OzzTech - SOC Nedir?

SOC Nedir?

SOC Nedir?

Güvenlik operasyonları merkezi (SOC), bir kuruluşu siber saldırılara karşı izleyen, analiz eden ve koruyan bilgi güvenliği (infosec) konusunda uzmanlığa sahip bilgi teknolojisi ( BT ) profesyonellerinden oluşan bir ekip için bir komuta merkezi tesisidir .

SOC'de internet trafiği, ağlar, masaüstü bilgisayarlar, sunucular, uç nokta cihazları, veri tabanları, uygulamalar ve diğer sistemler bir güvenlik olayının belirtileri için sürekli olarak incelenir . SOC personeli, diğer ekipler veya departmanlarla çalışabilir, ancak genellikle yüksek düzeyde BT ve siber güvenlik becerilerine sahip olan veya üçüncü taraf hizmet sağlayıcılara dış kaynak sağlayan çalışanlarla bağımsızdır . SOC'ların, etkinliği sürekli olarak kaydetmek ve tehditleri azaltmak için vardiyalar halinde çalışan çalışanlarla günün her saatinde çalışır.

SOC'u kurmadan önce, bir kuruluş siber güvenlik stratejisini mevcut iş hedefleri ve sorunları ile uyumlu hale getirmek için tanımlamalıdır. Departman yöneticileri , şirketin misyonunu sürdürmek için ne yapılması gerektiğine odaklanan bir risk değerlendirmesine atıfta bulunur ve ardından ulaşılacak hedefler ve bu hedeflere ulaşmak için gereken altyapı ve araçlar ile gerekli personel becerileri hakkında girdi sağlar.

SOC'ler, yalnızca kuruluşların izinsiz girişlere hızlı bir şekilde yanıt vermesine yardımcı olmakla kalmayıp, aynı zamanda algılama ve önleme süreçlerini sürekli olarak iyileştirdiklerinden, olası bir veri ihlalinin maliyetlerini en aza indirmenin ayrılmaz bir parçasıdır .

Çoğu büyük kuruluşun kendi bünyesinde SOC'leri bulunurken, kendilerinin bakımını yapacak personeli veya kaynakları olmayan şirketler, SOC sorumluluklarının bir kısmını veya tamamını bir yönetilen hizmet sağlayıcısına (MSP), buluta veya barındırılan bir sanal SOC'ye dış kaynak sağlamayı tercih edebilir.

SOC'ler genellikle sağlık, eğitim, finans, e-ticaret , hükümet, askeri operasyonlar ve ileri teknoloji endüstrilerinde bulunur.

Güvenlik operasyonları merkezi ne iş yapar?

Bir güvenlik operasyonları merkezinin kapsayıcı stratejisi, tüm organizasyonu daha güvenli hale getirmek için veri toplamayı ve bu verileri şüpheli etkinlik için analiz etmeyi içeren tehdit yönetimi etrafında döner. SOC ekipleri tarafından izlenen ham veriler güvenlikle ilgilidir ve güvenlik duvarlarından , tehdit istihbaratından, izinsiz giriş önleme ve tespit sistemlerinden ( IPS'ler / IDS'ler ), incelemelerden ve güvenlik bilgileri ve olay yönetimi ( SIEM ) sistemlerinden toplanır . Uyarılar, verilerden herhangi birinin anormal olması veya tehlike göstergeleri ( IOC'ler ) göstermesi durumunda ekip üyeleriyle hemen iletişim kurmak için oluşturulur .

Bir SOC'un temel sorumlulukları şunları içerir:

  • Varlık keşfi ve yönetimi , kuruluş içinde kullanılan tüm araçlar, yazılımlar, donanımlar ve teknolojiler hakkında yüksek bir farkındalık elde etmeyi içerir. Bunlar ayrıca tüm varlıkların düzgün şekilde çalışmasını ve düzenli olarak yamalanıp güncellenmesini sağlamaya odaklanır.
  • Sürekli davranışsal izleme, tüm sistemleri yıl boyunca 7/24 incelemeyi içerir. Bu, aktivitedeki herhangi bir düzensizlik anında tespit edildiğinden, SOC'lerin reaktif ve proaktif önlemlere eşit ağırlık vermesini sağlar. Davranışsal modeller, hangi faaliyetlerin şüpheli olduğu konusunda veri toplama sistemlerini eğitir ve yanlış pozitif olarak kaydedilebilecek bilgileri ayarlamak için kullanılabilir.
  • Etkinlik günlüklerini tutmak , SOC ekip üyelerinin bir ihlalle sonuçlanmış olabilecek önceki eylemleri geri izlemesine veya tam olarak saptamasına olanak tanır. Bir kuruluştaki tüm iletişimler ve etkinlikler SOC tarafından günlüğe kaydedilmelidir.
  • Uyarı önem derecesi sıralaması, ekiplerin en ciddi veya acil uyarıların önce ele alınmasını sağlamasına yardımcı olur. Ekipler, siber güvenlik tehditlerini potansiyel hasar açısından düzenli olarak sıralamalıdır.
  • Savunma geliştirme ve evrimi , SOC ekiplerinin güncel kalmasına yardımcı olmak için önemlidir. Ekipler, sistemleri yeni ve eski saldırılara karşı savunmak için bir olay müdahale planı (IRP) oluşturmalıdır. Ekipler ayrıca yeni bilgiler elde edildiğinde planı gerektiği gibi ayarlamalıdır.
  • Olay kurtarma , bir kuruluşun güvenliği ihlal edilmiş verileri kurtarmasını sağlar. Buna sistemlerin yeniden yapılandırılması, güncellenmesi veya yedeklenmesi dahildir.
  • Uyum bakımı , SOC ekip üyelerinin ve şirketin iş planlarını yürütürken düzenleyici ve organizasyonel standartları takip etmesini sağlamanın anahtarıdır. Tipik olarak, bir ekip üyesi, uyumluluğun eğitimini ve uygulanmasını denetler.

Ek SOC yetenekleri , belirli organizasyonun ihtiyaçlarına göre tersine mühendislik , adli analiz, ağ telemetrisi ve kriptanalizi içerebilir .

Kazanan bir SOC ekibi oluşturmak

SOC'ler, kapsamlı güvenlik operasyonlarında rol oynayan çeşitli kişilerden oluşur. Bir SOC'de bulunabilecek iş unvanları ve sorumlulukları şunları içerir:

  • Bir SOC yöneticisi SOC ve siber güvenlik ekibinin günlük operasyonlarını yönetmekten sorumlu bir çalışandır. Ayrıca, güncellemeleri organizasyonun yönetici kadrosuyla iletmek SOC yöneticisinin rolünün bir parçasıdır.
  • Bir olay müdahale görevlisi, tehdidi azaltmak ve ortadan kaldırmak için gerekli uygulamaları uygulayarak başarılı saldırıları veya ihlalleri ele alır.
  • Adli araştırmacı kök neden belirlenmesi ve tüm saldırıların kaynağının bulunması, mevcut herhangi bir destekleyici kanıt toplamakla görevli olduğunu.
  • Bir uyum denetçi SOC'un tüm süreçlerini sağlar ve işçi eylemleri uyumluluk gereksinimlerini karşılamak.
  • Bir SOC güvenlik analisti, güvenlik uyarılarını aciliyet veya önem derecesine göre inceler ve düzenler ve düzenli güvenlik açığı değerlendirmeleri yürütür. Bir SOC analisti, programlama dilleri bilgisi, sistem yöneticisi (sys yöneticisi) yetenekleri ve en iyi güvenlik uygulamaları gibi becerileri sürdürür.
  • Bir tehdit avcısı , tespit edilmesi zor tehditleri belirlemek için SOC tarafından toplanan verileri inceler. Esneklik ve sızma testi (penetrasyon testi), tehdit avcısının rutin programının bir parçası olabilir.
  • Bir güvenlik mühendisi , etkin izinsiz giriş tespiti ve güvenlik açığı yönetimi yeteneklerini yürütmek için gerekli olan sistemleri veya araçları geliştirir ve tasarlar.

Güvenlik operasyon merkezlerinin türleri

Takımda hangi iş rollerinin yer alacağına karar vermenin yanı sıra, bir organizasyonun uygulayabileceği birkaç modeli vardır. Bunlar aşağıdakileri içerir:

  • Özel veya kendi kendini yöneten SOC. Bu model, kurum içi personeli olan bir kurum içi tesise sahiptir.
  • Dağıtılmış SOC. Ortak yönetilen SOC olarak da bilinen bu model, bir üçüncü taraf yönetilen güvenlik hizmeti sağlayıcısı (MSSP) ile birlikte çalışmak üzere şirket içinde işe alınan yarı özel tam zamanlı veya yarı zamanlı ekip üyelerine sahiptir.
  • Yönetilen SOC. Bu model, bir kuruluşa tüm SOC hizmetlerini sağlayan MSSP'lere sahiptir. Yönetilen algılama ve yanıt (MDR) iş ortakları, yönetilen bir SOC'nin başka bir biçimidir.
  • Komuta SOC. Bu model, diğer tipik olarak tahsis edilmiş güvenlik operasyon merkezlerine tehdit istihbaratı içgörüleri ve güvenlik uzmanlığı sağlar. Bir komut SOC, gerçek güvenlik operasyonlarında veya süreçlerinde yer almaz, sadece istihbarat tarafında yer alır.
  • Füzyon merkezi. Bu model, diğer SOC türleri veya BT departmanları dahil olmak üzere, güvenlik odaklı herhangi bir tesisi veya girişimi denetler. Füzyon merkezleri, gelişmiş SOC'ler olarak kabul edilir ve BT operasyonları, DevOps ve ürün geliştirme gibi diğer kurumsal ekiplerle birlikte çalışır.
  • Çok işlevli SOC. Bu model, özel bir tesise ve kurum içi personele sahiptir, ancak rolleri ve sorumlulukları, ağ operasyon merkezleri ( NOC'ler ) gibi BT yönetiminin diğer kritik alanlarını da kapsar .
  • Sanal SOC. Bu modelin özel bir şirket içi tesisi yoktur. Sanal bir SOC, kurumsal olarak çalıştırılabilir veya tamamen yönetilebilir. Kurumsal bir SOC'de genellikle kurum içi çalışanlar veya kurum içi, isteğe bağlı ve bulut tarafından sağlanan çalışanların bir karışımı bulunur. Dış kaynaklı veya hizmet olarak SOC (SOCaaS) olarak da bilinen tam olarak yönetilen bir sanal SOC, kurum içi personele sahip değildir.
  • SOCaaS. Bu abonelik tabanlı veya yazılım tabanlı model, SOC işlevlerinin bir kısmını veya tamamını bir bulut sağlayıcısına dış kaynak sağlar.

Şirketinizi kötü niyetli kişilerden korumak için Ozztech Bilgi Güvenliği Teknolojileri'nden Siber Güvenlik Danışmanlığı alabilirsiniz.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.