Security-Operation-Center-SecureOps-min.jpg
f7.png
t2.png

Supernova ZeroRisk

7/24 Siber Güvenlik Operasyon Merkezi

Supernova'nın aşağıdaki konularda sizlere nasıl yardımcı olacağını öğrenebilirsiniz:

SOC nedir?

Güvenlik Operasyon Merkezi (SOC) nedir?

Güvenlik Operasyon Merkezi (SOC), siber güvenlik olaylarını önlemek amacıyla, tüm siber güvenlik enstrümanlarını analiz eden ve izleyen ekiptir. Bir kuruluşun güvenlik yapısını iyileştirmek, gerektiğinde müdahale etmek için ilgili IT departmanları ve teknolojiyi kullanır.

SOC Kaynakları

Gelişmiş tehditlerin yaygınlaşması ile tüm kaynaklardan günlük kaydı, log, ve inceleme verisi toplar. SOC, ağları, switchleri, uç nokta, sunucu ve bilgisayarları dahil olmak üzere bir kuruluşun tüm bilişim varlıkları üzerinde komuta kontrol merkezi görevi üstlenir.

SOC İşleyişi

SOC, günlük kaydı, log ve inceleme verilerinin içerisindeki her olay ve uyarıyı nasıl yöneteceğine karar verir. Ayrıca siber saldırı durumlarında nasıl hareket edileceğine dair siber olay müdahalesi yapar.

siber - dik-min.jpg
 
IT-Cybersecurity-Team-min.jpg
f6.png

SOC genellikle bir SOC yöneticisi tarafından yönetilir ve olaya müdahale edenleri, SOC Analistlerini (seviye 1, 2 ve 3), tehdit avcılarını ve olay müdahale yöneticilerini içerir. SOC, sırayla CIO'ya veya doğrudan CEO'ya rapor veren CISO'ya rapor verir.

Personel ve organizasyon yapısı

Güvenlik operasyonları merkezi personel ve organizasyonel yapısı

Bir güvenlik güvenlik operasyon merkezinin (SOC) amacı, günün her saati siber tehditleri izlemek, tespit etmek, araştırmak ve bunlara yanıt vermektir.

Personel Yapısı

Güvenlik operasyon merkezi ekipleri, fikri mülkiyet, personel verileri, iş sistemleri ve marka bütünlüğü gibi birçok varlığı izlemek ve korumakla görevlidir. Güvenlik operasyon merkezi ekipleri, siber saldırılara karşı savunma yapabilmesi için koruduğu kurum ve kuruluş BT ekibi ile koordineli çalışması gerekir.

Organizasyon Yapısı

Siber güvenlik operasyon merkezleri, SIEM günlük kayıtları korelasyon sistemi ve tehdit istihbarat platformları olan EDR sistemlerinin güvenlik kurallarından ve veri akışından gelen uyarıların topladığı merkezlerdir. İlgili personeller uyarıları değerlendirirken, güvenlik açığı bulunması, açıkların kapatılması önerileri, risk ve uyumluluk sistemleri, kullanıcı ve varlık davranışı analitiği, uç nokta algılama gibi çeşitli sistemleri tanımalı ve kontrol edebilmelidir.

 
10 temel fayda

SOC tarafından gerçekleştirilen 10 temel fayda

01

Varlık envanteri çalışması 

SOC tüm varlıklardan sorumludur. Çeşitli cihazlar, süreçler ve uygulamaları korumaya yardımcı olmak için ellerindeki tüm siber savunma araçlarını kullanır.

SOC'nin Koruduğu Şeyler

SOC, göremediği cihazları ve verileri koruyamaz. Buluttan lokal ağa kadar tüm varlık envanteri tanımlı olmadan görünürlük ve tam korumadan söz edilemez. Saldırganlara güvenlik kontrollerini aşabilecekleri kör noktalar bırakılmamalıdır. Siber güvenlik operasyon merkezi yalnızca uç noktaları, şirket içi sunucuları ve yazılımları değil, aynı zamanda üçüncü taraf hizmetleri ve bu varlıklar arasında akan trafiğinde oluşan riskleri denetlemelidir.

SOC Nasıl Korur?

SOC  elindeki tüm siber güvenlik araçları ve koruduğu sistemlerdeki varlık envanteri hakkında eksiksiz bir çalışma yaparsa. En yüksek verimlilikle farkında olmadığınız veri sızıntılarını ve siber saldırıları görmenize önlemenize olanak tanır.

02

Siber Hijyen için Önleyici Bakım

En donanımlı ekip ve siber olay müdahale süreçleri bile sorunların ortaya çıkmasını engelleme konusunda yetersiz kalıbilir. Bu durumu önlemek için korunulan sistemlerin IT birimleri SOC personeli ile önleyici tedbirler uygulaması gerekir.

Hazırlık

Ekip üyeleri, yeni güvenlik kuralları yazımı, siber suçlardaki en son eğilimler ve yeni siber tehditlerin gelişimi hakkında bilgi sahibi olmalıdır. Bu araştırmalar şirketin siber güvenlik yol haritasının oluşturulması, ileriye dönük siber hijyenine katkı sağlar verir. 

Önleyici Bakım

Saldırıları daha zor hale getirmek için teknik açıklık tarayıcılarında çıkan sonuçlarının takibi ve güvenlik açıklıklarının kapatılması, mevcut sistemlerin düzenli olarak bakımı ve güncellenmesi, güvenlik duvarı politikalarının güncellenmesi, uyarı sonuçlarını beyaz listeye yada kara listeye alma ve çalışmalarını içerir.

03

Sürekli İzleme ve Kontrol

SOC tarafından kullanılan araçlarla, hayatın olağan akışına uymayan veya şüpheli bilişim aktivitelerini ve etkinlikleri algılamak için 7/24 uyarıları inceler.Uyarıları günün her saatinde izlemek, SOC'nin ortaya çıkan tehditlerden anında haberdar olmasını sağlayarak kuruma olan zararı önlemek veya azaltmak için en iyi yöntemdir. İzleme araçları,  en az bir SIEM ve EDR olmalıdır.Bu ürünler sistemlerde normal günlük operasyonlar ile gerçek tehdit davranışı arasındaki farkı analizini etmek için kullanılır.

04

Uyarı Öncelik Sıralaması ve Yönetimi

İzleme araçları uyarılar verirken, her bir uyarıya yakından bakmak, false pozitifleri atmak ve gerçek tehditleri tespit etmek ne kadar agresif olduğunu ve neleri hedefleyebileceklerini belirlemek SOC'nin sorumluluğundadır. İlk olarak en acil sorunları ele alarak ortaya çıkan tehditleri uygun şekilde önceliklendirmelerine olanak tanır.

05

Tehdit Müdahalesi

Siber güvenlik uzmanlarımız bir uyarının saldırı olduğuna kanaat ettiğinde ilgili bilgisayar yada uç noktaları kapatmak, izole etmek ve zararlı aktivite süreçlerini sonlandırmak veya çalışmasını engellemek, dosyaları silmek bilişim materyalini saldırı olmadan önceki haline getirmek gibi önlemleri alır. Saldırı iş sürekliliği üzerinde mümkün olduğunca küçük bir etkiye sahipken büyümeden yanıt vermektir.

06

Kurtarma ve İyileştirme

Saldırı sonrası sistemleri geri yüklemek ve kaybolan veya tehlikeye atılan verileri kurtarmak için çalışma yapılır. Uç noktaların yenilenmesini, yeniden başlatılmasını, sistemlerin yeniden yapılandırılmasını veya fidye yazılımı saldırıları durumunda fidye yazılımını atlatmak için uygun yedeklerin bulunmasını içerebilir. 

07

Log Kaydı ve Günlük Yönetimi

SOC, şirketin siber aktivite ve iletişim günlüğünü toplamaktan, sürdürmekten ve düzenli olarak gözden geçirmekten sorumludur. Bu veriler, "normal" ağ etkinliği için bir temel belirlemeye yardımcı olur, siber tehditlerin varlığını ortaya çıkarabilir Birçok SOC, günlüklerini, olay ve log kayıtlarını işletim sistemlerinden ve uç noktalardan gelen veri akışlarını toplamak ve ilişkilendirmek için bir SIEM kullanır.

08

Kök Neden Araştırması

Siber güvenlik operasyon merkezi bir siber saldırı yada kritik olayın ardından uyarının tam olarak ne olduğunu, ne zaman, nasıl ve neden olduğunu bulmaktan sorumludur. Bu araştırma sırasında, sorunu kaynağına kadar izlemek için günlük verilerini ve diğer bilgileri kullanır, ayrıca gelecekte benzer sorunların oluşmasını önlemelerine yardımcı olucu tedbirler alır.

09

Güvenlik İyileştirme

Siber saldırganlar araçlarını ve taktiklerini sürekli olarak geliştiriyor ve  değiştiriyor. Güvenlik operasyonları onların bir adım önünde olmak için sürekli olarak iyileştirmeler yapması gerekiyor. 

10

Uyumluluk Yönetimi

Örnek olarak KVKK, ISO 27001 ve PCI DSS İçerisindeki maddelerin çoğu güvenlik operasyon merkezinin görev ve sorumluluk alanındaki işlemleri işaret etmektedir. Sağlıklı bir SOC süreci işletildiğinde regülasyon ve uyuymluluk olarak şirketin eli çok güçlenecektir. Ayrıca kuruluşu bir ihlalden kaynaklanan itibar kaybı ve yasal zorluklardan da korur

 
siber 4-min.jpg
t1.png
 
kvkk-min.jpg

Bir Sonraki Hizmet

MDR – Yönetilen Güvenlik Servisi