Siber akınlar çağına girdik. Bilhassa pandemiyle birlikte aylık siber atak bildirim sayısı yüzde 40 arttı. 2019 yılında siber güvenlik akınlarının tüm dünya genelinde verdiği yıllık ziyan 3 trilyon dolar olurken, yapılan varsayımlara nazaran 2021 yılında siber akın kaynaklı kayıpların toplam maliyeti yıllık 6 trilyon dolara ulaşabilir. İşte bu noktada tüm şirketler ve kurumlar için SOC (Security Operations Center) yani güvenlik operasyonları merkezi kritik ehemmiyet taşıyor. Bilhassa yeni teknolojileri içinde barındıran çağdaş SOC’ler siber saldırılan çağında en değerli merkezler olarak öne çıkıyor.
Siber güvenlik kesiminin en büyük şirketlerinden Innovera da çağdaş SOC’leri çok boyutlu ele alan bir webinar gerçekleştirdi. Danışmanlık Servisleri Yöneticisi Burak Tahmaz’ın moderatörlüğünde Onur Erbek ve Osman Karan’ın konuşmacı olarak yer aldığı webinarda, kurumlar için çağdaş SOC’nin ehemmiyeti, ülkü SOC’nin nasıl olması gerektiği mevzuları ayrıntılarıyla konuşuldu.
OTOMASYON TESIRI
Kuruluşların güvenlik durumunu daima olarak izleyen ve güvenlik hadiselerinin tahlilinden sorumlu bir bilgi güvenliği grubunun bulunduğu yerler olan güvenlik operasyonları merkezinin temel gayesi düzgün bir süreç idaresi yaparak siber güvenlik hadiselerini tespit etmek, tahlil etmek ve bunlara karşı aksiyon almak. Güvenlik operasyonları merkezleri çoklukla güvenlik analistleri, güvenlik mühendisleri ve güvenlik süreçlerini denetleyen yöneticilerden oluşuyor. Fakat yakın vakit öncesine kadar klâsik SOC’ler temel bir fonksiyonu yerine getiriyor yalnızca siber akınları önlemeye odaklanıyordu. Otomasyon ve gelişen teknolojiler SOC’lerin tertip yapısını geliştirip değiştirirken yeni misyonlar de üstlenmesine neden oldu. Otomasyonla birlikte yapay zeka ve makine öğrenmesi teknolojilerini içeren çağdaş SOC’ler, yalnızca mevcut hücumları önlemiyor, muhtemel hücumları tespit ediyor, kaynağını buluyor ve bir daha tekrarlanmasının önünü alıyor.
Pekala ülkü SOC nasıl olmalı? Webinar’da bu sorunun cevabını veren Onur Erbek, “SOC ülkü sayıda ve nitelikte çalışanla hayata geçmeli. Sistem ve mühendislik takımı olmalı. İnsan gücü birbirinden bağımsız katmanlı yapıda çalışmalı. Hadisesi izleyen takımla, tahlil eden ve tehdit avcılığı yapan gruplar birbirinden başka olmalı. Her SOC varlık envanterini çıkarıp neyi koruyacağını önceliklendirmeli” dedi.
İKİ TEMEL IŞLEV
SOC’nin en değerli iki temel işlevinin tehdit tespit etme ve müdahale etme düzeneklerini kurmak olduğunun altını çizen Onur Erbek ise bu sistemleri kurarken dizaynın şirket ve bölüme uygun olarak gerçekleştirilmesi gerektiğine dikkat çekti.
SOC’ler kurum içi ve dış kaynak kullanımı ya da hibrit olmak üzere farklı modellerde de faaliyet gösterebiliyor. Bu seçimi yaparken yeniden şirketin bu işe ayıracağı insan kaynağı, bütçe ve gereksinimleri göz önünde bulundurmak kural. SOC dizaynında seçilecek teknolojiler de kritik rol oynuyor. Bilhassa dinamik teknoloji kullanmayı tercih eden şirketlerin bu noktada nelere dikkat etmesi gerektiğini Osman Karan şöyle paylaştı: “Dinamik teknolojiler analitik zeka, makine tahsili ve yapay zekayı kesinlikle içeriyor olmalı. Siber taarruzları gerçekleştirenlere baktığınızda yapay zeka ile dizayn edilmiş otomatik akın araçları kullandıklarını görüyoruz. Münasebetiyle şirketler de savunmalarında bunları kullanmalı. Münasebetiyle SOC teknolojileri seçerken makine öğrenmesi ve yapay zekaya içerip içermediğine bakmak gerekiyor.”
“İŞ TEHDİT AVCILIĞINA DÖNÜŞTÜ”
Çağdaş SOC ile artık işin tehdit avcılığı haline dönüştüğünü tabir eden Onur Erbek, SOC’lerin kâfi olup olmadığının nasıl anlaşılacağına ait de şu açıklamayı yaptı: “Geleneksel SOC’de gaye hücumları önlemekti. Aşikâr başlı zafiyet taraması yapılırdı. Ancak artık çağdaş SOC’de yeni yeterlilik saldırıyı tespit edip karşılık verme. Erken tespit ve buna süratli cevap vermek ismine bu işi yönetilebilir biçimde yapmamız çağdaş yaklaşımımız. Bir SOC’nin yeterliliğe sahip olup olmadığını anlamak için birkaç soru sormak gerekiyor. Hadise nedir, tesirleri neler, nasıl oluştu sorularına net cevap verebiliyorsa ve en kıymetlisi de alınan tedbirler sayesinde emsal bir vaka sistemde tekrarlanmıyorsa o SOC kafidir. Maksat da aslında SOC’deki analistlerin rutin alarmları incelemeye çok az vakit ayırıp ihmal ettikleri tehdit avcılığına odaklanmaları. Bu biçimde SOC muhakkak bir yeterliliğe ulaşacaktır.”
