EN
EN

SOC Tasarımının Önemli Noktaları

21 Mayıs 2019


SOC tasarlamanın her yere uygun ve basit bir tarifi yoktur. Kurulan merkezin başarılı olabilmesi için ihtiyaca göre şekillendirilmesi, doğru teknolojiyle çalışılması ve yetenekli yöneticilere gerek vardır. Daha da önemlisi analistlerin doğru verileri topladığına ve onlara odaklandığından emin olmak gerekir. Günümüz siber uzayındaki tehditlerle yüzyüze gelecek ilk ekip SOC ekibidir. Birimin analistleri ne kadar dikkatli iş yapar ve başarılı sonuçlara ulaşırsa, endüstri de birimin ve operasyonlarının değerini o kadar çok anlayacaktır.

Merkezin kurulurken şirket bünyesinde mi barınacağı yoksa servis olarak mı alınacağı, bütçeye ve firmanın bulunduğu endüstrideki operasyonların ne kadar kritik olduğuna bağlıdır. Her ne kadar şirket bünyesinde kurulan ekip IT çalışanları tarafından işletilebilecek olsada, güvenlik analistlerinin olmadığı bir yapı düşünülemez. Çünkü bu iki rol özünde iş sürekliliğini sağlamak ve bilişim üzerine odaklanmış olsada uzmanlık dalları oldukça farklıdır ve birbirlerinin yerlerine geçemezler. Gerekli eğitim, disiplin ve analitik düşünce yapısına sahip olmayan çalışanlar önemli noktaları gözden kaçırabilirler. Bu da oluşabilecek sızıntıların daha büyük olmasına ve neticede firmanın insanların gözünde güvenilirliğini yitirmesine yol açar.

SOC ve Computer Security Incident Response Team (CSIRT)’in koordine bir şekilde çalışması da, oluşabilecek sızıntıların doğru zamanda kontrol altına alınabilmesi için çok önemlidir. Ekipler olabildiğince proaktif bir şekilde çalışabilmeli, olay sonucunda saldırı yapısını anlayabilmeli ve gerekli önlemleri alabilmelidir. Tüm bu işlerin doğru şekilde yapılamaması zaman, güven ve para kaybını fazlasıyla artıracaktır. Bu yüzden planlama doğru şekilde yapılmalı ve doğru roller doğru kişilere atanmalıdır.

SOC’un etkin bir şekilde çalışabilmesi için gerekli olan yazılım ise SIEM’dir. SIEM log kaynaklarından gelen verilerle beslenir. Bu ürünü satın alıp sisteme dahil etmek tek başına yeterli değildir. İyi konfigüre edilmemiş SIEM’in başarılı faaliyet göstermesi beklenilemez. Problemin doğru tanımlanması ve buna yönelik olarak alarmların ve korelasyonların oluşturulması gerekmektedir. Ancak bu adımlardan sonra kullanıcı davranışları analiz edilip, profilleme yapılabilir. SIEM ürününü satın alırken, ürünün tüm bu özellikleri kapsadığından emin olmak gerekir.






İlgili İçerikler: