Veri olaylarına yanıt süreci

PDF sürümünü indir

Giriş

Müşteri verileri için güvenli bir ortamın sağlanması ve sürdürülmesi Google Cloud'un birinci önceliğidir. Müşteri verilerini korumak için Google; katı süreçleri, birinci sınıf bir ekibi ve çok katmanlı bilgi güvenliği ve gizliliği altyapısını birleştiren sektör lideri bilgi güvenliği faaliyetleri yürütür. Bu makalede, Google Cloud'da veri olaylarını yönetme ve yanıt verme konusunda Google'ın prensipli yaklaşımı açıklanmaktadır.

Olaylara yanıt verme, Google'ın genel güvenlik ve gizlilik programının temel bileşenlerinden biridir. Veri olaylarının yönetimi için titiz bir süreç izleriz. Bu süreç, müşteri verilerinin gizliliğini, bütünlüğünü veya kullanılabilirliğini etkileyen olası olaylarla ilgili eylemleri, üst mercilerle iletişimleri, etki azaltma işlemlerini, çözümleri ve bildirimleri içerir.

Google'da bir veri olayı; Google tarafından yönetilen veya denetlenen sistemler üzerindeki müşteri verilerinin kazara ya da yasa dışı şekilde yok edilmesine, kaybolmasına, değiştirilmesine, yetkisiz şekilde açıklanmasına veya verilere erişim sağlanmasına yol açan bir Google güvenliği ihlali olarak tanımlanır. Google, verilere ve sistemlere yöneltilen öngörülebilir tehditlerle ilgili işlem yapmak için adımlar atar. Veri olayları, müşteri verilerinin güvenliğini ihlal etmeyen başarısız girişimleri veya eylemleri içermez. Başarısız giriş denemeleri, ping'ler, bağlantı noktası taramaları, hizmet reddi saldırıları ve güvenlik duvarları veya ağ sistemlerine yöneltilen diğer ağ saldırıları bunlara örnek olabilir.

Google, müşteri verilerinin korunmasına nasıl yardımcı olur?

Müşteri verilerinin güvenliği en yüksek öneme sahiptir ancak güvenlik, Google ve müşteri arasındaki iş birliğinin sonucudur. Google, bulut altyapısını ve bulut hizmetlerini güvenli hâle getirirken; müşteri de Google'ın Cloud altyapısını temel alan uygulamalarını, cihazlarını ve sistemlerini güvenli hâle getirir. Google, müşterilere Google kalitesinde güvenlik uygulamalarını etkinleştirebilmeleri için rehberlik ve birçok güvenlik özelliği sağlar:

  • Kimlik ve erişim yönetimi

  • Varsayılan olarak (yani müşterilerin herhangi ek bir işlem yapması gerekmeden) depolama ve taşıma sırasında veri şifreleme

  • Kimlik avına karşı korumalı ikinci faktör anahtar dahil, çok öğeli kimlik doğrulaması

  • Sanal özel bulut (VPC) ve paylaşılan VPC, hizmet olarak yazılım (SaaS) ve hizmet olarak platform (PaaS) çözümleri için dahili DDoS koruması ve bunları hizmet olarak altyapı (IaaS) çözümlerinde de kullanma dahil bir dizi ağ güvenliği seçeneği

  • Ayrıntılı denetleme günlükleri

Google'ın bulutta güvenliği nasıl sağladığı hakkında daha fazla bilgi için Google Altyapı Güvenliği Tasarımına Genel Bakış makalesine ve bununla ilişkili NEXT 2018 güvenlik sunumuna göz atın veya Google Cloud Güvenliği sitesini ziyaret edin.

Google, müşterilerine Google Cloud üzerinde kullandıkları hizmetler genelinde bilgi sağlar. Müşteriler G Suite güvenlik merkezini kullanarak Gmail, Drive, Cihazlar, OAuth ve Kullanıcı Hesapları genelindeki sorunları önleyebilir, algılayabilir veya çözüme ulaştırabilir. GCP için de benzer şekilde, müşteriler Cloud Security Command Center'ı kullanarak kuruluşları genelindeki varlıklara, güvenlik açıklarına, risklere ve politikalara dair bilgi edinebilir.

Müşteriler kendi taraflarında, kendi ihtiyaçlarını karşılamak için güvenlik özelliklerini doğru şekilde yapılandırmalı, yazılım güncellemelerini yüklemeli, ağ güvenliği bölgeleri ve güvenlik duvarları ayarlamalı ve son kullanıcıların hesap kimlik bilgilerini güvene aldıklarından ve hassas verileri yetkisiz üçüncü taraflarla paylaşmadıklarından emin olmalıdır.

Şekil 1, müşteri tarafından kullanılan yönetilen hizmetlerin kapsamına göre, sorumluluğun müşteri ve Google arasında nasıl yer değiştirdiğine dair açıklayıcı bir örnek sunar. Müşteri, şirket içi çözümlerden IaaS, PaaS ve SaaS bulut bilişimi hizmetlerine geçtikçe; genel bulut hizmetinin yönetimini daha çok Google yürütür ve müşterinin de daha az güvenlik sorumluluğu olur.

Bulut güvenliği yapılandırmaları hakkında daha fazla bilgi için müşteriler geçerli ürün belgelerine başvurmalıdır.

Sorumluluk Grafiği

Veri olayı yanıtı

Google'ın veri olaylarına yanıt programı, birçok özelleştirilmiş işlev genelinde uzman olay yanıt ekipleri tarafından yönetilir ve her bir yanıtın, her bir olayın ortaya koyduğu zorluklara göre iyi özelleştirilmiş olması sağlanır. Olayın yapısına bağlı olarak, profesyonel yanıt ekibi aşağıdakileri yürütebilir:

  • Bulutta olay yönetimi
  • Ürün mühendisliği
  • Site güvenilirliği mühendisliği
  • Bulut güvenliği ve gizliliği
  • Dijital adli analizler
  • Global incelemeler
  • Sinyal algılama
  • Güvenlik, gizlilik ve ürün danışmanlığı
  • Güven ve güvenlik
  • Kötüye kullanıma karşı koruma teknolojileri
  • Müşteri desteği

Bu ekiplerdeki her biri kendi alanında uzman kişiler çeşitli şekillerde görevlendirilir. Örneğin; olay sorumluları, olay yanıtlarını koordine eder. İhtiyaç duyulduğunda, dijital adli analiz ekibi devam eden saldırıları algılar ve adli incelemeler yürütür. Ürün mühendisleri, olayın müşteriler üzerindeki etkisini en az düzeyde tutmak için çalışır ve etkilenen ürünlerin düzeltilmesi için çözümler sunar. Hukuk ekibi, Google'ın delil toplama stratejilerini uygulamak, emniyet birimleriyle ve resmi düzenleme kurumlarıyla etkileşim kurmak ve yasal konular ve gereksinimlerle ilgili önerilerde bulunmak amacıyla uygun güvenlik ve gizlilik ekibi üyeleriyle birlikte çalışır. Destek personeli, müşterilerin sorularına ve ek bilgi ve destek isteklerine yanıt verir.

Ekip organizasyon şeması

Bir olay bildiriminde bulunduğumuzda, olay yanıtını ve çözüm sürecini koordine eden bir olay sorumlusu belirleriz. Olay sorumlusu, farklı ekiplerden uzmanlar seçerek bir yanıt ekibi oluşturur. Olay yanıtları için tipik bir organizasyon şeması Şekil 2'de gösterilmiştir. Olay sorumlusu, bu uzmanlara olayın farklı boyutlarını yönetme sorumluluğu verir ve olay bildiriminden olayın kapatılmasına kadar olay yönetimini yürütür. Şekil 2'de olaylara yanıt sürecindeki farklı roller ve sorumlulukları belirtilmiştir.

Veri olaylarına yanıt ekibi organizasyon şeması

Veri olaylarına yanıt süreci

Her bir veri olayı benzersizdir. Veri olaylarına yanıt sürecinin amacı müşterilerin verilerini korumak, olabildiğince kısa sürede normal şekilde hizmet verilmesini sağlamak ve hem yasal düzenlemeler hem de sözleşmeler kapsamındaki uygunluk şartlarını karşılamaktır. Google'ın olay yanıt programı aşağıdaki süreci izler:

Olay yanıtı iş akışı

Tespit

Güçlü ve etkili olay yönetiminde, olayların erken ve doğru bir şekilde tespit edilmesi çok önemlidir. Bu aşamada, potansiyel veri olaylarını algılamak ve bunlarla ilgili rapor oluşturmak için güvenlik olaylarının izlenmesine odaklanılır.

Google'ın olay algılama ekibi, potansiyel olayların erken belirlenmesini sağlayan gelişmiş algılama araçları, sinyaller ve uyarı mekanizmaları kullanır.

Google'ın olay algılama kaynakları aşağıdaki gibidir:

  • Otomatik ağ ve sistem günlüğü analizi: Ağ trafiğinin ve sistem erişiminin otomatik analizi; şüpheli, kötü amaçlı veya yetkisiz işlemlerin tespitine yardımcı olur ve bunları Google güvenlik ekibine iletir

  • Test: Google güvenlik ekibi; sızma testleri, kalite güvencesi (QA) ölçümleri, izinsiz giriş tespiti ve yazılım güvenliği incelemeleri kullanarak güvenlik tehditlerini aktif olarak tarar

  • Dahili kod incelemeleri: Kaynak kod incelemeleri, güvenlik açıklarını ve tasarım hatalarını keşfeder ve önemli güvenlik kontrollerinin uygulandığını doğrular

  • Ürüne özel araçlar ve süreçler: Google'ın olayları ürün düzeyinde algılama becerisini geliştirmek için mümkün olan yerlerde ekip işlevine özgü otomatik araçlardan faydalanılır

  • Kullanım anormalliği algılama: Google; tarayıcılar, cihazlar, uygulama girişleri ve diğer kullanım etkinlikleri genelinde güvenli ve anormal kullanıcı etkinliklerini birbirinden ayırt edebilmek için çok katmanlı makine öğrenimi sistemlerinden faydalanır

  • Veri merkezi ve/veya iş yeri hizmetleri güvenlik uyarıları: Veri merkezlerindeki güvenlik uyarıları, şirket altyapısını etkileyebilecek olaylar için tarama yapar

  • Google çalışanları: Bir Google çalışanı anormalliği tespit eder ve raporlar

  • Google'ın güvenlik açığı ödül programı: Google'a ait tarayıcı uzantılarında, mobil uygulamalarda ve web uygulamalarında bulunan ve kullanıcı verilerinin gizliliğini veya bütünlüğünü etkileyen potansiyel teknik güvenlik açıkları, bazen dış güvenlik araştırmacıları tarafından raporlanır

Koordinasyon

Bir olay raporlandığında, o anda görevde olan yanıt uzmanı olayın potansiyel bir veri olayını temsil edip etmediğini belirlemek için olay raporunu inceleyerek yapısını değerlendirir ve Google'ın Olay Yanıtı Sürecini başlatır.

Doğrulanan olay, olay sorumlusuna iletilir. Olay sorumlusu, olayın yapısını değerlendirir ve yanıt için koordine bir yaklaşım uygular. Bu aşamada, olayın öncelik değerlendirmesi tamamlanır, gerekirse önem düzeyi ayarlanır ve bilgileri gözden geçiren ve inceleme gerektiren temel alanları tespit eden uygun operasyon liderleri ve teknik liderlerle gerekli olay yanıt ekibi devreye sokulur. Nasıl yanıt verileceği konusunda temel kararların verilmesi için bir ürün lideri ve bir hukuk lideri belirleriz. Olay sorumlusu, inceleme sorumluluğunu bir ekip üyesine atar ve bilgiler derlenir.

Google'ın yanıt sürecinin birçok boyutu, olay yanıt ekibi tarafından toplanan ve analiz edilen temel bilgilere dayanan önem düzeyi değerlendirmesine bağlıdır. Bunlar aşağıdakileri içerebilir:

  • Müşterilere, üçüncü taraflara ve Google'a zarar verme potansiyeli

  • Olayın yapısı (ör. verilerin potansiyel olarak yok edilmesi, kullanılamaz olması veya verilere erişim sağlanması)

  • Etkilenmiş olabilecek veri türleri

  • Olayın, müşterinin hizmet kullanımı üzerindeki etkisi

  • Olay durumu (ör. olayın izole, devam etmekte veya kontrol altında olması)

Olay sorumlusu ve diğer liderler, yanıt çabaları boyunca yeni bilgiler ortaya çıktıkça bu faktörleri periyodik olarak yeniden gözden geçirir ve Google'ın yanıtının doğru kaynaklara ve aciliyete sahip olmasını sağlar. En kritik etkiyi yaratan olaylara en yüksek önem derecesi atanır. Diğer liderlerle birlikte bir iletişim planı geliştirmek için bir iletişim lideri görevlendirilir.

Çözüm

Bu aşamada temel nedenin incelenmesine, olayın etkisinin sınırlandırılmasına, varsa acil güvenlik risklerinin çözümlenmesine, sorun çözme kapsamında zorunlu düzeltmelerin uygulanmasına ve etkilenen sistemlerin, verilerin ve hizmetlerin kurtarılmasına odaklanılır.

Etkilenen veriler, mümkün olan yerlerde orijinal durumlarına geri döndürülür. Belirli bir olayda makul ve gerekli olan işlemlere göre Google, olayın çözümlenmesinde farklı adımlar uygulayabilir. Örneğin bir sorunun temel nedeninin yeniden oluşturulması veya müşteri verileri üzerinde etki olup olmadığının belirlenmesi için teknik ya da adli inceleme yürütülmesi gerekebilir. Veriler yanlış şekilde değiştirildiyse veya yok edildiyse Google, veri kopyalarını kendi yedek kopyalarıyla kurtarmaya çalışabilir.

Düzeltmenin önemli bir boyutu, olaylar müşterilerin verilerini etkilediğinde bunu müşterilere bildirmektir. Olayın müşterilerin verilerini etkileyip etkilemediğini belirlemek için olay süreci boyunca temel bilgiler değerlendirilir. Müşterilerin bilgilendirilmesi uygunsa olay sorumlusu bildirim işlemini başlatır. İletişim lideri; ürün ve hukuk liderlerinden aldığı bilgilerle bir iletişim planı geliştirir, etkilenen tarafları bilgilendirir ve bildirim sonrasında destek ekibimizin de yardımıyla müşteri istekleri için destek sunar.

Google, veri olayının bilinen ayrıntılarını, potansiyel risklerin azaltılması için Google'ın attığı adımları ve olayın ele alınması için Google'ın müşterilere önerdiği adımları içeren hızlı, net ve doğru bildirimler sağlamayı hedefler. Olayla ilgili net bilgiler sağlamak için elimizden gelenin en iyisini yaparız. Böylece müşteriler de bildirimle ilgili yükümlülüklerini değerlendirebilir ve yerine getirebilir.

Kapatma

Bir veri olayının başarıyla düzeltilmesi ve çözüme ulaştırılmasının ardından, olay yanıt ekibi bu olaydan alınan dersleri değerlendirir. Olay kritik sorunlara yol açtığında olay sorumlusu bir olay sonrası analizi başlatabilir. Bu süreçte olay yanıt ekibi, olayın nedenlerini ve Google'ın yanıtını inceleyerek iyileştirilebilecek temel alanları tespit eder. Bu, bazı durumlarda farklı ürün, mühendislik ve operasyon ekipleriyle görüşmeyi ve ürün iyileştirme çalışmaları yapmayı gerektirebilir. Olay sonrası çalışma yürütülmesi gerekiyorsa olay yanıt ekibi bu çalışmanın tamamlanması için bir eylem planı geliştirir ve uzun vadeli çabalara öncülük etmeleri için proje yöneticileri görevlendirir. Düzeltme çabaları sonuçlandıktan sonra olay kapatılır.

Sürekli iyileştirme

Google'da her olaydan dersler çıkarmayı ve gelecekteki olayları önlemek için tedbirler almayı hedefliyoruz.

Olay analizi ile elde ettiğimiz stratejik bilgiler; araçlarımızı, eğitimlerimizi, süreçlerimizi, Google'ın genel güvenlik ve gizlilik veri koruma programını, güvenlik politikalarını ve/veya yanıt çabalarını iyileştirmemize imkan tanır. Edinilen temel bilgiler aynı zamanda mühendislik faaliyetlerinin önceliklendirilmesini ve daha iyi ürünler geliştirilmesini sağlar.

Google'ın güvenlik ve gizlilik uzmanları; tüm ağlar, sistemler ve hizmetler için firmanın güvenlik planlarını inceleyerek ve ürün ve mühendislik ekiplerine projeye özgü danışmanlık hizmetleri sağlayarak güvenlik programını iyileştirir. Google ağlarındaki şüpheli etkinlikleri izlemek, bilgi güvenliği tehditleriyle ilgilenmek, rutin güvenlik değerlendirmeleri ve denetimleri yürütmek için makine öğrenimi, veri analizi ve diğer yeni teknikleri kullanırlar ve düzenli güvenlik değerlendirmeleri yürütmek için dışarıdan uzmanlarla etkileşim kurarlar. Ek olarak, Project Zero olarak bilinen tam zamanlı ekibimiz, özellikle yazılım tedarikçilerine hata bildirerek ve bunları harici bir veritabanında dosyalayarak hedeflenmiş saldırıları önlemeyi amaçlar.

Google, güvenlik ve veri gizliliğinde yenilikçiliği teşvik etmek için düzenli eğitimler ve farkındalık kampanyaları yürütür. Özel olay yanıtı ekibi, üçüncü taraf araçların ve tescilli araçların kullanımı gibi adli konularda ve delil yönetimi konularında eğitilir. Hassas müşteri bilgilerinin saklandığı sistemler gibi önemli alanlar için olay yanıt süreçleri ve prosedürleriyle ilgili testler yürütülür. Bu testler, dahili tehditler ve yazılım güvenlik açıkları gibi çeşitli senaryoları göz önünde bulundurur ve güvenlik ve gizlilikle ilgili olaylara daha iyi hazırlanmamızı sağlar.

Google süreçleri; müşterilerimize ve düzenleme kurumlarına güvenlik, gizlilik ve uygunlukla ilgili kontrollerimizin bağımsız şekilde yürütülen doğrulamalarını sağlamak için ISO-27017, ISO-27018, ISO-27001, PCI-DSS, SOC 2 ve FedRAMP programlarımız kapsamında düzenli olarak test edilir. Google Cloud'un üçüncü taraf sertifikasyonlarına dair daha kapsamlı bir listeye buradan ulaşabilirsiniz.

Özet

Yukarıda ayrıntılarıyla açıklandığı şekilde, Google aşağıdaki temel işlevleri sunan birinci sınıf bir yanıt programı yürütür:

  • Olayların çözümlenmesi amacıyla sektör lideri teknikler üzerine inşa edilen ve Google ölçeğinde etkili şekilde çalışması için hassaslaştırılan bir süreç

  • Olayların proaktif olarak algılanması ve kontrol altına alınması için öncü izleme sistemleri, veri analizleri ve makine öğrenimi hizmetleri

  • Her türde veya büyüklükte veri olayına yanıt vermek için görevlendirilebilecek özel konu uzmanları

  • Etkilenen müşterilerin hızlı bir şekilde bilgilendirilmesi için Google'ın hizmet şartlarına ve müşteri sözleşmeleri kapsamındaki taahhütlerine uygun olan oturmuş bir süreç

Verilerin korunması, Google'ın işleri için temel teşkil eder. Genel güvenlik programımıza, kaynaklarımıza ve uzmanlarımıza sürekli olarak yatırım yapıyoruz. Bu da müşterilerimizin; bir olay durumunda etkili yanıt verme, verilerini koruma ve müşterilerin bir Google hizmetinden beklediği yüksek güvenilirliği sürdürme konusunda bize güvenmesini sağlıyor.