SOC - SECURITY OPERATION CENTER!
SOC - SECURITY OPERATION CENTER!
SOC Nedir?
Uğur DANACI, Principal Security Engineer, Platin Bilişim
Güvenlik Operasyon Merkezi ( SOC ), Siber güvenlik olaylarının tespiti, önlenmesi ve bunlarla ilgili olarak aksiyon alınmasını sağlayan, aynı zamanda kurumların güvenlik duruşunu sürekli olarak izlemek ve iyileştirmek için teknolojiyi, süreçleri ve insan gücünü kullanan merkezi bir fonksiyondur.
Güvenlik operasyonları takımının görevi günün her saati Siber tehditleri izlemek, tespit etmek, araştırmak ve aksiyon almaktır. Ayrıca güvenlik operasyonları takımı, kurumda dijital varlık haklarının, kişisel verilerin, iş sistemlerinin ve marka bütünlüğünün korunması gibi görevleri de üstlenmiştir.
Aynı zamanda bu ekipler kurumlarda genel siber güvenlik çerçevesinin uygulama bileşeni olarak saldırılara karşı izleme, değerlendirme ve savunma amaçlı koordineli olarak merkezi işbirliği noktası olarak hareket ederler
Türkiye’de SOC tarafında birçok kurum ortaklık yaptıkları firmalarla ya da kendi kurdukları yapılarla SOC süreçlerini işletmektedirler. Bu ihtiyaç eski zamanlarda Türkiye’de var olan 5651 kanunun “ 5651 - İNTERNET ORTAMINDA YAPILAN YAYINLARIN DÜZENLENMESİ VE BU YAYINLAR YOLUYLA İŞLENEN SUÇLARLA MÜCADELE EDİLMESİ HAKKINDA KANUN ” yayınlanması ve kurumların da bu kanun da yer alan maddelere uyumluluk zorunluluğunun olması, SIEM platformlarının farkındalığını arttırmıştı.
SIEM platformları ilk başlarda sadece log yönetimi ve kanunda konu olan madde ve süreçlere uyumluluğu için kullanılmaya başlandıktan sonra değişen teknoloji ve siber savaşların artması sonrası firmalarda SOC gibi güvenlik birim ve bölümlerinin vaz geçilmez aracı oldu. SIEM ürünleri yetenekleri, özellikleri ile güvenlik birimlerine çok farklı imkânlar sunmaya başladığı günümüzde bu platformlar sayesinde uçtan uca birçok alanı daha net görebilir ve analiz edebilir yapıda oldular. SIEM tabanlı bir yapıda siber olayların mücadelesi, izlenmesi ve analiz süreçlerin de kullanılıyor olması SOC‘nin vazgeçilmez bir aracı olmuştur.
Siber atak ve saldırıların çeşitliliği ve hızla değişen teknoloji ile artık SIEM platformları log yönetiminin dışında farklı güvenlik araçları ile zenginleştirilerek ve birbirleriyle entegre olarak farklı bakış açıları ve yetenekleri de güvenlik birimlerine katkı sağlamaya başladı. SIEM 2.0 ile yeni bir boyut kazanan log dünyası artık çok daha farklı bir bakış açısıyla halen daha kurumların vazgeçilmez araçlarından biri olmaya devam edecektir.
Neden SOC ?
Teknolojinin ilerlemesiyle birlikte kurumlara yapılan siber saldırıların arttığı bir gerçek. Günümüzde kurumlarda yer alan bilgi güvenliği ekipleri bu saldırı / atakları inceleyemez ve takip edemez duruma gelmiştir. Kurumlarda çalışan güvenlik ekiplerinin günlük işlerinin dışında kalan zamanlarında güvenlik tarafında oluşan olayların analizi, kontrolü ve gerekli aksiyon almaları neredeyse imkânsız hala gelmiştir. Uzmanlığı ve yetkinliği olan, tam donanımlı ekip üyelerinden oluşan bir topluluk olan SOC artık ihtiyaçtan çok zorunluluk haline gelmiştir.
Siber suçlarla mücadele, siber tehditler ve ataklar ile mücadele için kurumların güvenlik olaylarının analiz edilip incelenebilmesi, uçtan uca görünürlülüğün olması ve tüm dışarıdan gelecek tehditlere karşı savunmanın geliştirilebileceği merkezileştirilmiş bir ekibin oluşturulması kurumlara büyük avantaj ve fayda sağlayacaktır. Uymak zorunda olunan süreçlerin, tabi olunan regülasyonların gereklilikleri hem de siber tehditlere karşı kendilerini koruma altına almaları güvenlik ekiplerinin neredeyse yol arkadaşlarıdır.
7/24 izleme, tehdit analizlerinin yapılması, oluşan ya da oluşacak güvenlik tehditlerinin incelenmesi ve etki analizlerinin yapılması, bu sonuçlar doğrultusunda gerekli önlemlerin alınması, uyumluluk, gelişen siber saldırı ve tiplerini keşfetme, önceden haberdar olma gibi birçok noktada SOC kurumlara Siber güvenlik tarafında önemli katkılar sağlayacaktır.
Akıllı SOC Nedir?
Akıllı SOC, bir kurumun tüm BT altyapısında, son kullanıcıdan bulut ortamlarına kadar uçtan uca, Sanal ( Virtual SOC ) , Karma ( Hybrid SOC ) ya da dâhili ( Internal SOC ) gibi konumlanabilmektedir. Ek olarak, güvenlik olaylarının takibinde, incelenmesi ya da araştırılmasında iş ihtiyaçlarına da kapsayacak araçlar kullanmaktadır. Örnek olarak, bir analistin son kullanıcı tarafında aldığı bir alarm ya da analizi sonrasında elde ettiği bir tehdit ile bu tehdidin nerelere dokunacağı ve etki analizi konusunda kurumun genel müdür bilgisayarımı yoksa bir stajyer bilgisayarının mı etkileneceğini ve nasıl erişimler sağladığını kontrol edebilir bir yapıda olması gibi.
Akıllı SOC yapılarında sofistike/gelişmiş raporlama yeteneği ile, her gün meydana gelen olayların Sayısı, olayların niteliği, tespit edilmesi ve çözülmesi için geçen süre, gerçekleşen saldırı tipleri, hedeflenen varlıklar ve daha fazlası hakkında fikir verebilir. Bu bilgiler ışığında kurumlarda çalışan CISO‘lar için bütçe artışı ya da kaynak arttırımı gibi avantajları ile zorlu iş süreçlerinde yardımcıları olmaktadır.
Gelişen SIEM: Akıllı SOC’nin yapı taşı
Çoğu güvenlik operasyon merkezi, çevrelerinde neler olup bittiğini anlamak, kötü/zararlı aktiviteleri tespit etmek için bir Olay Yönetimi (SIEM) sistemine güvenir. Ancak, geleneksel SIEM'ler, günümüzün gelişmiş tehditlerini tespit etmek için değil, uyumluluk ve log yönetimi amacıyla oluşturulmuştur. Yalnızca günlük log kayıtlarını yakaladıkları için, güvenlik ekiplerine network üzerinde, uç nokta sistemlerde ve diğer bilgi işlem platformlarında ihtiyaç duydukları görünürlüğü sağlamazlar. Sonuç olarak, güvenlik ekipleri, uçtan uca görünürlük (veya buna yaklaşan bir şey) elde etmek için farklı araçların kullanımına güvenmek zorundadır; ancak, farklı araçlardan kaynaklanan kullanım zorlukları, ekran değişimleri gibi durumlar analistlerin hızını, verimliliğini ve de etkinliğini kısıtlamaktadır.
Buna karşılık, gelişmiş tehdit tespiti ve müdahalesi için açıkça gelişmiş bir SIEM inşa edildi. Tek bir platformda log, ağ ve uç nokta sistem verileri ile bulut, sanal ve karma ortamlar arasında gerçek zamanlı uçtan uca görünürlük sağlar. Bir organizasyon için en önemli olan tehditleri hızla belirlemek ve güvenlik ekiplerinin kendilerine daha hızlı yanıt vermesine yardımcı olmak için otomasyon, düzenleme, makine öğrenimi ve davranışsal analitikle tehdit zekâsı ve işletme bağlamını birleştirir. Bu güçlü yetenek kombinasyonu, analistlerin alarm yorgunluğunu hafifletmeyi ve güvenlik ekiplerini akıllı SOC'ye güç sağladığı için daha verimli ve etkili hale getirmeyi amaçlar.
Dahili SOC ( Internal SOC )
IT üzerinde güvenliği diğer süreçlerinden ayrımını yapabilecek bir bakış açısına sahip büyük yapılarda dâhili SOC kurulması önemlidir. 7 X 24 hizmet esasında izleme için kurulacak bu yapı için büyük bütçeler gerekmektedir.
Dâhili SOC’nin avantajlarından biri, şirket içindeki trafiğin uçtan uca en belirgin şekilde görmeyi sağlamasıdır. SOC ekibinin içerdeki cihazları, log kaynaklarını görmesini ve tehdit oluşturacak olaylara karşı perspektif kazanmasını sağlar. Bu avantajlarının yanında bazı önemli dezavantajları da bulunur: bazı olayların tespiti gözden kaçabilir, uzman personel yetiştirmede sıkıntı yaşanabilir ve başlangıçtaki yatırım maliyeti çok yüksektir. Ayrıca, bu modelin etkili olması ve yeterli düzeye gelmesi çok fazla zaman alır.
Sanal SOC ( Virtual SOC )
Virtual SOC, izleme ve tespit etme alanında gelişmiş, yüksek teknoloji ve yetenekli elemanlara sahip SOC hizmeti veren firmaların kullandığı SOC çeşididir.
Bazı kuruluşlar bütçe problemleri, kaynak yetersizliği, sınırlı bilgi ve uzmanlıktan dolayı 7/24 çalışan tam fonksiyonlu dahili SOC ekibi kuramayabilirler. Bu durumda Virtual SOC hizmeti devreye girmektedir. Bu modelin en büyük avantalarından biri, SOC hizmetinin en hızlı, en basit şekilde tamamlanması ve fiyat performans açısından etkili bir düzeyde hizmete sunulmasıdır.
Bu hizmeti alan firmaların çeşitli endüstri alanlarından olması, bu hizmeti sunan organizasyon için paha biçilemez bir bilgi ve uzmanlık sunar. Bu birçok kuruluş için bir tercih edilebilir görünse de bu modelin de üzerinde durulması gereken dezavantajları da vardır.
Bunlardan birincisi bu hizmeti alan firma tehdit anlamında ne pozisyonda olduğunu bilemeyebilir ve kurumsal bilgi güvenliği açısından önemli bir diğer dezavantaj ise, organizasyonun bazı gizli bilgileri üçüncü parti firmalar (SOC hizmeti verilen) aracılığıyla bilinir ve işlenir. Fakat bu bilgiler sözleşme aracılığıyla güvence altına alınabilir. SOC hizmeti veren kurum veya kuruluşlarında kendi güvenlik altyapılarının sağlam olması ve sürekli geliştirilen bir durumda olması müşterileri için verecekleri SOC’nin kalitesini de arttırıyor olacaktır.
Karma SOC ( Hybrid SOC )
Hybrid model SOC’de, iki SOC modelinin de en etkili şekilde birlikte kullanılması ile oluşur. Kurumların kendi personelleri, SOC hizmeti aldıkları firmadaki uzmanlar ile beraber çalışır ve izleme & tespit ve alarm üretmede en güvenli ve sağlam çözümü sunarlar.
Bu SOC tipinde sistemler ve alarmlar her iki firma tarafından da izlenir, bu şekilde çift kontrol yapılmış olur. Bu modeli seçen kurumlar genel olarak bu iş için kendi ekiplerini kurabilecek kadar gelişmişlerdir fakat bütçe sınırlamasından ve uzman ve kaynak eksikliğinden 7/24 izleme yapılacak bir internal SOC kuracak bir kapasitede değildir.
Hybrid Model, SOC yanında birçok avantajı da beraberinde sunar. Öncelikle izleme ve tespit açısından en güvenli modeldir ve her iki firma da çalıştığı için tespit ve bildirim süreçleri çok daha kısa sürede gerçekleşir. Ek olarak dışardan da analistler çalıştırdıkları için biriken iş miktarı azalır. Bunların yanı sıra, bu model, tercih edildiği kuruma alanında uzman ekiplerden oluşan SOC firmasından destek alma fırsatı sunduğu için, hem kurum için hem de kurumun elemanları için daha iyi bir öğrenme ortamı sunar. Bu modelde de organizasyonun kurumsal bilgileri üçüncü bir firmanın elinden geçer ve ekstra donanım gerektirir.
SOC’nin Avantajları
Bir SOC birimine sahip olmanın en önemli yararı, sürekli izleme ve veri etkinliğinin analizi yoluyla güvenlik olaylarının tespitinin iyileştirilmesidir. Bir kuruluşun ağları, uç nokta cihazları, sunucuları ve veritabanları ile veri etkinliği analiz edilerek; SOC ekipleri, güvenlik olaylarının zamanında tespit edilmesi ve aksiyon alınmasını sağlamak için kritik öneme sahiptir. SOC tarafından sağlanan 7/24 izleme, organizasyona, kaynağa, günün saatine veya saldırı türüne bakılmaksızın, olaylara ve saldırılara karşı savunma yapma avantajı sağlar. Saldırganların aktif saldırı süreleri ve işletmelerin tespit etme süreleri arasındaki farkın iyi bir şekilde ortaya çıkarılmasına yardımcı olduğu gibi kuruluşların bu boşluğu kapatmasına ve çevrelerine yönelik tehditlerin üstünden gelmesine yardımcı olur.
SOC hizmetleri olmadan, siber saldırıları, şirketlerin tehditleri zamanında tespit etme ve bunlara zamanında cevap verme becerisine sahip olmadıklarından uzun süre bu saldırıların varlığından haberdar olmayacaklardır. SOC tam da burada, şirketler için daha iyi bir görünürlük kazanmalarına, becerilerine, süreçlerine ve sürekli iyileştirmelerine olanak sağlayacaktır. Gittikçe daha fazla sayıda saldırı ile birçok kurum güvenlik önlemlerini önleme ve tespit etme çabalarına devam etmektedir. SOC ile bütünleşik güvenlilk anlayışı her zaman olaylara daha önceden müdahale imkânı sağlamaya devam edecektir.
- Geliştirilmiş Tehdit Yönetimi
Şirketler, tehditleri önlemek ve tespit etmek, ayrıca varlıkları güçlendirmek ve korumak için tasarlanmış çeşitli güvenlik teknolojileri kullanırlar. Maksimum verimlilik için, şüpheli faaliyetler ve olayları analiz etmek ve bunlara cevap vermek için mevcut kaynaklar ile gerçek zamanlı takip ile merkezileştirilmeli, standartlaştırılmalı, ilişkilendirilmeli ve izlenmelidir. Olayların genellikle birden fazla işletmeye yayılması muhtemeldir ve bu da riski azaltmak için koordineli eylemler gerektirir. Bir SOC, tüm bu gereklilikleri mükemmel şekilde karşılar. SOC ile kuruluşlar, saldırıların tespitinde ve daha fazla zarara neden olmadan öncelikli olarak bunların düzeltilmesi, giderilmesi kısmında en hızlı aksiyon alabilecek topluluk olacaktır.
- Mevzuata uygunluğun korunması
Bir SOC güvenlik izlemesinin yanı sıra, güvenlik açıklarının yönetimi ve ya olaylara müdahale fonksiyonu gerektiren düzenleme gereksinimlerini yerine getirmeye de yardımcı olur.
- Güvenlik fonksiyonlarının merkezileştirilmesi ve birleştirilmesi
Bir SOC'de güvenlik işlevlerini birleştirmek, tasarruf, maliyet paylaşımı ve ölçek ekonomisi yaratırken, mevcut uzmanlık, beceri ve kaynakları en üst seviyeye çıkarır.