Güvenlik Operasyonu Merkezi (SOC), ağlar, sunucular, uç nokta cihazları, veritabanları, uygulamalar, web siteleri ve diğer sistemlerdeki aktiviteleri izler ve analiz eder. Bir güvenlik ihlali ya da anormal aktivite araştırması yaparlar. Kısaca SOC; Bir kurumun güvenlik duruşunu sürekli olarak izlemek ve iyileştirmek için organize olan bir ekiptir.
SİBER GÜVENLİK MERKEZİ NASIL ÇALIŞIR?
Güvenlik operasyonları merkezi personeli, siber güvenlik olaylarını tespit etmek, analiz etmek, raporlamak ve önlemek amacıyla birlikte çalışan güvenlik analistlerinden oluşmaktadır. Bazı SOC ekiplerinde, olayları analiz etmek için gelişmiş adli analiz, kriptanaliz, ters mühendislik ve zararlı yazılım analizi teknik kabiliyetlerini içermektedir. SOC genel olarak, izleme ve müdahale hizmeti verdiği kuruluşa gerçekleşen atak ve sızma olaylarını en kısa sürede tespit etmeyi hedefler. Bu amaçla, aynı zamanda izleme ve şüpheli olayların analizi ile bir olayın oluşturabileceği potansiyel etki ve hasarı sınırlandırır. Eğer SOC bir saldırıyı devam ederken durdurabilirse, hizmet verdiği organizasyonun zamanını, parasını kurtarmış, veri kaybının önüne geçmiştir.
SOC İŞ AKIŞI ÇÖZÜMLERİ
- Varlık Envanterlerinin Belirlenmesi: Kurumun sahip olduğu korunması gereken sistem yazılım ve donanımlarının belirlenmesi
- Zafiyet değerlendirmesi: Sahip olunan envanterin zafiyet değerlendirmesi
- Davranışsal izleme: Sistemin normal davranışlarının belirlenmesi ve normal olmayanların tespiti
- Sızma girişimlerini tespit etme: sızma ve anormal davranışların tespiti
- SIEM: Olay kayıtlarının toplanıp filtrelenmesi ve anlamlı sonuçlar elde edilmesi
- SOAR: Sistemi otomatik olarak cevap verilebilir hale getirilmesi
Bir SOC merkezinde kullanılması gereken çözümler:
- SIEM Güvenlik Bilgisi
- Penetrasyon testi ve güvenlik açığı araçları
- IDS/IPS sistemleri
- Yönetişim, Risk ve Uyum (GRC) sistemleri
- Log yönetim sistemleri
- Veri tabanı ve güncelleme sistemleri
- Siber tehdit istihbarat
- SOAR sistemi
SOC MODELLERİ
INTERNAL SOC (DAHİLİ SOC)
Dahili SOC kurmayı düşünen firmaların 7/24 izlemeyi desteleyecek bir bütçeye sahip olması gerekir. Büyük ölçekli şirketlerin dahili SOC kurması önerilir.
Dahili SOC şirket içerisinde ağı daha belirgin görmeye imkan sağlar. SOC ekibinin içerdeki cihazları, log kaynaklarını görmesini ve tehdit oluşturacak olaylara karşı perspektif kazanmasını sağlar. Dahili SOC’larda bazı tehditler gözden kaçabilir ve büyük bir maliyet gerektirir.
Modelin geliştirilmiş hali ise; “Fusion Center” olarak adlandırılır. Tespit, yanıt, tehdit avı ve bilgi paylaşımı CIRT (Computer Incident Response Team) ve OT (Operational Team) ile paylaşılır. CIRT ve OT fonksiyonları SOC çatısı altında entegreli çalışır.
VİRTUAL SOC (SANAL SOC)
Bir çok kuruluş için sanal SOC’lar, bütçe kısıtlaması ve sınırlı çalışma alanından dolayı dahili SOC kuramadığı durumlarda önerilir. Bu modelin en büyük avantajı ise fiyat performans açısından SOC hizmetini en kısa ve etkili düzeyde kurulmasına imkan sağlar.
Bir çok firma için önerilse de kimi noktalarda dezavantajlara sahiptir. Bu hizmeti alan firmalar, tehditin ne pozisyonda olduğunu bilemeyebilir ve daha önemli kısmı ise organizasyon yapısından dolayı SOC hizmeti veren üçüncü bir firma tarafından bazı gizli bilgiler bilinebilir. Fakat yine de bu gizli bilgiler sözleşmeler aracılığıyla güvence altına alınır. Sanal SOC modelinde izleme ve tespit alanında uzman kişiler tarafından yapılır.
HYBRİD SOC (HİBRİT MODEL SOC)
Hibrit model hem dahili hem de sanal SOC modellerin birlikte kullanılmasıyla oluşur. Hem firma hem de hizmet alınan kuruluş ile birlikte eş zamanlı olarak çalışılır. İzleme, tespit ve alarm üretmede daha etkili çözümler sunar.
Bu modelde sistemler, alarmalar, tehditler her iki taraftan da izlenir ve çift taraflı kontrol yapılmış olur. Bu modeli seçen firmalar SOC ekibine sahip ve bu işi yapabilecek yetkinliğe sahip olması gerekir ancak bütçe kısıtlamasından ötürü dahili SOC gibi 7/24 izleme yapabilecek dahili SOC kadar gelişmiş değillerdir.
Avantaj olarak azleme ve tespit açısından en güvenli model olmasının yanı sıra, organizasyonun kurumsal bilgileri üçüncü bir firma tarafından da bilinir ve ekstra donanım gerektirir.
SOC SÜREÇLERİ VE PROSEDÜRLERİ
Gerçekleşmekte olan tehditleri saptamak, kapsam ve etkilerini tespit etmek, etkili ve hızlı bir şekilde müdahale etmek için SOC ekibinin uygulaması gereken kritik adımlar büyük önem taşımaktadır.
SOC SEVİYELERİ
SEVİYE 1– Olay Sınıflandırma ve Öncelik Belirleme (Triage):
Seviye 1 SOC Analistleri en son tespit edilen ve en yüksek kritiklik derecesine sahip olan olayları gözden geçirirler. Bu olayların daha ileri analizlere ihtiyaç duyduğunu belirlemeleri durumunda sorunu Seviye 2 Analistlere bildirirler. Bu aşamada tüm aktivitenin belgelendirilmesi önem taşımaktadır.
Atakların hassas bilgilere ve sistemlere zarar verecek bir seviyeye yükselmeden erken evrede tespit edilmesi bu etapta alınacak aksiyonları önemli kılmaktadır.
ALARM TÜRLERİ
Keşif ve Araştırma (Probe):
- Saldırganın kurum hakkında bilgiler elde etmeye çalışması
- Öncelik seviyesi düşük
- Seviye 1 analistin tehdit istihbarat topluluklarının duyuru ve aktivitelerini takip etmesini (haftalık olarak) gerektirir.
İstismar Kodunun Gönderilmesi ve Saldırı:
- Zararlı yazılımın sisteme yerleştirilmesi girişimleri
- Düşük/orta dereceli
- Seviye 1 Analistin tehdit istihbarat topluluklarının duyuru ve aktivitelerini takip etmesini (haftalık olarak) gerektirir.
İstismar ve Kurulum:
- Bir açıklığın başarılı bir şekilde sömürülmesi veya sistemde Backdoor/RAT kurulması
- Orta/yüksek dereceli
- Doğrulama ve inceleme yapıldıktan sonra Seviye 2’ye bildirilmesi gerekmektedir.
Sistemin Ele Geçirilmesi:
- Yüksek seviyeli
- Doğrulama ve inceleme işlemlerinin yapılıp Seviye 2’ye duyurulmasını gerektirir.
SEVİYE 2- Önceliklendirme ve Analiz
Bu seviyede kurumunuza yapılan herhangi bir sızma girişimine işaret eden durumlar incelenip uygun aksiyon alınması önem taşımaktadır. Denetime alınması gereken saldırı göstergeleri arasında mevcut bir açıklığı istismar ederek sistemde kurulan rootkit/uzaktan erişim trojanları (RAT), iç ağdaki bir makine ile bilinen kötü bir IP adresi arasındaki ağ iletişimi gibi kritik işlemler sayılabilir.
İzlemeye alınması gereken varlıklar belirlenirken:
- Ağ üzerindeki IP atanmış tüm cihazlar
- Bu cihazlar üzerinde kurulu olan yazılımlar ve servisler
- Nasıl yapılandırılmış oldukları
- Zafiyet barındırıp barındırmadıkları gibi faktörler göz önünde bulundurulmalıdır.
Varlıkları Belirleme
Kurumun iş sürekliliği için çalışmasının aksamaması gereken kritik önemdeki cihazların tespit edilmesi ve varlık envanterinin belirlenip sürekli güncellenmesi büyük önem taşımaktadır.
SEVİYE 3- İyileştirme ve Kurtarma
Saldırının etkilerini azaltma, kurtarma planını uygulama veya bu saldırının bir suç olarak araştırmaya açılıp açılmayacağını kararlaştırma gibi konuları değerlendirmek için SOC ekibi yönetim ekibi ile irtibat halinde olmalı ve her şeyi dokümanlaştırmalıdır.
Saldırıyı kontrol altına almak için alınan aksiyonlar genelde şu adımları kapsar:
– Sistemlerin imaj bazında yedeğinin alınması
– Sistemleri yamalamak ve güncellemek
– Sistem erişimlerini yeniden yapılandırmak (Hesap ve parolalar)
– Ağ erişimlerini yeniden yapılandırmak (VPN, güvenlik duvarları ve erişim kontrol listeleri)
– Sunucular ve diğer varlıklar üzerindeki izleme araçlarını yapılandırmak (HIDS)
– Zafiyet taramaları yaparak yama süreçlerini ve diğer güvenlik kontrollerini denetlemek
SEVİYE 4- Durum Tespiti ve Denetim
Kurumların siber saldırıya maruz kalmadan önce açıklıklarının tespit edilip kapatılması ve gerekli önlemlerin alınması için periyodik zafiyet değerlendirmesi yapılması ve bulguların rapor edilmesi güvenliğin yüksek düzeyde tutulmasına katkı sağlayacaktır. SOC süreçlerine en iyi şekilde adapte olarak zafiyetlerin kapatılması işlemlerinin geciktirilmeden zamanında yapılması gerekmektedir.
Eline sağlık. Turan sevin’in yazılarını takip ediyorum, gayet güzel yazılarınız var. Açıklayıcı bir yazı olmuş.