Siber saldırılar çağına girdik. Özellikle pandemiyle birlikte aylık siber atak bildirim sayısı yüzde 40 arttı. 2019 yılında siber güvenlik saldırılarının tüm dünya genelinde verdiği yıllık zarar 3 trilyon dolar olurken, yapılan tahminlere göre 2021 yılında siber saldırı kaynaklı kayıpların toplam maliyeti yıllık 6 trilyon dolara ulaşabilir. İşte bu noktada tüm şirketler ve kurumlar için SOC (Security Operations Center) yani güvenlik operasyonları merkezi kritik önem taşıyor. Özellikle yeni teknolojileri içinde barındıran modern SOC’ler siber saldırılan çağında en önemli merkezler olarak öne çıkıyor.
Siber güvenlik sektörünün en büyük şirketlerinden Innovera da modern SOC’leri çok boyutlu ele alan bir webinar gerçekleştirdi. Danışmanlık Servisleri Direktörü Burak Tahmaz’ın moderatörlüğünde Onur Erbek ve Osman Karan’ın konuşmacı olarak yer aldığı webinarda, kurumlar için modern SOC’nin önemi, ideal SOC’nin nasıl olması gerektiği konuları detaylarıyla konuşuldu.
OTOMASYON ETKİSİ
Kuruluşların güvenlik durumunu sürekli olarak izleyen ve güvenlik olaylarının analizinden sorumlu bir bilgi güvenliği ekibinin bulunduğu yerler olan güvenlik operasyonları merkezinin temel amacı iyi bir süreç yönetimi yaparak siber güvenlik olaylarını tespit etmek, analiz etmek ve bunlara karşı aksiyon almak. Güvenlik operasyonları merkezleri genellikle güvenlik analistleri, güvenlik mühendisleri ve güvenlik işlemlerini denetleyen yöneticilerden oluşuyor. Ancak yakın zaman öncesine kadar geleneksel SOC’ler temel bir işlevi yerine getiriyor sadece siber saldırıları önlemeye odaklanıyordu. Otomasyon ve gelişen teknolojiler SOC’lerin organizasyon yapısını geliştirip değiştirirken yeni görevler de üstlenmesine neden oldu. Otomasyonla birlikte yapay zeka ve makine öğrenmesi teknolojilerini içeren modern SOC’ler, sadece mevcut saldırıları önlemiyor, olası saldırıları tespit ediyor, kaynağını buluyor ve bir daha tekrarlanmasının önünü alıyor.
Peki ideal SOC nasıl olmalı? Webinar’da bu sorunun yanıtını veren Onur Erbek, “SOC ideal sayıda ve nitelikte çalışanla hayata geçmeli. Sistem ve mühendislik ekibi olmalı. İnsan gücü birbirinden bağımsız katmanlı yapıda çalışmalı. Olayı izleyen ekiple, analiz eden ve tehdit avcılığı yapan ekipler birbirinden ayrı olmalı. Her SOC varlık envanterini çıkarıp neyi koruyacağını önceliklendirmeli” dedi.
İKİ TEMEL FONKSİYON
SOC’nin en önemli iki temel fonksiyonunun tehdit tespit etme ve müdahale etme mekanizmalarını kurmak olduğunun altını çizen Onur Erbek ise bu mekanizmaları kurarken tasarımın şirket ve sektöre uygun olarak gerçekleştirilmesi gerektiğine dikkat çekti.
SOC’ler kurum içi ve dış kaynak kullanımı ya da hibrit olmak üzere farklı modellerde de faaliyet gösterebiliyor. Bu seçimi yaparken yine şirketin bu işe ayıracağı insan kaynağı, bütçe ve ihtiyaçları göz önünde bulundurmak şart. SOC tasarımında seçilecek teknolojiler de kritik rol oynuyor. Özellikle dinamik teknoloji kullanmayı tercih eden şirketlerin bu noktada nelere dikkat etmesi gerektiğini Osman Karan şöyle paylaştı: “Dinamik teknolojiler analitik zeka, makine öğrenimi ve yapay zekayı mutlaka içeriyor olmalı. Siber saldırıları gerçekleştirenlere baktığınızda yapay zeka ile dizayn edilmiş otomatik saldırı araçları kullandıklarını görüyoruz. Dolayısıyla şirketler de savunmalarında bunları kullanmalı. Dolayısıyla SOC teknolojileri seçerken makine öğrenmesi ve yapay zekaya içerip içermediğine bakmak gerekiyor.”
“İŞ TEHDİT AVCILIĞINA DÖNÜŞTÜ”
Modern SOC ile artık işin tehdit avcılığı haline dönüştüğünü ifade eden Onur Erbek, SOC’lerin yeterli olup olmadığının nasıl anlaşılacağına ilişkin de şu açıklamayı yaptı: “Geleneksel SOC’de amaç saldırıları önlemekti. Belli başlı zafiyet taraması yapılırdı. Ama şimdi modern SOC’de yeni yeterlilik saldırıyı tespit edip yanıt verme. Erken tespit ve buna hızlı yanıt vermek adına bu işi yönetilebilir şekilde yapmamız modern yaklaşımımız. Bir SOC’nin yeterliliğe sahip olup olmadığını anlamak için birkaç soru sormak gerekiyor. Olay nedir, etkileri neler, nasıl oluştu sorularına net yanıt verebiliyorsa ve en önemlisi de alınan önlemler sayesinde benzer bir olay sistemde tekrarlanmıyorsa o SOC yeterlidir. Amaç da zaten SOC’deki analistlerin rutin alarmları incelemeye çok az zaman ayırıp ihmal ettikleri tehdit avcılığına odaklanmaları. Bu şekilde SOC belli bir yeterliliğe ulaşacaktır.”