Security Operation Center Fazları {Güvenlik Operasyon Merkezi) ve Dışarıdan Alınacak Hizmetlerde Bilinmesi Gerekenler!

Son günlerde kurumların gündemini siber olaylara müdahale ekiplerinin(some) kurulumu kapsamında yapılan çalışmalar meşgul etmekte. Ancak bazı kurumlar bu işi sektörel some olarak dışarıya yaptırmaktalar. Sektörel some kapsamında hizmet alacakları neler bekliyor? Ne kadar sağlıklı? Ya da bu işi aldığınız kurum ne kadar önem veriyor orası ayrı bir konu olmakla birlikte temel olarak bu işi dışarıdan alan kurumları neler bekliyor bu yazımda açıklamaya çalışacağım.

Açıklamaya başlamadan önce SOME ile ilgili ne nedir? Bu konu hakkında pek bilgim yok diyebilirsiniz. Ön bilgi olması adına buradaki yazıyı okumakta yarar olduğunu öncelikle belirtmeliyim. :)

Dışarıdan alınan hizmetlerin başında faz-1 aşaması geliyor. Ücretlendirmesine göre dışarıya log toplama, monitoring, filtreleme işlemlerini yaptırabiliyorsunuz.

Faz-2 aşamasında ise yine ücretlendirmesine göre SIEM ile log korelasyon, normalizasyon, sınıflandırma gibi işlevler yerine getirilebilmektedir.

Faz-3 aşamasında ise müşterilere yaşanan bir takım incidentlara karşı çağrı açılabiliyor, telefon yoluyla ulaşılabiliyor, mail atılabiliyor ve olay ile ilgili bir ticket oluşturularak kapsamlı bir bilgi verilebiliyor.

Aşağıdaki resim temel SOC hizmetlerini anlatıyor.

İmage Source: For further information click here!

Peki temel tanımları açıkladıktan sonra dikkat edilmesi gereken hususlara geçelim!

** Faz -1'de loglarınız toplanırken potansiyel ve gerekli tüm kaynaklarından loglar alınıyor mu alınmıyor mu bundan emin olmanız gerekir? 3.parti firma herhangi bir log kaynağı down olduğunda ya da sorun yaşandığında ticket açıp size ulaşıyor mu? dikkat etmeniz gerekir. Loglarınızın toplandığı disk ne kadar sürede gözetiliyor? Disk dolduğu zaman hemen değiştiriliyor mu? Log kaybı yaşıyor musunuz? gibi farklı yönleri düşünmelisiniz

** Faz-2' de hizmet satın aldığınız firma ne kadar gelişmiş log korelasyon senaryosuna sahip, en önemli dikkat edilmesi gereken yerdir. Çünkü q-radar ya da hp-arsight default korelasyon senaryolarını kullanarak log korelasyonu yaptıkları adı altında aslında monitoring' ten öteye gidemiyor olabilirler. Fazla para ödemiş olursunuz. :)

** Faz-3' de alınan hizmet 7/24 hizmet sağlanıyor mu? Aylık size ait özel rapor oluşturuyorlar mı? SOC' yapısında olay müdahale(incident response) hizmeti veriyorlar mı? Kapsamları neler ?gibi sorular sorulmalıdır.

SOC'ta aslında alınan hizmet ve kalitesine göre değişebilmekle birlikte; ülkemizde maalesef bu konuda gelişmiş hizmetler sunan bir firma en azından benim bildiğim kadarıyla bir kurum yok!

SOC yapısına sahip bir kurum için bir olay müdahale uzmanı, sızma testi uzmanı, tier 1-2-3' te çalışan uzman ve bunu kanıtlamış kişilerin bulunması ve gelişmiş log korelasyon senoryalarının uygulanması SOC yapısını daha güçlü kılar. Eğer maddi imkanlardan kaçmayan ve güvenliğine önem veren bir kurumsa bunların işlevsel olarak yerine getirilmesi ayrıca önemli bir kurumdur.