Gerçekleşmekte olan tehditleri saptamak, kapsam ve etkilerini tespit etmek, etkili ve hızlı bir şekilde müdahale etmek için SOC ekibinin uygulaması gereken kritik adımları kararlaştırarak bir liste oluşturmak büyük önem taşımaktadır.
SOC Etapları
Etap 1- Olay Sınıflandırma ve Öncelik Belirleme (Triage):
Kullanıcı aktiviteleri, sistem olayları(system events), güvenlik duvarı izin ve ret bilgilerinin yanı sıra belirli bir paterne sahip belirli olay dizileri ve kombinasyonları asıl saldırı göstergeleri arasında sayılabilir. Bu nedenle bu kritik olaylara ilişkin log verilerinin toplanması, korelasyonu ve analizi büyük önem taşımaktadır. Bu etapta her bir olayın hızlı bir şekilde sınıflandırılarak ilave araştırmalar gerektiren kritik olayların önceliklendirilip ilk sıralara alınması büyük önem arz etmektedir.
Bunun için Seviye 1 SOC Analistleri en son tespit edilen ve en yüksek kritiklik derecesine sahip olan olayları gözden geçirirler. Bu olayların daha ileri analizlere ihtiyaç duyduğunu belirlemeleri durumunda sorunu Seviye 2 Analistlere bildirirler. Bu aşamada tüm aktivitenin belgelendirilmesi önem taşımaktadır.
Atakların hassas bilgilere ve sistemlere zarar verecek bir seviyeye yükselmeden erken evrede tespit edilmesi bu etapta alınacak aksiyonları önemli kılmaktadır.
Alarm Türleri
Keşif ve Araştırma (Probe):
– Saldırganın kurum hakkında bilgiler elde etmeye çalışması
– Öncelik seviyesi düşük
– Seviye 1 analistin tehdit istihbarat topluluklarının duyuru ve aktivitelerini takip etmesini (haftalık olarak) gerektirir.
İstismar Kodunun Gönderilmesi ve Saldırı:
– Zararlı yazılımın sisteme yerleştirilmesi girişimleri
– Düşük/orta dereceli
– Seviye 1 Analistin tehdit istihbarat topluluklarının duyuru ve aktivitelerini takip etmesini (haftalık olarak) gerektirir.
İstismar ve Kurulum:
– Bir açıklığın başarılı bir şekilde sömürülmesi veya sistemde Backdoor/RAT kurulması
– Orta/yüksek dereceli
– Doğrulama ve inceleme yapıldıktan sonra Seviye 2’ye bildirilmesi gerekmektedir.
Sistemin Ele Geçirilmesi:
– Yüksek seviyeli
– Doğrulama ve inceleme işlemlerinin yapılıp Seviye 2’ye duyurulmasını gerektirir.
Etap 2- Önceliklendirme ve Analiz
Önceliklendirme aşamasında iş sürekliliğini en kötü etkileyecek olaylara odaklanılması gerekir. Bunun belirlenebilmesi için hangi bilişim varlıklarının daha kritik olduğu saptanmış olmalıdır.
Bu etapta kurumunuza yapılan herhangi bir sızma girişimine işaret eden durumlar incelenip uygun aksiyon alınması önem taşımaktadır. Denetime alınması gereken saldırı göstergeleri arasında mevcut bir açıklığı istismar ederek sistemde kurulan rootkit/uzaktan erişim trojanları (RAT), iç ağdaki bir makine ile bilinen kötü bir IP adresi arasındaki ağ iletişimi gibi kritik işlemler sayılabilir.
İzlemeye alınması gereken varlıklar belirlenirken:
– Ağ üzerindeki IP atanmış tüm cihazlar
– Bu cihazlar üzerinde kurulu olan yazılımlar ve servisler
– Nasıl yapılandırılmış oldukları
– Zafiyet barındırıp barındırmadıkları gibi faktörler göz önünde bulundurulmalıdır.
Varlıkları Belirleme
Kurumun iş sürekliliği için çalışmasının aksamaması gereken kritik önemdeki cihazların tespit edilmesi ve varlık envanterinin belirlenip sürekli güncellenmesi büyük önem taşımaktadır. Dikkat edilmesi gereken kriterler:
– Kurumunuzun süregiden işlevlerinin kesintiye uğramaması için hangi sistemler kritik önemde?
– Hangi sistemler günlük görevler için kritik önemde?
– Bu kritik varlıklar ve servisler hangi diğer sistemlere cihaz ve ağlara bağımlı?
– Hangi sistemler hassas bilgiyi saklamakta ve yönetmekte?
Etap 3- İyileştirme ve Kurtarma
Saldırının hızlıca tespit edilip müdahale edilmesi oluşacak zararın etkilerinin azaltılmasını ve benzer saldırıların gelecekte gerçekleşmesinin önlenmesini kolaylaştırmaktadır. Saldırının etkilerini azaltma, kurtarma planını uygulama veya bu saldırının bir suç olarak araştırmaya açılıp açılmayacağını kararlaştırma gibi konuları değerlendirmek için SOC ekibi yönetim ekibi ile irtibat halinde olmalı ve her şeyi dokümanlaştırmalıdır.
Saldırıyı kontrol altına almak için alınan aksiyonlar genelde şu adımları kapsar:
– Sistemlerin imaj bazında yedeğinin alınması
– Sistemleri yamalamak ve güncellemek
– Sistem erişimlerini yeniden yapılandırmak (Hesap ve parolalar)
– Ağ erişimlerini yeniden yapılandırmak (VPN, güvenlik duvarları ve erişim kontrol listeleri)
– Sunucular ve diğer varlıklar üzerindeki izleme araçlarını yapılandırmak (HIDS)
– Zafiyet taramaları yaparak yama süreçlerini ve diğer güvenlik kontrollerini denetlemek
Bazı durumlarda SOC ekibi iyileştirme ve kurtarma süreçlerini BT departmanındaki diğer gruplara devredebilir, bu durumda SOC analisti ticket veya kontrol değişimi istemi oluşturmalıdır.
Etap 4- Durum Tespiti ve Denetim
Kurumların siber saldırıya maruz kalmadan önce açıklıklarının tespit edilip kapatılması ve gerekli önlemlerin alınması için periyodik zafiyet değerlendirmesi yapılması ve bulguların rapor edilmesi güvenliğin yüksek düzeyde tutulmasına katkı sağlayacaktır. SOC süreçlerine en iyi şekilde adapte olarak zafiyetlerin kapatılması işlemlerinin geciktirilmeden zamanında yapılması gerekmektedir.
Politika uyumluluk süreçleri ve SOC ekibinin verimliliğinin arttırılması işlemlerinin etkili gerçekleştirilmesi için iç veya dış denetim ekiplerinden yardım alınması performansı yükseltecektir.