Güvenlik Operasyon Merkezi (Security Operations Center/ SOC) güvenlik analistlerinin çalıştığı birimdir. Birimin temel işlevi, siber dünyadaki tehditleri araştırmak, izlemek, önlemek ve bu tehditlere yanıt vermektir. Bu görevi günün 24 saati, haftanın 7 günü yapmak siber güvenlik biriminin temel işlevini oluşturur.
Trellix’in tanımına göre bir Güvenlik Operasyon Merkezi:
“Güvenlik operasyon ekipleri, fikri mülkiyet, personel verileri, iş sistemleri ve marka bütünlüğü gibi birçok varlığı izlemek ve korumakla görevlidir. Bu ekipler, bir kuruluşun genel siber güvenlik çerçevesinin uygulama bileşeni olarak, siber saldırılara karşı izleme, değerlendirme ve savunma faaliyetlerinde koordineli bir şekilde çalışmak için merkezi bir nokta görevi görür.”
Güvenlik Operasyon Merkezinde çalışan kişi sayısı, kuruluşun büyüklüğüne bağlı olarak değişebilir.
Güvenlik Operasyon Merkezinin Sorumlulukları Nelerdir?
Güvenlik analistlerinin SOC içinde maruz kalacağı başlıca sorumluluklar şunlardır:
Hazırlık ve Önleme (Preparation and Prevention)
Bir Junior Security Analyst (Junior Güvenlik Analisti) 'nin, mevcut siber güvenlik tehditlerinden haberdar olması gerekir. (Twitter ve reddit gibi sosyal medya platformları siber güvenlikle ilgili haberleri takip etmek için harika kaynaklardır.)
Amaç, tehditleri tespit etmek, organizasyonu koruyacak bir güvenlik yol haritası üzerinde çalışmak ve en kötü senaryoya hazırlıklı olmaktır.
Siber tehditleri önleme yöntemleri arasında şunlar yer alır:
-
En güncel tehditler, tehdit aktörleri ve onların TTP’leri (Taktikler, Teknikler ve Prosedürler) hakkında istihbarat toplamak.
-
Güvenlik duvarı imzalarını güncellemek.
-
Mevcut sistemlerdeki güvenlik açıklarını yamalamak.
-
Uygulamaları, e-posta adreslerini ve IP’leri kara listeye veya güvenli listeye almak gibi bakım prosedürlerini uygulamak.
İzleme ve Araştırma (Monitoring and Investigation)
Bir Güvenlik Operasyon Merkezi ekibi, SIEM (Security Information and Event Management – Güvenlik Bilgi ve Olay Yönetimi) ve EDR (Endpoint Detection and Response – Uç Nokta Tespit ve Müdahale) araçlarını kullanarak ağ üzerindeki şüpheli ve kötü amaçlı faaliyetleri proaktif şekilde izler.
Bir Güvenlik Analisti olarak, uyarıları önem derecelerine göre (Düşük, Orta, Yüksek, Kritik) önceliklendirmeyi bilmek gereklidir. Her zaman önce en yüksek seviye olan Kritik uyarılardan müdahale etmeye başlamak gerekir.
Doğru yapılandırılmış güvenlik izleme araçlarına sahip olmak, tehdidi azaltmak için en iyi şansı sağlar. Dolayısı ile siber güvenlik yazılımlarının seçimleri kritik düzeydi önemlidir.
Junior Güvenlik Analistleri, araştırma sürecinde çok önemli bir rol oynar.
Görevleri arasında:
-
Devam eden uyarıları triage (önceliklendirme) etmek,
-
Belirli bir saldırının nasıl çalıştığını anlamak,
-
Ve mümkünse zararlı olayların gerçekleşmesini engellemek gibi görev tanımları ve yetkileri bulunmaktadır.
Siber tehditleri araştırma sırasında şu soruları sormak önemlidir:
“Nasıl? Ne zaman? Neden?”
Güvenlik analistleri bu soruların yanıtlarını, veri günlüklerini ve uyarıları derinlemesine inceleyerek, ayrıca açık kaynak araçlarını yada lisanslı yazılımlarını kullanarak bulurlar.
Müdahale (Response)
Araştırma tamamlandıktan sonra, SOC ekibi etkilenen sistemlerde gerekli aksiyonları alır.
Bu, şu işlemleri içerebilir:
-
Tehditlerden etkilenen cihazı ağdan izole etmek,
-
Kötü amaçlı süreçleri sonlandırmak,
-
Zararlı dosyaları silmek vb.