Kurumsal ağların 7/24 hizmette bulunması gerekmektedir. Sürekli hizmet veren bu ağların gözlem altında tutulması ve olası saldırı anında müdahale edilmesi gerekmektedir. Bunun mümkün olabilmesi için NOC, SOC ekiplerine ihtiyaç duyulur. Peki bu SOC ve NOC nedir bu ekipte bulunanlar ne tür görev almaktadır bu yazımızda onlardan bahsedeceğim.
NOC, SOC kurum dahilinde yapılabildiği gibi hizmet olarak da satın alınabilmektedir.
SOC (Security Operations Center)
Güvenlik Operasyonları Merkezi olarak Türkçeleştirilebilir. Bir sistemin güvenlik durumunun sürekli olarak izlenildiği ve olaylarının analizinden sorumlu bir bilgi güvenliği ekibinin bulunduğu merkezdir. Bir SOC’nin görevi, günün her saati tüm siber tehditleri önlemeyi amaçlamaktadır. SOC bilgi varlıklarının güvenliğini etkileyen olaylara ve uyarılara odaklanmaktadır.
Güvenlik operasyon merkezleri ağlar, sunucular, uç nokta cihazları, veri tabanları, uygulamalar, web siteleri ve diğer sistemlerdeki aktiviteleri izler ve analiz eder. SOC ekipleri, güvenlik olaylarının zamanında tespit edilmesi ve aksiyon alınmasını sağlamak için kritik öneme sahiptir.
SOC ekibinin görevleri;
– İzlemesi gereken kritik bilişim sistemlerine ait logların analiz araçlarına gönderilmesini sağlayacak sorunsuz çalışan alt yapı kurmak ve bunun için güvenlik izleme cihazlarını ve araçlarını yapılandırmak.
– Siber olaylara müdahale etmek.
– Güvenlik teknolojilerinin yönetimi.
– Sürekli zafiyet değerlendirme ve iyileştirme.
– Gerçekleşen saldırılar ve alınan aksiyonlar ilgili çalışmalara yaparak iyileştirme ve kurtarma süreçlerini yönetmek, adli analiz süreçlerine destek sağlamak.
– SOC ekibi ağa yapılabilecek saldırıları ve ağ trafiğindeki anormal değişleri takip etmek.
– Siber güvenlik risklerini belirleme
– Siber tehdit istihbaratı
– Süreç geliştirme ve yönetimi
– İş sürekliliğinin sağlanması ve etkin geri dönüş
SOC ekibi genellikle,
· Seviye 1 güvenlik analisti
· Seviye 2 güvenlik analisti
· Seviye 3 uzman güvenlik analisti
· Seviye 4 SOC yöneticisi
olarak 4 kısma ayrılır.
Seviye 1:
Güvenlik analisti sistem yöneticisi yetkinliklerine, programlama ve güvenlik yetkinliklerine sahiptir.
Göreveler;
– Alarmları inceleyerek doğruluğunu ve önceliğini belirlemek.
– Saldırı sinyali veren alarmlar için ticket oluşturmak ve seviye 2’ye duyurmak.
– Zafiyetleri taramaları yapmak ve zafiyet değerlendirme raporlarını gözden geçir geçirmek,
– Güvenlik izleme araçlarını yönetmek ve yapılandırmak.
Seviye 2
Güvenlik analisti, Seviye 1 analistin sahip olması gereken özelliklerin yanı sıra kriz yönetebilme özelliğine sahiptir.
Görevleri;
– Seviye 1 analistinin oluşturduğu ticketları denetlemek.
– Tehdit istihbaratı değerlendirerek etkilenen sistemleri ve saldırının kapsamının tanımlamak.
– Saldırıya maruz kalabilecek sistemler üzerindeki bilgileri ileriki araştırma aşamaları için toplamak
– İyileştirme ve kurtarma planını belirleyip yönetmek.
Seviye 3
Güvenlik analisti, seviye 1 ve 2 analistlerinin yetkinliklerinin yanında veri görselleştirme araçlarına hakim olmalıdır.
Görevleri;
– Tanımlanan varlık envanterini ve zafiyet değerlendirme verilerini gözden geçirmek.
– Son tehdit istihbaratını göz önünde bulundurarak kurum içerisinde yerleşmiş olan tehditleri tespit yöntemlerini bulmak.
– Üretim sistemlerine sızma testleri yaparak dayanıklılığını ve düzeltilmesi gereken açıklıkları tanımlamak.
– Tehdit avcılığı yöntemi yardımıyla güvenlik izleme araçları tanımlamak.
– Tehdit avcılığı yönteminin yardımıyla güvenlik izleme araçlarını optimize etmek.
Seviye 4
Görevleri;
– SOC ekibinin faaliyetlerini gözetlemek;
– Ekip için işe alım, değerlendirme ve eğitim süreçlerini yönetmek.
– Saldırıların yükselme süreçlerini yönetmek ve olay raporlarını gözden geçirmek.
– Üst yöneticiler ve diğer paydaşlarla haberleşme için kriz iletişim planını geliştirmek ve uygulamak.
– Uyumluluk raporlarını yayınlamak ve denetleme süreçlerini desteklemek
– SOC performans ölçümlerini almak ve güvenlik operasyonlarının önemini iş dünyasına aktarmak.
SOC Modelleri
· İnternal SOC
· Virtual SOC
· Hybrid SOC
NOC (Network Operations Center)
Ağ operasyon merkezi olarak Türkçeleştirilebilir. NOC, ağ yönetimi sistemine bağlı olarak çalışan fiziksel altyapıya sahip merkezdir.
NOC ağ üzerinde oluşan sorunları analiz etme, sorun giderme, saha teknisyenleriyle iletişim kurma ve çözülene kadar sorunları izleme yeteneğine sahiptir. NOC mühendisleri, BT ortamındaki BT alt yapısının performans güvenlik ve kapasitesinin izlenmesinden sorumludur. NOC ekibi ağın, sunucuların, firewall, router ve switchlerin çalışmasını kontrol eder.
Görevleri;
– Ağ üzerinde oluşan problemlerin saptanarak kısa sürede ilgili kişi bilgilendirmek ve teknik destek anlaşması varsa sorun giderilerek iş akşını kesintiye uğramadan devamlılığı sağlamak.
– Düşük performansı engellemek
– Yazılım ve uygulama yönetimi ve güncellemeleri, tek bir merkezden zamanında gerçekleştirmek.
– Ağ hizmet kesintisini engellemek.
– Yedekleme ve depolama.
– Bant genişliği optimizasyonu ve gecikme tespit imkanı.
– Ağ üzerinde oluşan problemleri önceden saptayarak kısa sürede giderilmesi ve iş akışı kesintiye uğramadan devamlılığı sağlamak.
SOC ve NOC arasındaki farklar
NOC ekibi, ağ performansı ve kullana bilirliğine odaklanırken, SOC ekibi 7/24 güvenlik durumunu izler, tespit eder ve analiz eder.
NOC ekibi ağ hızını ve kullanılabilirliğini engelleyebilecek sorunları araştırırken, SOC ekibi siber güvenlik tehditlerini ortandan kaldırmak ve saldırılara yanıt vermekle görevlidir.
Kaynaklar:
https://en.wikipedia.org/wiki/Inversion_of_control
https://www.sans.org/reading-room/whitepapers/incident/paper/38290
https://www.bgasecurity.com/makale/cyber-security-operations-center-c-soc/
https://en.wikipedia.org/wiki/Network_operations_center
https://www.splunk.com/en_us/data-insider/network-operations-center.html