Güvenlik Operasyon Merkezi
(SOC) Nedir? Yapısı ve Faydaları Nelerdir?
Son yıllarda artış gösteren siber saldırılarla birlikte şirketler, hükümetler ve organizasyonlar için daha önemli bir konu haline gelmeye başlayan saldırılar ve bu saldırılara oluşturan tehditler için önlemler alınmaya başlandı. Güvenlik operasyon merkezleri de siber güvenlik olaylarının tespiti ve analizi için bu saldırılara karşı aksiyon almaya başladı. Peki bu merkezler nasıl oluşur ve sistemleri nelerdir? Detayları birlikte inceleyelim.
16.07.2019 tarihli yazı 8980 kez okunmuştur.
İnternet korsanlarının artması ve daha bilgili hale gelmesi ile birlikte şirketlerin güvenlik açıklarının yakalanması ve hemen hemen her firmanın bu tür tehditler altında kalması kaçınılmaz bir hal alıyor. Siber saldırılarla birlikte şirketler hem bilgi ve hem de maddi kayıplar yaşıyor. Kimi eski sistemleri kullanan şirketler, güvenlik sistemlerinin güncellememesi ile internet korsanlarının işlerini kolaylaştırıyor. Siber saldırıların önceden analiz edilmesi ve buna karşı koymak için önlemlerin alınmasına yönelik çalışmaları yapan ekipler güvenlik operasyon merkezlerinde bulunur bir iş birliği içinde çalışırlar. Peki SOC nedir ve bu kuruluş ne iş yapar?
SOC, Güvenlik Operasyonları Merkezi (Security Operations Center) bir kuruluşun güvenliğini devamlı olarak izleyen ve güvenlik olaylarının analizinden sorumlu bir bilgi güvenliği ekibinin bulunduğu yerdir. Bu ekip, teknolojik çözümleri kullanarak iyi bir süreç yönetimi yapar ve siber güvenlik olaylarının tespit edilmesini sağlayıp analizini sunar. Siber saldırılara karşı aksiyon alır. Güvenlik operasyonları merkezleri genellikle güvenlik analistleri, güvenlik mühendisleri ve güvenlik işlemlerini denetleyen yöneticilerden oluşur ve güvenlik operasyonlarını denetleyen yöneticileriyle birlikte çalışır.
Bir SOC, merkezi komuta merkezi gibi davranır; ağları, cihazları bilgi depoları dahil olmak üzere bir kuruluşun BT altyapısını göz önüne alarak hareket eder. Temel olarak, SOC, izlenen organizasyonda kaydedilen her olay için bir benzerlik noktasıdır. Bu olayların her biri için, SOC nasıl yönetileceği ve nasıl davranılacağına karar vermelidir. Bu kararların alınması ile saldırıların önceden tespit edilmesini sağlar.
Bir SOC, merkezi komuta merkezi gibi davranır; ağları, cihazları bilgi depoları dahil olmak üzere bir kuruluşun BT altyapısını göz önüne alarak hareket eder. Temel olarak, SOC, izlenen organizasyonda kaydedilen her olay için bir benzerlik noktasıdır. Bu olayların her biri için, SOC nasıl yönetileceği ve nasıl davranılacağına karar vermelidir. Bu kararların alınması ile saldırıların önceden tespit edilmesini sağlar.
Siber Güvenlik Operasyon Merkezleri Nasıl Çalışır?
Bir SOC ekibinin çalışabilmesi için donanımsal ve yazılımsal uygun altyapıya sahip olması gerekmektedir. SOC işlemlerinin temeli, kurumun sahip olduğu cihaz ve sistemlerden gönderilen log kayıtlarını yani sistemin dijital hareket verilerini ve bu verileri analiz edip, uygun sonuçlar ve tepkiler üreten SIEM ve SOAR sistemleridir.
SIEM (Güvenlik Bilgisi ve Etkinlik Yönetimi) sistemler; dijital hareketlerde logları toplar, anlamlandırır ve bunlara uygun alarmlar üretir. SIEM sistemler aslında birer hesap makinası gibidir. Sisteme doğru bilgiler girildikten sonra buna uygun analizleri gerçekleştirir.
SOAR (Güvenlik Düzenleme, Otomasyon ve Müdahale) sistemler ise; bir kuruluşun birden fazla kaynaktan gelen güvenlik tehditleri hakkında veri toplamasına ve düşük seviyeli güvenlik olaylarına insan yardımı olmadan yanıt vermesine izin veren yazılım programlarının bir çözümüdür. SOAR kullanmanın amacı, fiziksel ve dijital güvenlik işlemlerinin verimliliğini arttırmaktır.
►SOC Ekibi nasıl oluşur ve görevleri nelerdir?
-SOC yöneticisi, operasyonları ve ekibi yönetir.
-Güvenlik analisti, olası tehditleri analiz eder ve tehditlere yönelik önlemler alır.
-Güvenlik mühendisi, sistemin güncellenmesinden ve oluşmasından sorumludur.
-Olay yanıt sorumlusu, oluşan olayları yönetir ve bilgi teknolojileri ekibiyle birlikte koordinasyon sağlar.
►SOC İş Akışı Çözümleri
-Kurumun sahip olduğu korunması gereken yazılım ve donanımların tespit edilmesi,
-Sahip olunan envanterlerin değerlendirilmesi,
-Sistemin sahip olduğu normal davranışlarının belirlenmesi ve buna göre normal olmayan davranışların tespit edilmesi,
-Sızma ve girişimlerini tespit etme
-SIEM, dijital hareketlerin kayıt altına alınması, katagorize edilmesi ve sonuçların elde edilmesi,
-SOAR, elde edilen verilerin birleştirilmesi ve yazılımsal otomatik cevap verebilecek hale getirilmesi, güvenlik operasyon merkezinin tehditlere karşı alabileceği iş akış çözümleridir. Güvenlik işlemlerinde bir optimizasyon planı oluşturulmalıdır.
SOC ekipleri, ortaya çıkan riskleri tespit etmenin yanı sıra bu risklere karşı savunma mekanizmaları geliştiriyor. Herhangi bir saldırıya karşı etkili kalabilmek ve zararı en aza indirmek için çeşitli planlar hazırlıyor. Bilgi Güvenliği Enstitüsü’nün belirttiği gibi, SOC veriyi kurumun içinden tüketir ve onu tehditlere ve güvenlik açıklarına ilişkin bilgi veren bir dizi dış kaynaktan gelen bilgilerle ilişkilendirir. SOC personeli güncel tehtitlere karşı tehdit istihbaratını sürekli olarak SOC izleme araçlarını beslemek için kullanmalı ve SOC, gerçek tehditler ve tehditler arasındaki ayrımı yapmak için gerekli süreçlere sahip olmalıdır.
SOC Modelleri
SOC, güvenlik açıklarını keşfetmek ve tanımlamak için merkezi izleme yetenekleri sağlamanın yanında bir organizasyonun yapısına, servislerine ve hatta müşterilerine zarar verebilecek güvenlik olaylarına müdahale eder.
►Dahili Model SOC
Dahili SOC kurmayı düşünen firmaların 7/24 izlemeyi desteleyecek bir bütçeye sahip olması gerekir. Büyük ölçekli şirketlerin dahili SOC kurması önerilir.
Dahili SOC şirket içerisinde ağı daha belirgin görmeye imkan sağlar. SOC ekibinin içerdeki cihazları, log kaynaklarını görmesini ve tehdit oluşturacak olaylara karşı perspektif kazanmasını sağlar. Dahili SOC’larda bazı tehditler gözden kaçabilir ve büyük bir maliyet gerektirir.
Modelin geliştirilmiş hali ise; “Fusion Center” olarak adlandırılır. Tespit, yanıt, tehdit avı ve bilgi paylaşımı CIRT (Computer Incident Response Team) ve OT (Operational Team) ile paylaşılır. CIRT ve OT fonksiyonları SOC çatısı altında entegreli çalışır.
►Sanal Model SOC
Bir çok kuruluş için sanal SOC’lar, bütçe kısıtlaması ve sınırlı çalışma alanından dolayı dahili SOC kuramadığı durumlarda önerilir. Bu modelin en büyük avantajı ise fiyat performans açısından SOC hizmetini en kısa ve etkili düzeyde kurulmasına imkan sağlar.
Bir çok firma için önerilse de kimi noktalarda dezavantajlara sahiptir. Bu hizmeti alan firmalar, tehditin ne pozisyonda olduğunu bilemeyebilir ve daha önemli kısmı ise organizasyon yapısından dolayı SOC hizmeti veren üçüncü bir firma tarafından bazı gizli bilgiler bilinebilir. Fakat yine de bu gizli bilgiler sözleşmeler aracılığıyla güvence altına alınır. Sanal SOC modelinde izleme ve tespit alanında uzman kişiler tarafından yapılır.
►Hibrit Model SOC
Hibrit model hem dahili hem de sanal SOC modellerin birlikte kullanılmasıyla oluşur. Hem firma hem de hizmet alınan kuruluş ile birlikte eş zamanlı olarak çalışılır. İzleme, tespit ve alarm üretmede daha etkili çözümler sunar.
Bu modelde sistemler, alarmalar, tehditler her iki taraftan da izlenir ve çift taraflı kontrol yapılmış olur. Bu modeli seçen firmalar SOC ekibine sahip ve bu işi yapabilecek yetkinliğe sahip olması gerekir ancak bütçe kısıtlamasından ötürü dahili SOC gibi 7/24 izleme yapabilecek dahili SOC kadar gelişmiş değillerdir.
Avantaj olarak azleme ve tespit açısından en güvenli model olmasının yanı sıra, organizasyonun kurumsal bilgileri üçüncü bir firma tarafından da bilinir ve ekstra donanım gerektirir.
Kaynak:
Avantaj olarak azleme ve tespit açısından en güvenli model olmasının yanı sıra, organizasyonun kurumsal bilgileri üçüncü bir firma tarafından da bilinir ve ekstra donanım gerektirir.
Kaynak:
►digitalguardian.com
►slideshare.net
►searchsecurity.techtarget.com
►mcafee.com
YORUMLAR
Aktif etkinlik bulunmamaktadır.
- Dünyanın En Görkemli 10 Güneş Tarlası
- Dünyanın En Büyük 10 Makinesi
- 2020’nin En İyi 10 Kişisel Robotu
- Programlamaya Erken Yaşta Başlayan 7 Ünlü Bilgisayar Programcısı
- Üretimin Geleceğinde Etkili Olacak 10 Beceri
- Olağan Üstü Tasarıma Sahip 5 Köprü
- Dünyanın En İyi Bilim ve Teknoloji Müzeleri
- En İyi 5 Tıbbi Robot
- Dünyanın En Zengin 10 Mühendisi
- Üretim için 6 Fabrikasyon İşlemi
- DrivePro Yaşam Döngüsü Hizmetleri
- Batarya Testinin Temelleri
- Enerji Yönetiminde Ölçümün Rolü: Verimliliğe Giden Yol
- HVAC Sistemlerinde Kullanılan EC Fan, Sürücü ve EC+ Fan Teknolojisi
- Su İşleme, Dağıtım ve Atık Su Yönetim Tesislerinde Sürücü Kullanımı
- Röle ve Trafo Merkezi Testlerinin Temelleri | Webinar
- Chint Elektrik Temel DIN Ray Ürünleri Tanıtımı
- Sigma Termik Manyetik Şalterler ile Elektrik Devrelerinde Koruma
- Elektrik Panoları ve Üretim Teknikleri
- Teknik Servis | Megger Türkiye
ANKET