BLOG

SoC Takımı Atak Karşılamaya Ne Kadar Hazır?

Yayınlanma Tarihi

Haziran 3, 2022

Paylaş

Hızla gelişen IoT, 5G, bulut, OT gibi yeni teknolojileri ve kurumların müşterilerine daha iyi hizmet verebilmek için uyguladığı dijital dönüşüm projeleri sadece siber saldırılar için yüzeyin genişlemesi değil, miktar olarak da daha fazla artmasına yol açmaktadır. Yapılan araştırmalarda aslında BT uzmanlarının %27’si günlük 1 milyondan fazla güvenlik uyarısı alıyor. 10 kişilik bir güvenlik operasyon merkezi veya SOC, otomatik araçların yardımı olmadan bu uyarı hacmini yönetmesi mümkün değildir.

Yıllar geçtikçe, kötü niyetli aktörlerin gelişmişliği ve hacimleri arttıkça, otomatik algılama, önleme ve müdahale olmazsa olmazlar haline geldi ve SOC ekipleri tehditleri tespit etmek ve önlemek ve uyarı izleme ve triyaj gibi tekrarlayan operasyonel görevleri yerine getirmek için otomatik çözümlere giderek daha fazla bağımlı hale geldi.  

Güvenlikte yapay zekaya çok fazla güvenmek mi?

Artan tehdit hacmini ve karmaşıklığını ele almak için next-gen antivirus, next-gen firewalls ve security orchestration, otomasyon ve yanıt platformları gibi gelişmiş, yapay zeka tabanlı araçlar geliştirdi.  Ne yazık ki, en iyi yapay zeka bile kuruluşlarımıza yönelik tehditlerin %100’ünü tespit edip önleyemez ve bazı saldırılar sonunda başarılı olabilir. Bu gerçekleştiğinde, ne yazık ki birçok saldırganın hazırlıklı olduğu olay müdahale ekiplerimizin becerilerine tamamen bağlıyız. Acaba SOC ekiplerimiz ne kadar hazır ve bu araçlara çok mu bağımlı hale geldik? 

2020 VMware anketine katılan ABD işletmelerinin %92’sinin saldırı hacminde bir artış gördüğünü ve %84’ünün saldırıların karmaşıklığının arttığını bildirdiğini gösteriyor. Saldırganlar daha etkili hale gelmekle kalmıyor, aynı zamanda tedarik zinciri güvenlik açıkları , uygulama güvenlik açıkları ve insan hatası dahil olmak üzere yeni farklı noktalarla saldırı yüzeyimiz genişliyor. Endüstri liderleri, artan saldırı karmaşıklığının genel olarak siber güvenlik endüstrisi üzerindeki etkisini kabul ediyor ve son SolarWinds saldırısı gibi büyük ihlallerin artık aykırı değerler olarak düşünülemeyeceği konusunda uyarıyor. 

Yüksek profilli bu saldırıları tespit etme, uyarma ve önlemede başarısız olan teknolojilerimizin ve insan faktörünün (olay müdahale ekiplerimizin ) ortak başarısızlığının bir sonucudur.Olay müdahale ekibi  rolünde çalışan; güvenlik araçları tarafından sağlanan bilgileri analiz etmek ve tehdidin kaynağını hızlı bir şekilde belirleme, kuruluşun mevcut riskini anlamaları, temel nedenini anlamaları ve hasar oluşmadan önce  sağlayan soruşturmaları yürütmekle görevlidirler. Bu aynı tehdidin veya benzer özelliklere sahip tehditlerin gelecekte ortaya çıkması ve düzeltilmesi gerekmektedir. Ancak, bu araçları kullanan kişiler, bunları kullanmak için yetenekli ve eğitimli olmadığında, araçlara ne kadar yatırım yaptığımızın bir önemi yoktur.

 

SOC ekipleri genellikle nasıl çalışır?

Aktif bir siber saldırı sırasında, SOC ekipleri üç senaryodan birinde çalışır:

  • Senaryo 1. Otomatik önleme araçları, saldırıyı ağa girmeden önce algılar ve engeller.Tipik olarak, bunlar daha az karmaşık saldırılar ve saldırganlar olacaktır. Saldırıyı, olayın ardından analiz edilir ve güvenlik politikalarımızı sıkılaştırız.
  • Senaryo 2. Tespit araçlarımız bir uyarı verir. Uyarıyı inceleriz ve false pozitif olmadığına karar veririz ve gerekiyorsa derhal araştırma yapılması gerekir. Saldırının başarılı olduğu tespit edildiğinde, zamana karşı bir yarış, yanıt verme süremiz, ihlalin ardından şirketin genel maliyetini doğrudan sebep olmaktadır.
  • Senaryo 3. Saldırganlar, herhangi bir uyarı vermeden, radarın altında başarılı bir şekilde ağımıza sızabilirler. Bu en kötü durum senaryosu. Saldırganlar, erişim ayrıcalıklarını yükseltmek ve özel verilerin nerede depolandığını bulmak veya şifreleyip fidye için kullanabilecekleri kritik bir uygulama bulmak için lateral movement için aktif olarak çalışırlar. Başarılı kuruluşlar, ekiplerin sürekli olarak ağda dolaşarak devam eden bir saldırıya tespit edebilecek, şüpheli aktivitelerin arandığı düzenli tehdit avı süreçleri kullanarak bu zor ama yaygın senaryoyu ele alır. Bu işlemler tipik olarak (EDR) ve SIEM platformları aracılığıyla yapılır.

Son iki senaryo, yüksek profilli saldırılarda en yaygın olanıdır ve SOC ekiplerinden önemli ölçüde uzmanlık gerektirir. En son teknoloji ürünü SIEM ve EDR platformlarına yatırım yapmış olsanız da, ekiplerin nerede kanıt aramaları gerektiğini, bunun ne anlama geldiğini anlamak için kanıtları nasıl analiz edeceklerini ve nasıl analiz edeceklerini anlama konusunda yetenekli ve eğitimli olmaları gerekir. Saldırıyı kontrol altına almak için kanıtlara göre hareket etmek gerekir. Bunu hızlı bir şekilde yapmaları gerekeceğinden, araçlar konusunda son derece yetkin olmaları gerekir.

Ayrıca, ciddi zaman baskısı altında bir ekip olarak etkin bir şekilde çalışmalıdırlar. Bir ekip üyesi, EDR da şüpheli aktivite ararken, bir diğeri logları  gözden geçirmek ve bunları EDR göstergeleriyle ilişkilendirmeye çalışmak için SIEM platformunu kullanıyor olabilir.  Bu bulgularla ilgili tehdit istihbaratını bulmak ve ardından geçmişten benzer vakaları bulmak için kurumsal bilgi tabanını gözden geçirmeleri gerekir.

 

İnsan unsuru oldukça önemli olduğunu kanıtlıyor

İnsan tepki hızı unsuru kritiktir. IBM’e göre , dünya çapında bir 2020 kurumsal veri ihlalinin ortalama toplam maliyeti 3,86 milyon dolardı bir işletmeye ortalama 8,64 milyon dolara mal oldu. Aynı zamanda, bu ihlallerin belirlenmesi ve kontrol altına alınması yaklaşık 280 gün sürdü. Sektör araştırması, saldırı süresiyle birlikte bir ihlalin maliyetinin arttığını ve bu nedenle daha hızlı yanıt süresinin, işletmelerin yeni araçlar için bütçeleme yaparken veya ekipleri için daha iyi beceri geliştirme ve eğitimi desteklerken çaba göstermeleri için kritik bir bileşen olduğunu gösterdi. İleriye dönük olarak, bilgili SOC ekipleri, daha az yeterliliğe veya daha zayıf araçlara sahip olanlardan çok daha hızlı yanıt verecektir.

Kuruluşların çoğu teknolojiye yetersiz yatırım nedeniyle başarısız olmaktadır.Aksine,  en yeni ve en pahalı araçlardan bazılarına sahip kuruluşlar da var. Fakat bir olay veya tehdit avı senaryosunda araçları etkin bir şekilde kullanma becerisi olan ekiplere sahip değil. Bunu, hava sahasını savunmak için savaşa hazır en yeni jet avcı uçaklarını satın alan ve ardından yalnızca temel kalkış ve iniş konusunda eğitim almış pilotlar atayan bir ulusla karşılaştırın.

Tehdit aktörlerinin taktikleri daha yaygın ve üretken hale geldikçe, SOC ekiplerinin üzerinde düşünmesi her zamankinden daha kritik. Kurumsal güvenlik araçları – kendi başlarına harika olsalar da – nihayetinde yalnızca onları kullanan siber güvenlik uzmanları kadar karmaşıktır. Araçların işi kendi başlarına yapacağını varsayamayız ve ekiplerimizin beceri düzeyinin önemini hafife alamayız. Etkili savunma, piyasada bulunan gelişmiş araçların bir araya getirilmesini ve siber güvenlik ekiplerinin gelişmiş becerilerini gerektirir.

Cybersecurity Ventures’a göre 2021’de, iş liderlerinin güvenlik bütçelerinin ; pahalı araçları çalıştırma yeteneklerine sahip olduklarından emin olmak için SOC ekiplerinin becerilerini eğitmek, elde tutmak ve artırmak artık her zamankinden daha önemlidir. Bu aletler mükemmeldir, ancak yalnızca yetenekli eller tarafından kullanıldığında. Eşi benzeri görülmemiş siber saldırıların ardından, bu pahalı araçların ancak onları çalıştıran profesyonellerin beceri setlerini geliştirmesiyle daha etkili hale geleceğini biliyoruz. Bu amaçla, kurumsal liderlik, bir sonraki büyük ihlali önlemek veya etkilenmeleri durumunda kuruluşlarına, müşterilerine yönelik nihai maliyeti azaltmak için SOC ekibinin manuel becerilerini güçlendirmeye öncelik vermelidir.

SOC Takimi Egitimi

Soc ekibinin deneyimlerini, becerilerini ve ekip çalışmasını bir sonraki seviyeye taşımak için gerçek simülasyonlu eğitimler verilebilir. Gerçek simülasyon egzersizleri ile eğitim alarak ekibiniz, gerçek saldırı gerçekleştiğinde hem teknik hem de zihinsel olarak üstün olacaktır. Alacakları eğitimle çalışanlarınız olgunluk seviyelerini ölçerek, gerekli eğitimlerin alınması ekibinizin olgunluk seviyesini artırabilirsiniz.

Siz de SoC ekibinizin bilgi ve becerilerini artırmak için neler yapabileceğinizi merak ediyorsanız, iletişim bilgilerimizden bize ulaşabilirsiniz.