SOC Nedir, Firmalar İçin Neden Önemlidir?

Yayınlayan
Yunus Emre Çoban
Yayınlanma tarihi
25-04-2022
Okuma süresi
15 DK

Güvenlik Operasyon Merkezi olarak adlandırılan (Security Operations Center) SOC, siber güvenlik uzmanlarından oluşan ve bilişim sistemlerini 7/24 süreyle siber saldırılara karşı izleyip, aksiyon alan bir yapıdır.

SOC ekipleri, sistemleri tehdit eden veya tehdit etme potansiyeli olan bütün unsurları en kısa sürede tespit ve aksiyonla yükümlüdür. Tespit ve aksiyon süreçleri elde edilen ham bilgilerin kademeli olarak alanında uzman kişiler tarafından filtrelerden geçirilerek gerçek verilere dönüştürülmesiyle oluşmaktadır. Veriyi toplayan veya tespit eden kişilerden verinin onaylanacağı yöneticilere kadar uzanan bu süreçlerde en can alısı nokta ise “zaman” ile yarışıyor olmaktır. Dahili SOC ekiplerinin kurulumları maliyet olarak fazla gelebileceği için dış kaynak SOC hizmetlerinde aşağıdaki temel görevler aranmalıdır:

  • Olay müdahalesi ve kurtarma,
  • Gerçek zamanlı tehdit görüntüleme ve tehdit istihbaratı,
  • Tehdit ve zafiyet yönetimi,
  • Uyumluluk yönetimi,
  • Veri koruma.

Dahili veya harici SOC ekiplerin de aranması gereken özellikler de NIST (Ulusal Standartlar ve Teknoloji Enstitüsü) tarafından belirlenen CSF (Siber Güvenlik Çerçevesi/Standartları)[1] referans gösterilerek şu şekilde özetlenebilir:

Belirleme (Identify): Kişilerden, yazılımlardan veya donanımlardan oluşan bütün sistem envanterini belirleyip, belirlenen envanter haritası üzerinden siber güvenlik risklerinin tespit edilmesine olan sağlar. SOC ekipleri, sistemleri izlemeye almadan önce envanteri iyi belirlemeli ve atak yüzeyine hakim olmalıdır. Gözden kaçan herhangi bir sistem, yazılım veya kişi, ilerleyen süreçte ufak bir zafiyetle başlayan tedarik zinciri saldırısına dönüşebilmektedir. Bu süreçte şirket için yazılım, donanım ve kişilerin tespitiyle birlikte paydaşların, hizmet alınan satıcıların da sisteme erişimleri olan noktaları belirlemek ve izlemeye almak “Envanter Oluşturma” isimini de verebileceğimiz bu adım, SOC ve güvenlik ekipleri için sistemin büyük resmini oluşturmaya yaramaktadır ve ilk temel adımdır. Bu adımı özetlemek gerekirse şu şekilde özetlenebilir:

  • Fiziksel ve yazılım varlıklarını belirle,
  • İş ortamlarını ve tedarik zinciri rolünü belirle,
  • Yerleşik siber güvenlik politikalarını ve bu politikalra özgü yasal veya düzenleyici gereksinimleri belirle,
  • Envanterde yer alan yazılım, donanım veya personele ait zafiyetleri belirle ve Risk Değerlendirme programı oluşturma (Risk Değerlendirme programı, risk yönetim stratejisi belirleme ve toleransları hesaplamaya katkı sağlayacaktır.),
  • Önceliklere, risklere ve toleranslara göre karar vermeye olanak sağlayan risk yönetim stratejisini oluşturup, uygulama.

Koruma (Protection): Saldırı yüzeyi bir önceki fazda belirlenen sistemi tehdit eden veya edebilecek bütün unsurlara karşı koruma adımıdır. SOC ekipleri, izleme yaptıkları sistemde herhangi bir anomali durumunda veriyi hızlı bir şekilde doğrulayıp gerekli ve doğru aksiyonu alarak koruma adımını gerçekleştiriş olur. Örneğin: Mail güvenliği ve sandbox çözümleri olmayan bir sistemde mesai saatleri dışında personele e-posta yolu ile iletilen bir zararlı yazılım, SOC ekipleri tarafından algılanır ve kullanıcıya ait hesap sıfırlanırken (gerektiğinde askıya alınır), kullanmış olduğu bilgisayar internetten ve sistemden izole edilir. Koruma adımı özetlenirse:

  • Envanterde bulunan yazılım, donanım ve kişilerden kaynaklanabilecek bütün zafiyetlerin sürekli ve düzenli yönetimi,
  • Fiziksel ve uzaktan erişimler için kimlik doğrulama ve kimlik yönetimi,
  • Personellere, siber tehdit farkındalık eğitimi verme,
  • Envanterde yer alan bütün verilerin sınıflandırılarak düşük seviyeden kritik seviyeye kadar derecesi olan bütün verilere ayrı koruma politikaları düzenleme, uygulama ve uygulandığını kontrol etme.

şeklinde sıralanabilir.

Tespit Etme (Detection): Envanteri oluşturulup atak yüzeyi belirlenen ve veri koruma politikaları oluşturulan sistemi tehdit eden veya edebilecek bütün unsurların tespit edilip değerlendirmeye alınması gereken aşamadır. Değerlendirme sürecini kısa tutarken sonraki aşama olan “Yanıtlama” ya geçilir. SOC ekipleri sistemlerin atak yüzeylerine hakim olmaları gerektiği için tehditleri tespit etme aşamasında zorlanmamaları gerekmektedir. Tespit edilen tehditler için gerekli kural, korelasyon ve alarmların oluşturulması adına sonraki aşama olan “Yanıtlama” aşaması ekiplerine gerekli bilgileri sağlar. Tespit etme adımları kısaca:

  • Anomali olayların tespit edildiğinden ve uygun yanıt için tehditlerinin kategorize edildiğini kontrol etme,
  • Uygulanan önlemleri değerlendirmek ve siber tehditleri izlemek için sürekli güvenlik izleme yetenekleri geliştirme,
  • Yeni siber saldırı göstergelerini belirlemek için süreçleri en son tehdit istihbaratına göre güncelleme,

şeklinde sıralanabilir.

Yanıt/Müdahale (Response): Tehditlerin tespit edilmesinin ardından yine en kısa sürede yanıtlama sürecini işletilmesi gerekmektedir. Tehditlere karşı önlemlerin alınma prosesleri bu süreçte gerçekleştirilir.

  • Tespit edilen bulguları paydaşlar ve kolluk kuvvetleri arasında iletişim prosedürleri kurulurak paylaşma,
  • Müdahale etkinliğinin raporlanmasını sağlama ve sonrasındaki benzer vakalarda sonraki süreçlerin daha verimli atlatılmasını sağlama,
  • Müdahale süreçlerinde iyileştirmeleri belirleme,
  • SOC ekip yeteneklerinin geliştirmek için tespit ve müdahale eylemleri arasında belirlenen iyileştrimeleri uygulama,

adımları müdahale sürecini kısaca özetleyebilmektedir.

Kurtarma (Recovery): Tespit edilemeyen tehditlerin sistemi olumsuz etkilemesi halinde işletilecek olan prosestir. SOC ekipleri bu fazda, etkilenen yetenekleri, sistemleri veya hizmetleri en hızlı şekilde geri yüklemek için gerekli önlemlere odaklanmalıdır. Yine zamanla yarışması gereken SOC ekipleri sistemi etkilenen operasyonları normal haline gelmesi için en kısa sürede bu fazı tamamlamalıdır. Bu süreçte SOC ekiplerinin izlemesi gereken adımlar ise şunlardır:

  • Sistemleri, varlıkları ve hizmetlere erişimi geri yüklerken kuruluşunuzun planlı Kurtarma süreçlerinin düzgün şekilde yürütülmesini sağlama,
  • Yeni iyileştirmeleri uygulamak için mevcut stratejileri ve mevcut siber tehdit istihbaratını gözden geçirme,
  • Olay kurtarma süreçleri sırasında ve sonrasında, dahili ve harici tüm iletişimleri koordine etme.

 

 

SOC personelinin rolleri farklı katmanlara ayrılır. Bir SOC ekibinin ortak rolleri ve sorumlulukları şunlardır:

 

  • Yönetici
    • Bulgu raporlama
    • Optimizasyon
  • Tehdit Avcıları
    • Tehdit avı
    • İstihbarat toplama
    • Güvenlik açığı yönetimi
  • Güvenlik Analisti-II
    • Alarmların doğrulanması
    • Olay yönetimi
    • İletişim
  • Güvenlik Analisti-I
    • İzleme ve Tespit
    • Korelasyon
    • Toplama
    • Logları/ Tespitleri Koruma

Güvenlik Analisti (Birinci Kademe): Güvenlik açıklarının izlenmesinden, tespit edilen olaylara öncelik verilmesinden ve incelenmesi gereken tehditlerin ikinci seviye analiste iletilmesinden sorumludur.

Güvenlik Analisti (İkinci Kademe): Olayları araştırmak ve bunlara yanıt vermekten, ardından olayların etkisini gidermek için yanıt ve kurtarma süreçlerini yürütmekten sorumludur.

Tehdit Avcıları (Üçüncü Kademe): Beklenmeyen veya gizli ağ girişi yollarını belirlemek için en son tehdit istihbaratına göre BT güvenlik altyapısını değerlendirmekten sorumludur.

Yönetici (Dördüncü Kademe): Tüm ekibi denetlemekten, bulguları, eylem planlarını ve kuruluşun CISO'suna, tehdit bildirimlerini raporlamaktan sorumludur.

[1] https://www.nist.gov/cyberframework/framework

Diğer Blog Yazıları_

Sosyal Medya Kullanımının Riskleri
Sosyal Medya Kullanımının Riskleri
Infraskope Server ve Özellikleri
Infraskope Server ve Özellikleri
Kritik Sunucular Üzerindeki Aktivitelerin Loglanması
Kritik Sunucular Üzerindeki Aktivitelerin Loglanması
Kurumlarda Ağ Güvenlik Stratejileri
Kurumlarda Ağ Güvenlik Stratejileri
WPA-WPA2 Güvenlik Standartlarına Yönelik Saldırı: KRACK (KEY-REINSTALLATION-ATTACK)
WPA-WPA2 Güvenlik Standartlarına Yönelik Saldırı: KRACK (KEY-REINSTALLATION-ATTACK)
Log Yönetiminde Ajanlı/Ajansız Çözümler
Log Yönetiminde Ajanlı/Ajansız Çözümler
Herkesin aklındaki soru: Yapay Zeka Nedir?
Herkesin aklındaki soru: Yapay Zeka Nedir?
Discovery of DLL Hijack on Trend Micro AntiVirus+ | CVE-2018-18333
Discovery of DLL Hijack on Trend Micro AntiVirus+ | CVE-2018-18333
Web Cache Poisoning
Web Cache Poisoning
XML EXTERNAL ENTITY INJECTION AND OOB (OUT-OF-BAND) DATA RETRIEVAL
XML EXTERNAL ENTITY INJECTION AND OOB (OUT-OF-BAND) DATA RETRIEVAL
ARP Poisoning
ARP Poisoning
Cross-Site Request Forgery (CSRF) Zafiyeti
Cross-Site Request Forgery (CSRF) Zafiyeti
SSRF (Server Side Request Forgery)
SSRF (Server Side Request Forgery)
BlueBorne
BlueBorne
Server Side Template Injection Nedir?
Server Side Template Injection Nedir?
Linux Restricted Shell Atlatma Teknikleri
Linux Restricted Shell Atlatma Teknikleri
Discovery of Sandbox Escape on Comodo Container(Antivirus&Firewall)
Discovery of Sandbox Escape on Comodo Container(Antivirus&Firewall)
SDR-Sharp Kullanımı
SDR-Sharp Kullanımı
Log Yönetimi | Log Management | Veritabanı Log | Siem
Log Yönetimi | Log Management | Veritabanı Log | Siem
Cyber Kill Chain, Bir Siber Saldırının Yaşam Döngüsü
Cyber Kill Chain, Bir Siber Saldırının Yaşam Döngüsü
Phishing Nedir?
Phishing Nedir?
“GOLD” Affix Phishing Attack
“GOLD” Affix Phishing Attack
Sızma Testi ve Ödül Avcılığı Hizmetleri
Sızma Testi ve Ödül Avcılığı Hizmetleri
Güvenilir Olarak CAPTCHA Yapılandırılması
Güvenilir Olarak CAPTCHA Yapılandırılması
Basit Kriptolojiden Günümüze Evrilişi
Basit Kriptolojiden Günümüze Evrilişi
Dosya Sistem Analizinin Önemi
Dosya Sistem Analizinin Önemi
HTTP Request Smuggling (HTTP İstek Kaçakcılığı) Nedir?
HTTP Request Smuggling (HTTP İstek Kaçakcılığı) Nedir?
KVKK Kapsamında Veri Keşfi Maskeleme ve Şifreleme
KVKK Kapsamında Veri Keşfi Maskeleme ve Şifreleme
Sosyal Medya Kullanımının Riskleri
Sosyal Medya Kullanımının Riskleri
Sızma (Penetrasyon) Testi Nedir?
Sızma (Penetrasyon) Testi Nedir?
Start Up Kültürü
Start Up Kültürü
Sigma Kuralları ile SIEM Ürünlerinde Tehdit Avı
Sigma Kuralları ile SIEM Ürünlerinde Tehdit Avı
Kritik Altyapılar ve SCADA Güvenliği
Kritik Altyapılar ve SCADA Güvenliği
Zararlı Yazılım Analiz Teknikleri
Zararlı Yazılım Analiz Teknikleri
Uzaktan Çalışma Modellerinde Siber Güvenlik Riskleri
Uzaktan Çalışma Modellerinde Siber Güvenlik Riskleri
Pandemi Sürecinde Siber Güvenlik Riskleri
Pandemi Sürecinde Siber Güvenlik Riskleri
SOC Nedir ve SOC Merkezleri Nasıl Çalışır?
SOC Nedir ve SOC Merkezleri Nasıl Çalışır?
PHISHING Hakkında Her şey
PHISHING Hakkında Her şey
Sosyal Mühendislik Nedir?
Sosyal Mühendislik Nedir?
Siber Hijyen
Siber Hijyen
Adli Bilişim (Digital Forensic) Nedir?
Adli Bilişim (Digital Forensic) Nedir?
DHCP Spoofing Saldırısı Nedir, Nasıl Yapılır?
DHCP Spoofing Saldırısı Nedir, Nasıl Yapılır?
FAIL2BAN İLE SSH BRUTE FORCE SALDIRILARINI ÖNLEME
FAIL2BAN İLE SSH BRUTE FORCE SALDIRILARINI ÖNLEME
BULK EXTRACTOR ARACIYLA DİSK İNCELEME
BULK EXTRACTOR ARACIYLA DİSK İNCELEME
SolarWinds Vaka Analizi
SolarWinds Vaka Analizi
Frida ile SSL Pinning Bypass
Frida ile SSL Pinning Bypass
COOKİE Nedir? Nasıl Çalışır?
COOKİE Nedir? Nasıl Çalışır?
Bilgi Güvenliği Test ve Değerlendirmeleri Teknik Kılavuzu
Bilgi Güvenliği Test ve Değerlendirmeleri Teknik Kılavuzu
Dridex Bankacılık Trojanı Teknik Analiz Raporu (TR)
Dridex Bankacılık Trojanı Teknik Analiz Raporu (TR)
Adwind Rat Technical Analysis Report (ENG)
Adwind Rat Technical Analysis Report (ENG)
SOC Nedir, Firmalar İçin Neden Önemlidir?
SOC Nedir, Firmalar İçin Neden Önemlidir?
Blockchain Nedir?
Blockchain Nedir?
İşlemcilerin Koruma Mekanizması ve Koruma Mekanizmasının Atlatılması
İşlemcilerin Koruma Mekanizması ve Koruma Mekanizmasının Atlatılması
Active Directory Güvenlik İpuçları
Active Directory Güvenlik İpuçları
Nisan 2022 Siber Güvenlik Bülteni
Nisan 2022 Siber Güvenlik Bülteni
Mavi Takım Üyeleri İçin Windows Core Process
Mavi Takım Üyeleri İçin Windows Core Process
Kişiler İçin Bilgi Güvenliği Rehberi
Kişiler İçin Bilgi Güvenliği Rehberi
DDoS Nedir?
DDoS Nedir?
C Dilinde Dosya Yönlendirmeleri (IO Redirection)
C Dilinde Dosya Yönlendirmeleri (IO Redirection)