Bir SOC’nin Unsurları
Günümüzün tehditlerine karşı savunmak resmi, yapılandırılmış ve disiplinli bir yaklaşım gerektirir. Kuruluşlar genellikle bir Güvenlik Operasyon Merkezindeki (SOC) profesyonellerin hizmetlerini kullanır. SOC’ler, izleme ve yönetimden, müşteri ihtiyaçlarını karşılamak üzere özelleştirilebilen kapsamlı tehdit çözümlerine ve barındırılan güvenliğe kadar geniş bir hizmet yelpazesi sunar. SOC’ler tamamen kurum içinde olabilir, bir işletmeye ait olabilir ve bir işletme tarafından işletilebilir veya bir SOC’nin öğeleri, Cisco’nun Yönetilen Güvenlik Hizmetleri gibi güvenlik sağlayıcılarına ihale edilebilir.
Şekilde gösterildiği gibi, bir SOC’nin ana unsurları insanlar, süreçler ve teknolojilerdir.
Şekil, Güvenlik Operasyonları merkezinin veya SOC’nin üç öğesini göstermektedir. Bu üç unsur insan, süreç ve teknolojidir.
SOC İçerisinde İnsan Unsuru
Bir SOC’deki iş rolleri hızla gelişmektedir. Geleneksel olarak, SOC’ler, her biri için gereken uzmanlık ve sorumluluklara göre katmanlara göre iş rolleri atar. Birinci kademe işler daha giriş seviyesiyken, üçüncü kademe işler kapsamlı uzmanlık gerektirir.
• Kademe 1 Uyarı Analisti – Bu uzmanlar, gelen uyarıları izler, gerçek bir olayın meydana geldiğini doğrular ve gerekirse biletleri Kademe 2’ye iletir.
• Kademe 2 Olay Müdahale Görevlisi– Bu uzmanlar, olayların derinlemesine araştırılmasından sorumludur ve düzeltme veya yapılması gereken işlemleri tavsiye eder.
• Kademe 3 Tehdit Avcısı – Bu profesyoneller ağ, uç nokta, tehdit istihbaratı ve kötü amaçlı yazılım tersine mühendislik konularında uzman düzeyinde becerilere sahiptir. Etkisini ve nasıl kaldırılabileceğini belirlemek için kötü amaçlı yazılımın süreçlerini izleme konusunda uzmandırlar. Ayrıca, potansiyel tehditler için avlanma ve tehdit algılama araçlarının uygulanmasıyla derinden ilgilenirler. Tehdit avcıları, ağda bulunan ancak henüz tespit edilmemiş siber tehditleri arar.
• SOC Yöneticisi – Bu profesyonel, SOC’nin tüm kaynaklarını yönetir ve daha büyük organizasyon veya müşteri için irtibat noktası olarak hizmet eder.
Aslen SANS Enstitüsü’nden olan şekil, bu rollerin birbirleriyle nasıl etkileşime girdiğini grafiksel olarak gösterir.
Şekilde bir tür akış şeması gösterilmektedir. En üstte ön saflarda yer alan Kademe 1 Uyarı Analistleri var. Onların işleri, şekilde hemen altlarında bulunan Seviye 1’deki Kademe 2 Olay Müdahalecilerine akar. Kademe 2 Olay Müdahalecilerinin işi Seviye 2 olarak kabul edilir. 3. Bunlar 4 tür Konu Uzmanı/Avcıya ayrılır: Tehdit İstihbaratı, Ağ, Kötü Amaçlı Yazılım ve Uç Nokta. Kademe 3 Uzmanı/Avcıların işi SOC yöneticisine iner.
SOC’de Süreç Unsuru
Siber Güvenlik Analistinin günü genellikle güvenlik uyarısı kuyruklarını izlemekle başlar. Bir analistin araştırması için bir kuyruğa uyarılar atamak için sıklıkla bir biletleme sistemi kullanılır. Uyarılar oluşturan yazılım yanlış alarmları tetikleyebileceğinden, Siber Güvenlik Analistinin bir görevi, bir uyarının gerçek bir güvenlik olayını temsil ettiğini doğrulamak olabilir. Doğrulama kurulduğunda, olay müfettişlere veya işlem yapılacak diğer güvenlik personeline iletilebilir. Aksi takdirde, uyarı yanlış alarm olarak reddedilebilir.
Bir destek talebi çözülemezse, Siber Güvenlik Analisti, daha derin bir araştırma ve düzeltme için bileti bir Kademe 2 Olay Yanıtlayıcısına iletecektir. Olay Müdahale Görevlisi talebi çözemezse, bilgi derinlemesine bilgi ve tehdit avlama becerilerine sahip Kademe 3 personeline iletilecektir.
Şekil, SOC’deki insanların rollerini açıklamaktadır. Kademe 1’de analistler biletleri izler, biletleri açar ve temel tehdit azaltma işlemini gerçekleştirir. 2. Aşamada, olaya müdahale eden kişiler derin bir araştırma yürütür ve iyileştirme tavsiyesinde bulunur. Aşama 3’te Uzmanlar/Avcılar derinlemesine bilgilerini kullanır, tehditleri arar ve önleyici tedbirler alır.
Bir Güvenlik Operasyon Merkezindeki Kişilerin Rolleri:
• Derin bilgi
• Tehdit avcılığı
• Önleyici tedbirler 3. Aşama
• Derin Soruşturma
• Düzey 2’yi önerir
• Olayları izler
• Ticket açar
• Temel tehdit azaltma Katman 1