Tem 23, 2025

Olay Müdahale Planı

Web3 protokolünüz ne kadar güvenli olursa olsun veya kaç güvenlik denetiminden geçmiş olursa olsun, güvenliği ciddiye alan projeleri ciddiye almayanlardan ayıran tek bir belge vardır: bir Olay Müdahale Planı.

Olay Müdahale Planı, bir protokol güvenlik olayı durumunda izlenecek önceden hazırlanmış talimatlar ve komut dosyaları setidir. Böyle bir olay meydana geldiğinde, net bir eylem planına sahip olmak stresi azaltır ve bir hack sırasında ve hemen sonrasında değerli zaman kazandırır.

Olay Müdahale Planı'nın amacı, bir hack'e karşı etkili bir eylem sağlamak ve potansiyel hasarı en aza indirmektir.

Aşağıda, yüksek kaliteli bir Olay Müdahale Planında bulunması gereken temel unsurları inceleyeceğiz.

Kapsam Tanımı

Her şeyden önce, Olay Müdahale Planınız protokolünüzün temel unsurlarını kataloglamalıdır. Buna kritik akıllı sözleşmeler, oracle bağımlılıkları, yönetişim sözleşmeleri, hazine adresleri ve ön uç ile arka uç altyapısı dahildir.

Açıklama, güvenliğe duyarlı alanları ve potansiyel saldırı vektörlerini vurgulamalıdır. Bu detaylı genel bakış, bir hack sırasında protokolün önemli yönlerini gözden kaçırmanıza yardımcı olacaktır, özellikle stresin yüksek olduğu ve odaklanmanın etkili bir yanıt için hayati önem taşıdığı durumlarda.

Bu bölüm için iyi bir başlangıç noktası, Tehdit Modelleme aşamasında oluşturulan belgedir. Yanıt planınızı geliştirmek için kapsamlı bir yaklaşım için Web3 Güvenlik Yol Haritası'nı kullanın.

Roller

Bir Olay Müdahale Planı, bir Bilgisayar Güvenliği Olay Müdahale Ekibi (CSIRT) kurulmasını gerektirir. Plan, ekibin nicel bileşimini belirtmez, ancak bir müdahale sırasında doldurulması gereken üç birincil rolü ana hatlarıyla belirtir.

Stratejik Yönetici

Bu rol, olay müdahale sürecine liderlik eder. Stratejik Yönetici, paydaş onayı gerektiren eylemler için karar vericilerle koordinasyon dahil olmak üzere ekip eylemlerini düzenlemeye odaklanır. Bu eylemler genellikle fonların taşınmasını, yamalı sürümlerin yayınlanmasını veya saldırganlarla şartların müzakere edilmesini içerir.

Teknik Yönetici

Teknik Yönetici, doğrudan teknik yönlerle ilgili tüm süreçleri denetler. Buna kod zafiyetlerinin analizi, düzeltmelerin geliştirilmesi, işlemlerin başlatılması ve harici güvenlik uzmanlarıyla etkileşim dahildir. Teknik Yönetici bu eylemleri kişisel olarak gerçekleştirebilir veya astları için bir koordinatör olarak hareket edebilir.

İletişim Yöneticisi

İletişim Yöneticisi, protokol ekibi ile dış topluluk arasındaki tek iletişim noktasıdır. Kullanıcılara yönelik bilgi akışını, içeriğini ve zamanlamasını yönetir. İletişim Yöneticisi, doğrudan yayınlama ve geri bildirim işleme ile ilgili görevleri astlarına devredebilir.

Olay simülasyonları sırasında, bu temel rolleri kapsayacak minimum sayıda kişiye sahip küçük ekipleri dahil etmek faydalıdır. Her yeni simülasyon, daha önce egzersize katılmamış ekip üyelerini içermelidir. Bu yaklaşım, gerçek bir olay sırasında, ekibinizin daha büyük bir kısmının yanıt ekibinde geniş bir görev yelpazesini yerine getirmeye hazır olmasını sağlar.

Harici Uzmanlar

Bir Web3 projesini güvence altına almada iyi bir uygulama, blockchain olay soruşturmalarında harici uzmanlarla önceden mevcut bir anlaşmaya sahip olmaktır. Bu tür düzenlemeler, ekibinize yardımcı olacak uzmanları aramakla kritik zaman kaybetmenizi önleyecektir. Harici uzmanlar, hack'in nedenini belirlemenize ve çalınan fonları takip etmek için bir platform sağlamanıza yardımcı olabilir.

Toplanan kanıtlar ve para aklama izleri, bilgisayar korsanlarına karşı yasal işlem başlatmak için kolluk kuvvetlerine bir rapor sunmak için gereklidir.

Bir dava açma ve soruşturma başlatma eylemi, saldırganlarla yapılan müzakereler sırasında, çalınan varlıkların çoğunu suçlamaların düşürülmesi ve %10'luk bir ödül karşılığında iade etmeye ikna etmek için güçlü bir argümandır.

Kolluk kuvvetlerine rapor sunmak için önceden hazırlanmış ve iyi prova edilmiş bir prosedür de sağlam bir Olay Müdahale Planı'nın ayrılmaz bir parçasıdır.

Durum Odası (War Room)

Olay Müdahale Planı, bir Durum Odası'nı etkinleştirmek için açık bir protokol içermelidir. Bu protokol, olay müdahale ekibi üyeleri ile dış uzmanlar arasında bir iletişim kanalı oluşturma algoritmasını detaylandırmalıdır. Bu kanal güvenli bir sohbet veya video konferans olabilir.

Bu odada açıklanan bilgiler hassas olabileceğinden, protokol önceden belirlenmiş etkileşim koşullarını, örneğin Gizlilik Anlaşmaları (NDA'lar) veya dış uzmanlara bilgi ifşa etme kurallarını içermelidir.

İletişimler

Bu bölüm, dahili ve harici iletişim kanallarını oluşturmak için ayrıntılı yönergeler sağlar.

Dahili iletişim yönergeleri, yanıt ekibi içinde iletişim için kullanılan araçları, yöneticilerini ve farklı ekip üyeleri için erişim düzeylerini kapsamalıdır.

Harici iletişim yönergeleri, olayın ilerlemesiyle ilgili halka açık güncellemelerin formatını açıklar. Bu, kullanılan kanalları belirtmeyi ve sorumlu tarafı (İletişim Yöneticisi) belirlemeyi içerir.

Eylem Planı (Playbook)

Olay müdahale eylem planı, ekibin bir saldırıya yanıt olarak attığı belirli, pratik adımları içerir. Olay Müdahale Planının diğer bölümleri açıklayıcı bilgiler sağlarken, eylem planı katı bir algoritma olarak görülmelidir.

Eylem planı, her gruptan eylemlerin paralel olarak gerçekleştirilmesi amaçlanan, üç gruba ayrılmış bir dizi eylemi özetler.

Eylem planındaki eylemler açık, özlü ve prova edilmiş olmalıdır. Zamanında uygulama sağlamak için yürütme nüanslarının herhangi bir tartışmasından kesinlikle kaçınılmalıdır.

Hasarı Sınırlama ve Azaltma

Bu grup, saldırıyı durdurmayı ve hasarı en aza indirmeyi amaçlayan eylemleri içerir.

• Akıllı sözleşmeleri duraklatma

• Ön uç işlevlerini engelleme

• Saldırgan adreslerini kara listeye alma

• Anahtarları döndürme

• Çalınan fonların çıkışını durdurmayı amaçlayan diğer eylemler

Bu eylemler mümkün olduğunca otomatikleştirilmeli ve aktivasyonları bürokrasi tarafından engellenmemelidir.

İyileştirme

İyileştirme grubundaki eylemler, hack'e yol açan güvenlik açığını belirlemeye ve düzeltmeye odaklanır.

• Kök nedeni (temel zafiyet) belirleme

• Bir düzeltme geliştirme

• Canlılığını sağlama

• Yeni bir sürüme geçiş

• Kullanıcıların protokolün işlevselliğine erişimini geri yükleme

Bu eylemler grubu, dahili veya harici güvenlik uzmanlarının katılımını gerektirir.

Bu gruptaki eylemleri gerçekleştirirken, hız ve güvenilirliği dengelemek çok önemlidir. Zafiyeti mümkün olan en kısa sürede tespit etmek ve düzeltmek hayati önem taşırken, doğrulanmamış bir düzeltmeyle erişimi aceleyle geri yüklememek de aynı derecede önemlidir.

Fon Kurtarma

Bu gruptaki eylemler, çalınan fonları kurtarmayı amaçlamaktadır.

• Çalınan varlıkların iadesi karşılığında saldırganlarla ödül ve suçlamaların düşürülmesi için müzakere

• Çalınan fonları ele geçirmek için etik bilgisayar korsanlarını görevlendirme

Bu eylemler, gerektiğinde zaman kazanmak için önceden hazırlanmalı ve prova edilmelidir.

Alınan Dersler

Olay müdahalesinin son aşaması, olayın kendisinin ve ona verilen yanıtın analizidir. Hack'in nedenleri hakkında yapılan soruşturma sırasında toplanan veriler ve yanıt sürecinin retrospektifi, hem protokol güvenliğini hem de yanıt sürecini iyileştirmek için önemli bir değer taşımaktadır.

Alınan Dersler belgesi, olayın nedenlerinin ayrıntılı bir dökümünü, hack prosedürünün adım adım açıklamasını ve yanıt sürecinin etkinliğine ilişkin bir raporu içermelidir. Belge aşağıdaki soruları yanıtlamalıdır:

• Kodda hata neden ortaya çıktı?

• Hata geliştirme ve test sırasında neden tespit edilmedi?

• Denetim hatayı neden tespit etmedi?

• İzleme sistemi neden daha erken alarm vermedi?

Bu soruların yanıtları ve saldırının kamuoyuna açıklanan detaylı açıklaması, diğer protokollerin benzer saldırılara karşı korunmasına yardımcı olur. Şeffaf "ölüm sonrası" raporlar, merkezi olmayan çözümlerde güvenlik hakkında genel bilgi tabanına katkıda bulunur.

Eğitim

Olay Müdahale Planı, simülasyonlarda ve eğitim tatbikatlarında düzenli olarak kullanılmalıdır. Ekibin uygun pratik eğitimi olmadan iyi geliştirilmiş bir plan etkisiz kalacaktır. Düzenli tatbikatlar ve "Savaş Oyunları", ekibin otomatik yanıtlar geliştirmesine ve daha da önemlisi, yanıt planındaki zayıflıkları belirlemesine yardımcı olur.

Her eğitim olayı, planın etkinliğinin bir değerlendirmesi ve gerektiğinde düzeltmeler yapma süreci ile birlikte olmalıdır.

Web3 alanı dinamik ve gelişen bir alandır, yeni yaklaşımlar ve teknolojiler eski versiyonların yerini almaktadır. Çözümlerin bu evrimi, Olay Müdahale Planının gözden geçirilmesi ve güncellenmesi sırasında da dikkate alınmalıdır.

Tehdit Modelleme ve Denetimler

Yüksek kaliteli bir Olay Müdahale Planı oluşturmak için, Tehdit Modelleme ve akıllı sözleşmelerin ve altyapının kapsamlı Güvenlik Denetimleri gibi faaliyetlerle desteklenmelidir.

Tehdit Modelleme, kritik protokol öğelerinin envanterini çıkarmayı içerir: akıllı sözleşmeler, oracles, çoklu imza cüzdanları, yönetişim modülleri ve zincir dışı öğeler. Bu öğelerin ve karşılıklı bağımlılıklarının bir değer haritasını oluşturmak, ekip üyelerinin protokolün mimarisini güvenlik açısından değerlendirmesine olanak tanır. Ortaya çıkan Tehdit Modelleme belgesi, Olay Müdahale Planının oluşturulması için temel teşkil eder.

Kapsamlı güvenlik denetimleri, resmi doğrulama ve ekonomik risk analizi, kodu ve protokol mantığındaki güvenlik açıklarını canlı bir ortama dağıtmadan önce tespit ederek protokol güvenliğini artırmak için tasarlanmıştır. Erken aşamalarda titizlikle çalışmak, bir kriz olasılığını önemli ölçüde azaltır.

İzleme

Etkili bir Olay Müdahale Planı oluşturmak için bir izleme ve erken tehdit algılama sistemi kurmak gerekli bir ön koşuldur.

İzleme sistemi, olayları mümkün olduğunca erken tespit etmek ve ekibi olup bitenler hakkında uyarmak için tasarlanmıştır. Başarılı bir olay müdahalesi, tam olarak izleme sisteminden gelen bir alarmla başlar. Bir saldırıyı medyadan veya sosyal ağlardan öğrenirseniz, zaten ciddi bir beladasınız demektir.

Ekibi uyarmaya ek olarak, izleme sistemi kritik derecede önemli başka bir işlev daha yerine getirir: otomatik sınırlama eylemleri. Bu bağlamda, sınırlama, izleme sisteminden gelen sinyallere yanıt olarak otomatik olarak yürütülen eylemleri ifade eder. Örneğin, bir saldırı hazırlığı olarak kesin olarak tanımlanan bir davranış tespit edildiğinde akıllı sözleşmeleri duraklatmak.

Erken tespit ve otomatik tehdit yanıt sistemi kurmak önemli çaba gerektirir, ancak böyle bir sistem kriz durumlarında kritik öneme sahiptir. Protokol güvenliğine bütünsel bir yaklaşım için Web3 Güvenlik Yol Haritası'nı kullanın.

NIST ve SANS

Siber güvenlikte, yerleşik olay müdahale çerçeveleri bulunmaktadır: NIST (ABD Ulusal Standartlar ve Teknoloji Enstitüsü) ve SANS (SysAdmin, Audit, Network and Security Institute). Ortak bir özü paylaşırlar ve yalnızca ayrıntılarda farklılık gösterirler. Bu iki çerçeveyi birleştirmek 6 aşamalı bir şablon sağlar:

1. Hazırlık

2. Tespit

3. Sınırlama

4. Ortadan Kaldırma

5. Kurtarma

6. Analiz Sonrası

Merkezi olmayan bir ortamda faaliyet gösterdiğimizden, Web2 yaklaşımları Web3 gerçeklerine uyarlanmalıdır.

Bizim durumumuzda, Hazırlık aşaması, Tehdit Modelleme ve kapsamlı güvenlik denetimleri sırasında Olay Müdahale Planı dışında uygulanır.

Tespit, erken tehdit algılama ve otomatik yanıt için izleme girişimleri aracılığıyla gerçekleştirilir.

Sınırlama, Ortadan Kaldırma ve Kurtarma, Olay Müdahale Planının Eylem Planı bölümünde uygulanır.

Analiz Sonrası, "Alınan Dersler" raporunu hazırlama faaliyeti olarak gerçekleştirilir.

Sonuç

Web3'teki bir Olay Müdahale Planı, temel olarak proaktif bir çabadır. Planı geliştirmek sadece bir belge yazmakla ilgili değildir, protokol geliştirmenin birçok aşamasını kapsayan sürekli bir girişimdir - iş mantığını değerlendirmekten ve akıllı sözleşme mimarisine güvenlik önlemleri eklemekten bir izleme sistemi, otomatik yanıt ve sürekli ekip eğitimine kadar.