Güvenlik Operasyon Merkezi (SOC), tehditlerin gerçek zamanlı tespitinde, tehdit sonrası analizlerin yapılmasında ve hızlı aksiyonlar alınmasında önemli bir rol oynar. Güvenlik Operasyon Merkezi, tüm ağ cihazlarının, güvenlik çözümlerinin, uygulamaların ve veritabanı sistemlerinin izlendiği bir yer gibi düşünebiliriz. Güvenlik Operasyon Merkezi ayrıca, güvenlik açığı yönetim araçları, ağ güvenliği izleme çözümleri ve sürekli güvenlik izleme ürünleri kullanılarak tehditlerin periyodik olarak değerlendirilmesini ele almaktadır. Son nokta güvenlik yönetimi, Olay Tepkisi, uyumluluk izleme vb. Güvenlik Operasyonları Merkezi ekibinin diğer önemli işlevlerindendir. Bugünkü yazımda, Güvenlik Operasyon Merkezlerinin yönetilmesinde karşılaşılan zorlukları sizlerle paylaşacağım.
Günümüzde birçok şirket Güvenlik Operasyon Merkezi kurmanın ve işletmenin zorluğuyla karşı karşıya bulunmaktadır. Her Güvenlik Operasyon Merkezi insanlar, süreçler ve teknoloji olmak üzere üç farklı katmandan oluşmaktadır. Bu katmanların her biri, kurumlar için birçok zorluk yaratır. Yalnızca her birinin kendi başına zorluk oluşturmasının yanında, aynı zamanda üçünün arasındaki kombinasyon da zorlukları beraberinde getirmektedir. Güvenlik Operasyon Merkezlerini yönetirken bazı zorluklarla başa çıkmak zorundayız, haydi hep birlikte bu zorlukların neler olduğuna detaylıca bakalım.

1) Yetkin Personel İhtiyacı ve Elde Tutma Zorluğu
Bugünün Güvenlik Operasyon Merkezlerinde en önemli sorunlardan bir tanesidir. Şirket içi ve dış kaynaklı Güvenlik Operasyon Merkezi hizmetleri siber profesyonelleri işe almak ve elde tutmak için büyük zorluklarla karşı karşıya kalmaktadır. Güvenlik Operasyon Merkezi personelinin kadrosu çok yüksektir ve tehditleri analiz edebilecek ve proaktif davranabilecek yetkin personel ihtiyacı bulunmaktadır. Bu personeller uzun vardiyalara ve personel yıpranmalarına maruz kalmaktadırlar. (SOC’ların çoğu 7/24 çalışmakta, anormal çalışma saatleri personellere çoğu zaman sıkıntı yaratmaktadır.)
2) Uyarıların verimsiz bir şekilde yönetilmesi
Verimsiz uyarı sistemi Güvenlik Operasyon Merkezleri arızasının ana nedenlerinden biridir, örneğin: çok fazla yanlış uyarı almak veya ilgili uyarıları almamak veya gözden kaçırmak. Güvenlik Operasyon Merkezi yöneticileri kendilerine şu soruları sormalıdır: En önemli varlığınızı korumak için ilgili uyarıları alıyor musunuz? Kuruluşumdaki tüm sistemlerden, belirli bir izleme için gereken sistemlerin yüzdesi nedir? Sisteminde kaç tane yanlış uyarı var? vb.
3) Artan Veri Miktarı
Güvenlik Operasyon Merkezi araçları, farklı sistemlerden, platformlardan ve uygulamalardan gelen tonlarca veriyi işleme kapasitesine sahip olmalıdır. Güvenlik izleme çözümleri, günlüklerin toplama noktaları olarak hareket edecek, büyük miktarda veri toplama, herhangi bir performans veya çıktı sorunu yaratmamalıdır. Tipik bir güvenlik operasyon merkezi, ayrı ayrı izlenmesi ve yönetilmesi zor olan çok daha fazla teknolojinin bir kombinasyonunu kullanabilir. Bu nedenle, üretilen tüm bilgileri özetleyen ve güvenlik operasyonlarını yönetmek, izlemek ve ölçmek için genel güvenlik ortamınızın büyük resmi görecek şekilde özelliklere sahip olabilmesi için merkezi bir kaynağa ve tek bir platforma sahip olmak önemlidir.
4) Çok sayıda Son Nokta ve Milyarlarca Kayıt(Log)
Kuruluş ağlarında çeşitli ağ altyapısı ve güvenlik aygıtları kümeleri yer almaktadır, bu ürünlerin tümü kayıtlar(Loglar) oluşturur, ayrıca binlerce kullanıcı kablosuz veya mobil ağlar üzerinden şirket ağına bağlanır. Mevcut güvenlik kontrolleri, bağlı kablosuz veya hücresel son noktalar arasındaki eşler arası iletişimi hesaba katmaz. SDN – Software Defined Networking gibi ağ iletişimlerindeki son gelişmeler, ağ altyapı mimarisinin kendisini yavaşça yeniden tanımlamaktadır. Bu sayede, gözden geçirilmiş Bilgi Güvenliği Politikası veya Günlüğe kaydetme yapılandırmasına ihtiyaç duyulmasına neden olur. Kuruluşlar gittikçe artan çoğu iş açısından kritik öneme sahip bulut uygulamalarını kullanmaya başlamasıyla oluşturulan kayıtlarda artmaktadır. Bu kayıtların anlamlandırılması, gerçek saldırıların ortaya çıkartılması Güvenlik Operasyon Merkezinin zorlanacağı adımlardan bir tanesidir.
5) Süreçlerin uygulanması ve süreç takip aracı ihtiyacı
Uygulama süreçleri ve prosedürleri Güvenlik Operasyon Merkezlerin’de önemli bir konudur. Rutin süreçlerin bir kopyasını oluşturma yeteneği, Güvenlik Operasyon Merkezi takımları için büyük bir verimlilik sorunudur, yüksek verimlilik Güvenlik Operasyon Merkezlerinde yüzlerce süreç vardır. Yöneticilerin Güvenlik Operasyon Merkezi süreçlerini sürdürmeleri oldukça zorludur. Daha verimli bir yol, kuruluşun mevcut süreçlerini sürdürmesine ve yeni olanları kolayca oluşturmasına yardımcı olan otomatik bir süreç aracı kullanmaktır. Bu araçları kullanarak kurumlar, süreç ve prosedürleri takip etmenin doğrudan sonucu olan insan hatalarını ve güncel olmayan süreç ve prosedürleri gözden geçirebilirler.
6) Doğru teknoloji seçimi ve yapılandırması
Güvenlik Operasyon Merkezi, kurum güvenliğinin kalbidir. Birçok durumda, yeni teknolojiye olan talep Güvenlik Operasyon Merkezi’nin içinden gelişecektir. Doğru teknolojiyi uygulamak, kurumun güvenlik yol haritasında hayati bir özelliktir. Sistemi etkili bir izleme sistemine yönlendirecek şekilde yapılandırma yeteneği, organizasyon sistemlerinin uygulanmasında çok önemli bir adımdır. Bu sistemlerin işlevselliği hakkında karar aldıktan sonra şirketlerin dikkate alması gereken başka sorunlar vardır: Satıcının sunduğu destek seviyesi yeterli midir ? Sistemi yapılandırmak için ne kadar çaba harcanmalıdır ? vb.
7) Gelişmiş Saldırılar (APT)
Modern son sofistike saldırıları başlangıçta farklı uç noktaların oluşturduğu günlükleri izleyerek, toplayarak ve ilişkilendirerek tespit etmek oldukça zordur. Örneğin, Gelişmiş Kalıcı Tehdidin (APT) “Lateral Hareketlerinin” Saptanması, farklı olay kaynaklarından çoklu kayıtların çapraz korelasyonuna ihtiyaç duyar. Sistemler içerisinde saldırganların bıraktığu izlerin farkına Güvenlik Operasyon Merkezi yöneticilerinin farkına varması çok uzun zaman alabilir. Sistemde bırakılan izlerin iyi takip edilmesi ve analiz edilmesi gerekmektedir.
8) Yasal Uygunluk Gereksinimleri
Uyum standartlarına göre güvenlik; verilerinin tutulmasını gerektirir. Günlük arşivleme, denetçilerin güvenlik ihlallerini takip etmek için önceki yıllardan günlüklere geri dönmeleri kolay olacak şekilde olmalıdır. Gerekli güvenlik verilerinin türü, uyumsuzluk için cezalar ve asgari tutma süresi düzenlemelere göre değişiklik göstermektedir. Hiçbir kuruluş, kayıt şartlarına uygun olarak kayıt tutmama riskini almakla ilgilenmeyecektir. Uyumsuzluk, büyük parasal para cezaları ve hukuki veya icra yükümlülüğü ile sonuçlanabileceği gibi, bir güvenlik ihlali ile ilgili kuruluşların ismine zarar vermesine, müşteriyle olan güven ilişkisini etkileyecektir.
9) Güvenlikte Bütçe Kısıtlamaları ve Pahalı Teknolojiler
Büyük ya da küçük birçok kuruluşta olduğu gibi, bütçeler her zaman bir şekilde, biçimde sınırlandırılmaktadır. Harcama yetkisi vermek için, net bir pozitif ROI’nin genellikle tahmin edilmesi veya kanıtlanması gerekmektedir. Güvenlik operasyonları ve olay tepkisinin ölçülmesi, izlenmesi ve yönetilmesi zordur, bu nedenle harcamaları haklı çıkarmak her zaman zordur. Giderek artan siber saldırılarla, kuruluşlar siber güvenlik araçlarına olan yatırım seviyesini artırıyor, ancak ne kadar harcama yapılması gerekiyor ve ne kadar bir fayda sağlayacağı konusu tartışılır. Bir veri ihlali gibi olası bir olayın sonuçlarına, büyük bir olasılıkla karşı karşıya kalacağınızı bilmenin yanı sıra marka ve itibar zedelenmesiyle ilgili ROI hesabı için bir bedel koyabilir misiniz?
Son olarak SOC (Security Operation Center) ve NOC (Network Operation Center) farklılıklarına değinerek bugünkü yazımı burada bitiriyorum. Çoğu kuruluşta, SOC ve NOC birbirlerinin işlevlerini tamamlamaktadır. NOC, performansı, kullanılabilirliği etkileyen olayları ve uyarıları ele almaktadır. NOC’un görevi, hizmet seviyesi anlaşmalarını (SLA) karşılamak ve olayları kesinti süresini azaltacak şekilde yönetmektir. Kullanılabilirlik ve performansa odaklanır. SOC, bilgi varlıklarının güvenliğini etkileyen olaylara ve uyarılara odaklanmaktadır. Ana rolü, fikri mülkiyeti ve hassas müşteri verilerini korumaktır. Özetle güvenliğe odaklanır. Her ikisi de herhangi bir kuruluş için kritik öneme sahipken, SOC ve NOC’un tek bir kişide birleştirmek ve tek kişinin bu görevleri yerine getirmesi şirkette felakete yol açabilir. Çünkü yaklaşımları o kadar farklıdır ki, yönetilmesi gereken yetenekleri farklıdır. SOC analistleri güvenlik mühendisliği becerileri gerektirirken, bir NOC analisti ağ, uygulama ve sistem mühendisliğinde uzman olmalıdır. Son olarak, her grubun ele aldığı saldırgan doğası farklıdır. SOC, “akıllı rakipler” üzerine odaklanırken, NOC doğal olarak meydana gelen sistem olaylarıyla ilgilenmektedir. Sonuç olarak, hem SOC hem de NOC, yan yana ve bağlantılı çalışmalı, fakat her biri farklı konulardaki uzmanlıklarını gerçekleştirmelidir.