Siber ataklar çağına girdik. Bilhassa pandemiyle birlikte aylık siber atak bildirim sayısı yüzde 40 arttı. 2019 yılında siber güvenlik ataklarının tüm dünya genelinde verdiği yıllık ziyan 3 trilyon dolar olurken, yapılan iddialara nazaran 2021 yılında siber taarruz kaynaklı kayıpların toplam maliyeti yıllık 6 trilyon dolara ulaşabilir. İşte bu noktada tüm şirketler ve kurumlar için SOC (Security Operations Center) yani güvenlik operasyonları merkezi kritik kıymet taşıyor. Bilhassa yeni teknolojileri içinde barındıran çağdaş SOC’ler siber saldırılan çağında en değerli merkezler olarak öne çıkıyor.
Siber güvenlik dalının en büyük şirketlerinden Innovera da çağdaş SOC’leri çok boyutlu ele alan bir webinar gerçekleştirdi. Danışmanlık Servisleri Yöneticisi Burak Tahmaz’ın moderatörlüğünde Onur Erbek ve Osman Karan’ın konuşmacı olarak yer aldığı webinarda, kurumlar için çağdaş SOC’nin ehemmiyeti, ülkü SOC’nin nasıl olması gerektiği hususları ayrıntılarıyla konuşuldu.
OTOMASYON ETKİSİ
Kuruluşların güvenlik durumunu daima olarak izleyen ve güvenlik olaylarının tahlilinden sorumlu bir bilgi güvenliği takımının bulunduğu yerler olan güvenlik operasyonları merkezinin temel maksadı uygun bir süreç idaresi yaparak siber güvenlik olaylarını tespit etmek, tahlil etmek ve bunlara karşı aksiyon almak. Güvenlik operasyonları merkezleri ekseriyetle güvenlik analistleri, güvenlik mühendisleri ve güvenlik süreçlerini denetleyen yöneticilerden oluşuyor. Lakin yakın vakit öncesine kadar klâsik SOC’ler temel bir fonksiyonu yerine getiriyor yalnızca siber akınları önlemeye odaklanıyordu. Otomasyon ve gelişen teknolojiler SOC’lerin tertip yapısını geliştirip değiştirirken yeni misyonlar de üstlenmesine neden oldu. Otomasyonla birlikte yapay zeka ve makine öğrenmesi teknolojilerini içeren çağdaş SOC’ler, yalnızca mevcut akınları önlemiyor, muhtemel atakları tespit ediyor, kaynağını buluyor ve bir daha tekrarlanmasının önünü alıyor.
Peki ülkü SOC nasıl olmalı? Webinar’da bu sorunun karşılığını veren Onur Erbek, “SOC ülkü sayıda ve nitelikte çalışanla hayata geçmeli. Sistem ve mühendislik grubu olmalı. İnsan gücü birbirinden bağımsız katmanlı yapıda çalışmalı. Olayı izleyen takımla, tahlil eden ve tehdit avcılığı yapan takımlar birbirinden başka olmalı. Her SOC varlık envanterini çıkarıp neyi koruyacağını önceliklendirmeli” dedi.
İKİ TEMEL FONKSİYON
SOC’nin en kıymetli iki temel işlevinin tehdit tespit etme ve müdahale etme sistemlerini kurmak olduğunun altını çizen Onur Erbek ise bu düzenekleri kurarken dizaynın şirket ve dala uygun olarak gerçekleştirilmesi gerektiğine dikkat çekti.
SOC’ler kurum içi ve dış kaynak kullanımı ya da hibrit olmak üzere farklı modellerde de faaliyet gösterebiliyor. Bu seçimi yaparken yeniden şirketin bu işe ayıracağı insan kaynağı, bütçe ve muhtaçlıkları göz önünde bulundurmak kaide. SOC dizaynında seçilecek teknolojiler de kritik rol oynuyor. Bilhassa dinamik teknoloji kullanmayı tercih eden şirketlerin bu noktada nelere dikkat etmesi gerektiğini Osman Karan şöyle paylaştı: “Dinamik teknolojiler analitik zeka, makine tahsili ve yapay zekayı kesinlikle içeriyor olmalı. Siber akınları gerçekleştirenlere baktığınızda yapay zeka ile dizayn edilmiş otomatik hücum araçları kullandıklarını görüyoruz. Hasebiyle şirketler de savunmalarında bunları kullanmalı. Hasebiyle SOC teknolojileri seçerken makine öğrenmesi ve yapay zekaya içerip içermediğine bakmak gerekiyor.”
“İŞ TEHDİT AVCILIĞINA DÖNÜŞTÜ”
Modern SOC ile artık işin tehdit avcılığı haline dönüştüğünü söz eden Onur Erbek, SOC’lerin kâfi olup olmadığının nasıl anlaşılacağına ait de şu açıklamayı yaptı: “Geleneksel SOC’de hedef hücumları önlemekti. Belirli başlı zafiyet taraması yapılırdı. Ancak artık çağdaş SOC’de yeni yeterlilik saldırıyı tespit edip cevap verme. Erken tespit ve buna süratli cevap vermek ismine bu işi yönetilebilir formda yapmamız çağdaş yaklaşımımız. Bir SOC’nin yeterliliğe sahip olup olmadığını anlamak için birkaç soru sormak gerekiyor. Olay nedir, tesirleri neler, nasıl oluştu sorularına net cevap verebiliyorsa ve en kıymetlisi de alınan tedbirler sayesinde emsal bir olay sistemde tekrarlanmıyorsa o SOC kafidir. Gaye da esasen SOC’deki analistlerin rutin alarmları incelemeye çok az vakit ayırıp ihmal ettikleri tehdit avcılığına odaklanmaları. Bu formda SOC muhakkak bir yeterliliğe ulaşacaktır.”
