By Halil Balım

SOC MODELLERİNİN KARŞILAŞTIRMASI

SOC (Security Operations Center) yani Siber Güvenlik Operasyonları Merkezi (SGOM) günümüzde genellikle üç modelde uygulanır. Fakat bu modellerin tanımından, avantajlarından, dezavantajlarından bahsetmeden önce SOC’ye ve SOC’nin amaçlarına kısaca değinmek istiyorum.

Günümüz dünyasında, bilişim teknolojileri akıl almaz derecede birbirine bağlı. Tabi, bu bağlılık yanında birçok bedeli de beraberinde getiriyor. Hemen her kuruluşun bir parçasının siber alanlarda olması, onlara ekstra bir risk getiriyor. Saldırganların hedefi olmak ise; kurumun itibarını, çalışma disiplinlerini ve hatta sızdırılan bilginin önemi ve saldırının tipine göre maaş bilgilerini bile etkileyebilir. Bunca kuruluşun oluşabilecek riskleri göze alıp siber alana girmesiyle birlikte, artık bilgi teknolojileri teriminden çok siber güvenlik terimleri daha kullanılır oldu.

Bu tür kuruluşlar iş ve siber güvenlik hedeflerini karşılamak için siber güvenlik risk yönetimi bilgilerine ihtiyaç duyarlar. İşte tam da bu sebeple SOC ortaya çıkmıştır.

SOC’nin amacı iki aşamalıdır: Bunlardan birincisi; güvenlik zafiyetlerini keşfetmek ve tanımlamak için merkezi izleme yetenekleri sağlamak. İkincisi ise; bir organizasyonun yapısına, servislerine ve hatta müşterilerine zarar verebilecek güvenlik olaylarına müdahale etmektir. SOC genel olarak, izleme ve müdahale hizmeti verdiği kuruluşa –bu kuruluş kendi kuruluşu da olabilir- gerçekleşen atak ve sızma olaylarını en kısa sürede tespit etmeyi hedefler. Bu amaçla, eş zamanlı izleme ve şüpheli olayların analizi ile bir olayın oluşturabileceği potansiyel etki ve hasarı sınırlandırır. Eğer SOC bir saldırıyı devam ederken durdurabilirse, zaten hizmet verdiği organizasyonun zamanını, parasını kurtarmış, veri kaybının önüne geçmiş ve hatta markanın itibarını korumuş olur.

SOC Modellerine gelecek olursak, bir SOC Modeli seçip buna yatırım yapmadan önce aşağıda yer alan kriterlerin iyi bir şekilde gözden geçirilmesi gerekmektedir.

  • Kurumun büyüklüğü,
  • IT departmanının bütçesi,
  • IT personellerinin kabiliyetleri,
  • Kurumun daha önce yaşadığı güvenlik olayları,
  • Kurumun içinde bulunduğu endüstri türü,
  • Kurum içinde oluşan bir günlük trafik kriterlerinin tümü SOC yapılandırmasında, dizaynında ve model seçiminde stratejik bir etki sağlar.

Internal SOC (Dahili SOC)

IT ve IT Security ayrımını yapabilecek bir perspektife sahip büyük ölçekli kuruluşlar için in-house yani dahili bir SOC kurması önerilir. Internal SOC kurmayı planlayan organizasyonlar 7×24 izlemeyi desteklemek için bir bütçeye sahip olmalıdır.

Dahili SOC’nin avantajlarından biri, şirket içindeki ağı en belirgin şekilde görmeyi sağlamasıdır. SOC ekibinin içerdeki cihazları, log kaynaklarını görmesini ve tehdit oluşturacak olaylara karşı perspektif kazanmasını sağlar. Bu avantajlarının yanında bazı önemli dezavantajları da bulunur: bazı olayların tespiti gözden kaçabilir, uzman personel yetiştirmede sıkıntı yaşanabilir ve başlangıçtaki yatırım maliyeti çok yüksektir. Ayrıca, bu modelin etkili olması ve yeterli düzeye gelmesi çok fazla zaman alır.

Bu modelin bir gelişmişi ise “Fusion Center” olarak adlandırılır. Tespit, yanıt, tehdit avı ve bilgi paylaşımı CIRT (Computer Incident Response Team) ve OT (Operational Team) ile paylaşılır. CIRT ve OT fonksiyonları SOC çatısı altında entegreli çalışır.

Virtual SOC (Sanal SOC)

Virtual SOC, izleme ve tespit etme alanında gelişmiş, yüksek teknoloji ve yetenekli elemanlara sahip SOC hizmeti veren firmaların yardımı ile yapılan SOC işletmesidir.

Birçok kuruluş için önerilen bir sistemdir. Bazı kuruluşlar IT ve IT Güvenliği ayrımı yapabilen olgun bir bakış açısına sahip olsa da bütçe kısıtlamasından ve sınırlı bilgi ve uzmanlıktan ötürü 7×24 çalışan tam fonksiyonlu internal SOC kuramayabilirler. Bu durumda Virtual SOC devreye girer. Bu modelin en büyük avantalarından biri, SOC hizmetinin en hızlı, en basit şekilde tamamlanması ve fiyat performans açısından etkili bir düzeyde hizmete sunulmasıdır.

Bu hizmeti alan firmaların çeşitli endüstri alanlarından olması, bu hizmeti sunan organizasyon için paha biçilemez bir bilgi ve uzmanlık sunar. Bu birçok kuruluş için bir tercih edilebilir görünse de bu modelin de üzerinde durulması gereken dezavantajları da vardır.

Bunlardan birincisi bu hizmeti alan firma tehdit anlamında ne pozisyonda olduğunu bilemeyebilir ve kurumsal bilgi güvenliği açısından önemli bir diğer dezavantaj ise, organizasyonun bazı gizli bilgileri üçüncü parti firmalar (SOC hizmeti verilen) aracılığıyla bilinir ve işlenir. Fakat bu bilgiler sözleşme aracılığıyla güvence altına alınabilir.

Şekil 1: Virtual SOC Modelinde İzleme ve Tespit hizmeti alanında uzman sertifikalı kişilerce yapılır.

Hybrid Model SOC

Hybrid model SOC, iki SOC modelinin de en etkili şekilde birlikte kullanılması ile oluşur. Kuruluşun kendi uzmanları, SOC hizmeti alından firmadaki uzmanlar ile beraber çalışır ve izleme & tespit ve alarm üretmede en güvenli çözümü sunarlar.

Bu modelde sistemler ve alarmlar her iki firma tarafından da izlenir, bu şekilde çift kontrol yapılmış olur. Bu modeli seçen organizasyonlar genel olarak bu iş için kendi ekiplerini kurabilecek kadar gelişmişlerdir fakat, bütçe sınırlamasından ve uzman ve kaynak eksikliğinden 7×24 izleme yapılacak bir internal SOC kuracak bir kapasitede değillerdir.

Hybrid Model, SOC yanında birçok avantajı da beraberinde sunar. Öncelikle izleme ve tespit açısından en güvenli modeldir ve her iki firma da çalıştığı için tespit ve bildirme çok daha kısa sürede gerçekleşir. Ek olarak dışardan da analistler çalıştırdıkları için biriken iş miktarı azdır. Bunların yanı sıra, bu model, tercih edildiği kuruluşa alanında uzman ekiplerden oluşan SOC firmasından destek alma fırsatı sunduğu için, hem kuruluş için hem de kuruluşun elemanları için daha iyi bir öğrenme ortamı sunar. Bu modelde de organizasyonun kurumsal bilgileri üçüncü bir firmanın elinden geçer ve ekstra donanım gerektirir.

Kısaca aşağıdaki gibi bir artılar eksiler tablosu çıkartılabilir.