Güvenlik Operasyon Merkezi Ekibi
Güvenlik Operasyon Merkezleri, kurumların güvenliklerini yüksek seviyede tutmak için saldırı olaylarını algılama, analiz etme, önleme ve müdahale etme gibi adımları uygulayarak sürekli izleme ve iyileştirme işlemlerini en verimli şekilde uygulamaya çalışan deneyimli bir ekip ve bu ekip için sağlanan teknolojik altyapı olarak tanımlanabilir.
SOC’un Görevleri
– Kritik bilişim sistemlerine ait logların SIEM veya log yönetimi/analizi araçlarına gönderilmesini sağlayacak sorunsuz çalışan bir altyapı kurmak ve bunun için güvenlik izleme cihazlarını ve araçlarını en iyi şekilde yapılandırmak
– Korelasyon kurallarını gözden geçirmek ve düzenlemek, saldırı göstergelerini araştırmak, alarmları analiz etmek, alarmların kritiklik ve etki derecesini belirleyerek aciliyetine göre sıralamak, saldırı kaynaklarını belirlemek gibi zararlı aktiviteleri tespit için gereken önemli süreçleri güvenlik izleme cihazlarının yardımıyla en iyi şekilde yönetmek
SOC Ekibi Pozisyonları
– Seviye 1 Güvenlik Analisti:Alarmları inceleyerek doğruluğunu ve önceliğini belirlemek, saldırı sinyali veren alarmlar için ticket oluşturmak ve üst yöneticiye (Seviye 2) duyurmak, zafiyet taramaları yapmak ve zafiyet değerlendirme raporlarını gözden geçirmek, güvenlik izleme araçlarını yönetmek ve yapılandırmak gibi görevleri vardır. Sistem yöneticisi yekinliklerine, programlama ve güvenlik yeteneklerine sahiptir.
– Seviye 2 Güvenlik Analisti: Seviye 1 analistinin oluşturduğu ticket’ları denetlemek, ortaya çıkan tehdit istihbaratlarını değerlendirerek etkilenen sistemleri ve saldırının kapsamını tanımlamak, saldırıya maruz kalabilecek sistemler üzerindeki bilgileri ileriki araştırma aşamaları için toplamak, iyileştirme ve kurtarma planını belirleyip yönetmek. Seviye 1 analistin sahip olması gereken özelliklerin yanı sıra problemin asıl kaynağına inebilme ve baskı altında çalışabilme özelliklerine sahiptir.
– Seviye 3 Uzman Güvenlik Analisti: Tanımlanan varlık envanterini ve zafiyet değerlendirme verilerini gözden geçirmek, son tehdit istihbaratlarını göz önünde bulundurarak kurum ağı içerisinde yerleşmiş olan gizli tehditleri tespit yöntemlerini bulmak, üretim sistemlerine sızma testleri yaparak dayanıklılığını ve düzeltilmesi gereken açıklıkları tanımlamak, tehdit avcılığı yönteminin yardımıyla güvenlik izleme araçlarını optimize etmek. Seviye 1 ve 2 analistlerinin yetkinliklerinin yanında veri görselleştirme araçlarına hakim olmalıdır.
– Seviye 4 SOC Yöneticisi: SOC ekibinin faaliyetlerini gözetlemek; ekip için işe alım, değerlendirme ve eğitim süreçlerini yönetmek; saldırıların yükselme süreçlerini yönetmek ve olay raporlarını gözden geçirmek; üst yöneticiler ve diğer paydaşlarla haberleşme için kriz iletişim planını geliştirmek ve uygulamak; uyumluluk raporlarını yayınlamak ve denetleme süreçlerini desteklemek; SOC performans ölçümlerini almak ve güvenlik operasyonlarının önemini iş dünyasına aktarmak. Seviye 1 2 ve 3 analistlerinin yetkinliklerine ek olarak güçlü liderlik ve iletişim yeteneklerine sahip olmalıdır.
Tehdit İstihbaratı Ekibi
Birden fazla kaynaktan gelen tehdit istihbaratı verilerinin geçerliliğini denetlemek; saldırı göstergeleri, bulgular, isnat (attribution) ve aynı zamanda saldırganların kullandığı yöntemler, araçlar ve prosedürler gibi diğer ayrıntılar konusunda tehdit istihbaratı toplulukları ile işbirliği çerçevesinde bilgilendirme yapmak gibi önemli işlevleri vardır. Büyük SOC ekipleri tehdit istihbaratına özel görevlendirmeler yapabilirler. Daha küçük SOC ekipleri ise güvenilir bir tehdit istihbaratı hizmet sağlayıcısından otomatize bir şekilde bilgi almak gibi bir yöntem uygulayabilirler.
Yönetilen Güvenlik Hizmetleri Sağlayıcı (MSSP)
Yönetilen Güvenlik Hizmetleri Sağlayıcısı, kurumlara güvenlik cihazları ve sistemleri için güvenlik duvarı yönetimi, saldırı tespit, VPN, açıklık tarama ve anti-virüs gibi önemli izleme ve yönetim servisleri sağlar. Bir kurumun MSSP’ye gereksinimi olup olmadığı belirlenirken cevap aranması gereken en önemli nokta SOC ekibinizin saldırıyı tespit, kontrol altına alma ve müdahale konularında ne kadar kaynağa ve yetenekli üyelere sahip olduğu gerçeğidir. Eğer ekibinizin kaynakları diğer önceliklere odaklı ise SOC işlemleri için bir MSSP hizmeti almak daha verimli olacaktır.