Çoğu işletmenin artık çok iyi bildiği gibi, teknoloji tek başına işletmeleri giderek daha karmaşık hale gelen siber tehditlere karşı korumak için yeterli değildir. Modern, etkili siber güvenlik, teknoloji, zeka ve insan uzmanlığının stratejik bir birleşimini gerektirir. Bir Güvenlik Operasyon Merkezi (SOC), tehditleri önlemek, tespit etmek ve 7/24 yanıt vermek için gereken doğru düzeyde desteği sağlayarak bu dengeyi sağlamanın etkili bir yoludur.
SOC nedir?
Güvenlik Operasyonları Merkezi ( SOC ), bir kuruluşun siber güvenliğini denetlemekten ve geliştirmekten sorumlu özel bir ekibi barındıran bir tesistir. Tipik olarak güvenlik analistleri, mühendisler ve olay müdahalecilerinden oluşan bu ekip, siber olay önleme, 24 saat güvenlik olayı yönetimi ve ayrıca konuşlandırılmış tüm güvenlik teknolojilerinin yapılandırılması ve bakımı ile görevlendirilir.
Ancak, SOC her zaman fiziksel bir tesis olmak zorunda değildir. Bazı durumlarda sanal bir SOC işlevi olarak çalışır . Daha az olgun veya daha fazla kaynak kısıtlaması olan kuruluşlarda, personel üyeleri, uzaktan veya geçici olarak güvenlik operasyonel işlevlerini yerine getirmek üzere görevlendirilebilir. Bir SOC, ‘siber güvenlik operasyonları merkezi’ olarak adlandırılabilir.
Bir SOC Hangi İşlevleri Yerine Getirir?
Bir SOC, tehdit önleme, algılama ve yanıt vermeye odaklanır. Bir SOC ekibi tarafından gerçekleştirilen tipik işlevler şunları içerir:
- Sistem dağıtımı ve yönetimi
- Günlük yönetimi ve izleme
- Tehdit istihbaratı analizi
- Güvenlik açığı yönetimi
- Olay araştırması
- Tehdit avcılığı
- Vaka geliştirmeyi kullanın
- Olay yanıtı
- Sorun kaynağı çözümlemesi
- İhlal bildirimi
- Uyumluluk raporlaması
- Çalışan güvenliği eğitimi
Bir SOC’nin bir kuruluşu korumak için hangi teknolojilere ihtiyacı vardır?
Bir dizi kurum içi ve harici tehdit istihbarat kaynağının yanı sıra önleme, tespit ve aldatma teknolojilerinin bir kombinasyonunu kullanan bir SOC, bir kuruluşun ağları ve uç noktalarındaki tehditleri tespit etmek için tasarlanmıştır.
SOC’ler tarafından yönetilen güvenlik teknolojileri şunları içerir:
- Uç Nokta Tespiti ve Yanıtı ( EDR )
- Güvenlik Bilgileri ve Olay Yönetimi ( SIEM )
- Genişletilmiş Tespit ve Yanıt ( XDR )
- Güvenlik Düzenleme, Otomasyon ve yanıt ( SOAR )
- Saldırı Tespit Sistemi ( IDS )
- Ağ Trafik Analizi (NTA)
- Yeni Nesil Antivirüs (NGAV)
- Yeni Nesil Güvenlik Duvarları (NGFW)
- Güvenlik Açığı Yönetimi ve Değerlendirmesi
Bir SOC çalıştırmak için hangi personele ihtiyaç vardır?
Bir SOC’nin her gün tüm gün çalışabilecek kapasiteye ve yeteneğe sahip olmasını sağlamak için çeşitli becerilere sahip geniş bir personel yelpazesine ihtiyaç vardır.
Bir SOC içindeki kilit personel şunları içerir:
Siber güvenlik analistleri
Siber güvenlik analistleri, 7/24 güvenlik olayı izleme, olay analizi ve triyaj yürütmenin yanı sıra gerekli müdahaleyi gerçekleştirdikleri için her SOC için hayati öneme sahiptir.
Daha büyük bir SOC’de, tehdit istihbaratı, proaktif tehdit avcılığı gibi belirli sorumluluklara odaklanan kıdemli güvenlik analistlerini bulmak nadir değildir.
Siber güvenlik mühendisleri
Siber güvenlik mühendisleri, güvenlik duvarları ve SIEM gibi ağ izleme araçları, izinsiz giriş algılama ve uç nokta algılama ve yanıt platformları gibi bir kuruluşun güvenlik teknolojilerini dağıtmak ve yapılandırmak için siber güvenlik analistleriyle yakın bir şekilde çalışır.
Diğer bir önemli sorumluluk, tüm teknolojilerin mümkün olduğunca etkili olmalarını ve daha az yanlış pozitif üretmelerini sağlayacak şekilde ayarlamaktır. Bu, belirli şüpheli etkinlik türlerini tespit etmek ve otomatik yanıtları tetiklemek için tipik faaliyetlerden sapmaları daha kolay tespit etmek için temel teknolojilerin yanı sıra tehdit algılama kuralları veya kullanım senaryoları ayarlamayı içerir.
Siber olay müdahale ekipleri
Siber olay müdahale ekipleri, olay hakkında bir anlayış oluşturarak, kontrolü ele alarak ve kuruluşun varlıklarını, operasyonlarını ve itibarını korumak için hızlı ve etkili müdahaleyi koordine ederek, meydana geldiklerinde güvenlik olaylarının ele alınmasına ve yönetilmesine yardımcı olmaktan sorumludur.
SOC yönetimi
SOC ayrıca vardiya rotalarını, eğitimi ve işe alıştırmayı koordine etmek, KPI izleme gerçekleştirmek, sürekli iyileştirme sağlamak ve günlük SOC yönetimini denetlemek için bir yönetici ve ekip liderleri gerektirir.
Modern bir SOC nasıl olmalıdır?
Tehdit avcılığı ve saldırı yetenekleri, SOC’ler için giderek daha kritik hale geliyor. Modern SOC’ler, yalnızca uyarıları bekleyip bunları bir ağ operasyon merkezine (NOC) veya daha küçük kuruluşlarda, bireysel bir BT sahibine veya Yönetilene iletmekle kalmayıp, tehdit algılama ve yanıt verme yaklaşımlarında proaktif olma konusunda her zamankinden daha fazla baskı altındadır. BT Hizmet Sağlayıcı, harekete geçmek için.
Siber tehdit avcılığı, aktif tehditlerin etkisini azaltmak ve gelecekte izinsiz girişleri önlemek için temel neden ve adli analiz kullanarak geleneksel ağ savunmalarını atlayan saldırıların erken tespitini başarısız kılar.
SOC’lerin artık, örneğin etkilenen makineleri ağdan izole etmek için uç nokta yönetimi araçlarını kullanarak siber ihlalleri bozmak, kontrol altına almak ve düzeltmek için hızlı adımlar atabilmeleri bekleniyor.
Olay müdahalesini SOC’nin bir parçası olarak dahil etmek, algılama ve müdahale arasında daha sıkı bir entegrasyon sağlar ve sağlam bir güvenlik duruşunu sürdürmek için önemli bir faktördür.
Tehdit istihbaratı, sistemlerin ayarlanmasını sağlamada ve en son tehditleri belirlemek için kullanım senaryoları geliştirmede giderek daha önemli bir rol oynamaktadır.
Modern SOC ayrıca, çeşitli saldırı senaryolarında alınması gereken uygun eylemler konusunda karşılıklı olarak üzerinde anlaşmaya varılan kararlar sağlayan standart olay müdahale oyun kitaplarına sahip olacaktır. SOC’ler, belirli kötü amaçlı davranış gruplarını belirlemek için ayarlanan tehdit algılama kullanım durumları ile daha hızlı düzeltme sağlamak için bu yanıtlardan bazılarını otomatikleştirebilir.
Başarılı bir SOC’nin göstergeleri nelerdir?
Bir SOC’nin kurulmasına ve yürütülmesine yapılan önemli yatırımla, bir kuruluşun siber güvenliğinin geliştirilmesine yardımcı olduğunu iç veya dış paydaşlara gösterebilmesi gerekir . Bu, temel metrikleri ölçmek ve bunları raporlamak için süreçlere ve prosedürlere sahip olmak anlamına gelir.
Bir SOC’nin temel işlevlerini ve genel performansını gözden geçirmek için tutarlı ölçümler gerekecektir. Kullanılan teknolojinin başarısının, uygulamanın kendisiyle değil, kuruluşa nasıl değer kattığıyla değerlendirileceğini hatırlamak önemlidir.
Ortalama tespit süresi (MTTD), bir siber ihlalin gerçekleştiğini belirlemek için geçen ortalama süredir. Bir kuruluş zaman içinde birden fazla ihlal olayına maruz kaldığında, verileri her bir keşfin ne kadar sürdüğünü ortalama bir süre hesaplamak için kullanmak mümkündür.
Diğer bir popüler metrik ortalama yanıt verme süresidir (MTTR), bazen ortalama çözüm süresi olarak da adlandırılır. Ortalama tespit süresi yerine, bir kuruluşun keşfedilen ihlali veya güvenlik açığını düzeltmek için harekete geçtiği ortalama süredir.
Bu ölçümler tek başına gerçek başarı göstergeleri olarak güvenilemez ve eşlik eden bir test programı, etkinliği ölçmek için sadece verimlilikten ziyade önemlidir. Senaryo tabanlı testler, bunu başarmanın etkili bir yoludur – çok çeşitli çekişmeli teknikleri simüle etmek ve önemli varlıkların korunmasını geliştirmek için öneriler sunmak.
SOC çalıştırmanın zorlukları nelerdir?
Birçok sektörde, işletmelerin ciddi finansal ve itibar zararlarına yol açmadan önce tehditleri proaktif bir şekilde araması ve ortadan kaldırması için artan bir ihtiyaç var. Bununla birlikte, bu hayati işlevleri yerine getirmek için kurum içi bir SOC kurmanın maliyeti, en büyük kuruluşlar dışında çoğu zaman erişilemez.
Uyarı yorgunluğu
İşletmeleri en son siber tehditlere karşı korumak, bir BT ortamında kötü amaçlı faaliyetleri önlemek ve görünür kılmak için bir dizi teknoloji gerektirir. Bununla birlikte, birçok güvenlik sistemi büyük miktarda uyarı üretir ve bunları araştırmaya adanmış uzman bir ekip olmadan gürültüye gömülmek kolay olabilir. Gergin güvenlik ekiplerinin siber güvenlik uyarı yorgunluğuna maruz kalması da yaygındır.
Uzman personel eksikliği
Yetenekli, siber güvenlik konusunda eğitimli personel gereklidir, ancak sürekli izleme, kapsamlı veri analizi ve olay müdahalesi için uzman personel bulmak her zaman kolay değildir.
Bildirildiğine göre 4 milyona varan küresel güvenlik becerileri eksikliği ışığında, bir SOC’nin başarılı çalışması için personeli işe almak, elde tutmak ve sürekli eğitmek pahalı olabilir. 24 saat koruma sağlamak için, kuruluşların 7/24/365 günde 8 saatlik üç vardiyayı kapsayacak en az 10 çalışana ihtiyacı vardır. Çok büyük işletmeler için bu rakam 30’un üzerine çıkabilir.
Yüksek personel sirkülasyonu
Kuruluşlar, doğru insanları bulup işe aldıklarında bile, özellikle 7/24 vardiya rotasını koordine ederken, tükenmişlik ve stresin neden olduğu yüksek SOC personel devir hızı nedeniyle baskı altındadır.
Önemli maliyetler
Sürekli büyüyen BT sitelerinde, sadece doğru teknolojiye sahip olmak yeterli değildir. Birden çok farklı aracın izlenmesi karmaşıktır ve şirket içi bir SOC ayrıca insanlara, eğitime ve süreçlere önemli bir yatırım gerektirir. SOC ne kadar etkili ve güvenlik kapsamı ne kadar eksiksiz olursa, maliyetin o kadar yüksek olduğunu gösteren araştırmalarla birlikte başarılı olmanın da bir bedeli vardır.
Yatırım getirisi eksikliği
Devo ve Ponemon Enstitüsü tarafından yapılan araştırmaya göre, gereken önemli yatırıma rağmen, kuruluşların yalnızca %50’si kurum içi SOC’lerini etkili olarak değerlendirirken, kuruluşların yalnızca %24’ü güvenlik olaylarını saatler hatta günler içinde çözebileceklerini söylüyor.
Bir SOC’yi dış kaynak kullanmanın avantajları nelerdir?
Bir hizmet olarak SOC, kurum içi bir operasyon oluşturmak için gerekli bütçeye ve kaynaklara sahip olmayan kuruluşlar için sorunsuz ve uygun maliyetli bir seçenektir ve birçok işletme artık SOC yeteneklerinin bir kısmını veya tamamını dışarıdan temin etmek istemektedir.
Dış kaynaklı bir SOC, günün her saatinde seçilen güvenlik araçlarını dağıtarak, yapılandırarak ve yöneterek farklı güvenlik teknolojilerini yönetmenin karmaşıklığını azaltır. Avantajları şunları içerir:
- Kombine otomasyon ve insan uzmanlığı
- Kuruluş genelinde görünürlük
- Tehdit istihbaratı kullanımı yoluyla azaltılmış ihlal etkisi
- Sürekli güncellenen güvenlik anlayışı ve uygulamaları
- Personel bulmak, işe almak ve eğitmek için baskı yok ve sürekli olarak yüksek ciroya hitap ediyor