Siber taarruzlar çağına girdik. Bilhassa pandemiyle birlikte aylık siber atak bildirim sayısı yüzde 40 arttı. 2019 yılında siber güvenlik taarruzlarının tüm dünya genelinde verdiği yıllık ziyan 3 trilyon dolar olurken, yapılan varsayımlara nazaran 2021 yılında siber taarruz kaynaklı kayıpların toplam maliyeti yıllık 6 trilyon dolara ulaşabilir. İşte bu noktada tüm şirketler ve kurumlar için SOC (Security Operations Center) yani güvenlik operasyonları merkezi kritik kıymet taşıyor. Bilhassa yeni teknolojileri içinde barındıran çağdaş SOC’ler siber saldırılan çağında en değerli merkezler olarak öne çıkıyor.
Siber güvenlik dalının en büyük şirketlerinden Innovera da çağdaş SOC’leri çok boyutlu ele alan bir webinar gerçekleştirdi. Danışmanlık Servisleri Yöneticisi Burak Tahmaz’ın moderatörlüğünde Onur Erbek ve Osman Karan’ın konuşmacı olarak yer aldığı webinarda, kurumlar için çağdaş SOC’nin değeri, ülkü SOC’nin nasıl olması gerektiği hususları ayrıntılarıyla konuşuldu.
OTOMASYON TESIRI
Kuruluşların güvenlik durumunu daima olarak izleyen ve güvenlik hadiselerinin tahlilinden sorumlu bir bilgi güvenliği grubunun bulunduğu yerler olan güvenlik operasyonları merkezinin temel emeli iyi bir süreç idaresi yaparak siber güvenlik hadiselerini tespit etmek, tahlil etmek ve bunlara karşı aksiyon almak. Güvenlik operasyonları merkezleri ekseriyetle güvenlik analistleri, güvenlik mühendisleri ve güvenlik süreçlerini denetleyen yöneticilerden oluşuyor. Lakin yakın vakit öncesine kadar klasik SOC’ler temel bir fonksiyonu yerine getiriyor yalnızca siber atakları önlemeye odaklanıyordu. Otomasyon ve gelişen teknolojiler SOC’lerin tertip yapısını geliştirip değiştirirken yeni misyonlar de üstlenmesine neden oldu. Otomasyonla birlikte yapay zeka ve makine öğrenmesi teknolojilerini içeren çağdaş SOC’ler, yalnızca mevcut hücumları önlemiyor, mümkün hücumları tespit ediyor, kaynağını buluyor ve bir daha tekrarlanmasının önünü alıyor.
Pekala ülkü SOC nasıl olmalı? Webinar’da bu sorunun cevabını veren Onur Erbek, “SOC ülkü sayıda ve nitelikte çalışanla hayata geçmeli. Sistem ve mühendislik takımı olmalı. İnsan gücü birbirinden bağımsız katmanlı yapıda çalışmalı. Hadisesi izleyen takımla, tahlil eden ve tehdit avcılığı yapan takımlar birbirinden başka olmalı. Her SOC varlık envanterini çıkarıp neyi koruyacağını önceliklendirmeli” dedi.
İKİ TEMEL IŞLEV
SOC’nin en kıymetli iki temel işlevinin tehdit tespit etme ve müdahale etme düzeneklerini kurmak olduğunun altını çizen Onur Erbek ise bu düzenekleri kurarken dizaynın şirket ve bölüme uygun olarak gerçekleştirilmesi gerektiğine dikkat çekti.
SOC’ler kurum içi ve dış kaynak kullanımı ya da hibrit olmak üzere farklı modellerde de faaliyet gösterebiliyor. Bu seçimi yaparken tekrar şirketin bu işe ayıracağı insan kaynağı, bütçe ve muhtaçlıkları göz önünde bulundurmak kaide. SOC dizaynında seçilecek teknolojiler de kritik rol oynuyor. Bilhassa dinamik teknoloji kullanmayı tercih eden şirketlerin bu noktada nelere dikkat etmesi gerektiğini Osman Karan şöyle paylaştı: “Dinamik teknolojiler analitik zeka, makine tahsili ve yapay zekayı kesinlikle içeriyor olmalı. Siber atakları gerçekleştirenlere baktığınızda yapay zeka ile dizayn edilmiş otomatik atak araçları kullandıklarını görüyoruz. Hasebiyle şirketler de savunmalarında bunları kullanmalı. Münasebetiyle SOC teknolojileri seçerken makine öğrenmesi ve yapay zekaya içerip içermediğine bakmak gerekiyor.”
“İŞ TEHDİT AVCILIĞINA DÖNÜŞTÜ”
Çağdaş SOC ile artık işin tehdit avcılığı haline dönüştüğünü söz eden Onur Erbek, SOC’lerin kâfi olup olmadığının nasıl anlaşılacağına ait de şu açıklamayı yaptı: “Geleneksel SOC’de emel taarruzları önlemekti. Muhakkak başlı zafiyet taraması yapılırdı. Lakin artık çağdaş SOC’de yeni yeterlilik saldırıyı tespit edip cevap verme. Erken tespit ve buna süratli cevap vermek ismine bu işi yönetilebilir formda yapmamız çağdaş yaklaşımımız. Bir SOC’nin yeterliliğe sahip olup olmadığını anlamak için birkaç soru sormak gerekiyor. Hadise nedir, tesirleri neler, nasıl oluştu sorularına net cevap verebiliyorsa ve en kıymetlisi de alınan tedbirler sayesinde emsal bir hadise sistemde tekrarlanmıyorsa o SOC kafidir. Gaye da zati SOC’deki analistlerin rutin alarmları incelemeye çok az vakit ayırıp ihmal ettikleri tehdit avcılığına odaklanmaları. Bu biçimde SOC belirli bir yeterliliğe ulaşacaktır.”
Hürriyet