliyyat sistemlərindəki səlahiyyət nəzarətlərini və/və ya təhlükəsizlik proqramlarını atlayaraq bu proqramların qurulmasını təmin edər. Bu proqramlar ya zərərli proqram içərisində paket halında saxlanılır, ya da internet vasitəsilə cinayətkarların əvvəlcədən yerləşdirdiyi bir yerdən endirilir.
6. Əmr və nəzarət (Command and Control): Uzaq əlaqə üçün yol açılan hədəf və ya hədəflər internet üzərindəki əmr və nəzarət serverilə (adətən şifrəli protokol vasitəsilə) əlaqə qurar. Bu addımdan etibarən hədəf sistem tamamilə və ya qismən də olsa ələ keçirilmişdir.
7. Hərəkata başlama (Actions on Objectives): Bu mərhələ cinayətkarın hərəkətə keçmə mərhələsidir. İstifadəçi sistemləri ələ keçirikdikdən sonra cinayətkarların məqsədinə görə, ya bu sistemlər başqa bir sistemə hücum etmək üçün (botnet və ya cinayətkarın öz kimliyini gizlətməsi üçün) istifadə olunar, ya komputer daxilindəki şəxsi informasiyaları silmək, dəyişmək və ya oğurlamaq (ransomware) üçün, ya da içəridəki dəyərli məlumatların saxlanıldığı sistemlərə çıxış əldə etmək üçün dayaq nöqtə olaraq istifadə edilir.

Bu bölmədə, birbaşa KTƏM qurma və idarə etmə fəaliyyətlərinə girilməsə də həyata keçiriləcək əməliyyatlarda bilinməsinin faydalı olduğu düşünülən bir qrup anlayış və prinsiiplərdən bəhs edilmişdir.

1.2.2 Təməl Təhlükəsizlik Prinsipləri

Kiber təhlükəsizlik mövzubəhs olduqda bir çox mənbədə təməl təhlükəsizlik prinsipləri olaraq Məxfilik, Bütünlük və Əlçatanlıq komponentlərindən ibarət üçlüdən bəhs edilir. Kiber təhlükəsizliklə əlaqədar tələbləri daha açıq izah edə bilmək baxımından bu KTƏM mövzusunda 9 ədəd prinsipi müəyyənləşdirməyi faydalı hesab edirik.

Cədvəl 1. Təməl təhlükəsizlik prinsipləri

Yuxarıdaki prinsiplərin başa düşülməsi və mənimsənilməsi informasiyanın və informativ varlıqların qorunması istiqamətində aparılacaq işlərin formalaşması baxımından əhəmiyyət kəsb edir.

1.2.3. Atak modelləri

İstər kiber sahədə, istər fiziki dünyada bir təxribatən və ya cianyətin müvəffəq olması üçün bir üsula riayət olunması lazımdır. Bu üsullar, istər ustadan şagirdə keçərək öyrədilsin, istər mövcud üsulların köçürülməsi ilə yaradılsın, həm kiber dünyada həm gündəlik həyatda oğrular, saxtakarlar və cinayətkarlar tərəfindən istifadə edilməkdədir. Əgər bu üsulları bilmiş olsanız müdafiə olunmaq və lazım gələn nöqtədə aşkar etmək, mane olmaq və ya çaşdırmaq daha asan olacaqdır. Tədqiqatçılar, cinayətkarların istifadə etdikləri bu üsulları araşdırıb bir qrup üsullar təyin etmiş və kiber hücumları analiz edə bilmək üçün bəzi modellər yaradıblar. Bu modellər ümumi olaraq  Hücum Həyat Dövrü və ya Atak Modelləri olaraq adlandırlmaqdadır.

Atak modelləri hücumları analiz etmək və analiz nəticələrindən asılı olaraq oxşar hücumların qarşısını almaq məqsədilə təkmilləşdirilmiş üsullardır. Bu modellər adətən hərbi məqsədlər üçün yaradılmış modellərin kiber təhlükəsizlik sahəsinə uyğunlaşdırılması ilə meydana çıxmışdır. Ən bilinən və istifadə olunan bu həyat dövrləri və modellər aşağıda siyahılanmışdır:

1. Cyber Kill Chain
2. Mandiant Attack Life Cycle
3. MITRE ATT&CK

Günümüzdə kiber dünyada analiz məqsədilə istifadə olunan bütün hücum analizləri bu modellər üzərinə qurulmuşdur. Bu modellər qəti modellər deyil əlbəttə, daima dəyişməkdə və təkmilləşməkdədir. Bu modellər dünyanın böyük silah istehsalçılarından olan  Locheed Martin firmasının təkmilləşdirdiyi Cyber Kill Chain, sonradan Fireeye tərəfindən satın alınan Mandiant firması tərəfindən təkmilləşdirilən Attack Life Cycle və Amerika mənşəli tədqiqat və təkmilləşdirmə qurumu MITRE tərəfindən əmələ gətirilən ATT&CK modelləridir.

Cyber Kill Chain cinayətkarın kəşfdən etibarən sistemlərə daxil olma arasında keçən addımları daha ətraflı olaraq izah edərkən, Attack Life Cycle içəriyə daxil olan cinayətkarın içəridə keçirdiyi dövrləri ətraflı olaraq izah etmişdir. Cyber Kill Chain zərərli proqramları mərkəzə alarkən, Attack Life Cycle cinayətkarı və cinayətkarın hərəkətlərini mərkəzə alır. Bu şəkildə baxıldıqda bu iki model birbirinin əksikliklərini çox gözəl şəkildə tamamlamaqdadır. MITRE tərəfindən təkmilləşdirilən ATT&CK isə yuxarı səviyyə yaradılan bu iki modeli əsas alan və bu modellərdəki üsul və taktikaları ətraflı şəkildə izah edən, yoxlama və aşkar praktikalarında istifadə edilməsi üçün yaradılmış bir modeldir.

Bu modellərdə ən çox istifadə edilən terminlər TTP (Techniques/Tools, Tactics and Procedures) və İoC (Indicator of Compromise)-dır. TTP-nin nə olduğunu bilmədən bu modelləri başa düşmək çox da mümkün olmayacaqdır. Bu səbəblə bu anlayışlara burada qısaca toxunmağımız izah edilənlərin daha yaxşı başa düşülməsində faydalı olacaqdır.

Techniques/Tools, Tactics and Procedures (TTP)

TTP Texnika(üsul)/Alət, taktika və prosedura kəlmələrinin ingiliscə ekvivalentlərinin baş hərfllərindən əmələ gətirilən bir qısaltmadır. TTP-lərin istifadə edilmə məqsədi hücumun arxasındaki məqsədi (motivasiyanı) və cinayətkarların xasiyyətlərini, tiplərini müəyyən edərək, hücumların qarşısını almaq və ya ən az zərərlə öhdəsindən gəlməkdir.

Taktika qısa olaraq, cinayətkarların taktiki məqsədini, aparılan əməliyatların niyə edildiyini izah etmək üçün istifadə edilən termindir. Cinayətkarın əməliyyatlarda istifadə etdiyi addımlar əslində bir taktikadır. Məsələn, sistemlərə çöldən və ya daxildən edilən kəşf fəaliyyətləri, sistemlərə girdikdən sonra sistemlərdə varlığını davam etdirmək, sakitcə irəliləmək və ya xaricə informasiya ötürmək taktika olaraq izah edilir. Üsullar isə taktikaları həyata keçirmək üçün edilməsi lazım gələn fəaliyyətlərdir, cinayətkarın taktiki hədəflərinə necə və nə ilə çatacağını müəyyənləşdirmək üçün istifadə edilir. Kəşf məqsədli tətbiq edilən üsullar, IP/port axtarışı, istifadəçi axtarışı, şəbəkədəki yayım edən sistemləri aşkar etmə olaraq nümunələndirmək olar. Proseduralar isə üsulların necə və hansı növbə ilə və nə məqsədlə istifadə ediləcəyini izah edən növbələməyə verilən addır. Məsələn, bir boşluq aşkar edə bilmək üçün əvvəlcə əlaqədar sistemdə hansı resursların olduğu, IP adresləri, TCP/UDP portları və verilən xidmətlərin aşkar edilməsi lazım gəlir. Bütün bu əməliyyat sırası Prosedura olaraq adlandırılır.

İoC (İndicator of Compromise)

Cinayətkarlar bir sistemi ələ keçirdikdə, bir sistemə daxil olmağa çalışdıqda və ya hücum etdikdə arxalarında bir çox iz buraxarlar. Bu izlər kiber təhlükəsizlik dünyasında “göstərici – indikator” (indicator) olaraq adlandırılır. Ələ keçirilmiş və ya potensial olaraq ələ keçirilmə ehtimalı olan bir sistemlə əlaqədar göstəricilər isə IoC olaraq adlandırılır. IoC-lar istifadə olunaraq KTƏM-in aşkar və müdaxilə qabiliyyətlərinin artırılması təmin olunur. Göstəricilərin aşkar edilə bilinməsi üçün əlaqədar sistemlərdəki məlumatların qeyddə tutulması lazımdır. Yəni, şəbəkə, təhlükəsizlik və server sistemlərinin loqları, şəbəkə paket qeydləri, son istifadəçi maşınlarındaki loqlar kimi bir çox məlumatın qeyddə tutulması lazımdır. Bu loqların qeyddə tutulub, analiz edilməsi böyük əhəmiyyət kəsb edir.

IoC-lar adətən rəqəmsal ədli analiz və hadisəyə müdaxilə fəaliyyətləri ilə kəşf edilir. Kəşf edilən IoC-lar Daimi Təhlükəsizlik Müşahidə və Kiber Təhdid Kəşfiyyatı funksiyaları tərəfindən istifadə edilərək hücumların əvvəlcədən aşkar edilməsi məqsəd tutulur. Bu göstəricilər qısa olaraq aşağıda siyahılanmışdır:

1. Zərərli proqramların fayl məlumatları (hash)
2. Zərərli proqramların yayımının, nəzarətinin aparıldığı cihazların IP adresləri
3. Zərərli proqramların yayımının, nəzarətinin aparıldığı serverlərin domen adları
4. Komputer şəbəkələrində meydana çıxan göstəricilər
5. Komputerlər üzərində meydana çıxan göstəricilər
6. Hücumdan əvvəl/ərəfəsində/sonrasında istifadə olunan alətlər
7. Hücumdan əvvəl/ərəfəsində/sonrasında istifadə olunan taktika, üsul və metodlar

IoC-ların təyin olunması da, təhlükəsizlik məhsulları istifadə edilərək hücumların aşkar edilməsi də özü ilə müxtəlif çətinliklər gətirir. Hər IoC-un fəaliyyətdə olma müddəti və qüvvədə olması, təbii olaraq qiyməti də fərqlidir. IoC-ların qiyməti, məlumat sayı ilə tərs, məlumatın qüvvədə olma müddəti və əldə etmək üçün istifadə ediləcək resurs ilə düz mütənasibdir. Yəni ən qiymətli məlumat olan cinayətkarların istifadə etdikləri alətlər, taktikalar, metodlar və hətta kim olduqlarını aşkar edə bilmək üçün mütəxəssis heyətin uzun müddət iş görməsi lazım gələcəkdir. Ancaq cinayətkarların istifadə etdiyi IP adresləri və domen adı adreslərini dünya səviyyəsində bir çox bölgəyə yerləşdirilən honeypotlar ilə toplamaq və bəsit bir sənəd halında təqdim etmək daha asandır. Cinayətkarlar, istifadə etdikləri zərərli proqramları çox asan dəyişdirə bilərlər, əmr və nəzarət mərkəzlərinin IP və domen adı adreslərini asanlıqla dəyişdirə bilərlər amma istifadə etdikləri boşluqları və/və ya metodları/üsulları dəyişdirməkləri o qədər də asan olmur. Cinayətkar tərəfindən baxıldıqda bu dəyişikliklərin hər biri ayrı xərc istəyir.

Qısası, asan dəyişdirilə biləcək işarələrin əldə edilməsi asan və az xərcli, miqdarı yuxarı, qüvvədə olma müddəti qısa ikən, dəyişdirilməsi çətin olan işarələrin əldə edilməsi də bir o qədər çətin və yüksək xərcli, miqdarı aşağı və qüvvədə olma müddəti daha çox uzun olacaqdır. Bu yanaşma David Bianconun nəzərindən qaçmamış və “Pyramid of Pain” adı ilə aşağıdaki şəkildə modelləşdirilmişdir.

Şəkil 5. Pyramid of Pain

Pyramid of Pain, cinayətkara nə qədər zərbə verəcəyimizi göstərən bir modeldir. Əgər cinayətkarın istifadə etdiyi zərərlilərin hashlarını toplayıbsınızsa cinayətkar o dəqiqə bu zərərlilərin içərisinə bir neçə sətr əlavə edərək hashı dəyişdirər və əmr və nəzarət mərkəzlərini aşkar etmiş olsanız belə yeni mərkəzlər yaratmaq və IP adresləri ilə mövcud zərərliləri əlaqələndirmək üçün cəhd edər. Ancaq siz, cinayətkarın istifadə etmiş olduğu boşluğu, bu boşluqdan sui-istifadə etmə formasını, boşluğu aşkar etmək üçün istifadə etmiş olduğu üsulu bilər və buna əsasən tədbir görsəniz cinayətkarın müvəffəq olması üçün yeni boşluqlar və metodlar tapması lazım gələcək və onun işi çətinləşəcəkdir.

a) Şəxsi heyət sayı kafi deyil. Təhlükəsizlik sahəsinə dair bacarıqlı mütəxəssis yoxdur. Sağlam şəkildə işini aparan təşkilatçılıq yoxdur.

b) Hər hansı proses istifadəyə verilməyibdir, hər hansı təhlükəsizlik siyasəti yoxdur.

c) Təhlükəsizlik məhsulları qeyri-kafi və texnologiyadan geri qalıb.

2. Yetkinlik Səviyyəsi – İdarə edilən.

a) Təhlükəsizlik dairəsinə aid mütəxəssis var, ancaq bu heyət ayrıca təhlükəsizlik departamentində işləmir. IT departamenti mövcuddur, təhlükəsizlik də IT departamenti daxilində işini aparır.

b) Proseslər qismən tətbiq edilir, yazılı olmayan təhlükəsizlik siyasətləri tətbiq edilir. Dokumentasiya aparılmır.

c) Təməl təhlükəsizlik məhsulları və texnologiyaları işlək vəziyyətdə, ancaq effektiv şəkildə istifadə olunmur.

3. Yetkinlik Səviyyəsi – Müəyyənləşdirilmiş

a) Təhlükəsizlik ilə maraqlanan şəxsi heyətin vəzifə və məsuliyyətləri müəyyənləşdirilibdir. Təhlükəsizlik qrupu IT ilə bərabər və ya onlardan kənar öz işini aparır. Vəzifədəki şəxsi heyət yetkin və biliklidir.

b) Yazılı proseslər istifadəyə verilibdir, yazılı təhlükəsizlik siyasətləri tətbiq edilir. Ehtiyaca uyğun formada dokumentasiya aparılır.

c) Ehtiyac hiss edilən təhlüəsizlik məhsulları və texnologiyaları effektiv olaraq istifadə edilir. Təhlükəsizlik məhsullarına aid təməl nüsxələmə və yeniləmə fəaliyyətləri həyata keçirilmir.

4. Yetkinlik Səviyyəsi – Ölçülə bilən

a) Təhlükəsizlik qrupu IT xaricində işləyən ayrıca bir qrupdur. Təhlükəsizlik qrupu içindəki bütün lazımi rollar istifadəyə verilibdir. Vəfizələr və məsuliyyətlər ətraflı şəkildə müəyyənləşdirilibdir. Yetkin və bilikli şəxsi heyət ehtiyat işçiyə malik şəkildə işləyir.

b) Bütün proseslər istifadəyə verilibdir. Proseslər arasındaki inteqrasiya təmin edilibdir. Aparılan bütün əməliyyatlar əlaqədar təhlükəsizlik siyasətlərinə əsasən edilir. İş ehtiyacından asılı olaraq təlimatlar və nəzarət siyahıları yaradılır və tətbiq edilir.

c) Ehtiyac hiss edilən bütün təhlükəsizlik məhsulları effektiv şəkildə istifadə olunur. Məhsullar arası inteqrasiya təmin edilir. Bir çox fəaliyyət avtomatikləşdirilib. Yeni məhsul və texnologiyaların araşdırılması və sınağı həyata keçirilməkdədir.

5. Yetkinlik Səviyyəsi – Təkmilləşdirici

a) Şəxsi heyətin daima təkmilləşdirmə yanaşması ilə qiymətləndirilməsi aparılır. Təlimlərlə heyətin hər cəhətdən irəliləyişi təmin edilir. Tamamilə ixtisaslaşmış işçilərdən ibarətdir. Bütün vəzifələr ehtiyat işçiyə malik şəkildədir.

b) Proseslərə aid səviyyələr daimi olaraq ölçülür və qiymətləndirilir. Proseslərdəki kobudluqların və çatışmazlıqların aradan qaldırılması təmin edilir. KTƏM prosesləri ilə iş prosesləri inteqrativ şəkildə aparılır.

c) Məhsul və texnologiyaların ən məhsuldar və effektiv şəkildə işləməsi üçün lazımi səviyyələr daimi olaraq ölçülür və qiymətləndirilir. Qiymətləndirmə nəticələrinə görə texnologiyalar daimi olaraq yaxşılaşdırılır. Yeni texnologiya və məhuslların mövcud sistemlərə inteqrasiyası təmin edilir. Texnologiya və proseslər arasındaki inteqrasiya təmin edilmişdir.

Ədəbiyyatda bir çox KTƏM modelindən bəhs edilir. Bu modellər aşağı-yuxarı bir birilə oxşarlıq göstərirlər. Bəzi mənbələr 3, bəziləri isə 6 fərqli model tövsiyə edirlər. Biz bu KTƏM modellərini 4 əsas başlıq altında cəmləməyi uyğun gördük. Bu modellər qısa olaraq aşağıda izah edilmişdir:

Virtual KTƏM: KTƏM fəaliyyətlərinə həsr olunmuş bir müəssisəyə malik olmayıb, fərqli mühitlərdəki şəxslərdən əmələ gəlmiş strukturdur. Şəxs gündəlik işlərinə əlavə olaraq KTƏM fəaliyyətlərinə də vaxt ayırmaqdadır. KTƏM kritik xəbərdarlıqlar yarandıqda və ya bir kiber hadisə baş verdikdə hərəkətə keçən reaktiv quruluşa malikdir.

Həsr olunmuş KTƏM: KTƏM fəaliyyətlərinə hərs olunmuş bir müəssisədə işləyən və işi sadəcə KTƏM fəaliyyətlərini həyata keçirmək olan şəxslərdən əmələ gəlmiş strukturdur. Bütün KTƏM fəaliyyətləri bu şəxsi heyət tərəfindən həyata keçirilir.

Paylanmış KTƏM: KTƏM fəaliyyətlərinin bir hissəsi qurumun öz şəxsi heyəti tərəfindən öz bölgəsində, bir hissəsi isə başa düşüldüyü kimi bir xidmət provayderi tərəfindən (Managed Security Service Provider / MSSP) uzaqdan həyata keçirilir. Qurum özü həftə içi hər gün 8 saat işləməklə bərabər, MSSP tərəfindən bir qrup fəaliyyətlər gün ərzində və ya qurumun işləmədiyi vaxtlarda həyata keçirilir.

Mərkəzi KTƏM: Birdən artıq KTƏM-ə malik qurumlarda digər KTƏM-lərin koordinasiya edildiyi mərkəzi KTƏM strukturudur. Digər KTƏM-lərə yuxarı səviyyə təhlükəsizlik siyasətləri və proseduralar ilə təhdid kəşfiyyatı məlumatları kimi texniki məzmunlu informasiyaları yayımlayır. Çox mühim kiber hadisə baş vermədiyi müddətcə gündəlik əməliyyatlara çox da daxil olmur.

Yuxarıda bəhs edilən modelləri bilmək, qurum və ya təşkilatınızın hansı modeldə KTƏM-ə ehtiyacı olduğuna qərar verməkdə əhəmiyyət kəsb edir. Planlama ərəfəsində, qurumunuzun resursları və ehtiyaclarına nəzər yetirərək KTƏM modelinə qərar verilir. Buna əsasən, ediləcək işlər və sərmayənin gedişi dəyişəcəkdir. Məsələn, Həsr olunmuş və 7/24 işləyən bir KTƏM əvəzinə əvvəlcə Paylanmış KTƏM seçilə bilinər. Bu qərar qurumunuzun risk iştahı və maddi resursları ilə əlaqədar olacaqdır. Bu nöqtədə qərarı müəyyən edəcək mühim mövzulardan bəziləri bunlardır:

• Öz quracağınız KTƏM üçün şəxsi heyət, müəssisə, texnologiya və s. təmini üçün çəkiləcək xərc,
• Bütün planlama, quraşdırma və əməliyyat üçün keçəcək olan vaxt.

Qurumlar, daimi kiber müşahidə və hadisəyə müdaxilə kimi ən kritik funksiyaları özü yerinə yetirə bilər, boşluğa nəzarət və təhlükəsizlik testləri kimi bir qrup funksiyaları da xidmət alışı yolu ilə təmin edə bilər. Qurulacaq KTƏM-in  strukturu və modelinə qərar verilərkən ən müəyyən edici faktorlar qurumun büdcəsi, resursları və risk iştahı olacaqdır.

1.1.4 KTƏM Yetkinlik Modeli

Qurum/təşkilatlar adətən daxillərində baş verən nasazlıqları, əksiklikləri və problemləri həll etmək və ya bunları aşkar etmək üçün bir çox üsul tətbiq edir. Bu üsullar adətən analizlər, testlər və audit yoxlamaları olaraq qarşımıza çıxar. Bu cəhdlər, çalışmalar adətən sistemlərdəki nasazlıqları aşkar edib, yoluna qoymağa çalışır və bəzən müvəffəq, bəzən də uğursuz olurlar. Bu analiz, test və yoxlamaların nəticəsində bir çox problemin həll edilməsinə baxmayaraq adətən kök səbəblərin aşkar edilməsi təmin olunmaz. Çox böyük sistemdə ortaya çıxan problemlərin kök səbəblərinin tapılması adətən qeyri-mümkün görünür. Bu kök səbəblər, bəzən sistemlə o qədər iç-içə girmişdir ki, sistemin özü halına gəlmiş ola bilir.

Bir nümunə ilə mövzuya aydınlıq gətirək, xəstə olduqda həkimə gedirik. Həkim bizdən şikayətimizi soruşar, simptomları dinləyər, sonra bizi müayinə edib, təhlillər və bəzi yoxlamalar tətbiq edər. Test, müayinə və təhlil nəticələri ilə sizin bildirdiyiniz simptomları da nəzərə alaraq sizə bəzi dərmanlar verər. Dərmanlar istifadə edildikdə xəstəliyin simptomları azalır və bədəniniz rahatlanar. Bəzən bəzi xəstəliklər də sağaldıla bilinər. Kiber təhlükəsizlik analiz, test və auditləri də sizə buna bənzər geri müsbət cavablar verər. Ancaq, xəstə olmamaq və daha keyfiyyətli bir həyat sürmək üçün zərərli maddələrdən uzaq durmalı, qidalanmalara diqqət etməli, idman, təmiz hava da gündəlik standart həyat tərzi halına gətirilməlidir. Bu həyat tərzinin kiber təhlükəsizlik və IT sistemlərindəki qarşılığı isə yaxşı praktikalardır. Bu praktikaların tətbiq edilmə nisbətinə əsasən sistemin təhlükəsizliyinin (nisbi olaraq) hansı ölçüdə yaxşılaşacağını müəyyən edən modellər isə yetkinlik modeli olaraq adlandırılır. Yetkinlik modelləri, daimi yaxşılaşdırma prinsipinə uyğun olaraq irəliləmək və təkmilləşmək üçün lazım olan analiz, qiymətləndirmə, iş planı çıxarma fəaliyyətləri üçün bir bünövrə əmələ gətirən, istinad modeli olaraq istifadə edilir.

Yetkinlik, şəxsin, qrupıun, qurum/təşkilatın, tətbiqatın və ya davamiyyətin əvvəlcədən müəyyən edilmiş yetkinlik kriteriyalarına çatmış olma vəziyyəti olaraq izah edilə bilinər. Bir mövzu haqqında yetkinləşə bilmək üçün bir çox fəaliyyətin edilməsi və edilənlərin bir adətə çevrilməsi lazım gəlir. Bu fəaliyyətlərin həyata keçirilməsi və fəaliyyətlərin nəticələrinin şərh edilərək adət halına çevrilməsi vaxt alan bir prosesdir.

Yetkinləşmə bir anda çata biləcək bir nöqtə olmadığına görə, davamiyyət istəyən yaxşılaşdırma fəaliyyətlərini aşkar edə bilmək üçün də bunların hansısa bir formada ölçülməsi və ya qarşılaşdırılması gərəkir. Bu məqsədlə yetkinlik səviyyələri əmələ gətirilir və bu səviyyələrə çata bilək üçün lazımi kriteriyalar təyin edilir. Şəxs, qrup, qurum/təşkilat, tətbiq və ya proseslər addım addım bu səviyyələri həyata keçirərək istənilən səviyyəyə çatır.

Yetkinlik modeli yanaşması xüsusilə yeni qurulacaq KTƏM-lər üçün həm mövcud vəziyyətin aşkar edilməsində, həm də iş planı əmələ gətirilməsində çox faydalı və yol göstərici bir üsuldur. Ədəbiyyatda yetkinlik səviyyələri adətən 5 səviyyə olaraq verilməkdədir. Təkmilləşən dünya ilə tarazlığı təmin etmək məqsədilə 5 səviyyəli bir yetkin modelini izləmək faydalı olacaqdır.

1.1.5 KTƏM Ehtiyacı

KTƏM-i qurmadan əvvəl “Hansı forma KTƏM-ə ehtiyacımız var?” sualı verilməlidir. KTƏM qurmaq və idarə etmək həm maliyyə, həm də vaxt alan bir işdir. Bu səbəblə KTƏM qurmadan əvvəl bu suala düzgün və əsaslı bir cavab tapmaq gərəkəcəkdir.

KTƏM quran və idarə edən qurum/təşkilatların ən böyük motivasiyaları adətən kiber hücum nəticəsində qurum/təşkilatın maddi-mənəvi zərər görməsi, qayda, qanunvericilik və ya standartlara öyrəşmə məcburiyyəti və ya kiber təhlükəsizlik risk artmalarının müəyyən edilməsi və tədbir alma ehtiyacının əvvəlcədən aşkar edilməsi şəklində izah edilə bilinər. Bir KTƏM qurmaq üçün təbii ki bu maddələr həmişə qənaətbəxş və ya məcburi deyildir. Ancaq bir KTƏM qurub, idarə etməyin təməl hədəfləri aşağıdaki kimi xülasələndirilmişdir:

• Qurum/təşkilat daxilindəki kiber təhlükəsizlik ilə əlaqədar insan/proses/texnologiya resurslarının mərkəziləşdirilərək kiber təhlükəsizlik qabiliyyətlərinin artırılması,
• Qurum/təşkilat daxilindəki kiber təhlükəsizlik gözəçarpımının artırılması,
• Qurum/təşkilatın müdafiə, aşkar, müdaxilə və geri dönmə qabiliyyətlərinin artırılması,
• Qurum/təşkilatın uyğunlaşma ehtiyaclarının təmin edilməsi.

Yuxarıda siyahılanan hədəflərə çatmaq istəyən və əlaqədar kiber təhlükəsizlik ehtiyaclarının fərqində olan, kifayət qədər resursa və vaxta malik olan, rəhbərliyin dəstəyini almış, təməl IT və risk idarəsi fəaliyyətlərinin həyata keçirildiyi qurum/təşkilatların KTƏM qurmamağı üçün heç bir səbəb yoxdur. Əslində günümüz texnologiyası səviyyəsində KTƏM qurulması zəruri hal almışdır.

ÜMUMİ ANLAYIŞLAR VƏ TƏRİFLƏR

1. Giriş
   1. Kiber Təhlükəsizlik Əməliyyatları Mərkəzi (KTƏM) nədir?

Hər gün yeni kiber təhdidlər ortaya çıxmaqdadır və bu təhdidlər qurum və təşkilatlara təsir etməkdədir. Qurumların bu təhdidləri gözləmək yerinə, bu təhdidlərə qarşı nə cür müdafiələr alınması gərəkdiyinə dair bir hərəkat, davamiyyət əmələ gətirmələri məcburiyyət halına gəlmişdir. Hər hansı bir kiber təhlükəsizlik hadisəsi baş verdiyi vaxt müdaxilə etmək (reaktiv) çətin ola biləcəyinə görə, proaktiv bir yanaşma ilə hər hansı hadisə olmadan əvvəl lazımi tədbirləri almaq və hadisələrə necə müdaxilə ediləcəyini planlamaq ən doğru üsul olacaqdır.

Təşkilati bir Kiber Təhlükəsizlik Əməliyyatları Mərkəzi (KTƏM) qurulması, qurum/təşkilatın kiber təhlükəsizlik ilə əlaqədar boşluqlarını minimuma endirməkdə mühüm bir yol olaraq hesab oluna bilinər. İnsan, davamiyyət və texnologiyanı əhatə edən təşkilati bir KTƏM, qurum/təşkilata təsir edə biləcək təhdidlərin və kiber təhlükəsizlik hadisələrinin daimi olaraq müşahidə edilməsi, hadisənin nəzarətə götürülməsi, hesabat aparma və s. fəaliyyətləri idarə edir. Kritik varlıq və davamiyyətə malik, hədəfli və qarışıq hücumlara məruz qalması ehtimal olunan qurum/təşkilat və orqanizasiyaların KTƏM sayəsində kiber vəziyyətləri nəzarətdə saxlanılır və hər hansı kiber hadisə baş verdiyi anda əvvəlcədən müəyyən edilmiş hərəkatlara uyğun olaraq bu hadisələrə müdaxilə edə bilərlər.

KTƏM deyildikdə nəzərdə tutulan əsasən qurumun kiber təhlükəsizliyini təmin etmək məqsədilə bir araya gələn qrupların, lazımi texnologiyalardan isitfadə edərək əvvəlcədən təyin olunmuş prosesləri yerinə yetirdiyi bir orqanizasiyadır. KTƏM təməl səviyyədə, kiber təhlükəsizlik təhdid və hadisələrini aşkar etmək, bu təhdidlərin və hadisələrin qurum sistemlərinə təsir etməsinə mane olmaq və bir hadisə baş verməsi zamanı müdaxilə etməkdən məsuldur. Bu əməliyyatları yerinə yetirə bilmək üçün öncədən müəyyən edilmiş proseslərə ehtiyac vardır. Yəni KTƏM əslində əhəmiyyət səviyyəsinə qoymağa cəhd etsək, əvvəlcə insan, sonra proses və ən axırda da texnologiyadan əmələ gələn bir orqanizasiyadır.

1. KTƏM nəsilləri.

Kiber təhlükəsizlik təhdidlərinin hər keçən gün təkmilləşdiyi və dəyişdiyi bir dünyada kiber müdafiə və KTƏM yanaşmalarının da bu dinamik struktura uyğun olaraq daima dəyişməsi gözlənilən bir vəziyyətdir. KTƏM strukturları ilk dəfə 1970-ci illərin ortalarında, informasiya texnologiyalarını geniş sahə şəbəkələrində istifadə etməyə başlayan hərbi qurumlar və dövlət qurumlarında ortaya çıxıbdır. İstər bu infrastrukturların kritikliyi, istərsə beynəlxalq səviyyədəki əhəmiyyəti səbəbilə kiber təhlükəsizliyin izlənməsi və idarə edilməsi istiqamətində bir qurumun yaradılması qaçınılmaz olmuşdur.

Ədəbiyyatda ümumi olaraq dörd nəsil KTƏM-dən bəhs edilir. Bu nəsillər təyin olunarkən KTƏM qurumunun yetkinliyi və verdiyi xidmətlər göz qabağına gətirilməlidir. KTƏM nəsilləri qısaca aşağıdaki şəkildə izah edilmişdir:

1.1.2.1.  I Nəsil KTƏM

                İlk nəsil KTƏM-lər, mərkəzi idarəli, müəyyənləşdirilmiş və ölçülə bilən bir strukturdan daha çox bir və ya bir neçə şəxsdən əmələ gəlmiş qruplardan ibarət idi. Bu qruplar içərisindəki şəxsi heyət adətən şəbəkə və sistem mövzusunda mütəxəssisləşmiş şəxslər idi. Təməli 1980-ci illərə gedib çıxan I nəsil KTƏM-lərdə mərkəzi təhlükəsizlik divarı və son uc (end point) antivirus proqramlarına nəzarət və bu cihazların aşkar etdiyi və ya qeydə alınan (log) hadisələrə müdaxilə edilməsi şəklində bir yanaşma hakim idi. Təhlükəsizliyin əhəmiyyətinin təzə-təzə bilinməyə başladığı o dövrlərdə proseslərdən bəhs etmək çox da mümkün deyildi. I Nəsil KTƏM funksiyalarının sayı və əhatəsi çox dar saxlanılmışdı.

I Nəsil KTƏM funksiyaları:

• Log yığma və müşahidə etmə
• Hadisəyə müdaxilə

1.1.2.2  II Nəsil KTƏM

                Virus və soxulcanların həyatımıza daxil olduğu dövrdə təkmilləşməyə başlayan II nəsil KTƏM-lər, Hücum Aşkar Sistemləri (IDS), Log Nəzarət Sistemləri, Vəkil Serverlər (proxy), Boşluq Axtarma Sistemləri və s. texnologiyaların istifadə edilməyə başlandığı strukturlardır.

İctimai və hərbi qurumlar ilə böyük ölçülü şirkətlər tərəfindən qurulan II nəsil KTƏM-lərin daxilində, SIM  (Security İnformation Management) sistemləri də vardı və kiber müşahidə anlayışları yavaş yavaş əhəmiyyət qazanmağa başlamışdı. Şəbəkə, sistem və təhlükəsizlik məhsulları ilə əməliyyat sistemi və tətbiqlərdən əldə edilmiş loqlar üzərindən kiber hadisələr aşkar edilməyə cəhd edilmişdi. II Nəsil KTƏM funksiyalarının sayı artmasa da mövcud funksiyaların əhatəsi genişləndirilmişdi.

II nəsil KTƏM əlavə funksiyalar:

• Kiber müşahidə
• Çağrı Nəzarəti

1.1.2.3  III Nəsil KTƏM

                Kiber hücumların motivasiyasının pula çevrilməyə başladığı dövrlərdə III nəsil KTƏM-lər ortaya çıxmağa başlamışdır. Bu dövr eyni zamanda kiber cinayətlərin həyatımıza girdiyi və hədəfli hücumların artım göstərdiyi dövrdür. IT sistemlərin artması ilə kiber təhlükəsizlik, həyatın bir hissəsi halına gəlmiş və təkmilləşmiş KTƏM qurumu ehtiyacı hiss edilmişdir. Sistemlər arası avtomatikləşmə ehtiyacı ortaya çıxmış, SİEM (Security İnformation and Event Management) sistemləri əhəmiyyət kəsb etməyə başladı. Boşluq axtarmaqdan çox, boşluğa nəzarətin gərəkliliyi məlum olmuşdur. III Nəsil KTƏM funksiyalarının həm sayı artmış, həm də əhatəsi genişləndirilmişdir.

III Nəsil KTƏM əlavə funksiyaları:

• Boşluğa nəzarət
• Hadisəyə nəzarət

1.1.2.4  IV Nəsil KTƏM

                Kiber muharibələr ortaya çıxmağa başlamış və kiber təhlükəsizlik, şəxslərdən çıxaraq artıq dövlətlərin məsələsi halına gəlməyə başlamışdır. Hədəfli kiber hücumlarda (Advanced Persistent Threat) artmalar görünmüş və hacktivist axın ortaya çıxaraq bütün dünyaya təsir göstərmişdir. Kiber hücumların bir çox addımdan əmələ gəldiyi və bütün bu addımlar istiqamətindəki tədbirlərin və aşkar mexanizmlərinin yaradılmasının məcburiyyəti artıq başa düşülmüşdür. Yeni nəsil təhdidlərin aşkarı istiqamətində təhlükəsizlik analizlərinin (security analytics) əhəmiyyəti artmışdır. Təhlükəsizlik texnologiyaları və sistem resursları artdığına görə SİEM sistemərinə əlavə olaraq böyük məlumat (big data) texnologiyaları həyatımıza girmişdir. Kiber təhdid kəşfiyyatı, kiber təhdid ovçuluğu və informasiya zənginləşdirmə konsepsiyaları əhəmiyyət qazanmağa başlamışdır. IV Nəsil KTƏM funksiyalarının sayı artmışdır.

IV Nəsil KTƏM əlavə funksiyaları:

• Təhlükəsizlik Analizi
• Böyük İnformasiya Analizi
• Kiber Təhdid Kəşfiyyatı
• Rəqəmsal Ədli Analiz

Bəzi mənbələrdə V Nəsil KTƏM formalaşmalarından bəhs edilir. Burada mövzunu daha çox uzatmadan IV Nəsildə dayandırmağı uyğun gördük.