SOC nedir?
Güvenlik Operasyon Merkezi (SOC) nedir?
Güvenlik Operasyon Merkezi (SOC), siber güvenlik olaylarını önlemek amacıyla, tüm siber güvenlik enstrümanlarını analiz eden ve izleyen ekiptir. Bir kuruluÅŸun güvenlik yapısını iyileÅŸtirmek, gerektiÄŸinde müdahale etmek için ilgili IT departmanları ve teknolojiyi kullanır.
SOC Kaynakları
GeliÅŸmiÅŸ tehditlerin yaygınlaÅŸması ile tüm kaynaklardan günlük kaydı, log, ve inceleme verisi toplar. SOC, aÄŸları, switchleri, uç nokta, sunucu ve bilgisayarları dahil olmak üzere bir kuruluÅŸun tüm biliÅŸim varlıkları üzerinde komuta kontrol merkezi görevi üstlenir.
SOC Ä°ÅŸleyiÅŸi
SOC, günlük kaydı, log ve inceleme verilerinin içerisindeki her olay ve uyarıyı nasıl yöneteceÄŸine karar verir. Ayrıca siber saldırı durumlarında nasıl hareket edileceÄŸine dair siber olay müdahalesi yapar.
SOC genellikle bir SOC yöneticisi tarafından yönetilir ve olaya müdahale edenleri, SOC Analistlerini (seviye 1, 2 ve 3), tehdit avcılarını ve olay müdahale yöneticilerini içerir. SOC, sırayla CIO'ya veya doÄŸrudan CEO'ya rapor veren CISO'ya rapor verir.
Personel ve organizasyon yapısı
Güvenlik operasyonları merkezi personel ve organizasyonel yapısı
Bir güvenlik güvenlik operasyon merkezinin (SOC) amacı, günün her saati siber tehditleri izlemek, tespit etmek, araÅŸtırmak ve bunlara yanıt vermektir.
Personel Yapısı
Güvenlik operasyon merkezi ekipleri, fikri mülkiyet, personel verileri, iÅŸ sistemleri ve marka bütünlüÄŸü gibi birçok varlığı izlemek ve korumakla görevlidir. Güvenlik operasyon merkezi ekipleri, siber saldırılara karşı savunma yapabilmesi için koruduÄŸu kurum ve kuruluÅŸ BT ekibi ile koordineli çalışması gerekir.
Organizasyon Yapısı
Siber güvenlik operasyon merkezleri, SIEM günlük kayıtları korelasyon sistemi ve tehdit istihbarat platformları olan EDR sistemlerinin güvenlik kurallarından ve veri akışından gelen uyarıların topladığı merkezlerdir. Ä°lgili personeller uyarıları deÄŸerlendirirken, güvenlik açığı bulunması, açıkların kapatılması önerileri, risk ve uyumluluk sistemleri, kullanıcı ve varlık davranışı analitiÄŸi, uç nokta algılama gibi çeÅŸitli sistemleri tanımalı ve kontrol edebilmelidir.
10 temel fayda
SOC tarafından gerçekleÅŸtirilen 10 temel fayda
01
Varlık envanteri çalışması
SOC tüm varlıklardan sorumludur. ÇeÅŸitli cihazlar, süreçler ve uygulamaları korumaya yardımcı olmak için ellerindeki tüm siber savunma araçlarını kullanır.
SOC'nin KoruduÄŸu Åžeyler
SOC, göremediÄŸi cihazları ve verileri koruyamaz. Buluttan lokal aÄŸa kadar tüm varlık envanteri tanımlı olmadan görünürlük ve tam korumadan söz edilemez. Saldırganlara güvenlik kontrollerini aÅŸabilecekleri kör noktalar bırakılmamalıdır. Siber güvenlik operasyon merkezi yalnızca uç noktaları, ÅŸirket içi sunucuları ve yazılımları deÄŸil, aynı zamanda üçüncü taraf hizmetleri ve bu varlıklar arasında akan trafiÄŸinde oluÅŸan riskleri denetlemelidir.
SOC Nasıl Korur?
SOC elindeki tüm siber güvenlik araçları ve koruduÄŸu sistemlerdeki varlık envanteri hakkında eksiksiz bir çalışma yaparsa. En yüksek verimlilikle farkında olmadığınız veri sızıntılarını ve siber saldırıları görmenize önlemenize olanak tanır.
02
Siber Hijyen için Önleyici Bakım
En donanımlı ekip ve siber olay müdahale süreçleri bile sorunların ortaya çıkmasını engelleme konusunda yetersiz kalıbilir. Bu durumu önlemek için korunulan sistemlerin IT birimleri SOC personeli ile önleyici tedbirler uygulaması gerekir.
Hazırlık
Ekip üyeleri, yeni güvenlik kuralları yazımı, siber suçlardaki en son eÄŸilimler ve yeni siber tehditlerin geliÅŸimi hakkında bilgi sahibi olmalıdır. Bu araÅŸtırmalar ÅŸirketin siber güvenlik yol haritasının oluÅŸturulması, ileriye dönük siber hijyenine katkı saÄŸlar verir.
Önleyici Bakım
Saldırıları daha zor hale getirmek için teknik açıklık tarayıcılarında çıkan sonuçlarının takibi ve güvenlik açıklıklarının kapatılması, mevcut sistemlerin düzenli olarak bakımı ve güncellenmesi, güvenlik duvarı politikalarının güncellenmesi, uyarı sonuçlarını beyaz listeye yada kara listeye alma ve çalışmalarını içerir.
03
Sürekli Ä°zleme ve Kontrol
SOC tarafından kullanılan araçlarla, hayatın olaÄŸan akışına uymayan veya ÅŸüpheli biliÅŸim aktivitelerini ve etkinlikleri algılamak için 7/24 uyarıları inceler.Uyarıları günün her saatinde izlemek, SOC'nin ortaya çıkan tehditlerden anında haberdar olmasını saÄŸlayarak kuruma olan zararı önlemek veya azaltmak için en iyi yöntemdir. Ä°zleme araçları, en az bir SIEM ve EDR olmalıdır.Bu ürünler sistemlerde normal günlük operasyonlar ile gerçek tehdit davranışı arasındaki farkı analizini etmek için kullanılır.
04
Uyarı Öncelik Sıralaması ve Yönetimi
Ä°zleme araçları uyarılar verirken, her bir uyarıya yakından bakmak, false pozitifleri atmak ve gerçek tehditleri tespit etmek ne kadar agresif olduÄŸunu ve neleri hedefleyebileceklerini belirlemek SOC'nin sorumluluÄŸundadır. Ä°lk olarak en acil sorunları ele alarak ortaya çıkan tehditleri uygun ÅŸekilde önceliklendirmelerine olanak tanır.
05
Tehdit Müdahalesi
Siber güvenlik uzmanlarımız bir uyarının saldırı olduÄŸuna kanaat ettiÄŸinde ilgili bilgisayar yada uç noktaları kapatmak, izole etmek ve zararlı aktivite süreçlerini sonlandırmak veya çalışmasını engellemek, dosyaları silmek biliÅŸim materyalini saldırı olmadan önceki haline getirmek gibi önlemleri alır. Saldırı iÅŸ sürekliliÄŸi üzerinde mümkün olduÄŸunca küçük bir etkiye sahipken büyümeden yanıt vermektir.
06
Kurtarma ve Ä°yileÅŸtirme
Saldırı sonrası sistemleri geri yüklemek ve kaybolan veya tehlikeye atılan verileri kurtarmak için çalışma yapılır. Uç noktaların yenilenmesini, yeniden baÅŸlatılmasını, sistemlerin yeniden yapılandırılmasını veya fidye yazılımı saldırıları durumunda fidye yazılımını atlatmak için uygun yedeklerin bulunmasını içerebilir.
07
Log Kaydı ve Günlük Yönetimi
SOC, ÅŸirketin siber aktivite ve iletiÅŸim günlüÄŸünü toplamaktan, sürdürmekten ve düzenli olarak gözden geçirmekten sorumludur. Bu veriler, "normal" aÄŸ etkinliÄŸi için bir temel belirlemeye yardımcı olur, siber tehditlerin varlığını ortaya çıkarabilir Birçok SOC, günlüklerini, olay ve log kayıtlarını iÅŸletim sistemlerinden ve uç noktalardan gelen veri akışlarını toplamak ve iliÅŸkilendirmek için bir SIEM kullanır.
08
Kök Neden AraÅŸtırması
Siber güvenlik operasyon merkezi bir siber saldırı yada kritik olayın ardından uyarının tam olarak ne olduÄŸunu, ne zaman, nasıl ve neden olduÄŸunu bulmaktan sorumludur. Bu araÅŸtırma sırasında, sorunu kaynağına kadar izlemek için günlük verilerini ve diÄŸer bilgileri kullanır, ayrıca gelecekte benzer sorunların oluÅŸmasını önlemelerine yardımcı olucu tedbirler alır.
09
Güvenlik Ä°yileÅŸtirme
Siber saldırganlar araçlarını ve taktiklerini sürekli olarak geliÅŸtiriyor ve deÄŸiÅŸtiriyor. Güvenlik operasyonları onların bir adım önünde olmak için sürekli olarak iyileÅŸtirmeler yapması gerekiyor.
10
Uyumluluk Yönetimi
Örnek olarak KVKK, ISO 27001 ve PCI DSS Ä°çerisindeki maddelerin çoÄŸu güvenlik operasyon merkezinin görev ve sorumluluk alanındaki iÅŸlemleri iÅŸaret etmektedir. SaÄŸlıklı bir SOC süreci iÅŸletildiÄŸinde regülasyon ve uyuymluluk olarak ÅŸirketin eli çok güçlenecektir. Ayrıca kuruluÅŸu bir ihlalden kaynaklanan itibar kaybı ve yasal zorluklardan da korur