Ana içeriğe geç

GENEL HATLARIYLA GÜVENLİK OPERASYON MERKEZİ (SOC) KURMAK

Kurumunuz kendi Güvenlik Operasyon Merkezini (SOC) kurmaya karar verirse işinize yarayabilecek bazı bilgileri aşağıdan okuyabilirsiniz.

Yönetimin Beklentisini Doğru Anlamak

Varsayalım çalıştığınız kurum, kurumun siber güvenliğini bir sonraki seviyeye taşımak istiyor.Bir sonraki adıma geçmek için gereken girişimlerden biri ise Güvenlik Operasyon Merkezine sahip olmaktır. Güvenlik Operasyon Merkezinin(SOC) nasıl olması gerektiği hakkında bir plan oluşturmalısınız.

Bu aşamada yönetim devreye giriyor. Yapılması gereken ilk şey, yönetimin bu girişimden tam olarak ne beklediğini bulmaktır.Beklentiyi tam olarak anlayabilmek için bazı soruları cevaplayarak başlayabilirsiniz.

  • Kurumu bir Güvenlik Operasyon Merkezi (SOC) oluşturmaya iten şey nedir?

    • Kurumun faaliyet gösterdiği sektöre uyum sağlamak istemesiyle oluşan ihtiyaç mı?
    • Bir güvenlik olayı nedeniyle mi? Eğer cevap evet ise, olay nedir?
  • Güvenlik Operasyon Merkezinden beklenti nedir?

    • Kurumun herhangi bir tehlikeye girmesi durumunda itibar kaybını önlüyor mu?
    • E-dolandırıcılık miktarını azaltabiliyor mu?
    • Hangi tür olaylara yanıt veriyor?
      • Yalnızca IT altyapısıyla ilgili olaylar mı yoksa Yasal ve Gizlilikle ilgili olaylar mı?
    • Güvenlik Operasyon Merkezi (SOC) dışında tehditler veya olaylar ile ilgili bilgi paylaşılacak mı? Paylaşılacak ise kime paylaşılacak, ne amaçla paylaşılacak?
  • Güvenlik Operasyon Merkezi (SOC) kurumun hangi bölümlerini kontrol etmesi gerekiyor?

    • Tüm kurum mu yoksa IT altyapısı mı?
      • Örneğin, çalıştığınız kurum McDonald ise, dünya çapında binlerce şubesi var. Şubelerin altyapısını da izlemeniz isteniyor mu? Yoksa sadece McDonalds organizasyonunun IT altyapısını mı izlemeniz isteniyor?
  • Kurumun geri kalan çalışanlarının bu girişimden haberi var mı?

    • Bir Güvenlik Operasyon Merkezi (SOC) oluşturmak, kurum içindeki farklı departmanlardan zaman yatırımı gerektirecektir. Farklı departmanlarda etkileşime geçeceğiniz kişiler durumun ciddiyetinin farkında değillerse veya bu girişimi bir öncelik olarak görmüyorlarsa, gecikmeler meydana gelebilir.

Bu sorular ufak bir örnek. Eksiklikler olabilir sadece Güvenlik Operasyon Merkezinin (SOC) amacının ne olacağı konusunda net bir cevabınız olması çok önemlidir. Yönetimin SOC hakkında bir beklentisi bulunmaktadır fakat bu beklenti genellikle işi yapacak ekibe net bir şekilde açıklanmaz. SOC faaliyete geçtiği zaman yönetimin beklentisini karşılamıyor ise, yönetim hayal kırıklığına uğrayabilir. Bu yüzden yönetimin projeden tam olarak ne istediğini, beklentisinin ne olduğunu anlamak ve emin olmak gerekir.

Ağınıza Neyin Bağlı Olduğunu Bilin

Öncelikle temel bilgilerinizin doğru ve eksiksiz olması gerekiyor. Ağınızda ne olduğunu bilmeniz gerekir. Mimarisini, ne tür varlıkların dağıtıldığını (servers, laptops, workstations, points-of-sale, etc.) bilmeniz gerekir. Aynı zamanda hesapları da bilmelisiniz bunlar: personel hesapları, fonksiyonel ve hizmet gibi hesapları bilmelisiniz. Fonksiyonel ve hizmet hesapları için, sahiplerinin kim olduğu ve ne için kullanıldığını bilmeniz gereklidir. Operasyonun sorunsuz bir şekilde işlemesi için bu verilere ihtiyacınız vardır.

Ağda çoğu cihazın nasıl konumlandığı, ne yaptıkları ve kimlerin kullandığı konusunda size fikir veren bir platforma sahip olmalısınız. Bu durumun sistematik bir şekilde yerine getirilmemesi sizi başarısızlığa itecektir. Aynısı güvenlik açığı yönetimi için de geçerlidir. Sistemlerin ve uygulamaların ne ve nerede dağıtıldığını bilmiyorsanız, gerçek güvenlik açıklarını ve bunların kurum üzerindeki potansiyel etkilerini bilmenin başka bir yolu yoktur.

Güvenlik Operasyon Merkezi (SOC) Alanlarını Tanıyalım

Başlangıçta sorulan soruların cevaplarına dayanarak, Güvenlik Operasyon Merkezinizin nasıl çalışacağını, süreçlerini ve yapısını planlamaya başlayabilirsiniz. Çoğu Güvenlik Operasyon Merkezinin aşağıdaki gibi alanları mevcuttur:

  • Olay yanıtı (Incident Response)
  • Güvenlik açığı yönetimi (Vulnerability Management)
  • Mühendislik (Engineering)
  • Tehdit İstihbaratı (Threat Intelligence)
  • Tehdit avı (Threat Hunting)

Ön planda olan alanlar Olay Yanıtı ve Güvenlik Açığı Yönetimidir. Olay Yanıtı (Incident Response), bir kurum yada kuruluşun güvenlik ihlali yada siber saldırı ile karşılaştığında olayı düzene sokma faaliyetine kalkışma sürecidir. Burada önemli nokta olaya etkin bir şekilde yönetim sağlanarak en az veri kaybı yaşamasını önleyerek, şirketin itibar kaybını ve maddi zararı asgari düzeyde tutmaktır. Güvenlik açığı yönetimin ise, yazılım açıklarını "tanımlama, sınıflandırma, önceliklendirme, düzeltme ve azaltma amaçlı döngüsel uygulama" dır. IT ekipleriyle sürekli iletişim halinde olunması gerekir. Güvenlik açığı yönetimi, bilgisayar güvenliği ve ağ güvenliğinin ayrılmaz bir parçasıdır ve Güvenlik Açığı değerlendirmesi ile karıştırılmamalıdır. Ağ ekibiyle ve Varlık Yönetimi ekibiyle sürekli irtibat halinde kalınması gerekir.

Olay Müdahale ekibi olayları kontrol altına almak ve düzeltmek için diğer departmanlarla (IT yöneticileri, Hukuk, Halkla İlişkiler) ve iş alanlarıyla iletişim kuran ekiptir.

Güvenlik Açığı Yönetimi ve Olay Müdahale ekiplerinin fazla iş yükünden dolayı; bütçe yeterli ise Güvenlik Operasyon Merkezine çeşitli alanlarda görev yapmak üzere personel alınması daha doğru olacaktır. Alınan personelin temel görevi rapor oluşturma ve SOC dışındaki kişilerle iletişim kurmaktır. Bu durum ile ekiplerde iş yükü azalacaktır.

Mühendislik ekibi yapılan operasyonlar için anahtar görevi üstlenmektedir. Bu ekip çoğunlukla SOC'nin altyapısının kurulması, yapılandırılması ve bakımının yan sıra başlangıç programını oluşturma ve kullanım senaryoları oluşturmadan sorumludur. Tehdit İstihbaratı ve Tehdit Avcılığı, belirli bir düzeye geldikten sonra oluşturulabilir.

Sonuç olarak, SOC büyüdükçe ve olgunlaştıkça, bireylere daha fazla sorumluluk ve görev atanacaktır. İş yükünü ekipler arasında dengelediğiniz sürece Güvenlik Operasyon Merkezi (SOC) için olası problemlerin önüne geçilecektir.

Güvenlik Operasyon Merkezinin (SOC) Altyapısı

Kendi altyapısına sahip olması gereklidir.

  • Security Information and Event Management (SIEM), Türkçesi'ni tehdit ve olay yönetimi olarak tanımlayabiliriz. Logları depolamanızı ve işlemenizi sağlayan platformdur.Logların tek bir merkezde toplanıp analiz edilmesi işlemi oldukça kolay gözüksede yapı büyüdükçe karmaşık bir hal almaya başlıyor. Log olmadan bir sistemin yönetilmesi, aksiyonların belirlenmesi, önlemlerin alınması gibi olayların yapılması zordur. Çünkü sorunun nerede, ne zaman, ne şekilde yapıldığını bilemezsiniz. Haliyle bilmediğiniz bir şey içinde aksiyon yapamaz ve sorunları çözemezsiniz. SIEM ile kurumunuzu olası tehlikelere karşı alarmlar oluşturabilirsiniz. Örneğin;

    • Kurum dışı gönderilen maillerin içeriğinde TC kimlik numarası ve(veya) kredi kartı numarası varsa alarm oluştur.
    • Dışarıdan şirket ağına VPN aracılığıyla yabancı bir ip adresi ile bağlanılırsa alarm oluştur.
    • Mail sunucusundan çok fazla mail gönderiliyor ise alarm oluştur.
    • Mail hesaplarına yurt dışından erişim olur ise alarm oluştur. Bu ve bunun gibi pek çok alarm oluşturabilirsiniz. Kullandığınız yapıda ihtiyaçlarınıza göre kural setleri oluşturabilirsiniz. Ayrıca bir SIEM seçtiğinizde, platformun bakımını yapacak mühendis ekibini de göz önünde bulundurmalısınız. Başlarken gerekli yeteneği işe alamayabilirsiniz, bu nedenle bir üçüncü tarafla çalışmak mantıklı bir seçenek olabilir. Ayrıca SIEM'i nerede barındırmak istediğinizi de düşünün: Şirket içinde mi yoksa bulutta mı? Bu modellerin her birinin avantajları ve dezavantajları vardır. Bir kez daha, stratejisine göre kurumunuz için neyin mantıklı olduğunu kontrol ettiğinizden emin olmalısınız.
  • Olay Yönetim Platformu: Bu platform, güvenlik olaylarıyla ilgili tek gerçek kaynağınız olacaktır. Amacı ise oluşan bir olay sonrasında zararı minimum yaparak ve mevcut kaliteyi koruyarak, sistemi ayağa kaldırıp tekrardan normal işleyişine devam etmesini sağlamaktır. Haftalık, aylık, yıllık olarak bir çok veri elde edilir. Elde edilen veriler ile olay müdahale ekiplerinin gereksinimlerini karşılayan raporlar üretebileceğiniz bir platforma ihtiyaç duyabilirsiniz. Buna ek olarak, olayların oluşturulmasını ve zenginleştirilmesini kolaylaştırmak için SIEM, Tehdit İstihbaratı (threat ıntelligence) ve Endpoint Detection Response (EDR) çözümleri gibi yalnızca SOC platformlarıyla entegre olabilmeli ve aynı zamanda kuruluşun varlık yönetimi aracıyla etkileşime girebilmelidir. Tüm bunları bir araya getirmek, olay analistlerinin olayları uygun şekilde belgelemesine olanak sağlayacaktır. Birçok ITSM platformu, ayrı olarak satın alınabilen bir güvenlik modülüne sahiptir. Sadece SOC platformlarını ITSM'YE entegre etmeye odaklanırsanız önemli ölçüde zamandan tasarruf edebilirsiniz.

  • Sysmon veya Endpoint Detection and Response (EDR), Türçe'ye Uç Nokta Tespiti ve Yanıtı olarak çevirebiliriz. Olayların genelde nereden çıktığı, nasıl ilerlediği ve nerelerde aksiyon aldığı gibi kritik soruların cevabını "Incident Investigation" yaparken bulabilmemize olanak sağlar. Öncelikle incelemeniz gereken şey EDR'nin mimarisidir. Tamamen bulut tabanlı EDR'ler mevcut ayrıca diğerleriyle birlikte yeni ağ ekipmanı kurmanız gerekir ve bazıları ilk ikisinin hibrit çözümlerini sunmaktadır.

    • Kısaca EDR Özellikleri:
      • Tespit edilmesi en zor tehditlerden; PowerShell istismarları dahil olmak üzere file-less ve memory ataklarını bulur ve engeller.
      • Gizli saldırıları, eforsuz şekilde tespit etmeye ve ortaya çıkarmaya yardımcı olur.
      • Şüpheli etkinliklerin, şüpheli komutlar ve memory exploit'lerin ortaya çıkarılması için otomatize edilmiş tespit mekanizması altında; vakaları önceliklendirerek; machine learning ve davranış analiz tekniklerini, dinamik bir şekilde efektif olarak kullanmakta ve incident(öykülüme) oluşturmaktadır.
      • Çeşitli güvenlik ürünleriyle entegrasyon sağlaması.
      • Kolay yönetilebilir platform, zahmetsiz her noktaya erişim.
      • Uç nokta verilerinin otomatik analizi, güvenlik ekiplerinin gereken eylemleri hızlı ve doğru biçimde önceliklendirmesine yardımcı olan bilgiler sağlar.
      • Kötü amaçlı davranışları keşfeder ve dosyaları sanal ortamda hızlıca denetleyerek, yeni kötü amaçlı yazılım ve hedeflenen saldırılardan kaynaklanan bulaşmaları önler.
      • Uç nokta aktivitelerinin ayrıntılı olarak gözlemlenebilmesi.

    Son olarak, bir EDR almaya gücünüz yetmiyorsa, kesinlikle Sysmon'u uygulamalısınız. bilgisayarlarımızda gerçekleşen işlemleri izlememizi sağlayan bir araçtır. Doğru yapılandırmayla, şüpheli davranışlar Sysmon tarafından algılanabilir ve ayrıntılı bilgiler üretilen günlüğe (event log) kaydeden ücretsiz bir platformdur.

  • Güvenlik açığı tarayıcısı: Bilinen zayıflıklar için bilgisayarları, ağları veya uygulamaları değerlendirmek üzere tasarlanmış bir bilgisayar programıdır. Basit bir deyişle, bu tarayıcılar belirli bir sistemin zayıf yönlerini keşfetmek için kullanılır. Güvenlik duvarı, yönlendirici, web sunucusu, uygulama sunucusu vb. gibi ağ tabanlı bir varlıktaki hatalı yapılandırmalardan veya hatalı programlamadan kaynaklanan güvenlik açıklarının tanımlanmasında ve tespit edilmesinde kullanılırlar. Çoğu EDR, yerleşik güvenlik açığı değerlendirme aracıları ile birlikte gelir. Aracı, bir yazılım parçasının savunmasız olup olmadığını belirlemek için yüklü yazılımı, kütüphaneleri, logları ve diğer sistem dosyalarını inceler. Ne yazık ki, EDR aracılarını ağ aygıtlarına veya EDR üreticisi tarafından desteklenmeyen işletim sistemlerine yükleyemezsiniz. Bu boşlukları kapatmak için bir ağ güvenlik açığı tarayıcısına ihtiyacınız olacaktır. Diğer araçlarda olduğu gibi, birden fazla satıcıya baktığınızdan ve ihtiyaçlarınız için mantıklı olanı seçtiğinizden emin olmalısınız.

SOC'nin başlangıç ​​aşamalarında faaliyet göstermesi için bu dört unsur hayati önem taşıyor. Olgunlaştıkça başka parçalar da ekleyebilirsiniz.

Log Kayıtları

SOC'nin kurulduğu ağda mümkün olduğunca fazla görünürlüğe sahip olması gerekir. Peki bu ne demek? Sunuculardan, istemcilerden, ağ cihazlarından, veritabanlarından ve şirket içi uygulamalardan gelen logları SIEM' e gönderilmesi anlamına gelir. Bu konu hakkında iki adet görüş mevcut:

  • Eyleme geçirilebilir olabilecek logları edinin: Bu, yalnızca ekibinizin bir şeyler yapabileceği logları elde etmek anlamına gelir. Olay müdehalecileri bu uyarı tetiklendiğinde işleme başlarlar.

İşletmenin bir olay sırasında oynadığı rolü anlaması ve bu sorumluluğu ciddiye alması çok önemlidir.

  • Asgari olarak, SIEM'inizde en az bir yıl kalması gereken aşağıdaki logların kaydını alın:
    • Sunucular
    • Müşteriler
    • Bulut altyapısı
    • Vekil
    • DNS
    • Güvenlik duvarı
    • IDS/IPS
    • E-posta
    • Antivirüs

Daha önce de belirtildiği gibi, EDR veya Sysmon'a sahip olmak iyi bir yatırımdır. Sysmon logları da SIEM'e gönderilmeli ve bir yıl süreyle saklanmalıdır. EDR bulut tabanlı çözümler, olayları kendi ortamlarında saklama imkanı sunar. En fazla 6 ay saklayabilirsiniz. Sonrasında log kayıtlarını SIEM'inize depolayabilirsiniz.

Başka bir çözüm daha var bu ise Network Detection and Response (NDR), Türkçe'ye Ağ Algılama ve Yanıt olarak çevrilebilir. Bu platform yapay zekayı kullanarak ağ trafiğini kontrol eder. Ağda herhangi bir kötü amaçlı yazılım bulduğunda uyarı verir.

Politikalar

Politikaların SOC'nin nasıl çalıştığı ve görev süresi üzerinde önemli bir etkisi vardır. Çalışanlar için nelere izin verildiği veya nelere izin verilmediği belirlenmeli ve bu poltikalar doğrultusunda sistematik bir şekilde çalışılmalıdır. Bir SOC yöneticisi iseniz, politika geliştirme departmanı ile çok yakın bir işbirliğine sahip olmalısınız.

Danışmanlar

Bir Güvenlik Operasyon Merkezi (SOC) oluşturmak büyük bir girişimdir. Farklı becerilere, geçmişlere ve deneyime sahip kişilerle çalışmanız gerekecektir. Belirli bir seviyeye ulaştıktan sonra olayları daha kısa süre içersinde çözüme kavuşturacaksınız. Fakat ekibin Güvenlik Operasyon Merkezinin gelişmesini arttırmak için daha fazla zamana ihtiyacı vardır. Bunun için ise organizasyon dışından yardım almanız gerekecektir.

Süreç içerisinde Güvenlik Operasyon Merkezi'nin gelişimini hızlandırmak, kuruluşun geri kalanıyla entegrasyonunu iyileştirmek, hizmetleri genişletmek veya izleme ve tespit yeteneklerini geliştirmek için danışmanlarla ortak iş yürütülebilir. Fakat yürütülen bu operasyon belirli aksaklıklar ortaya çıkabilir. Bunlar; Danışmanlar tarafından yapılan çalışmalardan sonra, yaptıklarının istenilen doğrultuda gitmeme ihitimali var. Eğer durum böyle ise bir süre sonra SOC üyelerinin devreye girmesi, yapılan her eksiklik ve hataların düzeltilmesi, böylece vaat edilen teslimatların zamanında hazır olması gerekir. Bu durumlar takım üzerinde gereksiz baskı yaratır, Beklenen getirileri elde edemezken bütçenin büyük bir kısmını harcanabilir. Bu noktada yapılması gereken tüm operasyon için değil belirli ve zor konularda danışmanlık hizmeti almaktır. Böylece hem SOC üzerindeki iş yükü azalacak hem de operasyon hızlı bir şekilde olgunluğa erişilecektir.

Kurum İçi Etkileşim

Daha önce belirtildiği gibi, SOC faaliyetleri organizasyondaki diğer departmanlar tarafından desteklenecektir. Örneğin, acil durum düzeltme eki gerektiren bir güvenlik açığı varsa, Güvenlik Açığı Yönetimi ekibi IT yöneticileriyle iletişime geçerek düzeltmenin yapılmasını isteyecektir. Bir güvenlik olayı durumunda, olay müdahale ekibinin olayı düzeltmesi için varlık sahibi (sunucu, veritabanı, uygulama) veya hizmet sahibi (IAM, e-posta, ağ) ile iletişime geçmesi gerekecektir. Buna ek olarak SOC sadece IT organizasyonu içindeki departmanalara değil, aynı zamanda görevlerini yerine getirebilmek için yasal, gizlilik ve halkla ilişkilere de bağlı olacaktır.

Bu sürecin ilk aşamasında IT altyapısını yöneten ekiplerle arayüz oluşturmalısınız. Bu süreçte etkileşimde olunacak ekipler aşağıdaki gibidir:

  • IT Yöneticileri/Hizmet Yöneticileri: Bu ekipler, üzerlerinde çalışan uygulamalar ve veritabanları ile birlikte tüm sunucuları yöneten ekiplerdir. Bir sunucu veya uygulamanın güvenliği ihlal edilirse, hemen sahibiyle iletişime geçmeniz gerekir. İşte varlık yönetiminin bu kadar önemli olduğu yer burasıdır. Bu sahipler, olayları kontrol altında tutmanıza ve düzeltmenize yardımcı olacaktır. Hatta hatta SIEM'e dahil edilmemişlerse log kayıtlarıda sağlanacaktır.

  • E-posta: Savunma mekanizmanızdan geçecek bir phishing atağı olabilir. Bu durum atağı kontrol altına almak ve ve savunma mekanizmanızı iyileştirmek için önlemler almanız gerektiği anlamına gelir.E-posta ekibi, SOC'den gelen talepleri öncelikli olarak almalıdır. Bu durum ile gönderen geçici olarak engellenir, posta kutularından e-postaları silinir vb. aşamalar gerçekleştirilir. Ekibin gelen ve gönderilen tüm e-postaları görmesini sağlayan SIEM'e log kayıtlarını göndererek e-posta ekibindeki

  • Identity and Access Management(IAM): Kimlik ve Erişim Yönetimi olarak Türkçe'ye çevrilebilir. Bu departman önemli bir departman. Varlıklara erişimi yönetmek için Active Directory'nizi veya benzer bir çözümü yöneten ekiptir.Bir noktada, güvenliği ihlal edilmiş bir hesabı devre dışı bırakmak için bu ekibe acilen ihtiyacınız olacaktır. Bir son kullanıcı hesabını devre dışı bırakmak büyük bir sorun olmamalı, ancak hizmet veya işlevsel hesabın iş operasyonlarında büyük bir etkisi olabilir. Bu nedenle, IAM ekibiyle isteklerin SOC tarafından nasıl yerleştirileceğine ve IAM'de bunları kimin yürüteceğine ilişkin bir süreç tanımlamak önemlidir.

  • Ağ: Ağ ekibi, tehditleri durdurmak için gereklidir.Bazen güvenlik duvarı/IPS/IDS içindeki IP adreslerini engellemeniz, proxy'de bir URL'yi engellemeniz veya DNS düzeyinde bir etki alanını çökertmeniz gerekir.Bu faaliyetler büyük olasılıkla ağ ekibi tarafından yürütülür.

  • Antivirüs: Bazı kurumların antivirüs çözümlerini yönetmek için oluşturmuş oldukları bir ekipleri vardır. Reddedilenler listesine bir hash veya dosya adının dahil edilmesi veya bir sistemin daha agresif bir şekilde taranması gereken durumlar olacaktır. Çoğu EDR çözümü bir antivirüs ile birlikte gelir. Bazı EDR'ler, etkinliklerini gerçekleştirebilmek için bir antivirüs parçasına bağlıdır. Fakat bazı kurumlar iki farklı müşteriye sahip olmak isterler bunlardan biri EDR, diğeri ise antivirüs için. Böyle bir durumda, EDR yine de ekibin dosyaların yürütülmesine ve yasaklamasına yardımcı olabilir; ancak, iyileştirme parçası eksik olacağından, zararlı yazılımı uzaktan temizlemek işlemi olay analistine kalacaktır.

SOC olgunlaştıkça, Hukuk ve Gizlilik gibi departmanlarla işbirliği eklemeye başlayabilirsiniz. Bu kısım, müşteri veya çalışan verilerinin dahil olduğu olaylar sırasında gereklidir.

SOC İçinde İşbirliği

SOC çalışma mantığı aşağıdaki gibidir.

SOC çalışma mantığı

Tehdit istihbaratı (TI), Güvenlik Açığı Yönetimine (VM), Tehdit Avına (TH) ve Olay Müdahalesine (IR) bilgileri aktarır. Güvenlik Açığı Yönetimi, kaç sistemin potansiyel bir tehdide karşı savunmasız olduğunu bulmak için bu bilgiyi kullanır. Olay Müdahalesi, tespit kurallarına paylaşılan Uzlaşma Göstergelerini (IOC's) ekler. Tehdit Avı, bu IOC'lere dayalı ağda proaktif olarak teknikler, taktikler ve prosedürleri (TTP'ler) arar. Tehdit Avı, bu TTP'leri takiben etkinlik bulursa, SIEM bir IOC isabetine dayalı bir uyarı tetiklerse veya bir güvenlik açığındanistismar edildiğini dair kanıtlar varsa, IR ekibinin ilgilenmesi için bir olay ortaya çıkar. Bu temel örnekten, TI, VM ve TH ekiplerinin faaliyetlerinin proaktif ve IR faaliyetlerinin reaktif olduğunu görebiliriz. Buradaki asıl amaç TI, VM ve TH ekiplerinin kötü amaçlı yazılımı bulması ve ardından IR ekibi tarafından olaya müdahale edilmesi diyebiliriz.

SOC Altyapısına Erişim Yönetimi

SOC altyapısına kimler erişmelidir? SOC hedeflerini yerine getirebilmek için log kayıtlarından oluşan verilere erişmesi gerekmektedir. Bu kayıtlarda kullanıcılar ile ilgili hassas bilgiler olabilir. Örneğin bir EDR'ye sahip iseniz, güvenlik analistlerinin tüm bilgileri görmesi mümkündür. dosya oluşturma, değiştirme ve silme; tarama geçmişi; oturum açma ve oturum kapatma süreleri; IP adresleri gibi bir çok bilgiye erişebilirler. Bilgiler sadece üst yönetim ve belirli departmandaki kişiler tarafından görülebilir bu durum ise sistemi daha güvenilir kılar. Bu noktada işler karmaşıklaşıyor. EDR platformu örneğine bağlı kalınarak, daha önce belirtildiği gibi, satıcılar proaktif güvenlik açığı algılama gibi diğer yetenekleri bir araya getiriyor; URL'ler, karmalar ve IP adresleri için listeleri ve ayrıca tehdit istihbaratı raporlarını reddeder ve bunlara izin verir. Ne yazık ki, birçok EDR platformu, önceden tanımlanmış rollerin ve ayrıcalıkların, müşterilerin ihtiyaçlarını karşılayacak şekilde yapılandırma olanağı sunmadan kutudan çıktığı zayıf Rol Tabanlı Erişim Kontrolüne (Role Based Access Control-RBAC) sahiptir. Bu nedenle, genellikle bireylere gerçekten ihtiyaç duymadıkları ayrıcalıklar verilir;bu da genellikle yalnızca IR ekibinin platforma erişmesine izin verildiğini söyler. Bu, BT ekibinin SOC'deki diğer ekipler için görevler gerçekleştirmesi anlamına gelir. Birkaç örnek:

  • Tehdit İstihbaratı ekibi, organizasyonu etkileyebilecek devam eden kötü amaçlı bir kampanyayla ilgili IOC'leri bulur. Bilgileri IR ekibine iletirler, böylece bu IOC'ler izleme için EDR platformuna dahil edilir.

  • Güvenlik Açığı Yönetimi ekibi, ağ taramaları yürütür, ancak bu sonuçları EDR aracısı tarafından bulunanlarla karşılaştırmak ister. Güvenlik Açığı Yönetimi (VM), IR ekibine bir rapor çalıştırması ve sonuçları paylaşması için bir istek gönderir.

  • SOC yönetimi, EDR platformunun kuruluşun güvenlik stratejisine nasıl değer kattığını üst yönetime göstermek ister. IR ekibine, olayların ne kadar hızlı alındığı ve çözüldüğü, gerçek pozitiflerin sayısı ile yanlış pozitiflerin sayısı vb. Hakkında istatistikleri içerecek bir rapor çalıştırması için bir istek gönderilir.

Yukarıdakiler, EDR platformunu dikkate alan birkaç örnektir.

SOC altyapısına erişim, doğru şekilde yönetilmezse durum tatsız hale gelecektir. Bu durumdan dolayı farklı cepheleri dikkate almak önemlidir:

  • Organizasyon politikaları: Hassas veya gizli bilgilere kimin erişimi olması gerektiği konusunda halihazırda çok net politikalar varsa, buna uymanız gerekir.

  • Araç yetenekleri : Araç RBAC gereksinimlerinizi karşılamıyorsa, satıcı size aradığınızı geliştirmenin mümkün olmadığını söyler, ancak bunu istediğinizden eminsiniz, o zaman SOC'nin nasıl çalışacağı konusunda dahili olarak anlaşmalara ulaşmanız ve ilgili taraflardan risk kabulü almanız gerekir.

  • SOC iç hizalaması: EDR örneğine geri dönersek, ana bilgisayara uzaktan bağlanma imkanı sunar. Bu durum analistlerin işlemleri durdurma, dosya edinme veya kayıt defteri anahtarlarını temizleme gibi eylemleri uzaktan gerçekleştirmelerini sağlar.Uzaktan erişimi olası kazalara karşı sadece ne yaptıklarını bilen üst düzey analistler tarafından kullanılmalıdır.

Kısacası IR ekibinin veya başka bir ekibin diğer SOC alanlarının kendi başlarına yapabileceği görevleri yerine getirmesi için bir neden olmaması gerektiğidir.Yönetimle ilgili endişeleri ortadan kaldırmak için, araçların etkinlik günlüklerini SIEM'inize gönderebilir ve yukarıda açıklandığı gibi yanlış kullanım durumunda uyarıları tetikleyecek kullanım durumları tanımlayabilirsiniz.