Makaleler

SOC NEDİR?

Soc Altyapısı Nasıl Kurulur?

Resim 1: Soc Nedir?

Soc, merkezi kurumların bilgi güvenliğini kontrol eden ve gerekli analizleri yapan bir organizasyondur. Sistemleri siber tehditlere karşı korur. Donanımsal ve yazılımsal altyapının yanında profesyonel bir ekip gerektiriyor.

Sistem, günümüzde artan siber güvenlik tehditlerine karşı etkili bir koruma sağlıyor. Bir Soc ekibinin yöneticisi, güvenlik analistleri ve güvenlik mühendisleri bulunur.

Soc Nedir?

Soc, genel anlamda bir güvenlik hizmetidir. Güvenlik Operasyonları Merkezi olarak bilinen sistem, ismini Security Operations Center kelimelerinin baş harflerinden alıyor. Bir kuruluşun güvenliğini sürekli izler ve güvenlik olaylarını analiz eder.

Bunu da kurumun sahip olduğu sistem ve cihazlara gönderilen log kayıtları ile yapıyor. Siber saldırıya maruz kalabilen tüm sistemlere gönderilen log kayıtları analiz edilir ve güvenlik için uygun tepkiler üretilir.

Soc Ekibi

Profesyonel bir altyapı ve bilgi güvenliği ekibinden oluşan Soc, özel bir tesistir. Siber güvenlik konusundaki başarısı ise ekibe bağlıdır.

Bir Soc ekibi en alt tabakadan üste doğru şu şekilde sıralanır;

  • Seviye Güvenlik Analisti: Alarmların doğruluğunu kontrol edip, zafiyet taramaları yapar.
  • Seviye Güvenlik Analisti: Problemin asıl kaynağına ulaşmayı hedefler. Krizi yönetmeye çalışır. Kurtarma ve iyileştirme planını belirleyip, yönetir.
  • Seviye Uzman Güvenlik Analisti: Veri görselleştirme araçlarına hakimdir. Sızma testlerini yapar. Bir nevi tehdit avcısıdır.
  • Seviye Soc Yöneticisi: Güçlü iletişim ve liderlik yeteneğine sahip, en üst tabakadır. Ekibi ve operasyonları yönetir.

4 ayrı seviyeden oluşan ekibin dışında bir de siber tehdit istihbarat ekibi vardır. Ekip, saldırganların amacını ve yöntemlerini tespit eder.

Soc İş Akışı

Resim 2: Soc Modeli

Soc ekibi tam bir disiplinle ve tüm teknik özellikleri kullanarak hareket eder. Kumun siber güvenliğini sağlarken belirli bir iş akışı içerisinde hareket edilir.

Soc iş akışı şu adımlardan oluşuyor;

  • Varlık envanterinin çıkarılması
  • Zafiyet değerlendirmesi
  • Davranışsal izleme
  • Sızma girişimlerini tespiti
  • SIEM
  • SOAR

Bütün adımlar tamamlandıktan sonra olayların kayıtları sınıflandırılır ve anlamlı sonuçlara ulaşılır. Son olarak da verilere otomatik cevap oluşturulur.

Soc Nasıl Çalışır?

Soc çalışmaya başlamadan önce ekip ne yapması gerektiği net olarak bilmelidir. Yetenekli ekip arkadaşlarına ek olarak bir altyapı, hazırlanmış bir müdahale planı ve güvenlik önlemleri gerekir.

Soc çalışması dört adımdan oluşur. Bu adımlar sırasıyla şu şekildedir;

  • Analiz: Kurumun mevcut güvenlik protokolleri, organizasyonu, yazılımları ve araçları analiz edilir.
  • Planlama: Analiz sonucunda plan ve strateji hazırlanır.
  • Kurulum: Organizasyon kurulur ve gerekli eğitimler verilir.
  • İşletim: Bu adımda koruma, tespit, müdahale ve geri dönüş çalışmaları yapılır.

Sonuç olarak siber güvenlik sorunu bertaraf edilir ve kurum eskisinden daha güvenli bir hale gelir.

Soc Altyapısında Bulunan Sistemler

Ağ trafiği içerisinde bulunan veri kaybını önlemek, zararlı hareketleri tespit etmek adına çok sayıda sistem kullanılır. Bunlardan bazıları şu şekildedir;

  • Intrusion Detection Systems (IDS)
  • Intrusion Prevention Systems (IPS)
  • Data Loss/Leak Prevention (DLP) Veri
  • Endpoint Security
  • ENDPOINT SECURITY
  • Security Information Event Management (SIEM)
  • Güvenlik Düzenleme Otomasyon ve Yanıt (SOAR)
  • GRC Sistemleri
  • Unified Threat Management (UTM)
  • NGFW

Altyapısında tüm bu sistemleri kullanan Soc, kurumu tehdit eden saldırıyı etkisiz hale getirip güvenlik duvarını daha da karşılaştırıyor.

Soc Modelleri

Güvenlik açığını tespit edip merkezi izleme yeteneğini sağlamlaştıran Soc, aynı zamanda organizasyonun servislerine, yapısına ve de müşterilerine zarar verecek siber güvenlik olaylarına da müdahale ediyor. Bu yüzden Soc model seçimi son derece önemlidir.

  • Internal Soc
  • Virtual Soc
  • Fusion Soc
  • Hybrid Soc

SOC modeli seçimi yapılırken; kurumun büyüklüğüne, içinde bulunduğu endüstriye, daha önce yaşadığı siber güvenlik problemlerine, personellerin kabiliyetine ve IT departman bütçesine bakılmalıdır.