elektrik port üyelik servisleri elektrik port üyelik servisleri

Güvenlik Operasyon Merkezi
(SOC) Nedir? Yapısı ve Faydaları Nelerdir?

Son yıllarda artış gösteren siber saldırılarla birlikte şirketler, hükümetler ve organizasyonlar için daha önemli bir konu haline gelmeye başlayan saldırılar ve bu saldırılara oluşturan tehditler için önlemler alınmaya başlandı. Güvenlik operasyon merkezleri de siber güvenlik olaylarının tespiti ve analizi için bu saldırılara karşı aksiyon almaya başladı. Peki bu merkezler nasıl oluşur ve sistemleri nelerdir? Detayları birlikte inceleyelim.



A- A+
16.07.2019 tarihli yazı 8413 kez okunmuştur.
İnternet korsanlarının artması ve daha bilgili hale gelmesi ile birlikte şirketlerin güvenlik açıklarının yakalanması ve hemen hemen her firmanın bu tür tehditler altında kalması kaçınılmaz bir hal alıyor. Siber saldırılarla birlikte şirketler hem bilgi ve hem de maddi kayıplar yaşıyor. Kimi eski sistemleri kullanan şirketler, güvenlik sistemlerinin güncellememesi ile internet korsanlarının işlerini kolaylaştırıyor. Siber saldırıların önceden analiz edilmesi ve buna karşı koymak için önlemlerin alınmasına yönelik çalışmaları yapan ekipler güvenlik operasyon merkezlerinde bulunur bir iş birliği içinde çalışırlar. Peki SOC nedir ve bu kuruluş ne iş yapar?
 
 
►İlginizi Çekebilir: Siber Saldırı Nedir?
 
SOC, Güvenlik Operasyonları Merkezi (Security Operations Center) bir kuruluşun güvenliğini devamlı olarak izleyen ve güvenlik olaylarının analizinden sorumlu bir bilgi güvenliği ekibinin bulunduğu yerdir. Bu ekip,  teknolojik çözümleri kullanarak iyi bir süreç yönetimi yapar ve siber güvenlik olaylarının tespit edilmesini sağlayıp analizini sunar. Siber saldırılara karşı aksiyon alır. Güvenlik operasyonları merkezleri genellikle güvenlik analistleri, güvenlik mühendisleri ve güvenlik işlemlerini denetleyen yöneticilerden oluşur ve güvenlik operasyonlarını denetleyen yöneticileriyle birlikte çalışır.
 
Bir SOC, merkezi komuta merkezi gibi davranır; ağları, cihazları bilgi depoları dahil olmak üzere bir kuruluşun BT altyapısını göz önüne alarak hareket eder. Temel olarak, SOC, izlenen organizasyonda kaydedilen her olay için bir benzerlik noktasıdır. Bu olayların her biri için, SOC nasıl yönetileceği ve nasıl davranılacağına karar vermelidir. Bu kararların alınması ile saldırıların önceden tespit edilmesini sağlar.
 

Siber Güvenlik Operasyon Merkezleri Nasıl Çalışır?

 
Bir SOC ekibinin çalışabilmesi için donanımsal ve yazılımsal uygun altyapıya sahip olması gerekmektedir. SOC işlemlerinin temeli, kurumun sahip olduğu cihaz ve sistemlerden gönderilen log kayıtlarını yani sistemin dijital hareket verilerini ve bu verileri analiz edip, uygun sonuçlar ve tepkiler üreten SIEM ve SOAR sistemleridir.
 
SIEM (Güvenlik Bilgisi ve Etkinlik Yönetimi) sistemler; dijital hareketlerde logları toplar, anlamlandırır ve bunlara uygun alarmlar üretir. SIEM sistemler aslında birer hesap makinası gibidir. Sisteme doğru bilgiler girildikten sonra buna uygun analizleri gerçekleştirir.
 
SOAR (Güvenlik Düzenleme, Otomasyon ve Müdahale) sistemler ise; bir kuruluşun birden fazla kaynaktan gelen güvenlik tehditleri hakkında veri toplamasına ve düşük seviyeli güvenlik olaylarına insan yardımı olmadan yanıt vermesine izin veren yazılım programlarının bir çözümüdür. SOAR kullanmanın amacı, fiziksel ve dijital güvenlik işlemlerinin verimliliğini arttırmaktır.
 


SOC Ekibi nasıl oluşur ve görevleri nelerdir?

 
-SOC yöneticisi, operasyonları ve ekibi yönetir.
-Güvenlik analisti, olası tehditleri analiz eder ve tehditlere yönelik önlemler alır.
-Güvenlik mühendisi, sistemin güncellenmesinden ve oluşmasından sorumludur.
-Olay yanıt sorumlusu, oluşan olayları yönetir ve bilgi teknolojileri ekibiyle birlikte koordinasyon sağlar.
 
 
►İlginizi Çekebilir:Dijital Şebekelerde Siber Güvenlik


SOC İş Akışı Çözümleri

 
-Kurumun sahip olduğu korunması gereken yazılım ve donanımların tespit edilmesi,
-Sahip olunan envanterlerin değerlendirilmesi,
-Sistemin sahip olduğu normal davranışlarının belirlenmesi ve buna göre normal olmayan davranışların tespit edilmesi,
-Sızma ve girişimlerini tespit etme
-SIEM, dijital hareketlerin kayıt altına alınması, katagorize edilmesi ve sonuçların elde edilmesi,
-SOAR, elde edilen verilerin birleştirilmesi ve yazılımsal otomatik cevap verebilecek hale getirilmesi, güvenlik operasyon merkezinin tehditlere karşı alabileceği iş akış çözümleridir. Güvenlik işlemlerinde bir optimizasyon planı oluşturulmalıdır.
 
 
►İlginizi Çekebilir: Sürücüsüz Araçlar ve İnsan Güvenliği
 
SOC ekipleri, ortaya çıkan riskleri tespit etmenin yanı sıra bu risklere karşı savunma mekanizmaları geliştiriyor. Herhangi bir saldırıya karşı etkili kalabilmek ve zararı en aza indirmek için çeşitli planlar hazırlıyor. Bilgi Güvenliği Enstitüsü’nün belirttiği gibi, SOC veriyi kurumun içinden tüketir ve onu tehditlere ve güvenlik açıklarına ilişkin bilgi veren bir dizi dış kaynaktan gelen bilgilerle ilişkilendirir. SOC personeli güncel tehtitlere karşı tehdit istihbaratını sürekli olarak SOC izleme araçlarını beslemek için kullanmalı ve SOC, gerçek tehditler ve tehditler arasındaki ayrımı yapmak için gerekli süreçlere sahip olmalıdır.
 

SOC Modelleri

 
SOC, güvenlik açıklarını keşfetmek ve tanımlamak için merkezi izleme yetenekleri sağlamanın yanında bir organizasyonun yapısına, servislerine ve hatta müşterilerine zarar verebilecek güvenlik olaylarına müdahale eder.
 

 ►İlginizi Çekebilir: Web Uygulamalarındaki Güvenlik Zafiyetleri
 

Dahili Model SOC

 
Dahili SOC kurmayı düşünen firmaların 7/24 izlemeyi desteleyecek bir bütçeye sahip olması gerekir. Büyük ölçekli şirketlerin dahili SOC kurması önerilir.
 
Dahili SOC şirket içerisinde ağı daha belirgin görmeye imkan sağlar. SOC ekibinin içerdeki cihazları, log kaynaklarını görmesini ve tehdit oluşturacak olaylara karşı perspektif kazanmasını sağlar. Dahili SOC’larda bazı tehditler gözden kaçabilir ve büyük bir maliyet gerektirir.
 
Modelin geliştirilmiş hali ise; “Fusion Center” olarak adlandırılır. Tespit, yanıt, tehdit avı ve bilgi paylaşımı CIRT (Computer Incident Response Team) ve OT (Operational Team) ile paylaşılır. CIRT ve OT fonksiyonları SOC çatısı altında entegreli çalışır.
 

Sanal Model SOC

 
Bir çok kuruluş için sanal SOC’lar, bütçe kısıtlaması ve sınırlı çalışma alanından dolayı dahili SOC kuramadığı durumlarda önerilir. Bu modelin en büyük avantajı ise fiyat performans açısından SOC hizmetini en kısa ve etkili düzeyde kurulmasına imkan sağlar.
 
Bir çok firma için önerilse de kimi noktalarda dezavantajlara sahiptir. Bu hizmeti alan firmalar, tehditin ne pozisyonda olduğunu bilemeyebilir ve daha önemli kısmı ise organizasyon yapısından dolayı SOC hizmeti veren üçüncü bir firma tarafından bazı gizli bilgiler bilinebilir. Fakat yine de bu gizli bilgiler sözleşmeler aracılığıyla güvence altına alınır. Sanal SOC modelinde izleme ve tespit alanında uzman kişiler tarafından yapılır.
 
 
►İlginizi Çekebilir: Açık Kaynak Siber İstihbarat Ağları
 

Hibrit Model SOC

 
Hibrit model hem dahili hem de sanal SOC modellerin birlikte kullanılmasıyla oluşur. Hem firma hem de hizmet alınan kuruluş ile birlikte eş zamanlı olarak çalışılır. İzleme, tespit ve alarm üretmede daha etkili çözümler sunar.
 
Bu modelde sistemler, alarmalar, tehditler her iki taraftan da izlenir ve çift taraflı kontrol yapılmış olur. Bu modeli seçen firmalar SOC ekibine sahip ve bu işi yapabilecek yetkinliğe sahip olması gerekir ancak bütçe kısıtlamasından ötürü dahili SOC gibi 7/24 izleme yapabilecek dahili SOC kadar gelişmiş değillerdir.
 
Avantaj olarak azleme ve tespit açısından en güvenli model olmasının yanı sıra,  organizasyonun kurumsal bilgileri üçüncü bir firma tarafından da bilinir ve ekstra donanım gerektirir.
 
Kaynak:

 
►digitalguardian.com
►slideshare.net
►searchsecurity.techtarget.com
►mcafee.com

Gökçe  Gürbüz Gökçe Gürbüz Yazar Hakkında Tüm yazıları Mesaj gönder Yazdır



Aktif etkinlik bulunmamaktadır.
ANKET
Endüstri 4.0 için En Hazır Sektör Hangisidir

Sonuçlar