Yeni Nesil Siber Güvenlik Operasyon Merkezleri Halil ÖZTÜRKCİ ADEO BİLİŞİM DANIŞMANLIK HİZMETLERİ A.Ş.
Siber Güvenlik Operasyon Merkezi (Cyber Security Operations Center- CSOC) Nedir? Siber Güvenlik Operasyon Merkezleri, her geçen gün daha karmaşık hale gelen siber saldırıları tespit etmek, önlemek ve gerçekleşen siber olaylara müdahale etmek için insan kaynağı, süreç ve araç setlerinin bir organizasyonel yaklaşım çerçevesinde işletilmesi esasına dayanan yapılardır.
Bir CSOC dan Beklenenler Siber tehditlere ve yaşanan siber olaylara anında müdahale edebilmesi ve bu müdahaleleri organize edip yönetebilmesi, Kurumun anlık siber güvenlik durumunu izlemesi ve olası eksikleri raporlaması Tehdit ve zafiyet analizi gerçekleştirmesi Kurum içindeki ve kurum dışındaki paydaşlara yaşanan siber güvenlik olayları ile ilgili uyarı ve bilgilendirmede bulunması Kurum yönetimine belirli periyotlarla siber güvenlik olayları ile ilgili raporlar hazırlayıp sunması Regülatör kurumlar ile iletişim sağlayarak gerekli siber olay bildirimlerini yapması ve kendisine bu kurumlar tarafından bildirilen aksiyonları alması Yaşanan siber olaylara müdahale ve çözme zamanlarını iyileştirecek adımları atması Siber olayların tespitinde ve bu olaylara müdahalede otomatizasyonu sağlayacak süreç tanımlarını yapması ve işletmesi Bütün siber saldırı vektörlerini tanımlaması ve sınıflandırması Tanımlanan güvenlik ölçütlerini gösterecek raporlama panellerini oluşturması Olası felaket durumları için acil kurtarma planlarını yapması 7x24 esaslı siber güvenlik olaylarını izleyip olay müdahalesi gerçekleştirebilecek yetenekte çalışması
CSOC'un İşletilmesinde Karşılaşılan Zorluklar- Güvenlik İzleme Siber olay korelasyonunu sağlayacak kadar yeterlilikte log kaynağının olmaması Özellikle siber olayların tespitine yönelik proaktif izlemenin yapılmaması Siber istihbarat servislerinde alınan istihbarat verileriyle desteklenmemiş ve saldırganların taktik, teknik ve araçlarını tanımlayacak saldırı tespit kurallarının ve prosedürlerinin olmaması Uygun şekilde iyileştirme yapılmamış kural setlerinin kullanımı sonucunda karşılaşılan çok sayıda false-positive uyarı Çok fazla sayıda uyarı ile uğraşmak zorunda olan analist ekibinin önemli olayları gözden kaçırması Saldırganların izlerini bırakabilecekleri bileşenlerden sadece bir kısmının izlenmesi ve böylece siber saldırganların tespit edilememesi
CSOC'un İşletilmesinde Karşılaşılan Zorluklar- Olay Müdahalesi Siber olaylara ne şekilde müdahale edileceğinin tariflendiği olay müdahale (Incident Response) planının olmaması Siber olay öncesinde, anında ve sonrasında izlenecek politikaların ve süreçlerin tariflenmemiş ve dokümante edilmemiş olması Siber olay esnasında ve sonrasında hem kurum içi hem kurum dışı paydaşlarla ne şekilde iletişim kurulacağının belirlendiği iletişim matrisinin olmaması Aynı seviyede teknik yeterliliğe sahip olmayan kişiler tarafından olay müdahalenin yapılması İlk müdahaleyi gerçekleştiren ekibin bilgisinin yetersiz olması Efektif ve tam bir adli analiz için gerekli olan verilerin analiz için toplanamaması Adli bilişim incelemesi gerçekleştirebilecek düzeyde teknik detaya sahip analist bulunmaması
CSOC'un İşletilmesinde Karşılaşılan Zorluklar- Siber Tehdit İstihbaratı CSOC'un hizmet verdiği organizasyonun bulunduğu sektöre özel siber istihbaratın toplanamaması CSOC izleme ve müdahale etme yeteneğinin değişen ve gelişen siber saldırgan tekniklerine adapte edilememesi Siber istihbarat servisleri ile CSOC altyapısında kullanılan teknolojilerin entegrasyonunun yapılmaması
CSOC Bileşenleri Süreçler İnsan Kaynağı Teknoloji Siber Güvenlik Operasyon Merkezi
CSOC Dizaynını Etkileyen Temel Konu Başlıkları İnsan Kaynağı 7x24x365 şeklinde kesintisiz hizmet sunulacak mı? CSOC bünyesinde gerekli olan uzmanlıklar nelerdir? Bu uzmanları nerelerden bulacaksınız? Bu uzmanların eğitimleri nasıl planlanacak? Performans ölçümü için hangi kriterleri kullanacaksınız? Kapasite planlamasını nasıl yapacaksınız? Prosesler Hangi süreçleri ve politikaları tanımlayacaksınız? Süreçleri ve hedeflerin başarısını nasıl ölçeceksiniz? Temel prosesler için (örneğin olay müdahalesi, adli analiz vb) optimal dizayn nasıl olacak? Proseslerin süreç içinde iyileştirilmesi için nasıl bir yol haritası izlenecek? Teknoloji SIEM altyapısı ve & kullanım durumları (use cases) tanımları nasıl dizayn edilecek ve tasarlanacak Hangi kaynaklardan ne tür loglar alınacak ve bunlar üzerinden hangi korelasyon kuralları çalıştırılacak? Platformların birbiri ile entegrasyonu nasıl sağlanacak (örneğin ticket yönetimi, olay eskalasyon süreçlerinde çoklu veri sağlama vb)?
CSOC un Hayata Geçirilmesinde Yapılan Temel Yanlışlar Teknolojiyi İnsan Kaynağı ve Proseslerden Önde Tutmak: CSOC un en önemli yapı taşlarından birisi bünyesinde kullanılan teknolojidir. Fakat bu teknolojilerden daha da önemlisi ilgili teknolojileri kullanarak CSOC bünyesindeki servisleri sunacak uzmanlar ve bu uzmanların izleyeceği proses ve süreçlerdir. Yeterli sayıda ve gerekli tecrübeye sahip olmayan bir insan kaynağı ile CSOC un istenen hedeflere ulaşması imkansızdır. CSOC un Üçüncü Parti Servis Sağlayıcılarla İş Paylaşımı: CSOC daki insan kaynağı ve teknolojik yatırımdan maksimum faydayı elde etmek adına CSOC tarafında ihtiyaç duyulan bir takım özel servisler için iç tarafta kaynak ayrılmasının önüne geçip ihtiyaç duyulması halinde üçüncü parti firmalar üzerinden bu servisin alınması benimsenmelidir. Tanımlarının Tam Yapılmaması: CSOC un sunduğu hizmetlerin kalitesini belirleyen en önemli unsurlardan birisi de CSOC bünyesindeki tanımların ne kadar doğru ve eksiksiz tariflendiği ve CSOC işletilirken bu tariflere ne kadar uyulduğudur. Bu bağlamda CSOC kurulurkern endüstri tarafından kabul görmüş standartlar, pratikler ve klavuzlar takip edilmeli ve uygulanmalıdır.
Teşekkürler Halil ÖZTÜRKCİ @halilozturkci halil.ozturkci@adeo.com.tr