SOC nedir?
Güvenlik Operasyon Merkezi (SOC) nedir?
Güvenlik Operasyon Merkezi (SOC), siber güvenlik olaylarını önlemek amacıyla, tüm siber güvenlik enstrümanlarını analiz eden ve izleyen ekiptir. Bir kuruluşun güvenlik yapısını iyileştirmek, gerektiğinde müdahale etmek için ilgili IT departmanları ve teknolojiyi kullanır.
SOC Kaynakları
Gelişmiş tehditlerin yaygınlaşması ile tüm kaynaklardan günlük kaydı, log, ve inceleme verisi toplar. SOC, ağları, switchleri, uç nokta, sunucu ve bilgisayarları dahil olmak üzere bir kuruluşun tüm bilişim varlıkları üzerinde komuta kontrol merkezi görevi üstlenir.
SOC İşleyişi
SOC, günlük kaydı, log ve inceleme verilerinin içerisindeki her olay ve uyarıyı nasıl yöneteceğine karar verir. Ayrıca siber saldırı durumlarında nasıl hareket edileceğine dair siber olay müdahalesi yapar.
SOC genellikle bir SOC yöneticisi tarafından yönetilir ve olaya müdahale edenleri, SOC Analistlerini (seviye 1, 2 ve 3), tehdit avcılarını ve olay müdahale yöneticilerini içerir. SOC, sırayla CIO'ya veya doğrudan CEO'ya rapor veren CISO'ya rapor verir.
Personel ve organizasyon yapısı
Güvenlik operasyonları merkezi personel ve organizasyonel yapısı
Bir güvenlik güvenlik operasyon merkezinin (SOC) amacı, günün her saati siber tehditleri izlemek, tespit etmek, araştırmak ve bunlara yanıt vermektir.
Personel Yapısı
Güvenlik operasyon merkezi ekipleri, fikri mülkiyet, personel verileri, iş sistemleri ve marka bütünlüğü gibi birçok varlığı izlemek ve korumakla görevlidir. Güvenlik operasyon merkezi ekipleri, siber saldırılara karşı savunma yapabilmesi için koruduğu kurum ve kuruluş BT ekibi ile koordineli çalışması gerekir.
Organizasyon Yapısı
Siber güvenlik operasyon merkezleri, SIEM günlük kayıtları korelasyon sistemi ve tehdit istihbarat platformları olan EDR sistemlerinin güvenlik kurallarından ve veri akışından gelen uyarıların topladığı merkezlerdir. İlgili personeller uyarıları değerlendirirken, güvenlik açığı bulunması, açıkların kapatılması önerileri, risk ve uyumluluk sistemleri, kullanıcı ve varlık davranışı analitiği, uç nokta algılama gibi çeşitli sistemleri tanımalı ve kontrol edebilmelidir.
10 temel fayda
SOC tarafından gerçekleştirilen 10 temel fayda
01
Varlık envanteri çalışması
SOC tüm varlıklardan sorumludur. Çeşitli cihazlar, süreçler ve uygulamaları korumaya yardımcı olmak için ellerindeki tüm siber savunma araçlarını kullanır.
SOC'nin Koruduğu Şeyler
SOC, göremediği cihazları ve verileri koruyamaz. Buluttan lokal ağa kadar tüm varlık envanteri tanımlı olmadan görünürlük ve tam korumadan söz edilemez. Saldırganlara güvenlik kontrollerini aşabilecekleri kör noktalar bırakılmamalıdır. Siber güvenlik operasyon merkezi yalnızca uç noktaları, şirket içi sunucuları ve yazılımları değil, aynı zamanda üçüncü taraf hizmetleri ve bu varlıklar arasında akan trafiğinde oluşan riskleri denetlemelidir.
SOC Nasıl Korur?
SOC elindeki tüm siber güvenlik araçları ve koruduğu sistemlerdeki varlık envanteri hakkında eksiksiz bir çalışma yaparsa. En yüksek verimlilikle farkında olmadığınız veri sızıntılarını ve siber saldırıları görmenize önlemenize olanak tanır.
02
Siber Hijyen için Önleyici Bakım
En donanımlı ekip ve siber olay müdahale süreçleri bile sorunların ortaya çıkmasını engelleme konusunda yetersiz kalıbilir. Bu durumu önlemek için korunulan sistemlerin IT birimleri SOC personeli ile önleyici tedbirler uygulaması gerekir.
Hazırlık
Ekip üyeleri, yeni güvenlik kuralları yazımı, siber suçlardaki en son eğilimler ve yeni siber tehditlerin gelişimi hakkında bilgi sahibi olmalıdır. Bu araştırmalar şirketin siber güvenlik yol haritasının oluşturulması, ileriye dönük siber hijyenine katkı sağlar verir.
Önleyici Bakım
Saldırıları daha zor hale getirmek için teknik açıklık tarayıcılarında çıkan sonuçlarının takibi ve güvenlik açıklıklarının kapatılması, mevcut sistemlerin düzenli olarak bakımı ve güncellenmesi, güvenlik duvarı politikalarının güncellenmesi, uyarı sonuçlarını beyaz listeye yada kara listeye alma ve çalışmalarını içerir.
03
Sürekli İzleme ve Kontrol
SOC tarafından kullanılan araçlarla, hayatın olağan akışına uymayan veya şüpheli bilişim aktivitelerini ve etkinlikleri algılamak için 7/24 uyarıları inceler.Uyarıları günün her saatinde izlemek, SOC'nin ortaya çıkan tehditlerden anında haberdar olmasını sağlayarak kuruma olan zararı önlemek veya azaltmak için en iyi yöntemdir. İzleme araçları, en az bir SIEM ve EDR olmalıdır.Bu ürünler sistemlerde normal günlük operasyonlar ile gerçek tehdit davranışı arasındaki farkı analizini etmek için kullanılır.
04
Uyarı Öncelik Sıralaması ve Yönetimi
İzleme araçları uyarılar verirken, her bir uyarıya yakından bakmak, false pozitifleri atmak ve gerçek tehditleri tespit etmek ne kadar agresif olduğunu ve neleri hedefleyebileceklerini belirlemek SOC'nin sorumluluğundadır. İlk olarak en acil sorunları ele alarak ortaya çıkan tehditleri uygun şekilde önceliklendirmelerine olanak tanır.
05
Tehdit Müdahalesi
Siber güvenlik uzmanlarımız bir uyarının saldırı olduğuna kanaat ettiğinde ilgili bilgisayar yada uç noktaları kapatmak, izole etmek ve zararlı aktivite süreçlerini sonlandırmak veya çalışmasını engellemek, dosyaları silmek bilişim materyalini saldırı olmadan önceki haline getirmek gibi önlemleri alır. Saldırı iş sürekliliği üzerinde mümkün olduğunca küçük bir etkiye sahipken büyümeden yanıt vermektir.
06
Kurtarma ve İyileştirme
Saldırı sonrası sistemleri geri yüklemek ve kaybolan veya tehlikeye atılan verileri kurtarmak için çalışma yapılır. Uç noktaların yenilenmesini, yeniden başlatılmasını, sistemlerin yeniden yapılandırılmasını veya fidye yazılımı saldırıları durumunda fidye yazılımını atlatmak için uygun yedeklerin bulunmasını içerebilir.
07
Log Kaydı ve Günlük Yönetimi
SOC, şirketin siber aktivite ve iletişim günlüğünü toplamaktan, sürdürmekten ve düzenli olarak gözden geçirmekten sorumludur. Bu veriler, "normal" ağ etkinliği için bir temel belirlemeye yardımcı olur, siber tehditlerin varlığını ortaya çıkarabilir Birçok SOC, günlüklerini, olay ve log kayıtlarını işletim sistemlerinden ve uç noktalardan gelen veri akışlarını toplamak ve ilişkilendirmek için bir SIEM kullanır.
08
Kök Neden Araştırması
Siber güvenlik operasyon merkezi bir siber saldırı yada kritik olayın ardından uyarının tam olarak ne olduğunu, ne zaman, nasıl ve neden olduğunu bulmaktan sorumludur. Bu araştırma sırasında, sorunu kaynağına kadar izlemek için günlük verilerini ve diğer bilgileri kullanır, ayrıca gelecekte benzer sorunların oluşmasını önlemelerine yardımcı olucu tedbirler alır.
09
Güvenlik İyileştirme
Siber saldırganlar araçlarını ve taktiklerini sürekli olarak geliştiriyor ve değiştiriyor. Güvenlik operasyonları onların bir adım önünde olmak için sürekli olarak iyileştirmeler yapması gerekiyor.
10
Uyumluluk Yönetimi
Örnek olarak KVKK, ISO 27001 ve PCI DSS İçerisindeki maddelerin çoğu güvenlik operasyon merkezinin görev ve sorumluluk alanındaki işlemleri işaret etmektedir. Sağlıklı bir SOC süreci işletildiğinde regülasyon ve uyuymluluk olarak şirketin eli çok güçlenecektir. Ayrıca kuruluşu bir ihlalden kaynaklanan itibar kaybı ve yasal zorluklardan da korur