Copyright © 2021 SPEX Yazılım ve Siber Güvenlik Hizmetleri A.Ş.

Siber Güvenlik Operasyon Merkezi (CSOC)

admin • 24/11/2021

Siber güvenlik operasyon merkezi (security operations center) Nedir?

 Siber güvenlik operasyon merkezi, bir kurum ya da kuruluşun siber güvenlik durumunu sürekli takip eden herhangi bir durumda müdahale eden güvenlik ekibinin bulunduğu yer ya da tesistir. 7 gün 24 saat çalışmak zorunda olan bu merkezin amacı, çalıştıkları kurumu her türlü siber riskten koruyup risklere karşı anında müdahale edebilmektir. SOC altyapısı güvenlik duvarları, IPS / IDS, DLP, Endpoint Security ve SIEM gibi sistemler içerir.

 Siber Güvenlik Operasyon Merkezinin Görevleri Nelerdir?

  • Teknolojik  çözümler vasıtasıyla siber güvenliğe dair olayları tespit etmek ve siber güvenlik olaylarını önlemek
  •  Problemleri  analiz etmek 
  • Problemlere çözüm bulmak ve şirketi güvenlik ihlallerinden korumak
  • Ağlardaki, sunuculardaki, bitiş noktalarındaki, veri tabanlarındaki, uygulamalardaki, web sitelerindeki ve diğer sistemlerdeki etkinlikleri izleyip analiz etmek.
  • Şirketin BT altyapısını göz önüne alarak hareket etmek
  • Siber  güvenlik sorunlarının tanımlanması, analiz edilmesi, araştırılması, rapor edilmesi ve önlenmesini sağlamak 
  • Veri akışlarının, network kayıtlarının, cihaz loglarının ve ihtiyaca göre gerekli görülen kayıtların toplanması( SIEM ve SOAR sistemleri)

Bunları yaparken de  güvenlik izleme cihazlarını ve araçlarını yapılandırmak ve öğrenmek suretiyle önemli bilişim sistemlerine ait logların analiz araçlarına gönderilmesini sağlayacak sıkıntısız bir altyapı kurmak ilk yapmaları gereken şeydir. SOC kurallarını düzenleyip saldırı bildirimlerini ve alarmları araştırırlar. Saldırı kaynaklarını ve zararlı aktiviteleri belirlemek için gereken adımları güvenlik izleme cihazlarının yardımıyla yaparlar. Eğer bir saldırı varsa  bununla ilgili inceleme ve çalışmalar yaparlar. Aynı zamanda adli analiz süreçlerini de takip ederler. Yapılan saldırılardan dersler çıkartıp daha sonraki saldırılar için uygun güvenlik duvarları oluşturmaya çalışırlar.

Bir kuruluşun siber güvenlik operasyon merkezini oluşturmak için yapılması gerekenler

  •  Şirketin tüm  departmanlarını kapsayan bir strateji tanımlanarak başlanmalıdır.
  • Bu stratejiyi hayata geçirmek için gerekli  altyapı oluşturulmalıdır.
  • Dikkatli bir planlama yapıp  fiziksel olarak da  güvenliğin sağlandığından emin olunmalı
  •  Siber güvenlik operasyon merkezi, rahat ve  işlevsel olarak dizayn edilmeli
  • SOC ekibinin çalışabilmesi için donanımsal ve yazılımsal uygun altyapıya sahip olması gereklidir.

Siber güvenlik operasyon merkezinin  faydaları

  • Siber güvenlik operasyon merkezinin   sürekli denetimi ve analizi sayesinde  güvenlik olaylarının tespitinin erken sağlanması
  • Siber güvenlik operasyon merkezinin   7/24 çalışması sebebiyle  kuruluşlar, saldırılara karşı anında savunma yapma avantajı sağlarlar.
  • Başka kurumlar bu hizmeti dışardan alırken onlar kendi bünyelerinde korunmayı sağlayabilirler.
  • Şirketin zamanının, parasının ve  itibarının korunmasını sağlarlar. 
  • Veri kaybının önüne geçilmesini sağlarlar.

Siber güvenlik operasyon merkezlerinde kimler çalışır?

 Siber güvenlik operasyon merkezlerinde, güvenlik analistleri, mühendisler ve güvenlik operasyonlarını denetleyen yöneticiler çalışır. Çalışanların bazıları adli analiz, kriptanaliz ve kötü amaçlı yazılım çözümü gibi konularda kendini geliştirmiş kişiler de olabilir. Herhangi bir sorun bulunduğunda da devreye  olaylara müdahale etmekten sorumlu ekipler girer. Siber güvenlik operasyon merkezinin yöneticisinin ekibi kurabilecek, üyeleri motive edebilecek bir kişi olması çok önemlidir.

Siber güvenlik operasyon merkezlerindeki SOC ekibi ; seviye 1 , seviye 2 seviye 3 , seviye 4 olarak gruplandırılırlar. Bunların dışında da  siber tehdit istihbarat ekibi vardır.

1)SEVİYE 1 GÜVENLİK ANALİSTİ :

En alt tabakadaki güvenlik analisti olup  Sistem yöneticisi yetkinliklerine, programlama ve güvenlik yeteneklerine sahiptir. Görevleri  alarmların doğruluğunu kontrol edip  öncelik sıralaması yapmaktır. Saldırı sinyali veren alarmları seviye 2’ye haber vermektir.  Ve zafiyet taraması yapıp raporları değerlendirmek ve  güvenlik izleme araçlarını yönetmektir.

2)SEVİYE 2 GÜVENLİK ANALİSTİ :

Seviye 1 analistin yaptıklarından aynı şekilde sorumlu olup problemin asıl kaynağına inmek ve kriz süreçlerini  yönetmek temel görevleridir. Tehdit istihbaratlarını değerlendirerek etkilenen sistemleri ve saldırının boyutunu belirlemek,  saldırıya maruz kalabilecek sistemlerin  üzerindeki bilgileri ileriki saldırılar için toplayıp iyileştirme ve kurtarma planı yapmak temel görevlerindendir.

3)SEVİYE 3 UZMAN GÜVENLİK ANALİSTİ :

Veri görselleştirme araçlarına hakim olan seviye 3 uzman güvenlik analistleri ,zafiyet değerlendirmesi yapıp  varlık envanteri verilerini gözden geçirirler. Şirket ağı içindeki  gizli tehditleri  tespit yöntemlerini bulmak ve  sistemlere sızma testleri yaparak dayanıklılığını ve düzeltilmesi gereken açıklıkları bulmak temel görevleridir. Güvenlik izleme araçlarını optimize etmek de yine onların görev ve sorumluluklarındandır.

4)SEVİYE 4 SOC YÖNETİCİSİ :

En üst tabaka olup Seviye 1,2 ve 3 analistlerinin yetkinliklerine sahiptirler. Ayrıca  güçlü liderlik ve iletişim yeteneklerine sahip olmaları gerekmektedir. SOC yöneticisinin temel görevi, operasyonları ve ekibi yönetip SOC ekibinin faaliyetlerini takip etmektir. Ayrıca ekip için gerekli  eğitimleri organize etmek, işe alım ve değerlendirmelerini yapmak, ekip içi iletişimi sağlamak, uyumluluk raporları yayımlamak  ve olay raporlarını gözden geçirip şirketle iletişimi sağlamak da seviye 4 SOC yöneticisinin görevlerindendir.

5)SİBER TEHDİT İSTİHBARATI EKİBİ :

Siber tehdit istihbaratı, saldırganların  amaçlarını ve metotlarını tespit etmeye yarayan istihbarat türü olup  bir kurumun veya varlığın güvenliğini tehdit eden mevcut ve potansiyel saldırılar hakkındaki bilgilerin toplanmasına, analiz edilmesine odaklanan siber güvenlik alanıdır.

 Büyük SOC ekiplerinde  bu göreve ayrı bir kişi tahsis edilirken  küçük SOC ekipleri  güvenilir bir tehdit istihbaratı hizmet sağlayıcısından yardım alırlar.

Siber Güvenlik Merkezi Oluşturulurken Yapılması Gerekenler

Siber güvenlik merkezi oluştururken ;  altyapı oluşturmalı , yetenekli kişilerden bir  ekip kurulmalı, olay müdahale planı oluşturmalı ve güvenlik önlemleri alınmalıdır. Analiz , planlama , kurulum , işletim olmak üzere 4 adımdan oluşur.

1) ANALİZ :

SOC’un genel çalışma prosedürlerine göre analiz çalışmalarının yapılmasıdır.  Yani kurumdaki mevcut çalışanların, güvenlik Protokollerinin iyice araştırılıp incelenmesidir.

2)PLANLAMA :

Analizlerden çıkan sonucun incelenip gerekli strateji ve planın yapılması.

3)KURULUM :

Bilgi güvenliği için organizasyon kurulup bu konuda  gerekli eğitimler verilir. Güvenlik süreçleri belirlenip siber güvenliği sağlayacak teknolojiler temin edilir.

4)İŞLETİM :

  • Koruma: Saldırganın sisteme girmesini engelleyip kurumu korumak için  tedbirler almak.
  • Tespit: Kuruma yapılan saldırıları tespit etmek
  • Müdahale: Tespit edilen saldırıları engellemek
  • Geri Dönüş: Sistemin eskisinden daha güvenilir haline getirilmesini sağlamak

Siber güvenlik operasyon merkezinin  hedefi, gerçekleşen atak ve sızma olaylarını en kısa sürede tespit etmektir. Bunun için de  Siber güvenlik operasyon merkezi, kurumun sahip olduğu sistemleri , yazılımları ve donanımları tespit edip zafiyet değerlendirmesi yapar. Sistemin sıradan ve sıradan dışı hareketlerini belirleyip  IPS , IDS ,DLS gibi teknolojileri kullanarak sızma ve sıradan dışı hareketlerin tespitini sağlar. SIEM ve SOAR sistemleri kullanıp saldırı varsa müdahale ve  analiz ederler. Analiz  raporlarına göre güvenlik önlemi alıp sistemin daha güvenilir hale getirilmesini sağlarlar.

Gelişen ve dönüşen dünyada tüm sistemlerin birbirine internet aracılığıyla bağlanması bir takım siber tehlikeleri de beraberinde getirmektedir. Bir şirketin siber yapısı geliştikçe saldırıya maruz kalma riski de o kadar artmaktadır. Bu da siber güvenlik kavramını zorunlu kılmaktadır.  Şirketler de siber güvenlik ihtiyaçlarını karşılamak için siber güvenlik risk yönetimi bilgilerine ihtiyaç duyarlar. SOC ortaya çıkma sebebi de tamamen bu ihtiyaçtan kaynaklanmaktadır.

Siber güvenlik operasyon merkezi günümüz dünyasının öncelikli ihtiyacıdır. Ve bu ihtiyacınız için size yol göstermeye hazırız.

Yorum Yap