Güvenlik operasyonları merkezi (SOC), bir kuruluşu siber saldırılara karşı izleyen, analiz eden ve koruyan bilgi güvenliği (infosec) konusunda uzmanlığa sahip bilgi teknolojisi ( BT ) profesyonellerinden oluşan bir ekip için bir komuta merkezi tesisidir .
SOC’de internet trafiği, ağlar, masaüstü bilgisayarlar, sunucular, uç nokta cihazları, veri tabanları, uygulamalar ve diğer sistemler bir güvenlik olayının belirtileri için sürekli olarak incelenir . SOC personeli, diğer ekipler veya departmanlarla çalışabilir, ancak genellikle yüksek düzeyde BT ve siber güvenlik becerilerine sahip olan veya üçüncü taraf hizmet sağlayıcılara dış kaynak sağlayan çalışanlarla bağımsızdır . SOC’ların, etkinliği sürekli olarak kaydetmek ve tehditleri azaltmak için vardiyalar halinde çalışan çalışanlarla günün her saatinde çalışır.
SOC’u kurmadan önce, bir kuruluş siber güvenlik stratejisini mevcut iş hedefleri ve sorunları ile uyumlu hale getirmek için tanımlamalıdır. Departman yöneticileri , şirketin misyonunu sürdürmek için ne yapılması gerektiğine odaklanan bir risk değerlendirmesine atıfta bulunur ve ardından ulaşılacak hedefler ve bu hedeflere ulaşmak için gereken altyapı ve araçlar ile gerekli personel becerileri hakkında girdi sağlar.
SOC’ler, yalnızca kuruluşların izinsiz girişlere hızlı bir şekilde yanıt vermesine yardımcı olmakla kalmayıp, aynı zamanda algılama ve önleme süreçlerini sürekli olarak iyileştirdiklerinden, olası bir veri ihlalinin maliyetlerini en aza indirmenin ayrılmaz bir parçasıdır .
Çoğu büyük kuruluşun kendi bünyesinde SOC’leri bulunurken, kendilerinin bakımını yapacak personeli veya kaynakları olmayan şirketler, SOC sorumluluklarının bir kısmını veya tamamını bir yönetilen hizmet sağlayıcısına (MSP), buluta veya barındırılan bir sanal SOC’ye dış kaynak sağlamayı tercih edebilir.
SOC’ler genellikle sağlık, eğitim, finans, e-ticaret , hükümet, askeri operasyonlar ve ileri teknoloji endüstrilerinde bulunur.
Güvenlik operasyonları merkezi ne iş yapar?
Bir güvenlik operasyonları merkezinin kapsayıcı stratejisi, tüm organizasyonu daha güvenli hale getirmek için veri toplamayı ve bu verileri şüpheli etkinlik için analiz etmeyi içeren tehdit yönetimi etrafında döner. SOC ekipleri tarafından izlenen ham veriler güvenlikle ilgilidir ve güvenlik duvarlarından , tehdit istihbaratından, izinsiz giriş önleme ve tespit sistemlerinden ( IPS’ler / IDS’ler ), incelemelerden ve güvenlik bilgileri ve olay yönetimi ( SIEM ) sistemlerinden toplanır . Uyarılar, verilerden herhangi birinin anormal olması veya tehlike göstergeleri ( IOC’ler ) göstermesi durumunda ekip üyeleriyle hemen iletişim kurmak için oluşturulur .
Bir SOC’un temel sorumlulukları şunları içerir:
- Varlık keşfi ve yönetimi , kuruluş içinde kullanılan tüm araçlar, yazılımlar, donanımlar ve teknolojiler hakkında yüksek bir farkındalık elde etmeyi içerir. Bunlar ayrıca tüm varlıkların düzgün şekilde çalışmasını ve düzenli olarak yamalanıp güncellenmesini sağlamaya odaklanır.
- Sürekli davranışsal izleme, tüm sistemleri yıl boyunca 7/24 incelemeyi içerir. Bu, aktivitedeki herhangi bir düzensizlik anında tespit edildiğinden, SOC’lerin reaktif ve proaktif önlemlere eşit ağırlık vermesini sağlar. Davranışsal modeller, hangi faaliyetlerin şüpheli olduğu konusunda veri toplama sistemlerini eğitir ve yanlış pozitif olarak kaydedilebilecek bilgileri ayarlamak için kullanılabilir.
- Etkinlik günlüklerini tutmak , SOC ekip üyelerinin bir ihlalle sonuçlanmış olabilecek önceki eylemleri geri izlemesine veya tam olarak saptamasına olanak tanır. Bir kuruluştaki tüm iletişimler ve etkinlikler SOC tarafından günlüğe kaydedilmelidir.
- Uyarı önem derecesi sıralaması, ekiplerin en ciddi veya acil uyarıların önce ele alınmasını sağlamasına yardımcı olur. Ekipler, siber güvenlik tehditlerini potansiyel hasar açısından düzenli olarak sıralamalıdır.
- Savunma geliştirme ve evrimi , SOC ekiplerinin güncel kalmasına yardımcı olmak için önemlidir. Ekipler, sistemleri yeni ve eski saldırılara karşı savunmak için bir olay müdahale planı (IRP) oluşturmalıdır. Ekipler ayrıca yeni bilgiler elde edildiğinde planı gerektiği gibi ayarlamalıdır.
- Olay kurtarma , bir kuruluşun güvenliği ihlal edilmiş verileri kurtarmasını sağlar. Buna sistemlerin yeniden yapılandırılması, güncellenmesi veya yedeklenmesi dahildir.
- Uyum bakımı , SOC ekip üyelerinin ve şirketin iş planlarını yürütürken düzenleyici ve organizasyonel standartları takip etmesini sağlamanın anahtarıdır. Tipik olarak, bir ekip üyesi, uyumluluğun eğitimini ve uygulanmasını denetler.
Ek SOC yetenekleri , belirli organizasyonun ihtiyaçlarına göre tersine mühendislik , adli analiz, ağ telemetrisi ve kriptanalizi içerebilir .
Kazanan bir SOC ekibi oluşturmak
SOC’ler, kapsamlı güvenlik operasyonlarında rol oynayan çeşitli kişilerden oluşur. Bir SOC’de bulunabilecek iş unvanları ve sorumlulukları şunları içerir:
- Bir SOC yöneticisi SOC ve siber güvenlik ekibinin günlük operasyonlarını yönetmekten sorumlu bir çalışandır. Ayrıca, güncellemeleri organizasyonun yönetici kadrosuyla iletmek SOC yöneticisinin rolünün bir parçasıdır.
- Bir olay müdahale görevlisi, tehdidi azaltmak ve ortadan kaldırmak için gerekli uygulamaları uygulayarak başarılı saldırıları veya ihlalleri ele alır.
- Adli araştırmacı kök neden belirlenmesi ve tüm saldırıların kaynağının bulunması, mevcut herhangi bir destekleyici kanıt toplamakla görevli olduğunu.
- Bir uyum denetçi SOC’un tüm süreçlerini sağlar ve işçi eylemleri uyumluluk gereksinimlerini karşılamak.
- Bir SOC güvenlik analisti, güvenlik uyarılarını aciliyet veya önem derecesine göre inceler ve düzenler ve düzenli güvenlik açığı değerlendirmeleri yürütür. Bir SOC analisti, programlama dilleri bilgisi, sistem yöneticisi (sys yöneticisi) yetenekleri ve en iyi güvenlik uygulamaları gibi becerileri sürdürür.
- Bir tehdit avcısı , tespit edilmesi zor tehditleri belirlemek için SOC tarafından toplanan verileri inceler. Esneklik ve sızma testi (penetrasyon testi), tehdit avcısının rutin programının bir parçası olabilir.
- Bir güvenlik mühendisi , etkin izinsiz giriş tespiti ve güvenlik açığı yönetimi yeteneklerini yürütmek için gerekli olan sistemleri veya araçları geliştirir ve tasarlar.
Güvenlik operasyon merkezlerinin türleri
Takımda hangi iş rollerinin yer alacağına karar vermenin yanı sıra, bir organizasyonun uygulayabileceği birkaç modeli vardır. Bunlar aşağıdakileri içerir:
- Özel veya kendi kendini yöneten SOC. Bu model, kurum içi personeli olan bir kurum içi tesise sahiptir.
- Dağıtılmış SOC. Ortak yönetilen SOC olarak da bilinen bu model, bir üçüncü taraf yönetilen güvenlik hizmeti sağlayıcısı (MSSP) ile birlikte çalışmak üzere şirket içinde işe alınan yarı özel tam zamanlı veya yarı zamanlı ekip üyelerine sahiptir.
- Yönetilen SOC. Bu model, bir kuruluşa tüm SOC hizmetlerini sağlayan MSSP’lere sahiptir. Yönetilen algılama ve yanıt (MDR) iş ortakları, yönetilen bir SOC’nin başka bir biçimidir.
- Komuta SOC. Bu model, diğer tipik olarak tahsis edilmiş güvenlik operasyon merkezlerine tehdit istihbaratı içgörüleri ve güvenlik uzmanlığı sağlar. Bir komut SOC, gerçek güvenlik operasyonlarında veya süreçlerinde yer almaz, sadece istihbarat tarafında yer alır.
- Füzyon merkezi. Bu model, diğer SOC türleri veya BT departmanları dahil olmak üzere, güvenlik odaklı herhangi bir tesisi veya girişimi denetler. Füzyon merkezleri, gelişmiş SOC’ler olarak kabul edilir ve BT operasyonları, DevOps ve ürün geliştirme gibi diğer kurumsal ekiplerle birlikte çalışır.
- Çok işlevli SOC. Bu model, özel bir tesise ve kurum içi personele sahiptir, ancak rolleri ve sorumlulukları, ağ operasyon merkezleri ( NOC’ler ) gibi BT yönetiminin diğer kritik alanlarını da kapsar .
- Sanal SOC. Bu modelin özel bir şirket içi tesisi yoktur. Sanal bir SOC, kurumsal olarak çalıştırılabilir veya tamamen yönetilebilir. Kurumsal bir SOC’de genellikle kurum içi çalışanlar veya kurum içi, isteğe bağlı ve bulut tarafından sağlanan çalışanların bir karışımı bulunur. Dış kaynaklı veya hizmet olarak SOC (SOCaaS) olarak da bilinen tam olarak yönetilen bir sanal SOC, kurum içi personele sahip değildir.
- SOCaaS. Bu abonelik tabanlı veya yazılım tabanlı model, SOC işlevlerinin bir kısmını veya tamamını bir bulut sağlayıcısına dış kaynak sağlar.
Şirketinizi kötü niyetli kişilerden korumak için Ozztech Bilgi Güvenliği Teknolojileri’nden Siber Güvenlik Danışmanlığı alabilirsiniz.