Tallin Manual nədir?

Tallin Əl Kitabı (Tallin Manual), 20dən artıq beynəlxalq hüquqşünasın təxminən 3 illik əməklərinin nəticəsi olaraq ərsəyə gətirilən və NATO Kiber Müdafiə internet saytında yayımlanan əsərdir.

        Əl kitabında, hücum çəkmə hüququ (jus ad bellum) və muharibə qaydalarını (jus in bello) tənzimləyən beynəlxalq qaydaları kiber mühitə uyğunlaşdıran 95 maddə ələ alınmışdır. Mövzubəhs prosesə Qırmızı Xaç Beynəlxalq Komitəsi, NATO və ABŞ Kiber Komandirliyi də nəzarət etmişdir. Kitabda cari beynəlxalq qaydaların kiber mühitdə necə tətbiq ediləcəyinə dair şərhlər mövcud olub, əlavə qanun maddəsi tövsiyə olunmamaqdadır.

        Tallin Əl Kitabçasından nümunə hökmlər:

• Kiber hücumlar istər hücum, istərsə də müdafiə istiqamətli olsun, insanların yaralanmasına, ölməsinə və əşyaların, cihazların zərər görməsinə və ya məhvinə səbəb olan kiber hərəkatlardır.
• Dövlət, hakimi olduğu bölgə üzərindəki kiber infrastruktur və fəaliyyətləri idarə, nəzarət edə bilər.
• Dövlət, hakimi olduğu bölgə və ya idarəsi altındaki kiber mühitdən başqa bir dövləti mənfi və ya hüquqa zidd şəkildə təsir edəcək fəaliyyətlər edilməsinə bilərək icazə verməz.
• Dövlət, özü ilə əlaqələndiriləcək və ya beynəlxalq məsuliyyətin tapdalanmasına səbəb olacaq bir kiber hərəkat üçün beynəlxalq aləmdə hüquqi məsuliyyət daşıyır.
• Kiber hücumun bir dövlətə aid kiber infrastrukturdan gəlməsi, hücumlardan o dövlətin birbaşa məsul görülməsinə tam dəlil ola bilməz, ancaq hücumlarla mövzubəhs dövlətin əlaqədar olduğuna bir işarədir.
• Kiber hücumların bir dövlətin kiber infrastrukturu üzərindən idarə edilərək, istiqamətləndirilərək tətbiq edilməsi, əlaqədar ölkənin hücumlarla əlaqədar olduğuna kifayət qədər dəlil təşkil etməz.
• Beynəlxalq hüquq normalarına uyğun olmayan bir hərəkat səbəbindən zərər görən bir dövlət, məsul dövlətə qarşı kiber müdafiələr də daxil olmaq üzrə eyni nisbətdə qarşılıq verə bilər.
• Ölçüsü və təsirləri baxımından silahlı hücum olaraq təyin edilə biləcək bir kiber hücuma qarşı, hücuma məruz qalan dövlətin özünü müdafiə haqqı vardır.
• Sıravi vətəndaşların kiber hücuma qoşulması qadağan edilə bilinməz ancaq bu vəziyyətdəki vətəndaşların, gələn hücumlara qarşı müdafiə olunması vəziyyəti aradan qalxar.
• Sıravi vətəndaşlara və mülki infrastrukturlara qarşı kiber hücum qadağandır.
• Hədəfin sıravi vətəndaş olduğuna dair şübhə varsa, vətəndaş olaraq qəbul edilir.
• Kiber hücumlar, silahlı qüvvələr mənsublarına, silahlı qrup üzvlərinə, hücum fəaliyyətində iştirak edən vətəndaşlara qarşı tətbiq edilə bilinər.
• Həm hərbi, həm də mülki məqsədlərlə istifadə edilən obyektlərə kiber hücum çəkilə bilinər.
• Silahlı Qarşıdurma Hüququnda bildirilən obyektlərə kiber bubi tələləri yerləşdirilə bilinməz.
• Silahlı qarşıdurma zamanı kiber cəsusluq və ya digər məlumat toplama fəaliyyətləri, Silahlı Qarşıdurma Hüququna zidd düşməz.

Əlavə məlumat üçün buraya keçid edə bilərsiniz.

Malware analizinin məqsədləri və növləri.

Zərərli proqramların analizi, şəbəkəyə gələ biləcək hücumları aşkar etmək və blok etmək üçün aparılan işlərin məcmusudur. Bu proses bir neçə əsas istiqaməti əhatə edir:

• Zərərli trafik nümunələrinin yaradılması
• Şəbəkədə yoluxmuş cihaz və faylların aşkarlanması
• İmza əsaslı müdafiə modellərinin təkmilləşdirilməsi

Bunlarla yanaşı, zərərli proqramların idarəetmə serverləri aşkarlanır, tərsinə mühəndislik (reverse engineering) üsulundan istifadə edilərək isə həmin proqramların mənbəyi müəyyən edilir.

İndi isə, 6 əsas analiz növünü tanıyaq:

1. Host-Based signatures

Host əsaslı imzalar hədəf komputerlərə yoluxmuş zərərli programların aşkar edilməsi üçün istifadə edilməkdədir. Adətən malware tərəfindən dəyişdirilən ya da əmələ gətirilən fayllar, registry girişləri analiz edilərək müəyyənedici faktor olaraq istifadə edilirlər. Host əsaslı imzalarda antivirus imzalarından fərqli olaraq malware programının xarakteristik xüsusiyyətlərinə yox, sistem üzərində nələr etdiyinə fokuslanılır.

2. Network signatures

Şəbəkə əsaslı imzalar, şəbəkə izləmə sistemlərində zərərli traffikin analiz edilməsi üçün istifadə edilirlər. Malware analizi etmədən bu imzaları əmələ gətirmək mümkün olsa da malware analizi nəticəsində əldə edilən məlumatların köməyi ilə bu imzalar əmələ gətirilməkdədir. Zərərli kod analizi statik və dinamik olmaq üzrə iki başlıq altında cəmlənmiş üsullarla edilməkdədir. Statik analiz təməl statik analiz və təkmilləşmiş statik analiz olaraq iki alt başlıq altında aparılarkən dinamik analiz də eyni şəkildə təməl və təkmilləşmiş analiz alt başlıqlaır altında aparılır.

3. Basic (təməl) Statik Analiz

Təməl statik analizdə zərərli program reverse edilmədən (tərsinə mühəndislik ilə kodları araşdırılmadan) sürətli bir şəkildə Virustotal kimi saytlar vasitəsilə faylın zərərli olub olmadığı imza əsaslı olaraq yoxlanılır. Bu nöqtədə özünügöstərmə analizi və tərsinə mühəndislik ilə kod analizi edilmədiyi üçün çox nöqtədə tək başına kifayət etmir. Malware analizinin ilk addımlarından biridir. Bu analiz növündə virus axtarışı, hash yoxlaması, İmport və Export cədvəlləri və PE (Portable Executable) başlıq məlumatları araşdırılmaqdadır.

4. Basic Dinamik Analiz

Təməl səviyyədə edilən dinamik analizdə malware etibarlı bir mühitdə işə salınaraq özünügöstərmə xüsusiyyətləri araşdırılır, yəni sistemdə necə rəftar etdiyinə baxılır. Təməl statik analizdə olduğu kimi təməl dinamik analizdə də dərin programlama biliyinə ehtiyac yoxdur. Bəsit dinamik analizi özünü yaxşı gizlədə bilən malware programlarının aşkar edilməsində qeyri-kafi qalmaqdadır. Məsələn, işə salınmış bir malware SMTP üzərindən spam atmağa başlayırsa, spesifik DNS istəkləri göndərirsə, Remnux və ya lab mühitində qurulmuş snifferlər köməyi ilə təməl dinamik analizi edildikdə, zərərli program rahatca aşkar edilərkən, sandbox kimi mühitləri registry tənzimləmələrindən anlayıb əməliyyatları dayandıran, özünü şifrələyib planlaşdırılmış tapşırıqlarla işləyən zərərlilərin analizi təməl dinamik analiz ilə mümkün olmaya bilər. Bu tərz zərərlilərin aşkar edilməsi üçün təkmilləşmiş səviyyədə analiz üsuları istifadə edilməlidir. Təməl səviyyə dinamik analizdə cuckoo, Sandbox, Sandboxie, Wireshark, Fakedns, İnetsim, ApateDNS, BURP, SSLStrip kimi alətlər istifadə edilir.

5. Advanced Static Analiz

Təkmilləşmiş səviyyə statik analizdə zərərli kodları tərsinə mühəndislik istifadə edilərək disassemble programları ilə analiz edirlər. Bu əməliyyat üçün programlama biliyi ilə bərabər disassembler istifadəsini bilmək, TCP/IP socket və thread kimi mövzuları araşdıracaq bilik səviyyəsinə də sahib olmaq lazımdır. Statik analizdə komandaların CPU içərisindəki sırası araşdırılaraq programın nə etdiyi ortaya çıxardılar. GDB, Immunity Debugger, IDA, Java Decomplier kimi alətlər analiz üçün istifadə edilir.

6. Advanced Dynamic Analiz

Özünü müxtəlif üsullarla gizləyən zərərli kodun interrupt edilərək yəni break point buraxılaraq komandalarının sistemdə mərhələ-mərhələ işə salınması vaxtı hərəkətlərinin debugger üzərindən izlənməsi ilə edilən analiz təkmilləşmiş səviyyə analiz olarak keçir. Olly Debugger və Windbg bu analiz məqsədilə istifadə edilə bilinər.

1. İlk növbədə mütləq şəkildə su aşkarlayıcı sensorlardan istifadə edilməlidir. Döşəmədə ən xırda nəm yaranan kimi İT və təhlükəsizlik bölmələrinə SMS və email xəbərdarlığı göndərən monitorinqi sistemləri.
2. Döşəmə qaldırılmalıdır. Kabellərin və server racklarının alt hissəsinin birbaşa yerlə təmasda olmaması üçün bunu etmək mütləqdir.
3. Ehtiyat su xətləri və nasoslar hazır edilməlidir. Suyun səviyyəsi kritik həddə çatmadan onu kənarlaşdıracaq avtomatlaşdırılmış mexanizmlər quraşdırılmalıdır.
   Nəzərə almaq lazımdır ki, kritik infrastruktur sadəcə kiberhücumlara deyil, həm də fiziki və təbii fəlakətlərə qarşı möhkəm olmalıdır. Ümid edirəm, qurumlarımız bu hadisələrdən “business continuity” (biznesin davamlılığı) adına düzgün nəticə çıxaracaq.

​​Auditor üçün risk və nəzarət mexanizmi tərəzinin iki gözü kimidir. Nəzarət mexanizmləri (Controls) sadəcə bir məqsəd üçün vardır: riski azaltmaq.
​Bu münasibəti anlamaq üçün auditor bu üçlüyə baxmalıdır:

​İlkin risk: Heç bir nəzarət olmasaydı, qarşılaşacağımız təhlükə.
​Nəzarət riski : Qurduğumuz təhlükəsizlik sistemlərinin (məs, firewall) işləməməsi və ya xətanı gözdən qaçırması ehtimalı.
​Qalıq risk: Bütün qorumalardan sonra yerdə qalan risk. Bizim işimiz bu riski rəhbərliyin “risk iştahası”na uyğun səviyyəyə salmaqdır.

​Dəqiq reseptlər və ümumi çərçivələr

​Auditor hər şirkətdə eyni nəzarət mexanizmini tələb edə bilməz. Burada iki yanaşma var:
​Preskriptiv (dəqiq) nəzarətlər: Bunlar “nəyi və necə” edəcəyinizi nöqtə-vergülünə qədər deyən qaydalardır (məs, PCI DSS). Sanki bir yemək reseptidir, kənara çıxmaq olmaz.
​Qeyri-preskriptiv (çərçivə) yanaşması: Bunlar sizə məqsədi deyir, amma yolu özünüz seçirsiniz (məs, ISO 27001 və ya COBIT). Auditor burada təşkilatın, şirkətin öz riskinə uyğun hansı yolu seçdiyini qiymətləndirir.

​Nəzarət mühiti.

​Siz dünyanın ən bahalı kiber-müdafiə sistemlərini qura bilərsiniz, amma əgər işçilər şifrələrini monitorun üstünə yapışdırırlarsa, o sistemlər işə yaramayacaq.
​Auditor nəzarət mühitini qiymətləndirərkən bu suallara cavab axtarır:
​Rəhbərliyin fəlsəfəsi: müdirlər təhlükəsizlik qaydalarına özləri əməl edirmi?
​İnsan resursları: işçilər mütəmadi təlim keçirmi, yoxsa hər şey kağız üzərindədir?
​Məsuliyyət: səhv edən şəxs cəzalandırılırmı, yoxsa “bizdə hər şey dost-tanışlıqla həll olunur”?
​Auditorun qeydi: Əgər rəhbərlik “bizə nəsə olmaz” deyib təhlükəsizliyə barmaqarası baxırsa, texniki nəzarətlərin effektivliyi avtomatik olaraq aşağı düşür.

Yekun

​​Yaxşı bir İS auditoru sadəcə serverlərə baxmır, o, həm də şirkətin nəzarət mədəniyyətini hiss edir. Riski tanımaq, düzgün çərçivəni seçmək və sağlam bir nəzarət mühiti qurmaq, uğurlu auditin 3 əsas sütunudur.

Risk reyestr əsasən audit, idarəetmə və risklərin idarə edilməsi sahəsində istifadə olunan əsas sənəddir. Qısa izah edəsi olsaq, risk reyestri bir təşkilatın müəyyən etdiyi bütün riskləri, onların xüsusiyyətlərini, qiymətləndirilməsini və cavab tədbirlərini bir yerdə toplayıb sənədləşdirən canlı bir sənəd və ya bazadır. Sadə dillə desək, “nə yanlış gedə bilər, nə qədər ciddi olar, biz nə edəcəyik?” suallarına cavab verən struktur siyahıdır.

Niyə gərəklidir?

Risk reyestrinin var olmasının bir neçə səbəbi var. Belə ki, riskləri ağızdan-ağıza izləmək mümkün olmur. Xüsusilə böyük bir təşkilatlarda yüzlərlə risk var, texniki, maliyyə, insan, tənzimləyici və s. Risk reyestr bu dağınıqlığı nizama salır, görünürlük yaradır, cavabdehliyi müəyyən edir, yəni bu riskdən kim məsuldur bunu müəyyən edir, bundan başqa, qərar qəbulunu asanlaşdırır. Auditorlar üçün isə bu sənəd mövcud nəzarət mexanizmlərinin nə qədər kifayət etdiyini anlamağın başlanğıc nöqtəsidir. Hazırladığım diaqramda tipik bir risk reyestrinin ehtiva etdiyi elementlər var.

Bəs yaxşı, İnformasiya Sistemləri auditi kontekstində bu reyestr nə üçün vacibdir?

İS auditi zamanı auditor risk reyestrindən iki məqsədlə istifadə edir:

1. Risk əsaslı planlama (əvvəlki postda yazdığım): hansı sahələrin daha dərin yoxlanılması lazım olduğunu müəyyən etmək üçün. Yüksək dərəcəli risklər auditor diqqətini oraya çəkir.
2. Nəzarətlərin effektivliyini qiymətləndirmək — reyestrdə qeyd olunan nəzarətlər faktiki olaraq mövcuddurmu, işləyirmi? Bu, COBIT 2019, ISO 27001 kimi standartlarla tutuşdurulur.

Bu reyestr statik yox, canlı sənəddir. Yəni bir dəfə yazılıb saxlanılan şey deyil, mühit dəyişdikcə (yeni texnologiya, yeni təhdid, yeni qanunvericilik və s.), o da yenilənməlidir.

Riskləri müəyyən etdikdən sonra hər bir rəhbərliyin verdiyi ilk sual adətən bu olur: “Bunu necə dayandıraq?” İS auditoru üçün cavab sadədir: Effektiv nəzarət mexanizmləri qurmaqla. Gəlin, bu “qalxanların” anatomiyasına birlikdə baxaq və onların informasiya ilə necə əlaqəli olduğunu öyrənək.

1. DAXİLİ NƏZARƏT (INTERNAL CONTROLS) NƏDİR?

Daxili nəzarət — təşkilatın öz hədəflərinə çatması, aktivlərini qoruması və qanunlara uyğun fəaliyyət göstərməsi üçün tətbiq etdiyi qaydalar və proseslər bütünüdür. Bunu şirkətin immun sistemi kimi təsəvvür edin: o, kənar mikrobları (təhlükələri) tanımalı və onları zərərsizləşdirməlidir.

2. NƏZARƏT MƏQSƏDLƏRİ VƏ NƏZARƏT TƏDBİRLƏRİ

Auditor bu iki anlayışı həmişə fərqləndirir:

• Nəzarət məqsədi (Control objective): Nəyə nail olmaq istəyirik? (Məsələn: “Məlumatların gizliliyini qorumaq”).
• Nəzarət tədbiri (Control measure): Bunu necə edirik? (Məsələn: “Şifrələmə (Encryption) tətbiq etməklə”).

İS Nəzarət məqsədləri (IS Control Objectives)

İS auditoru üçün əsas məqsəd məşhur CIA triadını təmin etməkdir. CIA triadı 3 hissədən ibarətdir:

1. Məxfiik (Confidentiality): Məlumatı yalnız icazəsi olanlar görsün.
2. Bütövlük (Integrity): Məlumat icazəsiz dəyişdirilməsin.
3. Əlçatanlıq (Availability): Lazım olanda sistem işlək olsun.

3. NƏZARƏT ÜSULLARININ BÖLÜNMƏSİ

İS mühitində nəzarət mexanizmləri üç əsas səviyyəyə bölünür:

A. Ümumi Nəzarət Metodları (General IT Controls – GITC)

Bu, bütün İT infrastrukturunu əhatə edən “təməl” nəzarətlərdir. Məsələn, data mərkəzinin fiziki mühafizəsi, şifrə siyasəti, sistem dəyişikliklərinin idarə olunması. Əgər ümumi nəzarət zəifdirsə, tək-tək proqramların yaxşı işləməsinin mənası yoxdur.

B. İS-ə Spesifik Nəzarətlər (IS-Specific Controls)

Konkret texnoloji sahələrə yönəlmiş nəzarətlərdir. Məsələn, şəbəkə firewall-ları, antiviruslar, məlumatların ehtiyat nüsxələnməsi (backup).

C. Biznes Prosesləri və Tətbiqi Nəzarətlər (Application Controls)

Bu nəzarətlər birbaşa proqram təminatının (məsələn, mühasibatlıq proqramı) daxilinə yerləşdirilir. Məsələn, bir bank proqramında balansdan artıq pul çıxarmağa icazə verilməməsi (“Edit check”).

4. NƏZARƏT MEXANİZMLƏRİNİN TƏSNİFATI (Classifications)

Bu, İS auditorunun ən çox istifadə etdiyi hissədir. Nəzarətlər funksiyasına görə 3 yerə bölünür:

Yekun olaraq: İS auditoru olaraq bizim işimiz sadəcə “Nəzarət varmı?” sualına cavab tapmaq deyil, həm də həmin nəzarətin effektiv (məqsədə çatırmı?) və səmərəli (xərci riskdən azdırmı?) olduğunu sübut etməkdir.

İnformasiya Sistemləri (İS) auditorunun gözü ilə Risk Qiymətləndirməsi (risk assessment) sadəcə bir hesabat deyil, təşkilatın “rəqəmsal sağlamlıq arayışı”dır. Bir auditor üçün bu proses, kodların və serverlərin arxasındakı gizli təhlükələri üzə çıxarmaq üçün həyata keçirilən bir detektiv araşdırmasına oxşayır.

Gəlin, bir İS auditorunun bu prosesi necə idarə etdiyinə nəzər salaq.

Risk qiymətləndirməsi

İS auditoru otağa daxil olanda hamı onun səhvlər axtaracağını düşünür. Lakin auditorun əsl məqsədi səhv tapmaq yox, “Nəzarət mexanizmləri (Controls) riski boğa bilirmi?” sualına cavab tapmaqdır.

1. Əvvəla, “Nəyi qoruyuruq?”

Auditor işə sistemlərin siyahısını tutmaqla başlayır. Onun üçün hər bir server, hər bir database bir “aktivdir”. Auditor özünə soruşur: “Əgər bu server yox olsa, şirkət çökərmi?”.  Burada auditorun yanaşması: “Qapının harada olduğunu bilmirsənsə, onu kilidləyə bilməzsən.” Prinsipi ilədir.

2. Təhlükə və boşluq

Auditor bu iki anlayışı heç vaxt qarışdırmaz. Təhlükə (Threat) çöldəki yağışdır (məsələn, kiber-hücumçu). Boşluq (Vulnerability) isə, damdakı deşikdir (məsələn, yenilənməmiş proqram təminatı). Auditorun işi bu ikisinin kəsişdiyi nöqtəni tapmaqdır. Əgər çöldə yağış yağırsa və damda deşik varsa, deməli, bizim “ilkin riskimiz” (inherent risk) çox yüksəkdir.

3. “Riyaziyyat, yoxsa məntiq?” (Qiymətləndirmə fazası)

Burada auditor iki metoddan birini seçir. Birinci metod, kəmiyyət: “Bu boşluq bizə 100.000 manata başa gələ bilər.” (Maliyyə hesabatı üçün). İkinci metod isə, keyfiyyət: “Bu risk ‘kritik’dir, çünki müştəri məlumatları sızsa, reputasiyamız sıfıra enər.” (Strateji qərar üçün).

Auditor bu mərhələdə risk matrisini (5×5) masanın üstünə qoyur və rəhbərliyin diqqətini “qırmızı zona”ya yönəldir.

4. Qalıq riskimiz (Residual risk): “Ələkdən nə keçdi?”

Bu, auditorlara adətən ən maraqlı hissədir. Şirkət deyir ki: “Bizim firewall-umuz var, risk yoxdur”. Auditor isə cavab verir: “Gəlin yoxlayaq”. Auditor mövcud nəzarət mexanizmlərini (məsələn, şifrələmə, backup) test edir. Nəzarət tədbirlərindən sonra yerdə qalan riskə Qalıq Risk (residual) deyilir.

Auditorun bilməsi gərəkən: Risk heç vaxt sıfır olmur. Məqsəd, riski rəhbərliyin “iştahasına”, yəni, qəbul edə biləcəyi (Risk Appetite) uyğun səviyyəyə endirməkdir.

5. Tövsiyə və hesabat.

Sonda auditor sadəcə problemləri demir, həll yollarını göstərir. “Bu deşiyi bağlamaq üçün bu yamaqdan (patch) istifadə etməlisiniz” deyərək hesabatını tamamlayır. Onun hesabatı rəhbərlik üçün bir növ “sığorta siyasəti” kimidir.

Nəticə etibarilə, İS auditoru üçün risk qiymətləndirməsi gələcəyi görmək cəhdidir. O, rəqəmləri və təcrübəni birləşdirərək şirkətin rəqəmsal gəmisinin su almaması üçün kapitanı (rəhbərliyi) vaxtında xəbərdar edir.

Risk Qiymətləndirmə Texnikaları

Hər bir audit yoxlaması bir “Audit Kainatı”ndan başlayır. Auditor bütün sistemləri yoxlaya bilməyəcəyi üçün bu texnikalardan istifadə edərək ən “yaralı” yerləri tapır.

1. Keyfiyyət Texnikası (Qualitative):

Bu, İS auditində ən çox istifadə olunan metoddur. Auditor rəqəmlərlə başını yormur, bunun əvəzinə Risk Matrisi (Heat Map) hazırlayır. Necə işləyir? Auditor hadisəni “yüksək”, “orta” və ya “aşağı” risk kateqoriyalarına bölür. Məsələn, “Ehtiyat nüsxələrin (Backup) olmaması” o an “kritik” zonaya düşür. Bəs bu üsul niyə seçilir? Çox sürətlidir və mürəkkəb riyazi hesablamalar tələb etmir.

2. Kəmiyyət Texnikası (Quantitative):

Əgər rəhbərlik “Bunun bizə ziyanı nədir?” deyə soruşursa, auditor bu texnikaya keçir. Burada hər şey rəqəmsallaşır. Bu necə işləyir? Auditor ALE (İllik gözlənilən itki) düsturunu tətbiq edir. Məsələn, bir kiber-hücumun ehtimalı ildə 10%, itki isə 100000 manatdırsa, illik risk 10000 manatdır. Bəs, bu üsul niyə seçilir? Çünki, büdcə tələb edəndə və investisiya qərarları verəndə ən tutarlı sübutdur.

3. Yarı-kəmiyyət texnikası (Semi-quantitative):

Bəzən nə təmiz hiss, nə də dəqiq rəqəm kifayət etmir. Bu zaman auditor hər bir riskə 1-dən 10-a qədər bal verir. Bu necə işləyir? Məsələn, “Giriş nəzarəti” riskinə 8 bal, “Sənədləşmə” riskinə 3 bal verir. Ballar toplandıqda ən çox bal yığan sahə birinci audit olunur.

Auditorun “üçlük” düsturu

İS auditoru bu texnikaları tətbiq edərkən üç növ riski analiz edir:

1. İlkin risk (Inherent risk): Heç bir qorunma olmasaydı, nə baş verərdi?
2. Nəzarət riski (Control risk): Mövcud qorunma sistemləri (Firewall, antivirus) işləməsə nə olar?
3. Qalıq risk (Residual risk): Bütün qorunmalardan sonra hələ də açıq qalan təhlükə nədir?

Nəticə olaraq: Yaxşı bir auditor “keyfiyyət” texnikası ilə ümumi mənzərəni görür, “kəmiyyət” texnikası ilə rəhbərliyi razı salır və sonda diqqətini “Qalıq risk”ləri azaltmağa yönəldir.

Risk Analizi

Təsəvvür edin ki, əlinizdə bir siyahı var: “Server otağında yanğın çıxa bilər”. Bu, sadəcə bir ehtimaldır. Amma auditor risk analizi mərhələsinə keçəndə, o, suallar verməyə başlayır: “Yanğın çıxsa, bizə nə qədər ziyan dəyər? Bu yanğının baş vermə şansı nə qədərdir?”

1.      Qərarvermə

Bütün rəqəmlər toplandı, matrislər rəngləndi. İndi isə auditorun ən məsuliyyətli anı gəlib çatdı: Bu məlumatlarla nə edirik? Risk analizi sadəcə hesablama deyil, o, “hansı yanğını birinci söndürməliyik?” sualına cavab tapan bir süzgəcdir.

2.      Niyə analiz edirik? (Prioritetləşdirmə)

Əlimizdə 50 dənə risk ola bilər. Hər bir şirkətin pulu və vaxtı məhduddur. Auditorun bütün riskləri eyni vaxtda həll etməsi qeyri-mümkündür. Risk analizi bizə “Hansı yanğın daha böyükdür?” sualına cavab verir. Analiz sayəsində biz resurslarımızı ən kiçik risklərə yox, gəmini batıra biləcək ən böyük risklərə yönəldirik.

–  “Qırmızı” və ya “Yüksək ALE” ballı risklər: Bunlar şirkəti batıra biləcək risklərdir. Bütün resurslar bura yönəlir.

– “Yaşıl” zonadakı risklər: Bunlar “olsa yaxşı olar” tipli risklərdir. Auditor bunları növbəti ilə saxlayır.

3.      Resursların Bölüşdürülməsi: Cost-Benefit Analizi

Analiz bizə göstərir ki, hər riskə eyni dərəcədə pul xərcləmək axmaqlıqdır.

• Məsələn, kəmiyyət analizi bizə dedi ki, bir riskin illik dəyəri 5.000 manatdır. Əgər bu riski bağlamaq üçün 20.000 manatlıq sistem lazımdırsa, auditor burada “Riski qəbul etmək” qərarını təklif edə bilər. Çünki dərdi dərmanından baha başa gəlir.

4.      Auditorun nəticəsi

Analizin sonunda auditorun əlində sadəcə bir “qorxu siyahısı” deyil, bir “Yol xəritəsi” olur. O bilir ki, hansı qapını birinci kilidləmək lazımdır, hansına isə hələlik bir az gözləmək olar. Auditor rəhbərliyin qarşısına sadəcə rəqəmlərlə yox, bir icra planı ilə çıxır:

“Cənab direktor, analizlərimiz göstərir ki, növbəti 3 ayda bütün gücümüzü ‘Məlumat sızıntısı’ riskinə verməliyik, ‘İnternetin sürəti’ riski isə hələlik gözləyə bilər.”

Nəticə: Beləliklə, analiz mərhələsi “məlumatsızlıq dumanı”nı dağıdır və rəhbərliyə hara investisiya edəcəyini dəqiq göstərir.

Ənənəvi auditlə müasir İnformasiya Sistemləri auditi fərqləndirən əsas amil məhz “Riskə Əsaslanan Yanaşma”dır.

Və bu mövzuda da, bu gün auditin qızıl qaydasından danışacam:

1.3 Risk-Based Audit Planning (yəni, Riskə Əsaslanan Audit Planlaması).

Təsəvvür edin, böyük bir şirkətdə işləyirsiniz. Hər bir fərdi kompüteri, hər bir kiçik proqramı yoxlamağa nə vaxt, nə də resurs çatar. Bəs auditor hara baxmalı olduğunu necə seçir? Təbii ki, risk hardadırsa, auditor öncə ora yönələcəkdir!

Gəlin bu planlamanın iki vacib komponentinə baxaq:

1.3.1 Fərdi Audit ttapşırıqlarının planlaşdırılması (Individual Audit Assignments)

Hər hansı bir konkret auditi (məsələn, “mobil bankinq tətbiqinin auditi”) planlaşdırarkən kor-koranə işə başlaya bilmərik. Əvvəlcə etməli olduğumuz bir neçə xüsus var.

İlk olaraq, biznesi anlamalıyıq. Bu sistem biznes üçün niyə vacibdir? Olmasa və ya dayansa nə qədər pul itirərik? Ardınca, riskləri müəyyən etməliyik. Ən böyük təhlükələr nələrdir? Haker hücumu, daxili sızıntı, yoxsa sistem çökməsi? Sonra əhatə dairəsini və məqsədləri müəyyən etməliyik. Nəyi yoxlayacağıq və nəyi YOX? Çərçivələri cızmaq ən vacib addımdır. Son olaraq da, resursların bölgüsü. Yəni, bu iş üçün bizə hansı texniki biliklərə sahib auditorlar lazımdır?

1.3.2 Qanun və qaydaların İT Auditə təsiri (Effect of laws and regulations)

Ok, biznes öz daxili risklərini hesabladı, bəs dövlət nə deyir? İT auditi qapalı bir qutuda aparılmır. Qanunlar bizim audit planımızı birbaşa formalaşdırır. Məsələn, Mərkəzi Bankın və ya Fərdi Məlumatların Qorunması haqqında qanunun tələbləri. Əgər qanun deyirsə ki, “İstifadəçi logları 1 il saxlanılmalıdır”, auditor artıq məcburdur ki, sistemin bunu edib-etmədiyini yoxlasın. Qaydalara tabe olmamaq (Non-compliance) ən böyük risklərdən biridir, çünki bu, şirkətə nəinki maliyyə cərimələri, hətta fəaliyyətinin dayandırılması bahasına başa gələ bilər! Qanuni tələblər bir çox halda auditin minimum əhatə dairəsini cızır.

1. Hazırlıq (Preparation)
İnsident baş verməmişdən əvvəl komandanı, alətləri və prosedurları hazır vəziyyətə gətirmək.

2. Aşkaretmə (Detection/İdentification)
Təhdid və ya insidentin baş verdiyini müəyyən edib təsdiqləmək.

3. Qarşısını alma-Təcrid (Containment/Isolate)
İnsidentin yayılmasının qarşısını almaq üçün təsirlənmiş sistemləri şəbəkədən ayırmaq.

4. Təmizləmə (Eradication/Eliminate)
Təhdidin kökünü (zərərli proqramı, zəifliyi və ya giriş nöqtəsini) sistemdən tamamilə silmək.

5. Bərpa (Recovery)
Təmizlənmiş sistemləri yoxlayaraq normal iş rejiminə qaytarmaq.

Kibertəhlükəsizlik sahəsində insident baş verdikdə təsadüfi deyil, standart bir ardıcıllıqla hərəkət etmək tələb olunur. Bunun üçün dünyada ən çox qəbul edilmiş iki çərçivə mövcuddur: SANS və NIST. Hər ikisi təşkilatlara insidenti idarə etmək üçün aydın bir yol xəritəsi təqdim edir — hazırlıqdan başlayaraq aşkaretmə, təcrid, təmizləmə və nəhayət tam bərpaya qədər. Bu standartlara əməl etmək təşkilatın həm ziyanı minimuma endirməsinə, həm də gələcək insidentlərə daha hazırlıqlı olmasına imkan verir.

#insident #kibertəhlükəsizlik #IRP #SANS #NIST #SOC #detection #monitoring #SIEM #containment #malware #recovery #bərpa #forensics #patch #response #DataSec

Data & Security

“Kill Chain” və ya Ölüm Zənciri, əslində hərbi termin olaraq meydana çıxıbdır və hərbi sistem tərəfindən hədəfli hücumun mərhələlərini müəyyənləşdirmək üçün istifadə edilir. Lockheed Martin firması, Cyber Kill Chain modelini, hədəfli hücumları (və ya APT-ləri) analiz etmək məqsədilə uyğunlaşdıraraq sonradan yaratmışdır. Son illərdə sıx olaraq istifadə olunan bu modeldə hədəfli kiber hücumların Kəşf, Silahlanma, Ötürmə, İstismar etmə, Əmr Nəzarət və Hərəkətə Keçmə olaraq izah edilən 7 addımda həyata keçdiyi görünməkdədir.

Şəkil 6. Cyber Kill Chain, www.lockheedmartin.com

Bu addımların hər biri digərilə əlaqəlidir, bir addım həyata keçməmiş digərinə keçilməz, bu səbəblə zəncir olaraq xarakterizə edilmişdir. Zəncir, ən zəif halqası qədər güclüdür deyimi bu nöqtədə müdafiə edən tərəf üçün deyil, hücum edən tərəf üçün istifadə edilməkdədir. Modelin əsas fikrini “Hücum addımlarının hər hansı birinin uğursuz olması, hücumu uğursuz qılacaqdır” düşüncəsi əmələ gətirməkdədir. Cyber Kill Chain addımları qısaca aşağıda izah edilmişdir:

1. Kəşf (Reconnaisance): Kəşfin ilkin məqsədi sistemlərə giriş ediləcək nöqtələrin müəyyənləşdirilməsidir. Hədəf (qurum/təşkilat) və hücumun məqsədi müəyyən edildikdən sonra, hücumun təkmilləşdirilməsi üçün lazımi məlumatlar yığılar. Bu məlumatlar hədəfə aid IP adresləri, xaricə açıq servislər, şəxsi heyət məlumatları, qurum/təşkilatın iş üsulları və s. məlumatlardır. Kəşf əməliyyatlarında sosial mühəndislik, sosial media araşdırmaları, yeraltı forumları, aktiv/passiv axtarış alətləri və metodları istifadə edilir.
2. Silahlanma (Weaponization): Kəşf ərəfəsində hədəfə aid hücum səviyyəsi və hücum nöqtələri aşkar edildikdən sonra hücum vektorları müəyyən edilir. Silahlanma mərhələsi, istifadə ediləcək silahın müəyyən edildiyi, zərərli proqramların yaradıldığı və paketləndiyi mərhələdir. Zərərli proqram veb səhifəsinə, PDF, Microsoft Office və ya rəsm/fotoşəkil faylı içərisinə yerləşdirilə bilinər.
3. Ötürmə (Delivery): Ötürmə mərhələsində zərərli proqramın qurum/təşkilat şəbəkəsinə necə nüfuz etdiriləcəyinə qərar verilir. Paketlənən zərərli proqram URL vasitəsilə təqdim edilə də bilinər, eyni zamanda e-mail əlavəsində və ya USB və s. media ilə də ötürülə bilinər. Ötürmə mərhələsində ən çox istifadə edilən üsul phishing üsuludur. Faktura, kredit kartı bəyanatı, təşkilati elan, xəbərdarlıq kimi göstərilən e-maillər içərisində əlavə olaraq və ya bir URL vasitəsilə zərərli proqram ehtiva edən faylın istifadəçi komputerlərinə ötürülməsi təmin edilir.
4. İstismar etmə (Exploitation): İstismar etmə mərhələsi adətən hədəf sistemlərdəki boşluqdan fayda əldə etmə mərhələsidir. Hədəfin ələ keçirilə bilməsi və nəzarət altına alına bilməsi üçün zərərli proqramın sistemə qurulması və istifadəçi hiss etmədən uzaqdan əlaqənin yaradılması lazım gələcəkdir. Bunun ola bilməsi üçün əlaqədar istifadəçi maşınındaki əməliyyat sistemində və ya tətbiqlərdə bir boşluq olması şərtdir. Ötürmə mərhələsi ilə komputerə endirilən fayl işə salındıqda, sistemdəki boşluq istismar edilərək yükləmə mərhələsinə yol açılacaqdır.
5. Yükləmə (İnstallation): Yükləmə mərhələsi cinayətkarın sistemlərə uzaqdan qoşula bilməsi üçün lazımi tətbiqlərin qurulmasının aparıldığı mərhələdir. İstifadəçi sistemindəki boşluqları istismar edən zərərli proqram, əməliyyat sistemlərindəki səlahiyyət nəzarətlərini və/və ya təhlükəsizlik proqramlarını atlayaraq bu proqramların qurulmasını təmin edər. Bu proqramlar ya zərərli proqram içərisində paket halında saxlanılır, ya da internet vasitəsilə cinayətkarların əvvəlcədən yerləşdirdiyi bir yerdən endirilir.
6. Əmr və nəzarət (Command and Control): Uzaq əlaqə üçün yol açılan hədəf və ya hədəflər internet üzərindəki əmr və nəzarət serverilə (adətən şifrəli protokol vasitəsilə) əlaqə qurar. Bu addımdan etibarən hədəf sistem tamamilə və ya qismən də olsa ələ keçirilmişdir.
7. Hərəkata başlama (Actions on Objectives): Bu mərhələ cinayətkarın hərəkətə keçmə mərhələsidir. İstifadəçi sistemləri ələ keçirikdikdən sonra cinayətkarların məqsədinə görə, ya bu sistemlər başqa bir sistemə hücum etmək üçün (botnet və ya cinayətkarın öz kimliyini gizlətməsi üçün) istifadə olunar, ya komputer daxilindəki şəxsi informasiyaları silmək, dəyişmək və ya oğurlamaq (ransomware) üçün, ya da içəridəki dəyərli məlumatların saxlanıldığı sistemlərə çıxış əldə etmək üçün dayaq nöqtə olaraq istifadə edilir.