Siber güvenlik operasyon merkezi (security operations center) Nedir?
Siber güvenlik operasyon merkezi, bir kurum ya da kuruluşun siber güvenlik durumunu sürekli takip eden herhangi bir durumda müdahale eden güvenlik ekibinin bulunduğu yer ya da tesistir. 7 gün 24 saat çalışmak zorunda olan bu merkezin amacı, çalıştıkları kurumu her türlü siber riskten koruyup risklere karşı anında müdahale edebilmektir. SOC altyapısı güvenlik duvarları, IPS / IDS, DLP, Endpoint Security ve SIEM gibi sistemler içerir.
Siber Güvenlik Operasyon Merkezinin Görevleri Nelerdir?
- Teknolojik çözümler vasıtasıyla siber güvenliğe dair olayları tespit etmek ve siber güvenlik olaylarını önlemek
- Problemleri analiz etmek
- Problemlere çözüm bulmak ve şirketi güvenlik ihlallerinden korumak
- Ağlardaki, sunuculardaki, bitiş noktalarındaki, veri tabanlarındaki, uygulamalardaki, web sitelerindeki ve diğer sistemlerdeki etkinlikleri izleyip analiz etmek.
- Şirketin BT altyapısını göz önüne alarak hareket etmek
- Siber güvenlik sorunlarının tanımlanması, analiz edilmesi, araştırılması, rapor edilmesi ve önlenmesini sağlamak
- Veri akışlarının, network kayıtlarının, cihaz loglarının ve ihtiyaca göre gerekli görülen kayıtların toplanması( SIEM ve SOAR sistemleri)
Bunları yaparken de güvenlik izleme cihazlarını ve araçlarını yapılandırmak ve öğrenmek suretiyle önemli bilişim sistemlerine ait logların analiz araçlarına gönderilmesini sağlayacak sıkıntısız bir altyapı kurmak ilk yapmaları gereken şeydir. SOC kurallarını düzenleyip saldırı bildirimlerini ve alarmları araştırırlar. Saldırı kaynaklarını ve zararlı aktiviteleri belirlemek için gereken adımları güvenlik izleme cihazlarının yardımıyla yaparlar. Eğer bir saldırı varsa bununla ilgili inceleme ve çalışmalar yaparlar. Aynı zamanda adli analiz süreçlerini de takip ederler. Yapılan saldırılardan dersler çıkartıp daha sonraki saldırılar için uygun güvenlik duvarları oluşturmaya çalışırlar.
Bir kuruluşun siber güvenlik operasyon merkezini oluşturmak için yapılması gerekenler
- Şirketin tüm departmanlarını kapsayan bir strateji tanımlanarak başlanmalıdır.
- Bu stratejiyi hayata geçirmek için gerekli altyapı oluşturulmalıdır.
- Dikkatli bir planlama yapıp fiziksel olarak da güvenliğin sağlandığından emin olunmalı
- Siber güvenlik operasyon merkezi, rahat ve işlevsel olarak dizayn edilmeli
- SOC ekibinin çalışabilmesi için donanımsal ve yazılımsal uygun altyapıya sahip olması gereklidir.
Siber güvenlik operasyon merkezinin faydaları
- Siber güvenlik operasyon merkezinin sürekli denetimi ve analizi sayesinde güvenlik olaylarının tespitinin erken sağlanması
- Siber güvenlik operasyon merkezinin 7/24 çalışması sebebiyle kuruluşlar, saldırılara karşı anında savunma yapma avantajı sağlarlar.
- Başka kurumlar bu hizmeti dışardan alırken onlar kendi bünyelerinde korunmayı sağlayabilirler.
- Şirketin zamanının, parasının ve itibarının korunmasını sağlarlar.
- Veri kaybının önüne geçilmesini sağlarlar.
Siber güvenlik operasyon merkezlerinde kimler çalışır?
Siber güvenlik operasyon merkezlerinde, güvenlik analistleri, mühendisler ve güvenlik operasyonlarını denetleyen yöneticiler çalışır. Çalışanların bazıları adli analiz, kriptanaliz ve kötü amaçlı yazılım çözümü gibi konularda kendini geliştirmiş kişiler de olabilir. Herhangi bir sorun bulunduğunda da devreye olaylara müdahale etmekten sorumlu ekipler girer. Siber güvenlik operasyon merkezinin yöneticisinin ekibi kurabilecek, üyeleri motive edebilecek bir kişi olması çok önemlidir.
Siber güvenlik operasyon merkezlerindeki SOC ekibi ; seviye 1 , seviye 2 seviye 3 , seviye 4 olarak gruplandırılırlar. Bunların dışında da siber tehdit istihbarat ekibi vardır.
1)SEVİYE 1 GÜVENLİK ANALİSTİ :
En alt tabakadaki güvenlik analisti olup Sistem yöneticisi yetkinliklerine, programlama ve güvenlik yeteneklerine sahiptir. Görevleri alarmların doğruluğunu kontrol edip öncelik sıralaması yapmaktır. Saldırı sinyali veren alarmları seviye 2’ye haber vermektir. Ve zafiyet taraması yapıp raporları değerlendirmek ve güvenlik izleme araçlarını yönetmektir.
2)SEVİYE 2 GÜVENLİK ANALİSTİ :
Seviye 1 analistin yaptıklarından aynı şekilde sorumlu olup problemin asıl kaynağına inmek ve kriz süreçlerini yönetmek temel görevleridir. Tehdit istihbaratlarını değerlendirerek etkilenen sistemleri ve saldırının boyutunu belirlemek, saldırıya maruz kalabilecek sistemlerin üzerindeki bilgileri ileriki saldırılar için toplayıp iyileştirme ve kurtarma planı yapmak temel görevlerindendir.
3)SEVİYE 3 UZMAN GÜVENLİK ANALİSTİ :
Veri görselleştirme araçlarına hakim olan seviye 3 uzman güvenlik analistleri ,zafiyet değerlendirmesi yapıp varlık envanteri verilerini gözden geçirirler. Şirket ağı içindeki gizli tehditleri tespit yöntemlerini bulmak ve sistemlere sızma testleri yaparak dayanıklılığını ve düzeltilmesi gereken açıklıkları bulmak temel görevleridir. Güvenlik izleme araçlarını optimize etmek de yine onların görev ve sorumluluklarındandır.
4)SEVİYE 4 SOC YÖNETİCİSİ :
En üst tabaka olup Seviye 1,2 ve 3 analistlerinin yetkinliklerine sahiptirler. Ayrıca güçlü liderlik ve iletişim yeteneklerine sahip olmaları gerekmektedir. SOC yöneticisinin temel görevi, operasyonları ve ekibi yönetip SOC ekibinin faaliyetlerini takip etmektir. Ayrıca ekip için gerekli eğitimleri organize etmek, işe alım ve değerlendirmelerini yapmak, ekip içi iletişimi sağlamak, uyumluluk raporları yayımlamak ve olay raporlarını gözden geçirip şirketle iletişimi sağlamak da seviye 4 SOC yöneticisinin görevlerindendir.
5)SİBER TEHDİT İSTİHBARATI EKİBİ :
Siber tehdit istihbaratı, saldırganların amaçlarını ve metotlarını tespit etmeye yarayan istihbarat türü olup bir kurumun veya varlığın güvenliğini tehdit eden mevcut ve potansiyel saldırılar hakkındaki bilgilerin toplanmasına, analiz edilmesine odaklanan siber güvenlik alanıdır.
Büyük SOC ekiplerinde bu göreve ayrı bir kişi tahsis edilirken küçük SOC ekipleri güvenilir bir tehdit istihbaratı hizmet sağlayıcısından yardım alırlar.
Siber Güvenlik Merkezi Oluşturulurken Yapılması Gerekenler
Siber güvenlik merkezi oluştururken ; altyapı oluşturmalı , yetenekli kişilerden bir ekip kurulmalı, olay müdahale planı oluşturmalı ve güvenlik önlemleri alınmalıdır. Analiz , planlama , kurulum , işletim olmak üzere 4 adımdan oluşur.
1) ANALİZ :
SOC’un genel çalışma prosedürlerine göre analiz çalışmalarının yapılmasıdır. Yani kurumdaki mevcut çalışanların, güvenlik Protokollerinin iyice araştırılıp incelenmesidir.
2)PLANLAMA :
Analizlerden çıkan sonucun incelenip gerekli strateji ve planın yapılması.
3)KURULUM :
Bilgi güvenliği için organizasyon kurulup bu konuda gerekli eğitimler verilir. Güvenlik süreçleri belirlenip siber güvenliği sağlayacak teknolojiler temin edilir.
4)İŞLETİM :
- Koruma: Saldırganın sisteme girmesini engelleyip kurumu korumak için tedbirler almak.
- Tespit: Kuruma yapılan saldırıları tespit etmek
- Müdahale: Tespit edilen saldırıları engellemek
- Geri Dönüş: Sistemin eskisinden daha güvenilir haline getirilmesini sağlamak
Siber güvenlik operasyon merkezinin hedefi, gerçekleşen atak ve sızma olaylarını en kısa sürede tespit etmektir. Bunun için de Siber güvenlik operasyon merkezi, kurumun sahip olduğu sistemleri , yazılımları ve donanımları tespit edip zafiyet değerlendirmesi yapar. Sistemin sıradan ve sıradan dışı hareketlerini belirleyip IPS , IDS ,DLS gibi teknolojileri kullanarak sızma ve sıradan dışı hareketlerin tespitini sağlar. SIEM ve SOAR sistemleri kullanıp saldırı varsa müdahale ve analiz ederler. Analiz raporlarına göre güvenlik önlemi alıp sistemin daha güvenilir hale getirilmesini sağlarlar.
Gelişen ve dönüşen dünyada tüm sistemlerin birbirine internet aracılığıyla bağlanması bir takım siber tehlikeleri de beraberinde getirmektedir. Bir şirketin siber yapısı geliştikçe saldırıya maruz kalma riski de o kadar artmaktadır. Bu da siber güvenlik kavramını zorunlu kılmaktadır. Şirketler de siber güvenlik ihtiyaçlarını karşılamak için siber güvenlik risk yönetimi bilgilerine ihtiyaç duyarlar. SOC ortaya çıkma sebebi de tamamen bu ihtiyaçtan kaynaklanmaktadır.
Siber güvenlik operasyon merkezi günümüz dünyasının öncelikli ihtiyacıdır. Ve bu ihtiyacınız için size yol göstermeye hazırız.