SOC (Security Operations Center) Nedir? Nasıl Çalışır?

SOC ile tanışıp bir yeni bilgiye daha merhaba demek ister misin? Öyleyse gel, sistemlerin nasıl korunduğuna yakından bakma şansı yakala.

SOC (Security Operations Center) Nedir?

Security Operations Center görevi siber tehditleri izleyip tespit etmek ve bu verileri analiz ederek kuruluşu korumak olan bir ekip veya merkezi bir işlevdir. Siber güvenlik zaafiyeti yaşanmasını önlemek için sürekli olarak ağları, sunucuları, bilgisayarları, işletim sistemlerini, veri tabanlarını, internet sitelerini kontrol eder. Ekip kurallar oluşturur, istisnaları belirler, sızma testi yapar, yeni güvenlik açıklarına dikkat eder. Günümüzde siber saldırıların ya da güvenlik açığının ne zaman meydana gelebileceği tam bir muammadır. Her an büyük çaplı bir siber problem ortaya çıkabilme olasılığı oldukça yüksek. Bu sebeple SOC’lar 7/24 hizmet vermek durumunda. Bu yoğunluğa ayak uydurabilmek adına kuruluşta görev sahibi olan bilgi teknolojileri uzmanları vardiya yöntemiyle çalışmaktadır.

Birden fazla ülkede varlık sürdüren büyük çaplı kuruluşlar dünya çapındaki güvenlik tehditlerinden kendilerini koruyabilmek adına Küresel Güvenlik Operasyonları Merkezi’ne (GSOC) de güvenebilir. Güvenlik Operasyon Merkezi ekipleri farklı departmanlarla işbirliği yapabilmekte veya dışarıdan bir bilgi teknolojileri uzmanıyla birlikte çalışabilir. Bir Security Operation Center kurmadan önce kuruluşlar derin bir inceleme yürütmelidir. İş hedeflerini ve zorluklarını kapsamlı bir şekilde inceledikten sonra kendi şirketleri bünyesinde bir SOC mu kurmalılar yoksa bir güvenlik hizmeti sağlayıcıdan mı bu hizmeti almalılar karar vermelilerdir.

SOC (Security Operations Center) Amaçları Nelerdir?

• Güvenlik araçlarının güncellemelerini, yamalarını aksatmadan yapmak, gözetimini ve idaresini sağlamak.
• Sistemleri düzenli takip ederek çıkabilecek sorunların önceden engellemeye çalışılması ya da anlık olarak ortaya çıkan soruna ekiplerce hızlı bir şekilde müdahale edilerek ortadan kaldırılması.
• Ağların, sistemlerin, veri tabanlarının, internet sitelerinin, altyapıların şüpheli etkinlikler veya olağan dışı aktiviteler için düzenli aralıklarla detaylı bir şekilde incelenmesi.
• Mevcut olayın veya tehdidin kaynağının ne olduğunun, sistemlere hangi ölçüde sızdığının ve bunların sonucunda ne çaplı bir etki bıraktığının anlaşılabilmesi için düzenli olarak geniş çaplı inceleme yapılması.
• Kaybolan veya çalınan verilerin geri alınması. Bu problemlere yol açan kaynak veya kaynakların bulunması. Bu kaynakların hangi sebeple zaafiyete yol açtıklarının incelenmesi. İzleme ve uyarma araçlarının kontrolünü sağlayarak prosedürlerin tekrar gözden geçirilmesi.
• Mevcut saldırıyı veya tehdidi etkili bir şekilde gereken birimlerin de yardımıyla yönetip kontrol altına almak için aksiyon alınması.
• Sektör tarafından önerilen en iyi uygulamaların ve federal düzenlemelerin gerisinde kalmamak için düzenli bir şekilde sektörün ilerleyişini takip etmek.
• Sistemlere bilerek belirli saldırıları simüle eden sızma testlerinin gerçekleştirilmesi. Bu testlerin sonucuna göre sistem açıkları ve olay müdahale planları düzenlenerek ince ayarlamaların yapılması.
• Sosyal medyadan, karanlık ağdan toplanan siber saldırılar ve bunları gerçekleştiren siber korsanlardan haberdar olup, alınabilecek en yeni güvenlik önlemleri ve teknolojilere hakim olarak en son istihbarata dair güncel kalmak.
• Günlük verilerin toplanarak göze batan farklılıklar olup olmadığının incelenmesi. Birçok bilgisayar korsanı şirketlerin günlük verileri düzenli incelemediğine güvenir. Bu da kötü amaçlı yazılımların sistemde haftalarca hatta aylarca fark ettirmeden çalışması anlamına gelir. Bu yüzden günlük inceleme yapmak önemlidir.

SOC (Security Operations Center) Süreçleri Nasıl İşler?

Güvenlik Operasyon Merkezi öncelikle günlük verileri toplar ve analiz eder. Bir saldırının etkileri sistemde, kullanıcı etkileşiminde, güvenlik uyarılarında bulunabilir. Olayın belirli bir sırada olması da dikkat gerektiren noktalardan birisi olabilir. Bu aşamada elde edilen verileri hızlı bir şekilde kategorize etmek büyük önem taşır. Analistler öncelik vermesi gereken olayları daha hızlı tespit edebilir. 1. düzey SOC analisti problemi inceledikten sonra ciddi bir ihlal ya da açık olduğunu yakalarsa sorunu incelemesi için 2. düzey SOC analistine iletir.

Problem ne kadar hızlı çözülürse gelecekteki çözülme hızı ve hasarın kontrol altına alınması kolaylaşır. Düzeltme sürecinde genellikle:

1. Etkilenen sistem gözden geçirilip veriler yedekten tekrar yüklenir, güncellemeler yapılır.
2. Güvenlik ihlali yapan hesaplar silinir ya da sıfırlanır. Erişim kontrolü listeleri gözden geçirilir.
3. Tekrar bulaşmanın engellenmesi için etkilenen ana bilgisayar izlenir.
4. Var olabilecek bütün yanlış yapılandırmalar kontrol edilir.

Günümüzde bir sisteme saldırmak için kullanılabilecek modern tehdit sayısı oldukça fazladır. Saldırılar son derece hızlı, karmaşık ve çeşitlidir ancak kuruluşu korumak için harcanabilecek kaynaklar sınırlıdır. Bu da ekiplerin iş operasyonları üzerinde en yüksek etkiye sahip olabilecek olaylara odaklanmasını gerektirir. Yüksek önceliğe sahip olaylardan bazılarının neler olduğunu merak ediyorsan; yerel ağ ile bilinen kötü amaçlı yazılım IP adresleri arasındaki ağ iletişimleri ile güvenlik ihlaline uğrayan yönetim hesapları olarak sıralayabiliriz.

Saldırganlar sistemde açık bulmadan önce sistemin açığını tespit etmek gerekir ki problem çıkmadan önce çözüme ulaşılsın. Bunun için yapılması gereken düzenli olarak güvenlik açığı değerlendirmesi yaparak sonuçları raporlamak ve bu raporları gözden geçirmektir. Bu taramalar prosedürel güvenlik açıklarını değil teknik güvenlik açıklarını tanımlar bu sebeple süreçleri ek olarak elden geçirip SOC sürecinin kendisindeki güvenlik açıklarını ele almak gerekir.

SOC (Security Operations Center) Oluşturma Adımları Nelerdir?

Sağlam temellerle bir Güvenlik Operasyon Merkezi oluşturmak için dikkat etmen gereken bir çok adım var. Diğer alanlarda olduğu gibi SOC oluşturmak için de net hedefler belirlemek işi büyük ölçüde kolaylaştırır. Hedef belirlemek için kendine sorular sormayı dene. Mesela, azaltılmak istenen güvenlik önlemleri neler? Başarıyı ölçmek için parametreler neler?

Teknoloji seçimleri büyük öneme sahip. İzinsiz giriş algılama sistemleri, saldırı önleme sistemleri oldukça fazla sayıda. Hangilerinin sana uygun olduğunu belirlemelisin. Yapılan seçimlerin birbiriyle entegrasyonuna dikkat etmelisin. SOC’ın koruyacağı uygulamalar, veri tabanları, sistemler gibi temel varlıkların belirlenmesi büyük önem teşkil eder çünkü bu varlıkların risk düzeyinin ayrı ayrı gözden geçirilip derecelendirilmesi şarttır.

Bir security operation center kurmaya karar vermeden önce bütçe ve kaynak belirlenmesi şarttır. SOC oluşturmak oldukça fazla para ve zaman ayırmayı gerektiren bir süreç bu sebeple oluşumu sürdürebilmek için gerekli bütçe ve personele sahip olduğunun önceden teyit edilmesi önemli. Aynı zamanda iş gücü de hesaba katılmalı. İşinde yetkin insanları işe alıp düzenli bir şekilde eğitim almalarını sağlayarak son gelişmeleri takip ettiklerinden emin olman da kritik bir nokta.

Güvenlik stratejisi oluşturmak en önemli adımlardan bir tanesi. Olayın algılanması ve yapılacak olan müdahaleye göre bir strateji geliştirmek kritik öneme sahip. Düzenli güvenlik denetimlerinin ne şekilde olması gerektiği üstüne bir karar vermen gerekiyor. Var olan sistemi test etmen gerektiğini de elbette unutmamalısın. Hangi alanlarda iyileşme sağlanabileceğini tespit etmek için hazırlanan raporlara göz gezdirip ekibi belirli simülasyonlara tabi tutmak seçeneklerin arasında.

Seninle bu yazıda Güvenlik Operasyon Merkezi’nin ne olduğunu ve süreçlerinin nasıl yönetildiğini inceledik. Artık yazılım sektörüne bir kelime daha yakınsın! Yeni gelen içerikleri kaçırmamak ve komüniteden habersiz kalmamak için Discord kanalına göz atabilirsin. Ücretsiz ve sertifikalı Bootcamp’lerden yararlanmak istersen Bootcamp kısmını inceleyerek kriterlerine uygun olana başvurman mümkün.