SIEM bir ürün mü yoksa bir süreç midir?
Öncelikle SIEM, üretici tarafından belirlenen, toplama, filtreleme, birleştirme, depolama ve arama, ilişkilendirme, bildirim ve yanıt, görselleştirme, bilgi güvenliği olaylarının analizi / araştırılması mantığına sahip bir üründür. Ancak ürünle birlikte, kullanıcı genellikle işlevlerin ve talimatların bir açıklamasını alır ve bunlar zaten işlemlerin içinde var olan şeylerdir. Bazı bilgi güvenliği hizmetleri için böyle bir ürünün satın alınması, SIEM süreçlerinin uygulanmasında başlangıç noktası olurken, diğerleri ise şirketin mevcut SIEM süreçleri için özelleştirilmiş esnek bir SIEM ürününe ihtiyaç duyacaktır.
SOC NEDIR?
Son yıllarda, SIEM entegratörleri ve üreticileri, SOC’nin “SIEM platformu + SIEM süreçleri + personel” olduğu fikrini kitlelere aktif bir şekilde tanıtmaktadır.
“SOC, olayları tespit etmek, kontrol altına almak, analiz etmek ve azaltmak için teknolojiler ve süreçler kullanarak kuruluşun risklerini azaltmak için oluşturulmuş merkezi bir kurumsal güvenlik izleme ekibidir” (Creating an SOC, SANS, 2015).
Aşağıdaki fikirler bir SOC oluşturmak için kullanılabilir:
- şirketten hızlı bir şekilde para çekilmesini amaçlayan siber suçların önlenmesi;
- birleşme ve devralma dönemlerinde şirketin bilgi varlıklarının güvenliğini sağlamak;
- müşteri hesaplarıyla dolandırıcılığı ve para hırsızlığını önlemek;
- işleme için alınan kritik müşteri bilgilerinin tehlikeye atılmasının önlenmesi;
- ticari sır rejimi ihlallerinin tespiti veya diğer gizli bilgi türlerinin kullanılması.
Geleceğin SOC’u
IoT (Nesnelerin İnterneti) endüstrisi büyüdükçe, mevcut SOC modelleri de şekilleniyor. Ağlar, sunucular, uç nokta cihazları, veri tabanları, uygulamalar, web siteleri, sosyal medya ve diğer sistemlerdeki aktiviteleri izleyerek analiz eder. Öte yandan, yapay zeka ve makine öğreniminin güvenlik uygulamalarını daha akıllı hale getirmesi muhtemeldir.
SIEM, UBA ve diğer yardımcı programları bir sıralama platformu, bir otomatik yanıt uygulaması ve bir belge yönetim sistemi ile bir araya getirerek geleceğin SOC’un tam olarak ne olacağını söylemek imkânsız olsa da, şirketler en azından geleceğin güvenlik merkezi için bir model oluşturmaya yönelik emin bir adım atacaklar.
Bir SOC içindeki SIEM ürünü, günlüklerin işlenmesiyle ilişkili rutin görevleri otomatikleştirmeye yönelik teknolojilerden biridir. Prensip olarak, SIEM’siz SOC, üst düzey hedeflere ulaşabilir. Burada tek soru işareti, kullanılan yöntemlerin etkinliği ve olgunluğudur. Bununla birlikte, 87 SOC’un 110’dan fazla denetimini gerçekleştiren HP SIOC istatistiklerine göre, SIEM olmadan hiçbir SOC, minimum olgunluk düzeyini bile karşılayamadığı.
Siem üzerinde yapılacak korelasyonlar ve Soc kullanımı ile hedeflenen nedir?
- Olay izleme (SIEM / SEM) düzenleme açısından bilgi güvenliği süreçlerini otomatikleştirmek;
- Bilgi güvenliği süreçlerini üçüncü taraf analitikleri (TI ve Güvenlik Beslemeleri) ile zenginleştirmek;
- Bilgi güvenliği olaylarını yönetmek ve izlemek (SIEM / IR-SOC);
- Bilgi güvenliği olaylarına (IRP / SOAR-SOC) yönetimi ve müdahaleyi otomatikleştirmek;
- Performans ölçümlerini (SI-SOC) görselleştirmek ve izlemek.
SOC görevlerinin çoğu (her şeyden önce, SIEM’deki bilgi güvenliği olaylarının işlenmesi, saldırı eğilimlerinin analizi, tehditler hakkındaki bilgilerin toplanması, olayların incelenmesi) bir MSSP sağlayıcısına dış kaynak olarak verilebilir. Ancak, bir şirkette SOC başlatma fikrini ve misyonunu, olayların ve kayıpların sorumluluğunu dış kaynak olarak kullanmanın zor olduğunu kabul etmelisiniz.
