Kesintisiz Operasyon: SOC Nedir?

Koruması olan insanları gördüğünüzde, aklınızdan geçenler ne oluyor? Peki, bizim haricimizde kötü niyetli kişiler, koruması olan birilerini gördüğünde ne düşünüyordur? ‘Bu kişiye yaklaşmamalıyım’ ya da ‘yaklaşırsam, sonuçları olabilir’ gibi düşünceler ortaya çıkabilir. Benzer durum, siber dünyada da geçerlidir. Sizin faaliyetlerinizi sürekli gözleyen ayrıca dışarıdan içeriye oluşan trafiği sürekli izleyip denetleyen birilerinin olduğunu düşünün. Sizce de siber güvenliğe dair iyi bir yaklaşım olmaz mı?

Tam da bu noktada yardımınıza SOC(Security Operation Center) koşmaktadır. Günümüz dünyasını ele aldığımızda, gelişen teknoloji ile birlikte oluşan güvenlik zafiyetlerinin sayısı da katbekat artmaktadır. Hal böyleyken işletmenizin güvenliğini de sorgulamanız ve bunu iyi bir şekilde değerlendirip aksiyon almanız elzem olmuştur. Öyleyse, SOC’nin ne olduğunu, ne işe yaradığını ve diğer ayrıntılarını keşfetmenizde fayda var.

SOC Nedir?

İsminden de anlaşılacağı üzere güvenlik operasyonlarını yürüten merkezdir. Bu anlamda SOC, işletmenin iç ve dış zayıf yönlerini analiz edip güçlendirilmesi için aksiyon alan veya aksiyon planlarında bulunan, siber güvenlik uzmanlarının oluşturduğu ekiplerdir.

Kurum içerisinde kritik altyapılar ve yetkisiz erişimlerin olmadığı alanlar söz konusudur. Bununla birlikte çok da önemsenmeyecek(tabii böyle bir yaklaşımda bulunmamalıyız) envanter veya kaynaklar da olabilir. Bir tarafın güvenliğini sağlamak için ağırlık verirken, öteki tarafın çok da üstüne eğilmemek doğru bir siber güvenlik yaklaşımı değildir. Ancak ne yazık ki, bilgi güvenliği alanında yeteri kadar bilince sahip olmayan çoğu firma bu durumları göz ardı etmektedir. Dolayısıyla hiç beklenmedik, küçücük bir zafiyet kırıntısı dahi çok büyük maddi manevi zararlara sebebiyet verebilmektedir. Hatta bununla alakalı yaşanmış bir olayı da paylaşmak istiyorum. Durumun ehemmiyetiniz siz düşünün.

2 genç arkadaş(henüz ergenlik çağında), HSYS’nin(devletin halk sağlığı yönetim sistemi) güvenlik açığını bulmayı kafaya koymuşlar(onları sinirlendiren bir durum olmuş). Bu arkadaşlar, bitmek tükenmek bilmeyen enerjileri ile sistemin zafiyetini ararken, inanılmaz basit bir açıklık tespit etmişler. Tespitleri şu şekilde; rastgele denedikleri TC kimlik numarasını girip, ‘şifremi unuttum’ butonuna tıklıyorlar. Akabinde sayfanın kaynak kodlarını görmek için F12’ye basıyorlar. Ve buuum! Şifreyi yenilemek için ilgili kişinin cep telefonuna gönderilen sms kodu, kaynak koduna da yansıyor… Düşünebiliyor musunuz? Böylece milyonlarca kişinin sağlık verisi nereye gidiyor dersiniz?

Sonuç olarak, SOC ekiplerinin alanında başarılı, yetkin kişilerden oluşması gerekmektedir. Bu durum özellikle kritik kurumlar için ekstra bir önem taşımaktadır. Bu güvenlik operasyon merkezleri kendi içerisinde branşlara ayrılmaktadır. Daha yakından tanımanız ve zihninizde yer edinmesi için liste halinde paylaşacağım.

SOC Ekipleri Ne İş Yapar?

İzle, tespit et, önle! Bu 3 kelime özelinde sade bir özet çıkarmak yanlış olmayacaktır. Eğer SOC alanında kariyerinizi inşa etmek istiyorsanız veya bu alanda bir hizmet almayı düşünüyorsanız, öncelikle SOC’nin ne olduğunu kavramalısınız. Dolayısıyla bu ekiplerin ne iş yaptığını, nasıl çalıştığını da göz önünde bulundurmanız gerekmektedir. Öyleyse tüm şeffaflığı ile bu ekiplerin çalışma stilini ve kendi içerisindeki branşlarını keşfetmeye hazır olun.

Information Security Operation Center(ISOC)

• Bilgi güvenliği prosedürleri/politikaları, bir kurumun tam anlamıyla uyması gereken maddelerdir. Aksi durumda, hem çalışanlarınız hem de somut ve soyut varlıklarınız kötü niyetli kişiler tarafından sömürülebilir. Bu anlamda ISOC ekipleri, bu politikalara uygunluğu denetlemektedir.
• Yetkisiz erişimler, pektabii büyük problemlere yol açabilmektedir. Bunu yalnızca dışarıdan gelebilecek kötü niyetli yetkisiz erişim olarak değerlendirmeyin. Muhasebe departmanının siber güvenlik ürünlerine erişmesi de yetkisiz erişime dahildir. Veya tam tersi durumda… Bu anlamda, ISOC ekipleri, yetkisiz erişimlerin denetlemesini ve korunmasını sağlamaktadır.

Network Operation Center(NOC)

• İsminden de anlaşılacağı üzere ağ altyapısının güvenliğini sağlamak ve operasyonel süreçlerini yönetmekle yükümlüdür. Bu arada, benim de dahil olduğum ekip :).
• Firewall, WAF, DDoS alanları, en çok içerisinde bulundukları ve yönettikleri çözümlerdir.

Red Team Operation Center(RTOC)

• Sızma testinin ne olduğunu biliyor musunuz? Tüm detayları ile birlikte(ne olduğu, nasıl yapıldığı…) ilgili içeriğimi ziyaret edebilirsiniz. Kuruma gelebilecek kötü niyetli siber atakları simüle etmektedirler. Belirli periyotlarla pentest çalışmalarını gerçekleştiren RTOC ekibi, zafiyetleri tespit edip, bunların raporlanması ve önlemini almak için ilgili ekipleri organize etmektedirler.
• Bu sayede gerçek saldırılara her zaman hazırlıklı olan kurum, kendisini siber dünyada daha sağlam ve güvenli temeller ile zeminini oturtmuş olmaktadır.

Cyber Threat Intelligence Operation Center(CTIOC)

• İstihbaratınız sağlam mı? CTIOC, tehdit istihbaratına odaklanan SOC branşıdır.
• Siber tehdit oluşturan aktörleri ve yöntemlerini izleyerek oluşan veya oluşabilecek zafiyetlerin önüne geçilmesini sağlamaktadır.
• Güncel olarak tehdit istihbaratı verilerini toplayarak analiz etmektedirler. Bununla birlikte proaktif olarak savunma stratejileri geliştirmeye yardımcı olmaktadırlar.

Incident Response Center(IRC)

• Bir olay oldu ve müdahale mi gerekiyor? Bu görev, IRC ekiplerine aittir. Tespit edilen bir tehdit varsa, hızlıca bu tehdidi bertaraf etmek için aksiyon alınmaktadır.
• Yaşanan olay(lar)dan sonra bu durumun tekrarının olmaması adına analizleri yapıp raporunu oluşturmaktadırlar.

Fraud Monitoring Operation Center(FMOC)

• Özellikle finans kuruluşları için vazgeçilmez bir ekip olarak değerlendirilmektedir. FMOC, finansal işlemlerdeki anomalileri tespit edip, bunun önüne geçmekle yükümlüdür. Örnek olarak, ATM’lere kredi kartı kopyalayıcı aparatların takılması gibi…
• Pandemi döneminde dünya genelinde büyük bir artış yaşanan E-Ticaret alanlarında güvenliğin durumunu izlemekle de yükümlüdürler. Keza kimlik aldatmacası gibi kötü niyetli girişimleri tespit edip önlemek için gerekli aksiyonu alırlar.

Compliance Monitoring Operation Center(CMOC)

• Ülke ve dünya genelinde regülasyonlar büyük bir pay sahibidir. Hatta şirketler ve çalışanları (matematikteki) kesrin payı olarak düşünürsek, regülasyonlar bu kesrin paydasıdır. Dolayısıyla siber güvenlik camiasında ortak bir paydada buluştuğumuzu söyleyebiliriz. CMOC ekipleri; GDPR, ISO, PCI, HIPAA… gibi standartlara uyumun sağlanması için çalışmaktadırlar. Bununla birlikte herhangi bir uyumsuzluk veya güvenlik zafiyetine sebep olmuş kişiye özel eğitimlerin atanmasından sorumludur. Bu eğitimleri düzenleyen ve hazırlayan kişilerdir. Keza yalnızca zafiyete sebep olan kişi özelinde değil, kurumun tüm personelini de bilinçlendirmek ve buna istinaden senaryolar, tatbikatlar düzenlemekle de yükümlüdürler.

Cloud Security Operation Center(Cloud SOC)

• Günümüzün en güncel ve verimli teknolojilerinden biri olan bulut(cloud) teknolojisinde güvenliği sağlamak büyük bir önem arz etmektedir. Tam da bu noktada devreye Cloud SOC ekipleri girmektedir. Bulut hizmetlerinin güvenliğini takip edip, herhangi bir anomali durumunda müdahale için araya girmektedir.
• SaaS, IaaS ve PaaS hizmetlerinde oluşan/oluşabilecek zafiyetleri tespit etmektedirler. Ayrıca bulut tabanlı uygulamalarda veri güvenliğini sağlamak için çalışmaktadırlar.

Industrial Security Operation Center(ICSOC)

• Bir ülkenin üretimi olmazsa, o ülke ne kadar gelişebilir? Türkiye’de olduğu gibi dünyada da büyük bir pay sahibi olan endüstriyel sistemlerin korunması için bir güvenlik operasyon merkezi gerekmektedir. Bu noktada ICSOC, kurumların imdadına yetişmektedir.
• Bu ekipler, scada sistemlerinin güvenliğini izlemek ve sağlamakla yükümlüdür. Ayrıca ICSOC, endüstrinin iş süreçlerini kolaylaştırıp büyük bir kazanım sağlayan IoT cihazlarını tehditlerden korumakla yükümlüdür.

Managed Security Operation Center(MSSOC)

• Herkes SOC hizmeti almak zorunda mı? Bunun için kalifiye personel bulmak ne kadar kolay? İşte bu soruların yanıtı olarak daha kolayını sunan bir hizmet var. Kurumlar, SOC personeli için ayırmak istemedikleri bütçe ile dışarıdan bu hizmeti satın alabilirler. Bu hizmetin bir parçası olan siber güvenlik uzmanları ise MSSOC ekipleri olarak bilinirler.
• Müşterinin sistemleri 7/24 güvenlik uzmanları tarafından izlenir, güvenlik raporları ve tehdit istihbaratı müşteri ile paylaşılır.

DevSecOps Operation Center(DSOC)

• Sizi dünyaya karşı tanıtan varlıklarını var mı? Günümüzde küçük-orta-büyük ölçekli neredeyse her kurumun/şirketin en azından bir web sitesi var. Ayrıca hizmetlerini yazılımlar aracılığıyla tanıtan ve yalnızca bu alana odaklanan bir kesim de var. DSOC ekipleri, yazılım geliştirme süreçlerindeki güvenlik operasyonlarını yürütmektedir. Böylece henüz yazılım ortaya çıkmadan muhtemel zafiyetlerin önüne geçilmektedir.

SOC’nin Siber Güvenlikteki Önemi Nedir?

Yukarıdaki satırlarda da gördüğünüz üzere SOC ekipleri, bir kurumun güvenliğini sağlamak ve iş süreçlerinin aksamaması için olmazsa olmazlardandır. Örneğin, yıllık kârı 3 milyon dolar olan bir Türk şirketisiniz. Bu şirketin fiziksel bir güvenliğinin olmaması mümkün mü? Elbette ki hayır. Peki, aynı ehemmiyeti neden siber dünya için de göstermiyoruz. Ki şu an da olduğu gibi yakın geçmişte de kurumları en çok zarara uğratan saldırıların siber ataklar olduğu bu denli göz önündeyken.

Dolayısıyla bir şirketin prestijini, marka bilinirliğini ve iş kalitesine doğrudan etken olan SOC’ye büyük bir kıymet verilmelidir. Kısa vadeli kazançları bir kenara bırakıp, uzun vadede şirketin kazancı düşünülmelidir. Bu sayede kurumun büyümesi ve pazardaki konumunun gelişmesi işten bile değildir.

Ayrıca SOC ekiplerinin kuruma kazandıracaklarını şu şekilde listeleyebilirim;

• 7/24 siber güvenliğin takip edilmesi,
• Olay yönetiminin sağlanması,
• Proaktif yaklaşım,
• Uygunluk ve uyumluluğun sağlanması,
• Merkezi bir güvenlik yönetimin gerçekleştirilmesi,
• Veri, bilgi ve sistem güvenliğinin sağlanması,
• Tehditlerin erken tespiti ve erken müdahalenin yapılması,
• Bilgi güvenliği farkındalığının sağlanması,
• İç ve dış tehditlerin belirlenmesi ve bunlara karşı aksiyonun alınması,
• Güvenlik zafiyetlerinin sonuçlarını minimize etmek

Bu liste yalnızca 10 maddede özetleyebildiklerim. Tabii ki bu listeyi kurum özelinde çok daha uzun hatta sayfalar halinde yazabilirim. Aklınızda daha berrak bir tablonun oluşması için bu özetin yeterli olacağı kanısındayım.

SOC’de Kullanılan Teknolojiler ve Çözümler

Bir siber güvenlik uzmanının SOC ekibinde yetkin ve başarılı biri olması için analitik becerilerinin yanı sıra bazı teknolojilere de hakim olması gerekmektedir. Bu anlamda genel hatlarıyla hangi çözümün hangi ürününü kullanmak gerekmektedir? Bu sorulara da kategorize edilmiş biçimde yanıt vererek odak noktanızı daha spesifik olarak şekillendirebilirsiniz.

SIEM Araçları

Log yönetiminin yapıldığı, tehdit algılamanın ve olay korelasyonun birleştiği merkezi bir çözüm olan SIEM için en yaygın/kullanılan ürünler şunlardır;

• IBM QRadar,
• Splunk,
• ArcSight
• CryptoSIM

Güvenlik Duvarları(Firewall)

Kurumun ağ trafiğinin güvenliğini sağlamak ve zararlı aktiviteleri doğrudan engellemek için kullanılan çözümlerdir. Aralarından dünya çapında en bilinen ve en çok kullanılanları şu şekildedir;

• Fortinet
• Palo Alto
• CheckPoint

Firewall nedir, ne işe yarar sorusunu tüm detayları ile incelemek isterseniz ilgili içeriğimi ziyaret edebilirsiniz.

EDR(Endpoint Detection and Response) Çözümleri

Kurum içerisindeki tüm uç nokta cihazlarını izleyerek tehditleri algılar. Buna istinaden oluşan zararlı durumlara otomatik olarak aksiyon alır ve kötücül faaliyetin yayılmasını engeller. Buna örnek ürünler ise şunlardır;

• CrowdStrike(Yakın zamanda hepinizin duyduğu mavi ekran hatasının baş mimarisi :)),
• TrendMicro,
• Sentinel One,
• Carbon Black

IDS/IPS(Intrusion Detection Systems & Intrusion Prevention System)

Yine ağ trafiğini izleyerek saldırıları tespit eder(IDS) ve bunları engeller(IPS).

• Snort,
• PaloAlto,
• Fortinet,
• Suricata

DLP Çözümleri

Kurum içerisinden çıkmaması gereken hassas bir veri mi var? Kötü niyetli bir çalışanınız, işten çıkmadan hemen önce, şirket verilerini bir USB belleğe kopyalamaya mı çalışıyor yoksa dışarıya mail mi atıyor? Endişelenmeyin! DLP ile bunun önüne geçmek mümkün.

• ForcePoint DLP,
• Symantec DLP,
• Microsoft DLP

Adli Bilişim Çözümleri

Yaşanan bir olayın kök neden analizini yapmak ve bunun tekrarlanmaması için önlem almaya yarayan çözümlerdir. Burada adli bilişim mühendislerinin rolü yadsınamayacak derecededir.

• EnCase,
• FTK,
• Splunk

Ağ İzleme Araçları

Şüpheli bir aktivite olduğunu düşünüyorsunuz veya false-positive bir engellemenin olabileceğini… Belki de yalnızca ağ trafiğinizin performans durumunu analiz edip raporlama yapmanız gerekiyor. Bunun için kullanılan ürünler;

• SolarWinds,
• WireShark,
• Nagios

SOC hakkında sizin düşünceleriniz neler? Danışmanlık almayı düşünüyor musunuz, belki de kendi SOC ekibinizi kurmayı planlıyorsunuz? Kim bilir, belki de SOC uzmanı olmak istiyorsunuz. Konuyla ilgili görüş ve düşüncelerinizi yorumlar kısmından belirtebilirsiniz. Bir sonraki içerikte görüşmek üzere, sağlıkla ve güvenle kalın.