(Alıntıdır)
Lütfen like atmayı unutmayın
Lütfen like atmayı unutmayın
View hidden content is available for registered users!
Bugün sizlerle Security Operations Center'ı inceleyeceğiz. Başlamadan önce hangi başlıklar altında konuşacağımı sizlerle paylaşmak isterim.
I. Güvenlik operasyon merkezinin tanımı.
II. SOC ve CSIRT arasındaki fark nedir?
III. Güvenlik operasyon merkezleri nasıl çalışır?
IV. Güvenlik operasyon merkezlerinin faydaları.
V. Güvenlik operasyon merkezlerindeki zorluklar.
VI. İlk SOC'nizi kurmanın 5 adımı.
VII. 3 güvenlik operasyon merkezi en iyi uygulaması.
VIII. Güvenlik operasyonları merkezi araçları ve teknolojileri.
Konumuza Hızlıca Giriş Yapalım
Öncelikle SOC (Security Operations Center) merkezimizde, tüm Labris cihazları, siber saldırılar, güvenlik olayları yakından izlenir. Olası güvenlik açıkları CWL (Cyber Warfare Lab) ilgililerinin de bulunduğu ekiplerce değerlendirilerek önlemler alınır. Bu sayede önlemlerimiz ve geliştirdiğimiz teknoloji ile sizin için değerli olanı yakından koruruz.*
*SOC merkezinden yapılan bağlantılar, servis alınan SLA programına uygun olarak, son kullanıcı onayıyla gerçekleştirilmektedir.
Aşağıdaki resimde örnek bir Security Operations Center bulunmakta.
SLA Nedir ?
Bir servis sağlayıcı ve servis sağlayıcıdan beklenen hizmetin düzeyi SLA (Service Level Agreements) ile tanımlanır. Bu, dahili veya harici olabilir. Son kullanıcıyla yapılan bir sözleşmedir. SLA ne demek? sorusunun en genel açıklaması şu şekilde olacaktır; SLA’ler çıktı bazlıdır ve amaçları, müşterilerin neye sahip olacağını belirlemeye yöneliktir. Herhangi bir dış kaynak kullanımı ve teknoloji satıcılarına ait sözleşmelerin kritik bileşenleridir.
Güvenlik Operasyon Merkezinin Tanımı
Bir güvenlik operasyonları merkezi (SOC) geleneksel olarak bir bilgi güvenliği ekibi barındıran bir organizasyon, fiziksel bir tesistir. Ekip, bir kuruluşun güvenlik sistemlerini analiz eder ve izler. SOC'nin amacı, siber güvenlik tehditlerini belirleyerek, analiz ederek ve bunlara tepki vererek şirketi güvenlik ihlallerinden korumaktır. SOC ekipleri yönetim, güvenlik analistleri ve bazen de güvenlik mühendislerinden oluşur. SOC, şirket içindeki geliştirme ve BT operasyon ekipleriyle çalışır.
SOC'ler, tehdit tespitini iyileştirmenin, güvenlik ihlallerinin olasılığını azaltmanın ve olaylar meydana geldiğinde uygun bir kurumsal yanıt sağlamanın kanıtlanmış bir yoludur. SOC ekipleri sunuculardaki, veritabanlarındaki, ağlardaki, uç noktalardaki, uygulamalardaki vb.
Bir SOC'nin bir zamanlar sadece çok büyük kuruluşlar için uygun olduğuna inanılıyordu. Bugün, daha küçük birçok kuruluş, yarı zamanlı kurum içi personel ve dış kaynak uzmanlarının bir kombinasyonuna dayanan hibrit bir SOC veya fiziksel bir tesisi olmayan ve bir ekip olan sanal bir SOC gibi hafif SOC'ler kuruyor.
BİR SOC EKİBİ VE BİR CSIRT ARASINDAKİ FARK NEDİR?
CERT veya CIRT olarak da adlandırılan bir bilgisayar güvenlik olayı müdahale ekibi veya CSIRT , güvenlik olaylarını almak, analiz etmek ve yanıtlamaktan sorumludur. CSIRT'ler SOC'ler altında çalışabilir veya tek başına durabilir.
CSIRT'yi SOC'den farklı kılan nedir? Bir CSIRT'nin temel işlevi bir olayın neden olduğu hasarı en aza indirmek ve yönetmek olsa da, CSIRT sadece saldırının kendisi ile ilgilenmez, aynı zamanda müşteriler, yöneticiler ve yönetim kurulu ile de iletişim kurar.
BİR SOC VEYA TAKIMA, CSIRT TAKIMINA VEYA HER İKİSİNE BİRDEN İHTİYACINIZ OLUP OLMADIĞI NASIL BELİRLENİR?
Tek Bir Varlık İçin Durum
Genellikle SOC ve CSIRT'yi birleştiren tek bir varlık arzu edilir. Neden? Çünkü algılama ve tepki arasındaki fark net bir şekilde kesilmez ve hatta önemsiz hale gelebilir. Örneğin, tehdit avcılığı tehditleri tanımlamak için kullanılır, ancak bir yanıt yöntemi olarak da çalışır.
Hem SOC ekipleri hem de CSIRT ekipleri, araca kimin sahip olduğuna ve evriminden sorumlu olduğuna karar vermek zor olduğundan, bu ekiplerin birleştirilmesi gerektiğini belirten güvenlik düzenleme, otomasyon ve yanıt (SOAR) araçlarını kullanır. Tehdit istihbaratı (TI) ile ilgili faaliyetler, tek bir kuruluş için de bir durum sağlar. Tek bir TI tüketim konumu, tanımlama ve yanıt yöntemleri hakkında bilgi verebilir.
Bu grupları birleştirmenin bir başka nedeni de işgücünü yönetmektir. SOC'lerle ilgili bir sorun, özellikle 1. haftalarda ve gece vardiyalarında çalışırken “1. seviye” analistleri motive etmenin zor olmasıdır. IR ve tehdit avını bir araya getirerek iş rotasyonu seçeneği yaratırsınız.
Ayrı Kuruluşlar İçin Durum
Bazı sektör uzmanları, SOC ekiplerini ve CSIRT ekiplerini ayrı tutmanın, temel hedeflerine, yani algılama ve yanıta odaklanmalarına izin verdiğini iddia etmektedir. Ayrıca, bazen birden fazla SOC'ye ihtiyaç duyulmaktadır (birden fazla bölgesel ofis veya iştirak nedeniyle), ancak kuruluşlar soruşturma sonuçlarının hassasiyeti nedeniyle olay yanıtını merkezileştirmek istemektedir.
Dış kaynak kullanımı için stratejik planlar bu iki fonksiyonun ayrılmasını gerektirebilir. Bugün, birçok SOC'nin hibrit organizasyonlar olarak faaliyet göstermesi bu bir sorun olmayabilir. Bununla birlikte, SOC ve CSIRT'yi ayrı tutmak bir kuruluşun bir ortağın sorumluluklarını açıkça tanımlamasına yardımcı olabilir.
Güvenlik Operasyon Merkezleri Nasıl Çalışır?
Bir kuruluş önce güvenlik stratejisini tanımlamalı ve daha sonra SOC ekibinin birlikte çalışması için uygun bir altyapı sağlamalıdır. SOC etkinliğinin altında yatan bilgi sistemi, yüzlerce güvenlik aracından ve kuruluş sisteminden günlük ve olayları toplayan ve SOC ekibinin analiz edip yanıt verebileceği eyleme geçirilebilir güvenlik uyarıları üreten bir güvenlik bilgi ve olay yönetimi (SIEM) sistemidir.
Bir SOC ekibinin iki temel sorumluluğu vardır:
Güvenlik izleme araçlarının bakımını yapma - ekip araçları düzenli olarak bakım ve güncellemelidir. Doğru araçlar olmadan sistemleri ve ağları düzgün bir şekilde koruyamazlar. Ekip üyeleri, güvenlik sürecinin her bölümünde kullanılan araçları korumalıdır.
Şüpheli etkinlikleri araştırın; SOC ekibi ağlar ve sistemler içindeki şüpheli ve kötü niyetli etkinlikleri araştırmalıdır. Genel olarak, SIEM veya analiz yazılımınız uyarı verir. Ekip daha sonra uyarıları analiz eder ve inceler, triyaj yapar ve tehdidin kapsamını keşfeder.
Bir SOC ekibi birkaç rol içerir:
Güvenlik analisti — potansiyel güvenlik tehditlerini tespit etmekten ve bunları ele almaktan sorumludur. Ayrıca güvenlik önlemlerini uygular ve olağanüstü durum kurtarma planlarında yer alır.
Güvenlik mühendisi - araçları ve sistemleri korumak ve güncellemekle yükümlüdür ve genellikle bir yazılım veya donanım uzmanıdır. Protokoller gibi diğer ekip üyelerinin ihtiyaç duyabileceği tüm belgelerden de sorumludurlar.
SOC yöneticisi — SOC ekibinden sorumlu SOC operasyonlarını yönlendirir. Analistler ve mühendisler arasında senkronizasyon, işe alma, eğitim ve güvenlik stratejisinden sorumludur. Büyük güvenlik tehditlerine yanıtı yönlendirir ve düzenler.
Baş bilgi güvenliği görevlisi (CISO) - güvenlikle ilgili stratejiler, politikalar ve operasyonlar kurar . CEO ile yakından çalışır, güvenlik konularında yönetimi bilgilendirir ve raporlar.
Olay yanıtı müdürü - büyük şirketlerde meydana gelen olayların yönetiminden ve önemli bir ihlal durumunda güvenlik gerekliliklerini kuruluşa iletmekten sorumludur.
Güvenlik Operasyon Merkezlerinin Faydaları
Olay yanıtı —SOC'lar olayları tespit etmek ve bunlara yanıt vermek için 24 saat çalışır.
Tehdit istihbaratı ve hızlı analiz —SOC'lar tehditleri hızlı bir şekilde tanımlamak ve uygun yanıtı sağlamak için olayları tam olarak anlamak için tehdit istihbarat beslemeleri ve güvenlik araçları kullanır.
Siber güvenlik maliyetlerini azaltın - bir SOC büyük bir masrafı temsil etse de, uzun vadede geçici güvenlik önlemlerinin maliyetlerini ve güvenlik ihlallerinin yol açtığı hasarı azaltır.
Soruşturmaların karmaşıklığını azaltın —SOC ekipleri soruşturma çabalarını kolaylaştırabilir. SOC, ağ etkinliği, güvenlik olayları, uç nokta etkinliği, tehdit istihbaratı ve yetkilendirme gibi kaynaklardan gelen veri ve bilgileri koordine edebilir. SOC ekipleri ağ ortamını görebilir, böylece SOC, örneğin günlüklere ve adli bilgilere sondaj görevlerini basitleştirebilir.
Güvenlik Operasyon Merkezlerinin Karşılaştığı Zorluklar
Artan sayıda güvenlik uyarısı — artan güvenlik uyarısı sayısı önemli miktarda analistin zamanını gerektirir. Analistler, uyarıların doğruluğunu belirlerken sıradan acil olana kadar görevlere katılabilirler. Sonuç olarak, uyarı önceliklendirme ihtiyacını vurgulayan uyarıları kaçırabilirler. Exabeam Advanced Analytics , anormal olayların dinamik analizine dayanan güvenlik uyarısı önceliklendirmesi sağlamak için UEBA teknolojisini kullanır. Bu, analistlerin derhal ilgilenilmesi gereken uyarıları bulmasını sağlar.
Birçok güvenlik aracının yönetimi — SOC'ler ve CSIR'ler tarafından çeşitli güvenlik paketleri kullanıldığından, veri noktalarından ve kaynaklardan üretilen tüm verileri verimli bir şekilde izlemek zordur. Bir SOC, merkezi bir kaynağa ve tek bir platforma sahip olmayı önemli hale getiren, ayrı ayrı takip edilmesi ve kontrol edilmesi zor olabilecek 20 veya daha fazla teknoloji kullanabilir. Bir güvenlik bilgisi ve olay yönetimi platformu (SIEM) çoğu SOC'de bu işlevi yerine getirir. Gelişmiş analitik ve güvenlik otomasyonuna sahip yeni nesil SIEM çözümüne bir örnek için Exabeam Güvenlik Yönetim Platformu'na bakın .
Kaynak tahsisi - kalifiye personel yerleştirme veya eksikliği bir konudur. Bir kuruluş dış kaynak kullanımına karar verebilir, ancak uzak çalışma koşullarıyla birlikte gelen daha fazla güvenlik açığı sorunu ortaya çıkar. Bazı kuruluşlar artık dış kaynak kullanımı yoluyla SOC hizmetlerinde onlara yardımcı olmak için yönetilen güvenlik hizmeti sağlayıcılarını (MSSP) kullanmaktadır. Yönetilen SOC'ler tamamen veya şirket içi güvenlik personeli ile ortaklaşa olarak dışarıdan temin edilebilir.
İlk SOC'nizi Ayarlama
BİR SOC KURMADAN ÖNCE SORULACAK SORULAR
Kullanılabilirlik ve çalışma saatleri — SOC 8 × 5 veya 24 × 7'nize personel verecek misiniz?
Biçim — bağımsız bir SOC'niz veya entegre bir SOC ve ağ operasyon merkeziniz (NOC) olacak mı?
Organizasyon — şirket içi her şeyi kontrol etmeyi mi planlıyorsunuz yoksa yönetilen bir güvenlik servis sağlayıcısı mı kullanacaksınız?
Öncelikler ve yetenekler — güvenlik temel kaygı mıdır yoksa uyum önemli bir sorun mudur? İzleme ana öncelik midir yoksa etik saldırı veya sızma testi gibi yeteneklere mi ihtiyacınız var? Bulutu kapsamlı bir şekilde kullanacak mısınız?
Çevre — tek bir şirket içi ortam mı yoksa karma bir ortam mı kullanıyorsunuz?
İLK SOC'NİZİ KURMANIN 5 ADIMI
1. Herkesin SOC'nin Ne Yaptığını Anlamasını Sağlayın
. SOC ve BT yardım masası arasında net bir ayrım oluşturun. Yardım masası çalışanların BT endişeleri için, SOC ise tüm kuruluşla ilgili güvenlik sorunları içindir.
2. SOC'niz için Altyapı Sağlayın
Uygun araçlar olmadan, bir SOC ekibi bir güvenlik tehdidiyle başa çıkamaz. SOC'nin etkinliğini destekleyecek ve şirket içi güvenlik ekibinizin uzmanlık düzeyine uygun araç ve teknolojileri değerlendirin ve yatırım yapın. Modern SOC'de yaygın olarak kullanılan araçların listesi için bir sonraki bölüme bakın.
3. Doğru kişileri bulun
Yukarıda listelediğimiz rolleri kullanarak bir güvenlik ekibi oluşturun: güvenlik analistleri, güvenlik mühendisleri ve bir SOC yöneticisi. Bu uzmanlar tersine mühendislik, izinsiz giriş tespiti ve kötü amaçlı yazılımların anatomisi gibi alanlarda sürekli eğitim almalıdır. SOC yöneticisinin güçlü güvenlik uzmanlığı, yönetim becerileri ve savaşta test edilmiş kriz yönetimi deneyimine sahip olması gerekir.
4. Bir Olay Müdahale Planını Hazırlayın
Bir olay müdahale ekibi özel ve ayrıntılı bir eylem planı oluşturmalıdır. Ekip ayrıca zaman içinde kullanılabilecek ve farklı tehdit senaryolarına uyarlanabilecek tekrarlanabilir bir plan oluşturabilir. Gerekirse iş, halkla ilişkiler ve hukuk ekipleri de dahil olabilir. Ekip, deneyimlerini geliştirebilmeleri için önceden tanımlanmış yanıt protokollerine uymalıdır.
5. Savunma SOC'nin
temel sorumluluğu, çevreyi tehditleri tespit etmeye odaklanmış özel bir ekiple korumaktır. SOC'nin amacı mümkün olduğunca fazla veri ve bağlam toplamak, olaylara öncelik vermek ve önemli olanların hızlı ve kapsamlı bir şekilde ele alınmasını sağlamaktır.
3 GÜVENLİK OPERASYON MERKEZİ EN İYİ UYGULAMASI
1. Bir saldırının tüm aşamalarında tehditleri tespit edin
Siber tehditlerin artan sayısı ve karmaşıklığıyla başa çıkmak için kuruluşlar, belirli güvenlik açıkları veya saldırı vektörleriyle ilgilenen güvenlik çözümleri uygulamaktadır. Yanıt veren saldırganlar, birden çok teknik kullanarak karmaşık yanıtlar oluşturdular.
Tek başına çalışan nokta çözümleri, bir dizi olay arasındaki ilişkiyi tanımlayamaz. Bir saldırganın güvenliğe girmesini durdurmak için güvenlik işlemleri:
Tüm saldırı zinciri, BT ortamı ve her saldırı vektörü boyunca önleme ve algılama yaklaşımlarını kullanın.
Birlikte çalışacak teknolojileri tasarlayın ve bilgi aktarın.
Otomatik olay zaman çizelgeleri sağlayan ve birden çok güvenlik aracı, kullanıcı ve cihazda veri toplama sağlayan bir güvenlik aracı örneği için bkz. Exabeam Tehdit Avcısı .
2. Hiçbir şeyin göz ardı edilmediğinden emin olmak için tüm uyarıları inceleyin
Çok sayıda uyarı SIEM için erken bir sürücü oldu. SIEM sistemleri benzer olayları uyarılar halinde gruplandırmak için korelasyon kuralları oluşturdu, bu da ekiplerin her gün izole edilen on binlerce olayla başa çıkmalarına yardımcı oldu. Bugün, kuruluşlar korelasyonla bile, araştırmak için çok fazla uyarı olduğunu ve bu da kurumu riske açık bıraktığını belirtmektedir.
Kuruluşların yalnızca uyarıları gruplandırmakla kalmayıp aynı zamanda otomatik olarak araştıran ve doğrulayan çözümler geliştirmeleri gerekir. İnsan analistler tarafından gözden geçirilmesi gereken olay sayısını sınırlamaya çalışmalıdırlar.
3. Soruşturma ve iyileştirme için adli kanıt toplayın
Uyarıları araştırmak için, güvenlik ekipleri derinlemesine uç nokta ve ağ etkinliği verileri gerektirir. Bu, adli tıp çözümleri tarafından sağlanmaktadır. Ancak, özellikle ağdaki adli tıp araçlarının zaman alıcı ve karmaşık olduğu bilinmektedir.
Kuruluşlar, kullanımı kolay ve otomatik olan adli tıp için çözümler bulmalıdır. Adli kanıtları proaktif olarak soruşturma prosedürlerine birleştiren çözümlerin benimsenmesi önemlidir. Bir kuruluş ayrıca uyarıya ilişkin sonuçları da iletmeli veya veri onaylamalarına öncülük etmelidir.
Güvenlik Operasyonları Araçları ve Teknolojileri
Modern bir SOC, güvenlik araçları olmadan çalışamaz. SOC'de kullanılan geleneksel araçlar şunları içerir:
Güvenlik bilgileri ve olay yönetimi (SIEM)
Yönetişim, risk ve uyumluluk (GRC) sistemleri
Güvenlik açığı tarayıcıları ve sızma testi araçları
Saldırı tespit sistemleri (IDS), saldırı önleme sistemleri ( IPS ) ve kablosuz saldırı önleme
IPS olarak işlev görebilen güvenlik duvarları ve yeni nesil güvenlik duvarları (NGFW)
Günlük yönetim sistemleri (genellikle SIEM'in bir parçası olarak)
Siber tehdit istihbarat beslemeleri ve veritabanları
Gelişmiş SOC'ler, makine öğrenimi ve gelişmiş davranışsal analitik, tehdit arama yetenekleri ve yerleşik otomatik olay yanıtı sağlayan yeni nesil araçlardan, özellikle de yeni nesil SIEM'lerden yararlanır. Modern güvenlik operasyon merkezi teknolojisi, SOC ekibinin tehditleri hızlı ve verimli bir şekilde bulmasını ve bunlarla baş etmesini sağlar.
I. Güvenlik operasyon merkezinin tanımı.
II. SOC ve CSIRT arasındaki fark nedir?
III. Güvenlik operasyon merkezleri nasıl çalışır?
IV. Güvenlik operasyon merkezlerinin faydaları.
V. Güvenlik operasyon merkezlerindeki zorluklar.
VI. İlk SOC'nizi kurmanın 5 adımı.
VII. 3 güvenlik operasyon merkezi en iyi uygulaması.
VIII. Güvenlik operasyonları merkezi araçları ve teknolojileri.
Konumuza Hızlıca Giriş Yapalım
Öncelikle SOC (Security Operations Center) merkezimizde, tüm Labris cihazları, siber saldırılar, güvenlik olayları yakından izlenir. Olası güvenlik açıkları CWL (Cyber Warfare Lab) ilgililerinin de bulunduğu ekiplerce değerlendirilerek önlemler alınır. Bu sayede önlemlerimiz ve geliştirdiğimiz teknoloji ile sizin için değerli olanı yakından koruruz.*
*SOC merkezinden yapılan bağlantılar, servis alınan SLA programına uygun olarak, son kullanıcı onayıyla gerçekleştirilmektedir.
Aşağıdaki resimde örnek bir Security Operations Center bulunmakta.
SLA Nedir ?
Bir servis sağlayıcı ve servis sağlayıcıdan beklenen hizmetin düzeyi SLA (Service Level Agreements) ile tanımlanır. Bu, dahili veya harici olabilir. Son kullanıcıyla yapılan bir sözleşmedir. SLA ne demek? sorusunun en genel açıklaması şu şekilde olacaktır; SLA’ler çıktı bazlıdır ve amaçları, müşterilerin neye sahip olacağını belirlemeye yöneliktir. Herhangi bir dış kaynak kullanımı ve teknoloji satıcılarına ait sözleşmelerin kritik bileşenleridir.
Güvenlik Operasyon Merkezinin Tanımı
Bir güvenlik operasyonları merkezi (SOC) geleneksel olarak bir bilgi güvenliği ekibi barındıran bir organizasyon, fiziksel bir tesistir. Ekip, bir kuruluşun güvenlik sistemlerini analiz eder ve izler. SOC'nin amacı, siber güvenlik tehditlerini belirleyerek, analiz ederek ve bunlara tepki vererek şirketi güvenlik ihlallerinden korumaktır. SOC ekipleri yönetim, güvenlik analistleri ve bazen de güvenlik mühendislerinden oluşur. SOC, şirket içindeki geliştirme ve BT operasyon ekipleriyle çalışır.
SOC'ler, tehdit tespitini iyileştirmenin, güvenlik ihlallerinin olasılığını azaltmanın ve olaylar meydana geldiğinde uygun bir kurumsal yanıt sağlamanın kanıtlanmış bir yoludur. SOC ekipleri sunuculardaki, veritabanlarındaki, ağlardaki, uç noktalardaki, uygulamalardaki vb.
Bir SOC'nin bir zamanlar sadece çok büyük kuruluşlar için uygun olduğuna inanılıyordu. Bugün, daha küçük birçok kuruluş, yarı zamanlı kurum içi personel ve dış kaynak uzmanlarının bir kombinasyonuna dayanan hibrit bir SOC veya fiziksel bir tesisi olmayan ve bir ekip olan sanal bir SOC gibi hafif SOC'ler kuruyor.
BİR SOC EKİBİ VE BİR CSIRT ARASINDAKİ FARK NEDİR?
CERT veya CIRT olarak da adlandırılan bir bilgisayar güvenlik olayı müdahale ekibi veya CSIRT , güvenlik olaylarını almak, analiz etmek ve yanıtlamaktan sorumludur. CSIRT'ler SOC'ler altında çalışabilir veya tek başına durabilir.
CSIRT'yi SOC'den farklı kılan nedir? Bir CSIRT'nin temel işlevi bir olayın neden olduğu hasarı en aza indirmek ve yönetmek olsa da, CSIRT sadece saldırının kendisi ile ilgilenmez, aynı zamanda müşteriler, yöneticiler ve yönetim kurulu ile de iletişim kurar.
BİR SOC VEYA TAKIMA, CSIRT TAKIMINA VEYA HER İKİSİNE BİRDEN İHTİYACINIZ OLUP OLMADIĞI NASIL BELİRLENİR?
Tek Bir Varlık İçin Durum
Genellikle SOC ve CSIRT'yi birleştiren tek bir varlık arzu edilir. Neden? Çünkü algılama ve tepki arasındaki fark net bir şekilde kesilmez ve hatta önemsiz hale gelebilir. Örneğin, tehdit avcılığı tehditleri tanımlamak için kullanılır, ancak bir yanıt yöntemi olarak da çalışır.
Hem SOC ekipleri hem de CSIRT ekipleri, araca kimin sahip olduğuna ve evriminden sorumlu olduğuna karar vermek zor olduğundan, bu ekiplerin birleştirilmesi gerektiğini belirten güvenlik düzenleme, otomasyon ve yanıt (SOAR) araçlarını kullanır. Tehdit istihbaratı (TI) ile ilgili faaliyetler, tek bir kuruluş için de bir durum sağlar. Tek bir TI tüketim konumu, tanımlama ve yanıt yöntemleri hakkında bilgi verebilir.
Bu grupları birleştirmenin bir başka nedeni de işgücünü yönetmektir. SOC'lerle ilgili bir sorun, özellikle 1. haftalarda ve gece vardiyalarında çalışırken “1. seviye” analistleri motive etmenin zor olmasıdır. IR ve tehdit avını bir araya getirerek iş rotasyonu seçeneği yaratırsınız.
Ayrı Kuruluşlar İçin Durum
Bazı sektör uzmanları, SOC ekiplerini ve CSIRT ekiplerini ayrı tutmanın, temel hedeflerine, yani algılama ve yanıta odaklanmalarına izin verdiğini iddia etmektedir. Ayrıca, bazen birden fazla SOC'ye ihtiyaç duyulmaktadır (birden fazla bölgesel ofis veya iştirak nedeniyle), ancak kuruluşlar soruşturma sonuçlarının hassasiyeti nedeniyle olay yanıtını merkezileştirmek istemektedir.
Dış kaynak kullanımı için stratejik planlar bu iki fonksiyonun ayrılmasını gerektirebilir. Bugün, birçok SOC'nin hibrit organizasyonlar olarak faaliyet göstermesi bu bir sorun olmayabilir. Bununla birlikte, SOC ve CSIRT'yi ayrı tutmak bir kuruluşun bir ortağın sorumluluklarını açıkça tanımlamasına yardımcı olabilir.
Güvenlik Operasyon Merkezleri Nasıl Çalışır?
Bir kuruluş önce güvenlik stratejisini tanımlamalı ve daha sonra SOC ekibinin birlikte çalışması için uygun bir altyapı sağlamalıdır. SOC etkinliğinin altında yatan bilgi sistemi, yüzlerce güvenlik aracından ve kuruluş sisteminden günlük ve olayları toplayan ve SOC ekibinin analiz edip yanıt verebileceği eyleme geçirilebilir güvenlik uyarıları üreten bir güvenlik bilgi ve olay yönetimi (SIEM) sistemidir.
Bir SOC ekibinin iki temel sorumluluğu vardır:
Güvenlik izleme araçlarının bakımını yapma - ekip araçları düzenli olarak bakım ve güncellemelidir. Doğru araçlar olmadan sistemleri ve ağları düzgün bir şekilde koruyamazlar. Ekip üyeleri, güvenlik sürecinin her bölümünde kullanılan araçları korumalıdır.
Şüpheli etkinlikleri araştırın; SOC ekibi ağlar ve sistemler içindeki şüpheli ve kötü niyetli etkinlikleri araştırmalıdır. Genel olarak, SIEM veya analiz yazılımınız uyarı verir. Ekip daha sonra uyarıları analiz eder ve inceler, triyaj yapar ve tehdidin kapsamını keşfeder.
Bir SOC ekibi birkaç rol içerir:
Güvenlik analisti — potansiyel güvenlik tehditlerini tespit etmekten ve bunları ele almaktan sorumludur. Ayrıca güvenlik önlemlerini uygular ve olağanüstü durum kurtarma planlarında yer alır.
Güvenlik mühendisi - araçları ve sistemleri korumak ve güncellemekle yükümlüdür ve genellikle bir yazılım veya donanım uzmanıdır. Protokoller gibi diğer ekip üyelerinin ihtiyaç duyabileceği tüm belgelerden de sorumludurlar.
SOC yöneticisi — SOC ekibinden sorumlu SOC operasyonlarını yönlendirir. Analistler ve mühendisler arasında senkronizasyon, işe alma, eğitim ve güvenlik stratejisinden sorumludur. Büyük güvenlik tehditlerine yanıtı yönlendirir ve düzenler.
Baş bilgi güvenliği görevlisi (CISO) - güvenlikle ilgili stratejiler, politikalar ve operasyonlar kurar . CEO ile yakından çalışır, güvenlik konularında yönetimi bilgilendirir ve raporlar.
Olay yanıtı müdürü - büyük şirketlerde meydana gelen olayların yönetiminden ve önemli bir ihlal durumunda güvenlik gerekliliklerini kuruluşa iletmekten sorumludur.
Güvenlik Operasyon Merkezlerinin Faydaları
Olay yanıtı —SOC'lar olayları tespit etmek ve bunlara yanıt vermek için 24 saat çalışır.
Tehdit istihbaratı ve hızlı analiz —SOC'lar tehditleri hızlı bir şekilde tanımlamak ve uygun yanıtı sağlamak için olayları tam olarak anlamak için tehdit istihbarat beslemeleri ve güvenlik araçları kullanır.
Siber güvenlik maliyetlerini azaltın - bir SOC büyük bir masrafı temsil etse de, uzun vadede geçici güvenlik önlemlerinin maliyetlerini ve güvenlik ihlallerinin yol açtığı hasarı azaltır.
Soruşturmaların karmaşıklığını azaltın —SOC ekipleri soruşturma çabalarını kolaylaştırabilir. SOC, ağ etkinliği, güvenlik olayları, uç nokta etkinliği, tehdit istihbaratı ve yetkilendirme gibi kaynaklardan gelen veri ve bilgileri koordine edebilir. SOC ekipleri ağ ortamını görebilir, böylece SOC, örneğin günlüklere ve adli bilgilere sondaj görevlerini basitleştirebilir.
Güvenlik Operasyon Merkezlerinin Karşılaştığı Zorluklar
Artan sayıda güvenlik uyarısı — artan güvenlik uyarısı sayısı önemli miktarda analistin zamanını gerektirir. Analistler, uyarıların doğruluğunu belirlerken sıradan acil olana kadar görevlere katılabilirler. Sonuç olarak, uyarı önceliklendirme ihtiyacını vurgulayan uyarıları kaçırabilirler. Exabeam Advanced Analytics , anormal olayların dinamik analizine dayanan güvenlik uyarısı önceliklendirmesi sağlamak için UEBA teknolojisini kullanır. Bu, analistlerin derhal ilgilenilmesi gereken uyarıları bulmasını sağlar.
Birçok güvenlik aracının yönetimi — SOC'ler ve CSIR'ler tarafından çeşitli güvenlik paketleri kullanıldığından, veri noktalarından ve kaynaklardan üretilen tüm verileri verimli bir şekilde izlemek zordur. Bir SOC, merkezi bir kaynağa ve tek bir platforma sahip olmayı önemli hale getiren, ayrı ayrı takip edilmesi ve kontrol edilmesi zor olabilecek 20 veya daha fazla teknoloji kullanabilir. Bir güvenlik bilgisi ve olay yönetimi platformu (SIEM) çoğu SOC'de bu işlevi yerine getirir. Gelişmiş analitik ve güvenlik otomasyonuna sahip yeni nesil SIEM çözümüne bir örnek için Exabeam Güvenlik Yönetim Platformu'na bakın .
Kaynak tahsisi - kalifiye personel yerleştirme veya eksikliği bir konudur. Bir kuruluş dış kaynak kullanımına karar verebilir, ancak uzak çalışma koşullarıyla birlikte gelen daha fazla güvenlik açığı sorunu ortaya çıkar. Bazı kuruluşlar artık dış kaynak kullanımı yoluyla SOC hizmetlerinde onlara yardımcı olmak için yönetilen güvenlik hizmeti sağlayıcılarını (MSSP) kullanmaktadır. Yönetilen SOC'ler tamamen veya şirket içi güvenlik personeli ile ortaklaşa olarak dışarıdan temin edilebilir.
İlk SOC'nizi Ayarlama
BİR SOC KURMADAN ÖNCE SORULACAK SORULAR
Kullanılabilirlik ve çalışma saatleri — SOC 8 × 5 veya 24 × 7'nize personel verecek misiniz?
Biçim — bağımsız bir SOC'niz veya entegre bir SOC ve ağ operasyon merkeziniz (NOC) olacak mı?
Organizasyon — şirket içi her şeyi kontrol etmeyi mi planlıyorsunuz yoksa yönetilen bir güvenlik servis sağlayıcısı mı kullanacaksınız?
Öncelikler ve yetenekler — güvenlik temel kaygı mıdır yoksa uyum önemli bir sorun mudur? İzleme ana öncelik midir yoksa etik saldırı veya sızma testi gibi yeteneklere mi ihtiyacınız var? Bulutu kapsamlı bir şekilde kullanacak mısınız?
Çevre — tek bir şirket içi ortam mı yoksa karma bir ortam mı kullanıyorsunuz?
İLK SOC'NİZİ KURMANIN 5 ADIMI
1. Herkesin SOC'nin Ne Yaptığını Anlamasını Sağlayın
. SOC ve BT yardım masası arasında net bir ayrım oluşturun. Yardım masası çalışanların BT endişeleri için, SOC ise tüm kuruluşla ilgili güvenlik sorunları içindir.
2. SOC'niz için Altyapı Sağlayın
Uygun araçlar olmadan, bir SOC ekibi bir güvenlik tehdidiyle başa çıkamaz. SOC'nin etkinliğini destekleyecek ve şirket içi güvenlik ekibinizin uzmanlık düzeyine uygun araç ve teknolojileri değerlendirin ve yatırım yapın. Modern SOC'de yaygın olarak kullanılan araçların listesi için bir sonraki bölüme bakın.
3. Doğru kişileri bulun
Yukarıda listelediğimiz rolleri kullanarak bir güvenlik ekibi oluşturun: güvenlik analistleri, güvenlik mühendisleri ve bir SOC yöneticisi. Bu uzmanlar tersine mühendislik, izinsiz giriş tespiti ve kötü amaçlı yazılımların anatomisi gibi alanlarda sürekli eğitim almalıdır. SOC yöneticisinin güçlü güvenlik uzmanlığı, yönetim becerileri ve savaşta test edilmiş kriz yönetimi deneyimine sahip olması gerekir.
4. Bir Olay Müdahale Planını Hazırlayın
Bir olay müdahale ekibi özel ve ayrıntılı bir eylem planı oluşturmalıdır. Ekip ayrıca zaman içinde kullanılabilecek ve farklı tehdit senaryolarına uyarlanabilecek tekrarlanabilir bir plan oluşturabilir. Gerekirse iş, halkla ilişkiler ve hukuk ekipleri de dahil olabilir. Ekip, deneyimlerini geliştirebilmeleri için önceden tanımlanmış yanıt protokollerine uymalıdır.
5. Savunma SOC'nin
temel sorumluluğu, çevreyi tehditleri tespit etmeye odaklanmış özel bir ekiple korumaktır. SOC'nin amacı mümkün olduğunca fazla veri ve bağlam toplamak, olaylara öncelik vermek ve önemli olanların hızlı ve kapsamlı bir şekilde ele alınmasını sağlamaktır.
3 GÜVENLİK OPERASYON MERKEZİ EN İYİ UYGULAMASI
1. Bir saldırının tüm aşamalarında tehditleri tespit edin
Siber tehditlerin artan sayısı ve karmaşıklığıyla başa çıkmak için kuruluşlar, belirli güvenlik açıkları veya saldırı vektörleriyle ilgilenen güvenlik çözümleri uygulamaktadır. Yanıt veren saldırganlar, birden çok teknik kullanarak karmaşık yanıtlar oluşturdular.
Tek başına çalışan nokta çözümleri, bir dizi olay arasındaki ilişkiyi tanımlayamaz. Bir saldırganın güvenliğe girmesini durdurmak için güvenlik işlemleri:
Tüm saldırı zinciri, BT ortamı ve her saldırı vektörü boyunca önleme ve algılama yaklaşımlarını kullanın.
Birlikte çalışacak teknolojileri tasarlayın ve bilgi aktarın.
Otomatik olay zaman çizelgeleri sağlayan ve birden çok güvenlik aracı, kullanıcı ve cihazda veri toplama sağlayan bir güvenlik aracı örneği için bkz. Exabeam Tehdit Avcısı .
2. Hiçbir şeyin göz ardı edilmediğinden emin olmak için tüm uyarıları inceleyin
Çok sayıda uyarı SIEM için erken bir sürücü oldu. SIEM sistemleri benzer olayları uyarılar halinde gruplandırmak için korelasyon kuralları oluşturdu, bu da ekiplerin her gün izole edilen on binlerce olayla başa çıkmalarına yardımcı oldu. Bugün, kuruluşlar korelasyonla bile, araştırmak için çok fazla uyarı olduğunu ve bu da kurumu riske açık bıraktığını belirtmektedir.
Kuruluşların yalnızca uyarıları gruplandırmakla kalmayıp aynı zamanda otomatik olarak araştıran ve doğrulayan çözümler geliştirmeleri gerekir. İnsan analistler tarafından gözden geçirilmesi gereken olay sayısını sınırlamaya çalışmalıdırlar.
3. Soruşturma ve iyileştirme için adli kanıt toplayın
Uyarıları araştırmak için, güvenlik ekipleri derinlemesine uç nokta ve ağ etkinliği verileri gerektirir. Bu, adli tıp çözümleri tarafından sağlanmaktadır. Ancak, özellikle ağdaki adli tıp araçlarının zaman alıcı ve karmaşık olduğu bilinmektedir.
Kuruluşlar, kullanımı kolay ve otomatik olan adli tıp için çözümler bulmalıdır. Adli kanıtları proaktif olarak soruşturma prosedürlerine birleştiren çözümlerin benimsenmesi önemlidir. Bir kuruluş ayrıca uyarıya ilişkin sonuçları da iletmeli veya veri onaylamalarına öncülük etmelidir.
Güvenlik Operasyonları Araçları ve Teknolojileri
Modern bir SOC, güvenlik araçları olmadan çalışamaz. SOC'de kullanılan geleneksel araçlar şunları içerir:
Güvenlik bilgileri ve olay yönetimi (SIEM)
Yönetişim, risk ve uyumluluk (GRC) sistemleri
Güvenlik açığı tarayıcıları ve sızma testi araçları
Saldırı tespit sistemleri (IDS), saldırı önleme sistemleri ( IPS ) ve kablosuz saldırı önleme
IPS olarak işlev görebilen güvenlik duvarları ve yeni nesil güvenlik duvarları (NGFW)
Günlük yönetim sistemleri (genellikle SIEM'in bir parçası olarak)
Siber tehdit istihbarat beslemeleri ve veritabanları
Gelişmiş SOC'ler, makine öğrenimi ve gelişmiş davranışsal analitik, tehdit arama yetenekleri ve yerleşik otomatik olay yanıtı sağlayan yeni nesil araçlardan, özellikle de yeni nesil SIEM'lerden yararlanır. Modern güvenlik operasyon merkezi teknolojisi, SOC ekibinin tehditleri hızlı ve verimli bir şekilde bulmasını ve bunlarla baş etmesini sağlar.
