SOC Nedir?
Güvenlik Operasyonları Merkezi (SOC), bir kuruluşun güvenlik durumunun sürekli olarak izlenmesinin ve güvenlik olaylarının analizinden sorumlu bir bilgi güvenliği ekibinin bulunduğu yerdir. SOC ekibinin amacı, teknolojik çözümleri kullanarak ve iyi bir süreç yönetimi yaparak siber güvenlik olaylarını tespit etmek, analiz etmek ve bunlara karşı aksiyon almaktır. Güvenlik operasyonları merkezleri genellikle güvenlik analistleri, güvenlik mühendisleri ve güvenlik işlemlerini denetleyen yöneticilerden oluşmaktadır.
SOC mimari tasarımı nasıl olmalıdır?
SOC ekibi yada SOC yönetimi mimari olarak 3 seviyeden oluşmalıdır.
Seviye-1: İzleme ekibi
Oluşan alarmları ilk karşılayan ekiptir. Alarm seviyesinin durumuna göre ilgili kişileri bilgilendirir. Sistemsel müdahele gerektirmeyen olayların çözümünden sorumludur.
Seviye-2: Olay Müdahale ekibi
Aksiyon alınması gereken ve sisteme müdahele gerektiren olayları inceler. Kuralların oluşturulması, sıkılaştırılması gibi görevleri üstlenirler.
Seviye-3: Tehdit avcılığı
Derin analiz gerektiren olayların incelenmesi, oluşan alarmların kök sebeplerinin araştırılması, saldırı tipinin belirlenmesi ve gerekli önlemlerin alınmından sorumludur. Sisteme sızan ve kendini belli etmeyen APT türü saldırılar, sistemde uzun süre kalabilmektedir. Bunların tespiti ve müdahale edilmesi görevlerini üstlenirler.
Güvenli bir SOC oluşturmak için en önemli bileşenler nelerdir?
En önemli bileşenler; kullanılan teknoloji, ürünler ve personeldir.
Güvenli bir soc oluşturmak için SOC ekibinin olay görünürlüğünü en üst seviyede tutmak önem arz eder. Bu kapsamda güvenlik ürünleri tarafından üretirilecek loglar önemlidir. Fw, ips/ids, waf, edr, dlp, proxy, antivirus vb. ürünler tarafında oluşan kayıtlar detaylı ve anlamlı olmalıdır. SIEM tarafında kurumun yapısına uygun güncel kural/korelasyonlar yazılmalı ve sürdürülebilir olmalıdır.
SOC süreçlerini belirli periyotlarla test etmek gerekir. SOC süreçleri sadece güvenlik ekipleri ile değil diğer altyapı, sistem gibi ekipler ile de koordineli çalışmalıdır. Zira altyapıda oluşabilecek değişikliklerden SOC ekibi de haberdar olmalıdır.
SOC güvenliği göz önüne alındığında, genellikle çoğu kişi tarafından gözden kaçan şey nedir?
Uzun süre gelen ve false positive olarak ifade ettiğimiz alarmlar müdahale edilmeyerek gerçek alarmlar gözden kaçabilir. Maalesef bir çok kurumda karşılaşılan durum tam olarak budur. Bu tür alarmlar asla atlanmamalı, mutlaka düzenlenmelidir. SOC ekipleri dönüşümlü olmalı, “durum körlüğü” dediğimiz alarmlara aşinalık kazanılması durumuna müsaade edilmemeli.
Oluşan alarmların iyi yorumlanabilmesi için SOC ekipleri mutlaka takip ettikleri sistemleri iyi tanımalıdır. Mevcut sistemi tanımayan ekipler, oluşan alarmları doğru yorumlamakta zorlanacaktır.
Kurulan saldırı tespit sistemleri, SOC ekibi veya ilgili personeller tarafından izlenip yorumlanmadıkça sağlıklı sonuçların elde edilmesi mümkün değildir. Bu da eğitimli insan faktörünü ön plana çıkarmaktadır.