Küçük ölçekli kurumlara yönelik SOC iş akışı çözümleri küçük ekipler tarafından yönetilebilecek bir yapıdadır. Bu çözümlerin öne çıkan bileşenleri:
Varlık envanterinin çıkarılması: Sistemler ve bu sistemler üzerinde kurulu olan ve çalışan servis ve yazılımların saptanması işlemi ayrıca yeni varlıkları otomatik olarak saptama özelliğine sahip olmalıdır.
Zafiyet değerlendirmesi: Atak yüzeyinin belirlenmesi ve güvenlik politikalarının ne kadar etkili olduğunun değerlendirilmesi için sistemlerin açıklık ve yanlış yapılandırmalara karşı güvenlik taraması, ayrıca hukuki düzenlemelerle zorunlu kılınan uyumlulukları sağlamak için zafiyet taramalarının yapılması
Davranışsal izleme: Sistem ve ağ davranışları için bir referans değeri belirlenerek bu baseline noktasından ciddi seviyedeki sapmaları tespit etmek ve böylece anomalileri saptamak saldırıları gerçekleşme esnasında tespit edebilmeyi kolaylaştırmaktadır. Baseline değeri oluşturulurken davranışsal analiz teknolojilerinin kullanılması gerekmektedir. Bu verilere korelasyon kurallarının uygulanması son trend riskleri tanımlanıp sınıflandırılmasına yardımcı olacaktır.
Sızma girişimlerini tespit etme: Sızma girişimlerinin giriş noktalarında yakalanması sistemlerin ele geçirilmesinin önlenmesi ve veri sızıntısının engellenmesi konusunda etkili olacaktır. Bu nedenle saldırı tespit sistemleri(IDS) bilinen saldırıları engellemede yaygın kullanılan çözümlerden biridir. Bu da IDS’lerin korelasyon kurallarının en son tehdit istihbaratı güncellemeleri ile güncellenmiş olmasını gerektirir.
SIEM: Sistem olay kayıtlarını toplama, belirli aktivite paternleri ve olay dizileri arasında bağlantılar bularak korelasyon aşamasını etkili bir şekilde uygulama ve analiz etme işlemlerini kapsayan SIEM çözümü SOC yapılandırması tasarlanırken göz önünde bulundurulması gereken önemli bileşenlerdendir.
Tehdit İstihbaratı
Saldırıların sistemlerde bıraktığı izler genelde IP adresleri, host ve domain isimleri, e-posta adresleri, dosya isimleri ve dosya hash’leri olarak karşımıza çıkmaktadır. Bu saldırı göstergelerinin tehdit istihbaratı olarak değerlendirilebilmesi bağlam, isnat ve aksiyon adımlarına bağlıdır.
Bağlam
Saldırı göstergelerinin aciliyet, doğruluk ve önceliklerinin tanımlanması ve doğru bir şekilde değerlendirilebilmesi için bağlamın belirlenmesi önem taşımaktadır. Bunun için cevap aranması gereken sorular:
– Bütün bir tehdit olgusu içinde bu göstergenin rolü nedir?
– Bu göstergenin varlığı bir saldırının başlangıcına mı işaret etmektedir (keşif-tarama safhası mı yoksa istismar kodu yerleştirme-saldırı safhası mı)? Ya da sistemin ele geçirilmesine mi yoksa veri sızıntısına mı işaret ediyor?
– Söz konusu tehdit aktörü bu davranış türleri için biliniyor mu?
– Hedef alınan sistemin üzerindeki varlıklar kritik değere sahip mi?
– Söz konusu saldırı göstergesi ne kadar karmaşık?
– Bu girişimin ardındaki tehdit aktörünün motivasyonu nedir?
– Bu göstergeden önce ve sonra aynı varlık üzerinde gerçekleşen diğer aktiviteler nelerdir?
– Diğer varlıkların şu anki veya geçmişteki durumları nedir?
İsnat (Attribution)
Saldırının arkasında kimin olduğunu bilmek atağa nasıl karşılık verileceği, atağın tüm bir kapsamının anlaşılması ve aksiyon alınırken uygulanması gereken taktikleri belirlemede yardımcı olacaktır. Saldırganın niyeti ve motivasyonu ile ilgili detayları elde etmek atağın gidişatını ortaya çıkarmak ve daha etkili karşıt önlemler almak konusunda kolaylık sağlayacaktır.
Aksiyon
Hem saldırı tekniklerinin günden güne gelişip değişik bir yapı alması hem de saldırganların yöntem ve araçlarını sürekli değiştirmeleri elde edilen istihbaratın ve toplanan bilgilerin hala güncelken zamanında ve etkin bir şekilde değerlendirilmesini gerektirmektedir.
Tehdit İstihbaratı Yöntemleri
Taktiksel (Bağlam ve isnatla ilgili bilgilendirme yapmaksızın sadece ipuçları sağlamak):
– Mevcut veya ortaya çıkarılmakta olan bir saldırıya ait göstergeler ve deliller
– SOC analistleri bu bilgileri ortaya çıkmakta olan riskleri tespit etmek için kullanırlar ve bilgileri toplulukla paylaşarak bütüncül güvenlik iyileştirmelerini sağlamaya çalışırlar.
– Neredeyse eşzamanlı olarak güncellenme, kolay paylaşılabilir olma, kolay aranabilir olma ve kolay entegrasyon özelliklerine sahiptir.
Stratejik (Bağlam ve isnat bilgilerinin sağlanarak aksiyonların belirlenmesi):
– Saldırganların kullandığı araçlar, taktikler ve prosedürlerle ilgili analiz yapan güvenlikçilerin verimli bir siber güvenlik stratejisi oluşturmak adına SOC ekiplerini bilgilendirmesi
– SOC analistlerinin saldırganların motivasyonlarını göz önünde bulundurarak daha bilinçli kararlar alınması ve böylece siber güvenlik stratejisinin gerçek dünya risklerine cevap verebilecek düzeyde olmasının sağlanması amaçlanmaktadır.
– SOC ekibinin ve yöneticilerin karar alma yetilerinin eğitilmesi ve güçlendirilmesi, üst yöneticilere ve diğer paydaşlara siber güvenlik sorunlarının aciliyetinin iletilmesi gibi avantajları sunar.
Operasyonel ( Bağlam ve isnat bilgilerinin sağlanarak gerekli aksiyonların alınması):
– En son işlenmemiş gösterge ve izlerin toplanıp analiz edilmesi sonucunda izleme altyapılarını güçlendiren imzaların, kuralların ve diğer savunma mekanizmalarının güncellenmesi
– SOC analistleri SIEM, IDS, zafiyet tarama araçları ve diğer SOC araçlarına gelen otomatik güncellemelerin yardımıyla son tehditler için bildirimler alabilmektedir.
– Son tehditlerin otomatik olarak algılanması ve SOC analistlerine almaları gereken aksiyonlar için yol göstermesi avantajları arasında sayılabilir.
Tehdit İstihbaratı Yaklaşımları
Kitle Kaynaklı: Toplanan ve analiz edilen en son tehdit verilerinin siber güvenlik toplulukları içerisinde paylaşılması ve SOC ekiplerinin tehdit istihbaratı toplulukları ile işbirliği içinde saldırıların etkilerinin nasıl azaltılacağı konusunda teknikler geliştirmesini hedeflemektedir.
Tescilli: Siber güvenlik şirketlerinin birçoğu kendi müşterilerinden topladıkları bilgiler veya kendi tehdit araştırma ekipleri tarafından elde edilen verilerle üretilen kendi özel tescilli tehdit istihbaratlarını sunmaktadırlar. Böylece farklı farklı kaynaklardan toplanan son tehdit verilerinin analiz edilmesiyle üretilen tescilli tehdit istihbaratı false positive oranlarının düşmesini, yüksek doğruluk oranı ve güvenilir analiz sonuçları sağlamakta ve güvenlik izleme altyapınıza uygulanacak olan çeşitli formatta veriyi üretmeye yardımcı olmaktadır.
Kendin Yap: SOC ekibinin OSINT araçlarının yardımıyla kendi korelasyon kurallarını ve imzalarını yazarak spesifik istismar veya atak paternlerini algılayabilecek bir platform oluşturması aşamalarını kapsayan tehdit istihbaratı yöntemidir.