BiznetBiznet

By Halil Balım

SOC MODELLERİNİN KARŞILAŞTIRMASI

SOC (Security Operations Center) yani Siber Güvenlik Operasyonları Merkezi (SGOM) günümüzde genellikle üç modelde uygulanır. Fakat bu modellerin tanımından, avantajlarından, dezavantajlarından bahsetmeden önce SOC’ye ve SOC’nin amaçlarına kısaca değinmek istiyorum.

Günümüz dünyasında, bilişim teknolojileri akıl almaz derecede birbirine bağlı. Tabi, bu bağlılık yanında birçok bedeli de beraberinde getiriyor. Hemen her kuruluşun bir parçasının siber alanlarda olması, onlara ekstra bir risk getiriyor. Saldırganların hedefi olmak ise; kurumun itibarını, çalışma disiplinlerini ve hatta sızdırılan bilginin önemi ve saldırının tipine göre maaş bilgilerini bile etkileyebilir. Bunca kuruluşun oluşabilecek riskleri göze alıp siber alana girmesiyle birlikte, artık bilgi teknolojileri teriminden çok siber güvenlik terimleri daha kullanılır oldu.

Bu tür kuruluşlar iş ve siber güvenlik hedeflerini karşılamak için siber güvenlik risk yönetimi bilgilerine ihtiyaç duyarlar. İşte tam da bu sebeple SOC ortaya çıkmıştır.

SOC’nin amacı iki aşamalıdır: Bunlardan birincisi; güvenlik zafiyetlerini keşfetmek ve tanımlamak için merkezi izleme yetenekleri sağlamak. İkincisi ise; bir organizasyonun yapısına, servislerine ve hatta müşterilerine zarar verebilecek güvenlik olaylarına müdahale etmektir. SOC genel olarak, izleme ve müdahale hizmeti verdiği kuruluşa –bu kuruluş kendi kuruluşu da olabilir- gerçekleşen atak ve sızma olaylarını en kısa sürede tespit etmeyi hedefler. Bu amaçla, eş zamanlı izleme ve şüpheli olayların analizi ile bir olayın oluşturabileceği potansiyel etki ve hasarı sınırlandırır. Eğer SOC bir saldırıyı devam ederken durdurabilirse, zaten hizmet verdiği organizasyonun zamanını, parasını kurtarmış, veri kaybının önüne geçmiş ve hatta markanın itibarını korumuş olur.

SOC Modellerine gelecek olursak, bir SOC Modeli seçip buna yatırım yapmadan önce aşağıda yer alan kriterlerin iyi bir şekilde gözden geçirilmesi gerekmektedir.

  • Kurumun büyüklüğü,
  • IT departmanının bütçesi,
  • IT personellerinin kabiliyetleri,
  • Kurumun daha önce yaşadığı güvenlik olayları,
  • Kurumun içinde bulunduğu endüstri türü,
  • Kurum içinde oluşan bir günlük trafik kriterlerinin tümü SOC yapılandırmasında, dizaynında ve model seçiminde stratejik bir etki sağlar.

Internal SOC (Dahili SOC)

IT ve IT Security ayrımını yapabilecek bir perspektife sahip büyük ölçekli kuruluşlar için in-house yani dahili bir SOC kurması önerilir. Internal SOC kurmayı planlayan organizasyonlar 7×24 izlemeyi desteklemek için bir bütçeye sahip olmalıdır.

Dahili SOC’nin avantajlarından biri, şirket içindeki ağı en belirgin şekilde görmeyi sağlamasıdır. SOC ekibinin içerdeki cihazları, log kaynaklarını görmesini ve tehdit oluşturacak olaylara karşı perspektif kazanmasını sağlar. Bu avantajlarının yanında bazı önemli dezavantajları da bulunur: bazı olayların tespiti gözden kaçabilir, uzman personel yetiştirmede sıkıntı yaşanabilir ve başlangıçtaki yatırım maliyeti çok yüksektir. Ayrıca, bu modelin etkili olması ve yeterli düzeye gelmesi çok fazla zaman alır.

Bu modelin bir gelişmişi ise “Fusion Center” olarak adlandırılır. Tespit, yanıt, tehdit avı ve bilgi paylaşımı CIRT (Computer Incident Response Team) ve OT (Operational Team) ile paylaşılır. CIRT ve OT fonksiyonları SOC çatısı altında entegreli çalışır.

Virtual SOC (Sanal SOC)

Virtual SOC, izleme ve tespit etme alanında gelişmiş, yüksek teknoloji ve yetenekli elemanlara sahip SOC hizmeti veren firmaların yardımı ile yapılan SOC işletmesidir.

Birçok kuruluş için önerilen bir sistemdir. Bazı kuruluşlar IT ve IT Güvenliği ayrımı yapabilen olgun bir bakış açısına sahip olsa da bütçe kısıtlamasından ve sınırlı bilgi ve uzmanlıktan ötürü 7×24 çalışan tam fonksiyonlu internal SOC kuramayabilirler. Bu durumda Virtual SOC devreye girer. Bu modelin en büyük avantalarından biri, SOC hizmetinin en hızlı, en basit şekilde tamamlanması ve fiyat performans açısından etkili bir düzeyde hizmete sunulmasıdır.

Bu hizmeti alan firmaların çeşitli endüstri alanlarından olması, bu hizmeti sunan organizasyon için paha biçilemez bir bilgi ve uzmanlık sunar. Bu birçok kuruluş için bir tercih edilebilir görünse de bu modelin de üzerinde durulması gereken dezavantajları da vardır.

Bunlardan birincisi bu hizmeti alan firma tehdit anlamında ne pozisyonda olduğunu bilemeyebilir ve kurumsal bilgi güvenliği açısından önemli bir diğer dezavantaj ise, organizasyonun bazı gizli bilgileri üçüncü parti firmalar (SOC hizmeti verilen) aracılığıyla bilinir ve işlenir. Fakat bu bilgiler sözleşme aracılığıyla güvence altına alınabilir.

Şekil 1: Virtual SOC Modelinde İzleme ve Tespit hizmeti alanında uzman sertifikalı kişilerce yapılır.

Hybrid Model SOC

Hybrid model SOC, iki SOC modelinin de en etkili şekilde birlikte kullanılması ile oluşur. Kuruluşun kendi uzmanları, SOC hizmeti alından firmadaki uzmanlar ile beraber çalışır ve izleme & tespit ve alarm üretmede en güvenli çözümü sunarlar.

Bu modelde sistemler ve alarmlar her iki firma tarafından da izlenir, bu şekilde çift kontrol yapılmış olur. Bu modeli seçen organizasyonlar genel olarak bu iş için kendi ekiplerini kurabilecek kadar gelişmişlerdir fakat, bütçe sınırlamasından ve uzman ve kaynak eksikliğinden 7×24 izleme yapılacak bir internal SOC kuracak bir kapasitede değillerdir.

Hybrid Model, SOC yanında birçok avantajı da beraberinde sunar. Öncelikle izleme ve tespit açısından en güvenli modeldir ve her iki firma da çalıştığı için tespit ve bildirme çok daha kısa sürede gerçekleşir. Ek olarak dışardan da analistler çalıştırdıkları için biriken iş miktarı azdır. Bunların yanı sıra, bu model, tercih edildiği kuruluşa alanında uzman ekiplerden oluşan SOC firmasından destek alma fırsatı sunduğu için, hem kuruluş için hem de kuruluşun elemanları için daha iyi bir öğrenme ortamı sunar. Bu modelde de organizasyonun kurumsal bilgileri üçüncü bir firmanın elinden geçer ve ekstra donanım gerektirir.

Kısaca aşağıdaki gibi bir artılar eksiler tablosu çıkartılabilir.

By Biznet Bilişim A.Ş.

Güvenlik Operasyon Merkezi (SOC), Siber Olaylara Müdahale Ekibi (SOME)

Uzun yıllardır bilgi güvenliği alanında faaliyet gösteren ve misyonu “bilgi güvenliğinde büyük resmi tamamlamak” olan Biznet Bilişim siber güvenlikle ilgili çalışmalarına hızlı bir şekilde devam ediyor.

Siber Güvenlik…

Bilgi ve İletişim Teknolojilerinin tüm dünyada giderek yaygınlaşan kullanımı, bu sistemlerinin birbirlerine bağlanarak oluşturdukları ağ ortamını “Siber Ortam” olarak tanımlayacak kadar genişletmektedir. Söz konusu teknolojilerin kullanımından kaynaklanan verim ve rahatlık, beraberinde giderek karmaşıklaşan ve ağırlaşan siber risk ve tehditleri de getirmektedir. “Hedef Odaklı Siber Tehditler” olarak adlandırılan “Advanced Persistent Threat: APT”  türü tehditler, kurumları hedef alarak, kötücül yazılımları (malware) ve “sosyal mühendislik” yeteneklerini en ileri derecede kullanmaktadırlar.

Bu tehditler, bilgi ve iletişim teknolojilerini kullanan tüm kamuyu ve özellikle kritik altyapıya sahip sektörleri (enerji, finans, ulaşım, iletişim vb.) gerek itibar ve güvenirlilik açısından olumsuz yönde etkilemekte, gerekse gizli bilgilerin ele geçirilmesi ya da kritik hizmetlerin sunulamaz duruma gelmesi gibi yıkıcı sonuçlara yol açabilmektedir. Dolayısıyla, kamu kurum ve özel sektör firmalarının, gerekli tüm güvenlik önlemlerini alması gerekmektedir. İlgili yasal mevzuata göre de bu önlemlerin alınması zorunludur.

Biznet Bilişim Yaklaşımı…

Biznet Bilişim siber güvenlik alanında yaptığı çalışmalarla, en geniş bir çerçeve mimari yaklaşımıyla, yapısal büyüklük ve beklentileri farklı kamu ve özel sektör kurumlarının ihtiyaçlarına esnek olarak uyarlanabilecek “ölçeklenebilir” büyüklükteki Siber Güvenlik Operasyon Merkezlerinin (Security Operations Centre: SOC) mimari ve tasarımına odaklanmaktadır. Bu mimari ve tasarımlar, aynı zamanda Haziran ve Kasım 2013 tarihlerinde Resmî Gazetede yayımlanan kamu kurumları ve kritik altyapıya sahip sektörlerin siber güvenlik yapılanmasına ilişkin “Siber Olaylara Müdahale Ekibi: SOME” konseptine karşılık gelmektedir. SOME’lerin ilgili mevzuatla belirlenen görev ve sorumluluklarını tam olarak yerine getirebilmesi, sadece kurumların bu konuyla ilgili personel tahsisiyle mümkün olmamakta, ayrıca görevin yürütülmesine uygun yapıda ve ölçekte bilişim donanım ve yazılımından oluşan bir paket ya da setin de temin edilmesini gerektirmektedir.  Biznet Bilişim kurumun ihtiyaçlarına analiz ederek, gerekli olan teknolojiyi ve hizmetleri bir paket halinde sunabilmektedir.

Bu çalışmalarda, bir taraftan inovasyon yaklaşımıyla Avrupa Birliği projelerinde siber güvenlik uygulama yazılımlarının entegrasyonu ve görselleştirilmesi üzerine AR-GE faaliyetleri yürütülmekte; diğer yandan değişik kurumların ihtiyaçları için halen danışmanlık ve destek hizmetleri sağlanmakta, pilot uygulamalar yapılmaktadır.

Biznet Bilişim hizmet verdiği kurumların bilişim sistemlerini siber tehdit ve saldırılardan korumayı ve bu süreçte kurumlara her türlü desteği sağlamayı hedeflemektedir.  Konuya ilişkin yasal düzenlemelerle bu düzenlemelerin gerektirdiği teknolojik modellemeler sürekli olarak takip edilmekte, söz konusu çalışmalarda konuya ilişkin ulusal ve uluslararası standart ve kriterler esas alınmaktadır.

Biznet Bilişim, halen SaSaD üyesi bir bilişim güvenliği firması olarak siber güvenlik kapsamındaki uluslararası etkinliklere ve NATO kapsamında yürütülen ihale ve tedarik süreçlerine katılmaktadır.

Eğer siz de “Siber tehlike bir tık kadar yakında…” gerçeğini benimsiyorsanız, Biznet Bilişim’i aramalısınız.