Security-Operation-Center-SecureOps-min.jpg
f7.png
t2.png

Supernova ZeroRisk

7/24 Siber Güvenlik Operasyon Merkezi

Supernova'nın aşağıdaki konularda nasıl yardımcı olduğunu öğrenin:

SOC nedir?

Güvenlik Operasyon Merkezi (SOC) nedir?

Güvenlik Operasyon Merkezi (SOC), siber güvenlik olaylarını önlerken, tespit ederken, analiz ederken ve bunlara yanıt verirken bir kuruluşun güvenlik duruşunu sürekli olarak izlemek ve iyileştirmek için insanları, süreçleri ve teknolojiyi kullanan bir kuruluş içinde merkezi bir işlevdir.

SOC Davranışı

Bir SOC, bu varlıkların bulunduğu her yerde ağları, cihazları, cihazları ve bilgi depoları dahil olmak üzere bir kuruluşun BT altyapısı genelinde komuta merkezi gibi davranır. Gelişmiş tehditlerin yaygınlaşması, çeşitli kaynaklardan bağlam toplamaya öncelik verir.

SOC İşleyişi

Esasen, SOC, izlenen kuruluş içinde günlüğe kaydedilen her olay için bağıntı noktasıdır. Bu olayların her biri için SOC, bunların nasıl yönetileceğine ve buna göre hareket edileceğine karar vermelidir.

siber - dik-min.jpg
 
IT-Cybersecurity-Team-min.jpg
f6.png

SOC genellikle bir SOC yöneticisi tarafından yönetilir ve olaya müdahale edenleri, SOC Analistlerini (seviye 1, 2 ve 3), tehdit avcılarını ve olay müdahale yöneticilerini içerebilir. SOC, sırayla CIO'ya veya doğrudan CEO'ya rapor veren CISO'ya rapor verir.

Personel ve organizasyon yapısı

Güvenlik operasyonları personel ve organizasyon yapısı

Bir güvenlik operasyonları ekibinin ve genellikle bir güvenlik operasyonları merkezinin (SOC) işlevi, günün her saati siber tehditleri izlemek, tespit etmek, araştırmak ve bunlara yanıt vermektir.

Personel Yapısı

Güvenlik operasyonları ekipleri, fikri mülkiyet, personel verileri, iş sistemleri ve marka bütünlüğü gibi birçok varlığı izlemek ve korumakla görevlidir. Bir kuruluşun genel siber güvenlik çerçevesinin uygulama bileşeni olarak güvenlik operasyonları ekipleri, siber saldırıları izlemek, değerlendirmek ve bunlara karşı savunmak için koordineli çabalarda merkezi işbirliği noktası olarak hareket eder.

Organizasyon Yapısı

SOC'ler tipik olarak, bir güvenlik bilgisi ve olay yönetimi (SIEM) sisteminin güvenlik akışlarından gelen verileri topladığı ve ilişkilendirdiği bir hub ve bağlı bileşen mimarisi etrafında inşa edilmiştir. Bu modelin konuşmacıları, güvenlik açığı değerlendirme çözümleri, yönetişim, risk ve uyumluluk (GRC) sistemleri, uygulama ve veritabanı tarayıcıları, izinsiz giriş önleme sistemleri (IPS), kullanıcı ve varlık davranışı analitiği (UEBA), uç nokta algılama gibi çeşitli sistemleri içerebilir. ve iyileştirme (EDR) ve tehdit istihbarat platformları (TIP).

 

10 temel işlev

SOC tarafından gerçekleştirilen 10 temel işlev

01

Mevcut Kaynakların Stokunu Alın

SOC iki tür varlıktan sorumludur: korumakla görevlendirildikleri çeşitli cihazlar, süreçler ve uygulamalar ve bu korumayı sağlamaya yardımcı olmak için ellerindeki savunma araçları.

SOC'nin Koruduğu Şeyler

SOC, göremedikleri cihazları ve verileri koruyamaz. Cihazdan buluta görünürlük ve kontrol olmadan, ağ güvenliği duruşunda bulunabilecek ve istismar edilebilecek kör noktalar olması muhtemeldir. Dolayısıyla SOC'nin amacı, yalnızca çeşitli uç nokta türleri, şirket içi sunucular ve yazılımlar değil, aynı zamanda üçüncü taraf hizmetleri ve bu varlıklar arasında akan trafik de dahil olmak üzere, işletmenin tehdit ortamının eksiksiz bir görünümünü elde etmektir.

SOC Nasıl Korur?

SOC ayrıca, eldeki tüm siber güvenlik araçları ve SOC içinde kullanılan tüm iş akışları hakkında eksiksiz bir anlayışa sahip olmalıdır. Bu, çevikliği artırır ve SOC'nin en yüksek verimlilikte çalışmasına olanak tanır.

02

Hazırlık ve Önleyici Bakım

En iyi donanımlı ve çevik müdahale süreçleri bile sorunların ortaya çıkmasını en baştan önleme konusunda yetersiz kalıyor. Saldırganları uzak tutmaya yardımcı olmak için SOC, iki ana kategoriye ayrılabilecek önleyici tedbirler uygular.

Hazırlık

Ekip üyeleri, en yeni güvenlik yenilikleri, siber suçlardaki en son eğilimler ve ufuktaki yeni tehditlerin gelişimi hakkında bilgi sahibi olmalıdır. Bu araştırma, şirketin ileriye dönük siber güvenlik çabalarına yön verecek bir güvenlik yol haritasının ve en kötü senaryoda hazır rehberlik görevi görecek bir felaket kurtarma planının oluşturulmasına yardımcı olabilir.

Önleyici Bakım

Bu adım, mevcut sistemlerin düzenli olarak bakımı ve güncellenmesi de dahil olmak üzere başarılı saldırıları daha zor hale getirmek için yapılan tüm eylemleri içerir; güvenlik duvarı politikalarının güncellenmesi; güvenlik açıklarını yamalama; ve beyaz listeye alma, kara listeye alma ve uygulamaları güvenceye alma.

03

Sürekli Proaktif İzleme

SOC tarafından kullanılan araçlar, anormallikleri veya şüpheli etkinlikleri işaretlemek için ağı 7/24 tarar. Ağı günün her saatinde izlemek, SOC'nin ortaya çıkan tehditlerden anında haberdar olmasını sağlayarak onlara zararı önlemek veya azaltmak için en iyi şansı verir. İzleme araçları, bir SIEM veya bir EDR içerebilir; bunların en gelişmişi, sistemlere normal günlük operasyonlar ile gerçek tehdit davranışı arasındaki farkı “öğretmek” için davranış analizini kullanabilir ve yapılması gereken önceliklendirme ve analiz miktarını en aza indirir. insanlar tarafından.

04

Uyarı Sıralaması ve Yönetimi

İzleme araçları uyarılar verirken, her birine yakından bakmak, yanlış pozitifleri atmak ve gerçek tehditlerin ne kadar agresif olduğunu ve neleri hedefleyebileceklerini belirlemek SOC'nin sorumluluğundadır. Bu, ilk olarak en acil sorunları ele alarak ortaya çıkan tehditleri uygun şekilde önceliklendirmelerine olanak tanır.

05

Tehdit Müdahalesi

Bunlar, çoğu insanın SOC'yi düşündüğünde düşündüğü eylemlerdir. Bir olay onaylanır onaylanmaz, SOC, uç noktaları kapatmak veya izole etmek, zararlı süreçleri sonlandırmak (veya yürütmelerini engellemek), dosyaları silmek ve daha fazlası gibi eylemler gerçekleştirerek ilk müdahaleci olarak hareket eder. Amaç, iş sürekliliği üzerinde mümkün olduğunca küçük bir etkiye sahipken gerekli ölçüde yanıt vermektir.

06

Kurtarma ve İyileştirme

Bir olayın ardından SOC, sistemleri geri yüklemek ve kaybolan veya tehlikeye atılan verileri kurtarmak için çalışacaktır. Bu, uç noktaların silinmesini ve yeniden başlatılmasını, sistemlerin yeniden yapılandırılmasını veya fidye yazılımı saldırıları durumunda fidye yazılımını atlatmak için uygun yedeklerin dağıtılmasını içerebilir. Başarılı olduğunda, bu adım ağı olaydan önceki durumuna döndürür.

07

Günlük Yönetimi

SOC, tüm kuruluş için tüm ağ etkinliği ve iletişim günlüğünü toplamaktan, sürdürmekten ve düzenli olarak gözden geçirmekten sorumludur. Bu veriler, "normal" ağ etkinliği için bir temel belirlemeye yardımcı olur, tehditlerin varlığını ortaya çıkarabilir ve bir olayın ardından düzeltme ve adli tıp için kullanılabilir. Birçok SOC, tümü kendi dahili günlüklerini oluşturan uygulamalardan, güvenlik duvarlarından, işletim sistemlerinden ve uç noktalardan gelen veri akışlarını toplamak ve ilişkilendirmek için bir SIEM kullanır.

08

Kök Neden Araştırması

Bir olayın ardından, SOC tam olarak ne olduğunu, ne zaman, nasıl ve neden olduğunu bulmaktan sorumludur. Bu araştırma sırasında, SOC, sorunu kaynağına kadar izlemek için günlük verilerini ve diğer bilgileri kullanır; bu, gelecekte benzer sorunların oluşmasını önlemelerine yardımcı olur.

09

Güvenlik İyileştirme ve İyileştirme

Siber suçlular araçlarını ve taktiklerini sürekli olarak geliştiriyor ve onların bir adım önünde olmak için SOC'nin sürekli olarak iyileştirmeler yapması gerekiyor. Bu adım sırasında, Güvenlik Yol Haritası'nda belirtilen planlar hayata geçer, ancak bu iyileştirme, kırmızı ekip oluşturma ve mor ekip oluşturma gibi uygulamalı uygulamaları da içerebilir.

10

Uyumluluk Yönetimi

SOC'nin süreçlerinin çoğu, yerleşik en iyi uygulamalar tarafından yönlendirilir, ancak bazıları uyumluluk gereksinimleri tarafından yönetilir. SOC, kuruluşları, sektörleri veya yönetim organları tarafından çıkarılabilecek bu tür düzenlemelere uygunluğu sağlamak için sistemlerini düzenli olarak denetlemekten sorumludur . Bu düzenlemelere örnek olarak GDPR, HIPAA ve PCI DSS dahildir. Bu düzenlemelere uygun hareket etmek, yalnızca şirkete emanet edilen hassas verilerin korunmasına yardımcı olmakla kalmaz, aynı zamanda kuruluşu bir ihlalden kaynaklanan itibar kaybı ve yasal zorluklardan da koruyabilir.

 
siber 4-min.jpg
t1.png

Bir güvenlik operasyonları modelini optimize etme

Olaylarla uğraşmak SOC'nin kaynaklarının çoğunu tekelleştirse de, en büyük risk ve uyumluluk resminden bilgi güvenliği şefi (CISO) sorumludur. Bu işlevler arasında operasyonel ve veri siloları arasında köprü kurmak için etkili bir strateji, kuruluşların optimize edilmiş güvenlik operasyonlarını yürürlüğe koymasını sağlayan uyarlanabilir bir güvenlik mimarisi gerektirir. Bu yaklaşım entegrasyon, otomasyon ve orkestrasyon yoluyla verimliliği artırır ve bilgi güvenliği yönetimi duruşunuzu geliştirirken gereken çalışma saatlerini azaltır.

Optimize edilmiş bir güvenlik operasyonları modeli, güvenlik çözümlerini ve tehdit istihbaratını günlük süreçlere entegre etmeyi kolaylaştıran bir güvenlik çerçevesinin benimsenmesini gerektirir. Merkezi ve eyleme dönüştürülebilir panolar gibi SOC araçları, operasyonları ve yönetimi gelişen olaylar ve faaliyetlerden haberdar etmek için tehdit verilerini güvenlik izleme panolarına ve raporlarına entegre etmeye yardımcı olur. SOC ekipleri, risk ve uyumluluğu yönetmek için tehdit yönetimini diğer sistemlerle ilişkilendirerek genel risk duruşunu daha iyi yönetebilir. Bu tür yapılandırmalar, sistemler ve etki alanları arasında sürekli görünürlüğü destekler ve güvenlik operasyonlarında daha iyi doğruluk ve tutarlılık sağlamak için eyleme dönüştürülebilir zekayı kullanabilir. Merkezileştirilmiş işlevler, baştan sona manuel veri paylaşımı, denetleme ve raporlama yükünü azaltır.

f1.png

Tehdit yönetiminin operasyonel hale getirilmesi, dikkatli bir değerlendirme ile başlamalıdır. Savunmalara ek olarak, bir kuruluş süreçleri ve politikaları değerlendirmelidir.

Organizasyon nerede güçlü? Boşluklar nelerdir? Risk duruşu nedir? Hangi veriler toplanır ve bu verilerin ne kadarı kullanılır?

Her kuruluş farklı olsa da, belirli temel yetenekler ve güvenlik operasyonları için en iyi uygulamalar günümüzde gereken özeni göstermektedir. Makul bir tehdit yönetimi süreci bir planla başlar ve keşif (anormallik tespitini, normalleştirmeyi ve korelasyonu desteklemek için temel hesaplama dahil), triyaj (risk ve varlık değerine dayalı), analiz (bağlamsallaştırma dahil) ve kapsam belirlemeyi (yinelemeli araştırma dahil) içerir. ). Tehdit yönetimi süreçleri, öncelikli ve karakterize edilmiş vakaları olay müdahale programlarına besler. İyi tanımlanmış bir müdahale planı, bir tehdidi içermenin veya bir veri ihlalinden kaynaklanan hasarı en aza indirmenin kesinlikle anahtarıdır.

Etkili görünürlük ve tehdit yönetimi, birçok veri kaynağından yararlanacaktır, ancak yararlı ve zamanında bilgileri sıralamak zor olabilir. En değerli verilerin, karşı önlemler ve BT varlıkları tarafından üretilen olay verileri, dahili olarak (kötü amaçlı yazılım analizi yoluyla) ve harici olarak (tehdit istihbaratı akışları aracılığıyla) üretilen tehlike göstergeleri (IoC'ler) ve sensörlerden (örn. ağ, veritabanı vb.)

Bunun gibi veri kaynakları yalnızca tehdit yönetimi için bir girdi değildir. Yinelemeli ve etkileşimli tehdit yönetimi çabası boyunca daha kesin, doğru ve hızlı değerlendirme için bağlam ekler ve bilgileri değerli ve eyleme dönüştürülebilir hale getirirler. Planları ve prosedürleri desteklemek için doğru verilere erişim ve bunların etkin kullanımı, kurumsal olgunluğun bir ölçüsüdür. "Olgun" bir senaryo, doğru bilgileri dağıtan veya operasyonel konsollar ve ürünler arasında doğrudan eyleme izin veren bir iş akışını içerir. Bu akış, kritik bir olay olduğunda BT operasyonlarını ve güvenlik ekiplerini ve araçlarını olay müdahalesine entegre eder.

Tüm bu değerlendirmeler, tehdit yönetimi uygulamasının hedeflerle eşleşmesini sağlamak için yatırımda bir artışın veya ihtilafın azaltılmasının gerekli olduğu durumlarda önceliklerin belirlenmesine yardımcı olacaktır. Danışmanlar ve sızma testleri, bir kuruluşun kötü niyetli olayları tespit etme ve içerme yeteneğinin güncel bir ölçüsünü elde etmek için strateji ve kurumsal olgunluk ve saldırılara karşı güvenlik yanıtının sağlık denetimine ilişkin kıyaslama yapılmasına yardımcı olabilir. Emsal kuruluşlarla karşılaştırarak, bu incelenmiş inceleme, siber güvenlik operasyonları kaynaklarına yeniden yönlendirme veya yatırım yapma ihtiyacını doğrulamaya ve açıklamaya yardımcı olabilir.

 
kvkk-min.jpg

Bir Sonraki Hizmet

MDR – Yönetilen Güvenlik Servisi