Dünya çapındaki kuruluşların altyapıları farklı teknolojiye, yazılıma ve farklı ağ mimarisi türlerine sahiptir. Bu kuruluşlar ne kadar çeşitli olursa olsun, ortak bir noktaları vardır: altyapılarını izleyen bir SOC analisti.
Siber Güvenlik Operasyonları Merkezleri veya SOC, sorumlulukları tamamen güvenlik açıklarını, tehlike göstergelerini aramaya ve SIEM, XDR ve diğer izleme güvenlik platformları ve araçları tarafından oluşturulan olayları ve alarmları araştırmaya adamış bir siber güvenlik analistleri ekibinden oluşur.
Vakalar, önem ve kritiklik açısından farklılık gösterebilir ve bu nedenle çeşitli vaka türlerini doğru bir şekilde tespit edip bunlara yanıt verebilmek için yetenekli bir SOC analistine ihtiyaç duyulur. Olay müdahale faaliyetlerinin yanı sıra, SOC analistleri, herhangi bir kötü amaçlı gösterge veya gelişmiş tehditler için ortamı aktif olarak araştırarak tehdit avlama çabalarına da katılırlar.
Siber Güvenlik Yazılım Araçları – Mükemmel Bir SOC Analist Araç Seti
Özellikle yazılım çözümlerinin birbirini tamamlaması gerektiğinden, doğru olanı seçmeyi zorlaştıran binlerce güvenlik aracı vardır.
Bununla birlikte, her güvenlik aracı, algıladığı ve bazı durumlarda önlediği olay türlerine göre kategorilere ayrılabilir. Mükemmel bir araç seti mevcut değildir, çünkü her araç için doğru seçim, korumaya ihtiyaç duyan bilgisayar sistemlerinin türüne ve SOC analistinin ayrıntıları araştırmak ve detaylandırmak için uzmanlık düzeyine bağlı olacaktır.
Her şeyi göz önünde bulundurarak, aşağıda herhangi bir SOC analistinin siber güvenlik araç setinin parçası olması gereken en verimli ve kullanışlı araçların bir listesi bulunmaktadır.
SIEM – Güvenlik Bilgileri ve Olay Yönetimi, herhangi bir SOC analistinin baş tacıdır. Platform, ortamdaki diğer tüm uç noktalar, ağ, sunucu, altyapı, uygulama, veritabanları, bulut, saas ve güvenlik araçları tarafından oluşturulan günlüklerin toplanması ve ilişkilendirilmesi için kullanılır.
Başka bir deyişle, SIEM, güvenlikle ilgili veya ilgili olmayan diğer tüm loglara ek öngörü sağlamak için oluşturulan bir dizi kuralla birlikte kendi Korelasyon, UEBA, AI ve ML yapısını sağlar. Bir SOC analisti, bilgilerin çoğu tek bir platformda ve dashboard ekranlarda mevcut olduğundan, birçok farklı araç arasında gezinme ihtiyacını ortadan kaldırarak potansiyel olayları çok daha hızlı algılayabilir, yanıtlayabilir ve sınıflandırabilir. SIEM'den gelen olaylar ve uyarılar da MITRE ATT&CK modeliyle eşleştirilebilir.
EDR (Endpoint Detection and Response) çözümleri – EDR, çeşitli gelişmiş kötü amaçlı yazılım ve anormallik tabanlı algılamalar için kullanılan gelişmiş bir koruma uç nokta yazılımıdır. Bir dizi dosya imzasına dayanarak kötü amaçlı yazılımları tespit etmeye dayanan geleneksel anti-virüs platformunun aksine, EDR güvenlik yazılımı, dosya yürütme bağlamının da dikkate alındığı makine öğrenimi ve anormallik tabanlı tespitlere dayanır. Modern EDR çözümü ayrıca SOC'ye tehdit avlama teknikleri gerçekleştirme ve (IoC) avlama yeteneği verir. EDR'den gelen olaylar ve uyarılar da MITRE ATT&CK modeliyle eşleştirilir.
XDR - Genişletilmiş Algılama ve Yanıt araçları, EDR, NDR ve SIEM üzerine kuruludur ve BT işletim ortamında daha hızlı bir korelasyon ve temel neden analizine olanak tanır. XDR, olgunluğu açısından hala yenidir ve XDR çözümleri, yeteneklerine ve vizyonlarına göre satıcıdan satıcıya farklılık gösterir. XDR'den gelen olaylar ve uyarılar da MITRE ATT&CK modeliyle eşleştirilir.
OSINT ve DARKINT – Açık Kaynak ve Dark Web İstihbaratı araçları, çok miktarda genel ve dark web bilgisine erişim sağladıkları için SOC analistlerine büyük fayda sağlar. Hepsini listelemek zor, ancak bahsetmeye değer en popüler araçlar Shodan, Maltego, Sherlock ve DarkSearch, Darkowl, Sixgill vb. Maltego aracı şirketler ve insanlar arasındaki ilişkileri ortaya çıkarmaya yardımcı olabilir, Shodan sağlayabilir. Herkese açık cihazların güncel tarama bilgileri, Sherlock birçok sosyal ağ platformunda kullanıcı adlarını bulmak için kullanılabilir ve DarkSearch bir dark web arama motoru olarak kullanılabilir.
Tehdit İstihbaratı – Genellikle herkese açık olan tehdit istihbarat araçları, tehdit istihbaratı araması ve IP'lerin analizi, etki alanı itibarı, dosya karmaları ve daha fazlası için merkezi bir yer sağlar. SOC analistleri, dosya analizi ve emülasyonu için çeşitli sanal alanlar, kötü amaçlı yazılım tanımlama ve sınıflandırma için Yara gibi kötü amaçlı yazılım analizörleri, AlienVault OTX, IBM X-Force, FortiGuard ve Palo Alto Unit 42 gibi IP adresi / etki alanı analizörleri gibi tehdit istihbarat araçlarını sıklıkla kullanır, Crowdstrike Falcon ve diğer popüler ticari platformlar.
Güvenli Web Ağ Geçidi (SWG) / Web Proxy / DNS Güvenlik Duvarı– her saniye büyük miktarda internet trafiği oluşturulurken, kötü niyetli DNS trafiğini analiz etme ve buna göre hareket etme yeteneği gereklidir – bir DNS Güvenlik Duvarı, bu tür yetenekler veya DNS inceleme yeteneklerine sahip güvenlik duvarları sağlar. DNS, DNS tünelleme mekanizmalarını kullanarak kuruluştan veri çekmek için de kullanılabilir. İnternete tüm erişim, tarayıcı izolasyonu ve ileri açık proxy yetenekleri gibi gelişmiş özelliklere sahip bir SWG veya Web Proxy'den geçmiyorsa, ofiste veya evde internette gezinme sorunlu olabilir. Evden çalışma senaryolarının artmasıyla birlikte, kuruluş, tüm İnternet erişiminin birleşik olmasını sağlamak için bulut SWG/Web proxy'sini benimsemelidir. SOC analistleri, bir olayın temel nedenine ilişkin bir sonuca varmak için SWG / web proxy günlüklerini ve diğer EDR ile ilgili olayları birleştirebilir.
E-posta Güvenlik Ağ Geçidi – Kimlik avı saldırıları, siber güvenlik saldırılarının en büyük yüzdesini ve kötü niyetli yükün dağıtımının birincil yöntemini temsil eder. Güçlü bir e-posta güvenlik koruma platformu olmadan bu saldırılara karşı savunma yapmak imkansız olurdu. SOC analistleri, e-posta gönderenler, IP adresleri ve çok daha fazlası için beyaz listeler ve kara listeler oluşturabilir. Etki alanı düzeyinde güvenlik için SPF, DMARC ve DKIM'yi yapılandırın, ek tarama ve korumalı alan oluşturma, URL yeniden yazma yetenekleri, dosya uzantısı analizi sağlayın, makine öğrenimini kullanarak gelişmiş kimlik avı önleme tekniği uygulayın. E-posta koruma ilkelerini yapılandırmak ve şüpheli e-postaları araştırmak, bir SOC analistinin günlük çalışmasının bir parçasıdır.
Güvenlik Açığı Yönetimi ve Uygulama Taraması – Bir kuruluşta kullanımda olan uygulama ve yazılım düzeyinde sürekli artan güvenlik açıkları arkasında gizli riskler taşır - bu tür güvenlik açıkları açık kaynak kitaplıkların, güvenlik açığı bulunan web bileşenlerinin, güvenlik açığı bulunan API'lerin uç noktalarının, dosyanın kullanımı olabilir. -daha az saldırı yüzeyi vb.
Bir kuruluşta kullanılan birçok yazılım ve uygulama siber saldırılara karşı savunmasızdır. Güvenlik Açığı ve Uygulama tarayıcıları, güncel olmayan yazılımları, güvenli olmayan yazılımları, güvenlik açığı bulunan kitaplıkları, güvenlik yanlış yapılandırmalarını ve güvenlik açığı bulunan programları algılayarak ortamda periyodik kontroller gerçekleştirir. Bir SOC Analisti, düzenli olarak güvenlik açığı ve uygulama taraması yapacak ve sonuçları yorumlayacaktır.
NGFW ve WAF – SOC analistleri, farklı organizasyon türleri ve boyutları ile sektör dikeylerinde çalışır. Altyapı ne kadar büyük olursa, o kadar fazla ağ trafiği oluşturulur. Ek olarak, hemen hemen her kuruluşun korunması gereken bir çevrimiçi varlığı vardır. İnternet çıkış noktalarının tümünün gerçek zamanlı olarak izlenmesi gerekir, şirket içi veya bulutta yayınlanmış tüm hizmetler için saldırı yüzeyinin kontrol edilmesi ve yönetilmesi gerekir.
NGFW ve WAF çözümlerinin SOC analistlerinin ağ ve web tabanlı tehditleri tanımlamasına izin verdiği yer burasıdır. Genellikle ortamın sınırlarında bulunur – İnternet, DMZ, WAN, Extranet, Sunucu, Kullanıcı Segmenti. NGFW, akla gelebilecek her tür siber saldırıya karşı gerekli bir koruma katmanı sağlar. Mimari ve güvenlik bölgelerine ayırma tanımları, trafik akışının kolaylıkla algılanmasında kilit bir rol oynar ve SOC analistlerinin ağ mimarisini ve güvenlik bölgelerine ayırma ve güvenlik duvarlarında yapılandırılmış politika kimliklerini sağlam bir şekilde kavraması için eşit derecede önemlidir.
WAF, halka açık tüm siteleri korumak için kurulmalıdır; RASP (Çalışma Zamanı Uygulama Güvenliği Koruması) kullanılarak gelişmiş web uygulaması saldırıları önlenebilir. API güvenlik ağ geçidi, API kaynaklı tüm tehditleri korumak için dağıtılmalı ve yalnızca merkezi bir ağ geçidi aracılığıyla yayınlanmalıdır.
SOC analistleri ayrıca belirli ağ trafiği kümelerine daha derine dalmak ve NDR (Ağ Algılama ve Yanıt) veya ETA (Şifreli Trafik Analizi) platformları kullanılarak da elde edilebilecek tehditleri aramak için ağ paket analizörlerini kullanır.
Daha İyi SOC Analisti Siber Güvenlik Araç Takımı – Daha İyi Olay Müdahalesi
SOC analistlerinin emrinde daha fazla araca sahip olmak, analistin bir olayı daha hızlı sınıflandırmasına ve potansiyel bir olaya daha kapsamlı bir şekilde yanıt vermesine olanak tanır. Ancak, araçların nasıl yapılandırıldıkları, yönetildikleri ve çalıştırıldıkları kadar iyi oldukları da unutulmamalıdır. Çeşitli başka araçlar mevcuttur ve SOC analistinin gelişmiş tehditleri bulmasına ve bunları MITRE ATT&CK'ya göre buna göre sınıflandırmasına yardımcı olur.
1000'den fazla siber güvenlik sağlayıcısı ile her yıl yeni siber güvenlik araçları geliştirilmekte, algılama ve yanıt verme yetenekleri artırılmakta ve en son ve karmaşık siber güvenlik saldırılarıyla güncel kalmaya çalışılmaktadır.
Sürekli değişen ortam, deneyimli SOC analistlerine duyulan ihtiyaçla birlikte siber güvenlik araçlarında daha fazla yeniliği zorlayacaktır. Bu nedenle, iyi bir güvenlik analistinin en son tehditlerden haberdar olmak için her zaman sürekli araştırma yapacağını ve kendi araç setini oluşturacağını söylemek mümkündür..
Kapsamlı bir siber güvenlik araç seti, SOC analistlerinin işlerini etkin bir şekilde yapabilmeleri ve kuruluşların uyanık kalmasını ve siber tehditlerden korunmasını sağlamaları için çok önemlidir.
Kaynak : https://www.linkedin.com/pulse/siber-g%25C3%25BCvenlik-yaz%25C4%25B1l%25C4%25B1m-ara%25C3%25A7lar%25C4%25B1-m%25C3%25BCkemmel-bir-soc-ara%25C3%25A7-aslanbakan/?trackingId=uOmAVGGcQTeTKzHoSp99YQ%3D%3D