SOC’de üç yapılandırma ve uyarı işleme yaklaşımı

Gelişmiş siber tehditler kurumsal güvenlik operasyonları merkezlerine (SOC) giderek daha zorlayıcı işler çıkarmaya devam ediyor. Kuruluşların bu sırada güvenlik becerisi eksikliği, mesleki tükenmişlik ve dar bütçeler gibi iç sorunlarla da mücadele etmesi gerekiyor. Tipik bir SOC, uyarı triyajının yükünü üstlenen analistlerden, en gelişmiş tehditleri analiz eden uzmanlardan, tehdit istihbaratı uzmanlarından ve bir yönetim ekibinden oluşur. Yüksek hacimli rutin görevleri üstlenen analistlerin işlerini mümkün olduğunca etkili şekilde organize etmelerinin bir yolunu bulmak gerekir.

Güvenlik operasyonları merkezlerinin yapılandırılması ve uyarı işlemesine yönelik farklı yaklaşımlar var. Bir ESG raporuna göre birbirine yakın oranlarla benimsenen üç yaklaşım var. Kuruluşların çeyreğinden fazlası (%28’i) SOC’lerindeki analistlerin becerilerine ve sorumluluk düzeylerine göre kademelendirildiğini söylüyor; şirketlerin %36’sında, çalışanlar ayrı tehdit vektörlerinde görevlendiriliyor; %36’sı ise analistlerinin becerilerinden ve tehdit vektörlerinden bağımsız olarak ortak bir uyarı sırasında çalıştığını ifade ediyor.

Gelin bu üç farklı yaklaşımı ayrıntılarıyla inceleyelim, her birinin artılarını ve eksilerini ele alalım ve SOC personeli için hayatı kolaylaştıracak başka şeyler olup olmadığına bakalım. Aşağıda sıralanan yaklaşımların katı biçimde ayrılmadığını, pratikte genellikle kuruluşun ihtiyaçları doğrultusunda karışık görülebildiğini de hatırlatmakta fayda var.

1. Klasik yaklaşım

Kuruluşların %28’i tarafından tercih edilen seçenek aslında daha klasik bir SOC yapılandırma yaklaşımı. Bu yaklaşımda analistler kademelere ayrılır. Birinci kademe, gelen tüm uyarıları işler. Uyarıların triyajını yaptıktan sonra, başa çıkabilecekleri seviyedekilere kendiler müdahele ederler. Olay çok karmaşıksa ve birinci kademe nasıl müdahale edileceğine dair talimatlara sahip değilse ya da saldırı insan güdümlüyse (yani saldırgan otomatik araçlar kullanmak yerine gerçek zamanlı olarak eylemleri bizzat gerçekleştiriyorsa) olay ikinci kademeye aktarılır.

İkinci kademedeki personel daha deneyimlidir. Olayları ya ortak bir sırayı takip ederek ele alırlar ya da bireysel uzmanlıklarına göre paylaşırlar (örneğin, işletim sistemine yönelik tehditler veya ağ ile ilgili tehditler gibi). Kimi zaman daha fazla uzmanlık alanına ayrılan üçüncü bir kademe daha bulunur. Böylelikle birinci kademe en tipik tehditleri halleder, ikinci kademe daha gelişmiş olaylara müdahale eder, en karmaşık olanlarsa üçüncü kademeye aktarılır.

Bu yapıda, birinci kademede yoğun bir uyarı akışı işleyen giriş seviyesindeki profesyoneller, uyarı analizi becerilerini geliştirebilir. İkinci veya üçüncü kademelerdeki daha fazla beceriye sahip analistler ise daha boş kaldıklarından bilgilerini derinleştirerek belirli alanlarda daha fazla uzmanlaşabilir. Bu yapıda daha deneyimli çalışanlar daha karmaşık olayları ele aldığı için uyarılar daha etkin şekilde işlenir. Fakat bu yaklaşımın iyi işlemesi için birinci kademeye yönelik oldukça ayrıntılı talimatlar geliştirilmelidir; bu da çok fazla hazırlık çalışması anlamına gelir.

2. Vektörlere, tehdit türlerine veya yeterlilik alanlarına göre görev dağıtımı

Ankete katılanların %36’sı tarafından benimsenen bu modelde analistler, ağ saldırıları, sunuclara veya web uygulamalarına yönelik saldırılar, kurum içi tehditler ya da DDoS saldırıları gibi farklı tehdit vektörlerinde görevlendirilir. Sistem türüne (uç noktalar, bulut veya veri merkezleri) ya da kritiklik durumuna göre de ayırım yapılabilir. Örneğin, kritik olmayan olaylara birinci kademede müdahale edilir, kritik sistemlerle ilgili olaylar ise ikinci kademeye aktarılır.

Pratikte birinci ve ikinci yaklaşım çoğunlukla hibrit bir model olarak bir arada kullanılır. Örneğin, gelen tüm uyarıları birinci kademe ele alır, belirli bir türde olay olması durumunda bunu ikinci veya üçüncü kademede bu tür olaylarla görevlendirilen uzmana aktarırlar.

Bu yaklaşımın avantajı, analistlere uzmanlık alanlarında çok fazla derinleşme imkanı tanımasıdır. Bu sayede hem yetkinlik hem de olay müdahalesi kalitesi yüksek düzeylere ulaşır. Ancak gerektiğinde bu tür uzmanların yerini doldurmak çok zor olabilir.

3. Tek sıra

Kuruluşların %36’sının benimsediği bu yaklaşımda analistler ortak bir olay sırasını takip eder. Bu tüm uzmanların aynı hatta, aynı uzmanlık düzeyinde çalıştığı ve olayların büyük bir kısmına müdahale edebildiği anlamına gelir. Öte yandan yine de bazı ayrımlar olabilir, en karmaşık olaylar yine yüksek becerilere sahip uzmanlardan oluşan özel bir gruba aktarılabilir.

Kaspersky SOC’nin yapısı bu yaklaşıma çok yakın ancak ayırt edici bir özelliğe sahip: Birinci kademenin yerine bir AI analist var. AI analist, makine öğrenimi modeli sayesinde yanlış pozitif uyarıların bir kısmını filtreleyerek analist kapasitesinden tasarruf sağlıyor. Bu teknoloji aynı zamanda uyarılardaki ilginç ayrıntıları öne çıkararak analistler için uyarıları değerlendirmeyi de kolaylaştırıyor.

İkinci kademede ise tüm uzmanlar tüm olayları ortak bir sırada inceliyor. Personelden biri belirli bir olayla başa çıkamazsa olayı “sanal sıra” adı verilen sırada bir üst kademeye taşıyabiliyor. Bu sıraya her zaman olmadığı, yalnızca olayın bir üst kademeye taşınması gerektiğinde oluşturulduğu için sanal deniyor. İkinci sıranın aksine, bu sıra sabit değil. Böylelikle o esnada boş vakti olan ikinci sıra uzmanları ya da tespit mantığı geliştirme ve proaktif tehdit avı üstüne çalıştığı için normalde sıradan olaylara müdahale etmeyen yüksek yetkinlik sahibi üçüncü sıra uzmanları da olaya dahil olabiliyor.

Analistler bu yaklaşımla becerilerini belirli bir saldırı vektörüyle veya tehdit karmaşıklığıyla sınırlı kalmadan daha geniş ölçekte geliştirebiliyor. Daha deneyimli hale geliyorlar, bu da SOC’nin genel olgunluğunu ve etkinliğini yükseltiyor. Uyarıların çok çeşitli olması, monoton işler yapmaktan doğan tükenmişlik riskini de azaltıyor. Tüm bunlara ek olarak her zaman kademesi yükseltilen uyarılara cevap verebilecek bir koruma ekibi de var.

Öte yandan bu yaklaşım daha fazla beceriye sahip analistler gerektirdiği için fazlasıyla iş gücü odaklı olabilir. Bu yüzden ekip kompozisyonu da daha zorlayıcı bir hal alabilir. Ayrıca AI analizi geliştirmek ve doğru şekilde uygulamak için yatırım da gerekiyor.

Tükenmişlik sorununa başka bir çözüm

Bir SOC’nin etkin şekilde çalışması için hangi yapıda olduğu kilit önem taşısa da çalışanların rutin görevlere ara verebilmesini sağlayan bir çözüm daha kullanılıyor. Kaspersky’nın SOC’sinde her bir analistin uyarı işlemeyip daha yaratıcı işlerle uğraştığı iki günü var. Bu yaratıcı işler, bazı süreçleri iyileştirmek, manuel olarak tehdit avlamak, SOC rutinleri için otomasyon programlamak, raporlanan olayları incelemek veya müşteriler için hazırlanan olay kartlarını iyileştirmek için sık yapılan hataların listesini çıkarmak gibi işler olabiliyor. İsterlerse bu vakti kendi eğitimleri için de kullanabiliyorlar.

Ayrıca, bir ekip lideri çalışanlardan birinin normalden daha sık hata yaptığını görürse uyarı triyajı rutinine bir ara verip kafasını toplaması için çalışana bu günlerden birini veya ikisini hemen kullanmasını önerebiliyor.

Rutin görevler yerine başka işlerle uğraşmak, analistin dinlenmesine ve monoton uyarı işleme görevinin stresini azaltmaya da yardımcı oluyor. İşverenler, “kendilerine ayırdıkları günlerde” güvenlik operasyonları süreçlerine değerli iyileştirmeler sunan ekiplerini bonuslarla da ödüllendirebilir.

SOC modelleri işletmelerin olgunluğuna, bütçesine ve ilgili siber güvenlik risklerine göre değişebilir. Ancak SOC yapısını yeniden şekillendiren bazı global trendler de görüyoruz. Bunlardan ilki, güvenlik operasyonlarının ve uyarı triyajının otomasyonu (örneğin SOAR sistemleriyle). Tüm sistemlere tek bir noktadan erişebilmek, uyarı işlemeyi ciddi ölçüde hızlandırabilir. İkinci trend ise beceri sahibi uzmanların sayısındaki azlık. Bu da SOC’lerin çok çeşitli tehditlerle başa çıkabilen evrensel uzmanlara ihtiyaç duyması anlamına geliyor. Bu modellerin bu trendler doğrultusunda nasıl değişeceğini birlikte göreceğiz. Ancak bu sırada güvenlik operasyonları merkezindeki kişilerin ve süreçlerin mevcut durumunu analiz etmeli ve siber tehditlerden korunmak için hangi geliştirmelere ihtiyaç duyulduğunu da anlamalıyız.