Kurumsal
ağların 7/24 hizmette bulunması gerekmektedir. Sürekli hizmet veren bu ağların
gözlem altında tutulması ve olası saldırı anında müdahale edilmesi
gerekmektedir. Bunun mümkün olabilmesi için NOC, SOC ekiplerine ihtiyaç duyulur. Peki bu SOC ve NOC nedir bu ekipte bulunanlar ne tür görev almaktadır bu yazımızda onlardan bahsedeceğim.
NOC,
SOC kurum dahilinde yapılabildiği gibi hizmet olarak da satın
alınabilmektedir.
SOC
(Security Operations Center)
Güvenlik
Operasyonları Merkezi olarak Türkçeleştirilebilir. Bir sistemin güvenlik
durumunun sürekli olarak izlenildiği ve olaylarının analizinden sorumlu bir
bilgi güvenliği ekibinin bulunduğu merkezdir. Bir SOC’nin görevi, günün her
saati tüm siber tehditleri önlemeyi amaçlamaktadır. SOC bilgi varlıklarının
güvenliğini etkileyen olaylara ve uyarılara odaklanmaktadır.
Güvenlik
operasyon merkezleri ağlar, sunucular, uç nokta cihazları, veri tabanları,
uygulamalar, web siteleri ve diğer sistemlerdeki aktiviteleri izler ve analiz
eder. SOC ekipleri, güvenlik olaylarının zamanında tespit edilmesi ve aksiyon
alınmasını sağlamak için kritik öneme sahiptir.
SOC ekibinin görevleri;
-
İzlemesi gereken kritik bilişim sistemlerine ait logların analiz
araçlarına gönderilmesini sağlayacak sorunsuz çalışan alt yapı kurmak ve bunun
için güvenlik izleme cihazlarını ve araçlarını yapılandırmak.
-
Siber olaylara müdahale etmek.
-
Güvenlik teknolojilerinin yönetimi.
-
Sürekli zafiyet değerlendirme ve iyileştirme.
-
Gerçekleşen saldırılar ve alınan aksiyonlar ilgili çalışmalara
yaparak iyileştirme ve kurtarma süreçlerini yönetmek, adli analiz süreçlerine
destek sağlamak.
-
SOC ekibi ağa yapılabilecek saldırıları ve ağ trafiğindeki anormal
değişleri takip etmek.
-
Siber güvenlik risklerini belirleme
-
Siber tehdit istihbaratı
-
Süreç geliştirme ve yönetimi
-
İş sürekliliğinin sağlanması ve etkin geri dönüş
SOC ekibi genellikle,
·
Seviye 1 güvenlik analisti
·
Seviye 2 güvenlik analisti
·
Seviye 3 uzman güvenlik analisti
·
Seviye 4 SOC yöneticisi
olarak 4 kısma ayrılır.
Seviye
1:
Güvenlik
analisti sistem yöneticisi yetkinliklerine, programlama ve güvenlik
yetkinliklerine sahiptir.
Göreveler;
-
Alarmları inceleyerek doğruluğunu ve önceliğini belirlemek.
-
Saldırı sinyali veren alarmlar için ticket oluşturmak ve seviye 2’ye
duyurmak.
-
Zafiyetleri taramaları yapmak ve zafiyet değerlendirme raporlarını
gözden geçir geçirmek,
-
Güvenlik izleme araçlarını yönetmek ve yapılandırmak.
Seviye
2
Güvenlik
analisti, Seviye 1 analistin sahip olması gereken özelliklerin yanı sıra kriz
yönetebilme özelliğine sahiptir.
Görevleri;
-
Seviye 1 analistinin oluşturduğu ticketları denetlemek.
-
Tehdit istihbaratı değerlendirerek etkilenen sistemleri ve
saldırının kapsamının tanımlamak.
-
Saldırıya maruz kalabilecek sistemler üzerindeki bilgileri ileriki
araştırma aşamaları için toplamak
-
İyileştirme ve kurtarma planını belirleyip yönetmek.
Seviye
3
Güvenlik
analisti, seviye 1 ve 2 analistlerinin yetkinliklerinin yanında veri
görselleştirme araçlarına hakim olmalıdır.
Görevleri;
-
Tanımlanan varlık envanterini ve zafiyet değerlendirme verilerini
gözden geçirmek.
-
Son tehdit istihbaratını göz önünde bulundurarak kurum içerisinde
yerleşmiş olan tehditleri tespit yöntemlerini bulmak.
-
Üretim sistemlerine sızma testleri yaparak dayanıklılığını ve
düzeltilmesi gereken açıklıkları tanımlamak.
-
Tehdit avcılığı yöntemi yardımıyla güvenlik izleme araçları
tanımlamak.
-
Tehdit avcılığı yönteminin yardımıyla güvenlik izleme araçlarını
optimize etmek.
Seviye
4
Görevleri;
-
SOC ekibinin faaliyetlerini gözetlemek;
-
Ekip için işe alım, değerlendirme ve eğitim süreçlerini yönetmek.
-
Saldırıların yükselme süreçlerini yönetmek ve olay raporlarını
gözden geçirmek.
-
Üst yöneticiler ve diğer paydaşlarla haberleşme için kriz iletişim
planını geliştirmek ve uygulamak.
-
Uyumluluk raporlarını yayınlamak ve denetleme süreçlerini
desteklemek
-
SOC performans ölçümlerini almak ve güvenlik operasyonlarının
önemini iş dünyasına aktarmak.
SOC
Modelleri
·
İnternal SOC
·
Virtual SOC
·
Hybrid SOC
NOC
(Network Operations Center)
Ağ
operasyon merkezi olarak Türkçeleştirilebilir. NOC, ağ yönetimi sistemine bağlı
olarak çalışan fiziksel altyapıya sahip merkezdir.
NOC
ağ üzerinde oluşan sorunları analiz etme, sorun giderme, saha teknisyenleriyle
iletişim kurma ve çözülene kadar sorunları izleme yeteneğine sahiptir. NOC
mühendisleri, BT ortamındaki BT alt yapısının performans güvenlik ve kapasitesinin
izlenmesinden sorumludur. NOC ekibi ağın, sunucuların, firewall, router ve switchlerin
çalışmasını kontrol eder.
Görevleri;
-
Ağ üzerinde oluşan problemlerin saptanarak kısa sürede ilgili kişi
bilgilendirmek ve teknik destek anlaşması varsa sorun giderilerek iş akşını
kesintiye uğramadan devamlılığı sağlamak.
-
Düşük performansı engellemek
-
Yazılım ve uygulama yönetimi ve güncellemeleri, tek bir merkezden
zamanında gerçekleştirmek.
-
Ağ hizmet kesintisini engellemek.
-
Yedekleme ve depolama.
-
Bant genişliği optimizasyonu ve gecikme tespit imkanı.
-
Ağ üzerinde oluşan problemleri önceden saptayarak kısa sürede
giderilmesi ve iş akışı kesintiye uğramadan devamlılığı sağlamak.
SOC
ve NOC arasındaki farklar
NOC
ekibi, ağ performansı ve kullana bilirliğine odaklanırken, SOC ekibi 7/24
güvenlik durumunu izler, tespit eder ve analiz eder.
NOC
ekibi ağ hızını ve kullanılabilirliğini engelleyebilecek sorunları
araştırırken, SOC ekibi siber güvenlik tehditlerini ortandan kaldırmak ve
saldırılara yanıt vermekle görevlidir.
Kaynaklar:
https://en.wikipedia.org/wiki/Inversion_of_control
https://www.sans.org/reading-room/whitepapers/incident/paper/38290
https://www.bgasecurity.com/makale/cyber-security-operations-center-c-soc/
https://en.wikipedia.org/wiki/Network_operations_center
https://www.splunk.com/en_us/data-insider/network-operations-center.html
