Kurumsal ağların yönetilmesi gün geçtikçe daha da zorlaşmaktadır. Kurumsal ağlara yapılan hizmet dışı bırakma, malware ve ransomware saldırıları hergün yeni boyut kazanarak artmaktadır. Kurumsal ağların ayakta tutulması için 7/24 gözlem altında tutulması ve olası saldırı anında müdahale edilmesi gerekmektedir. Bu da ancak NOC (Network Operations Center) ve SOC (Security Operations Center) ekipleriyle yapılabilmektedir. NOC ekibi ağın, sunucuların, firewall, router ve switchlerin çalışmasını kontrol ederken SOC ekibi ağa yapılabilecek saldırıları ve ağ trafiğindeki anormal değişimleri takip eder. Bunların hepsi ağın sağlıklı çalışmasını sağlamak ve olası saldırılara anında tepki verebilmek içindir. NOC ağın performansına, erişilebilirliğine yönelik uyarıları dikkate alırken, SOC güvenlik ihlallerine yönelik uyarıları dikkate alır. NOC ve SOC birbirinin rakibi veya eşleniği olan iki servis değil, birbirini tamamlayan biri olmadan diğeri eksik olan servislerdir. Ayrı ekiplerce yapılabileceği gibi aynı ekip tarafından da tümleşik olarak yapılabilir.
NOC ve SOC kurum dâhilinde yapılabildiği gibi hizmet olarak da satın alınabilir. Kurumlarda kalifiye eleman bulundurma zorluğuna karşı NOC ve SOC için hizmet satın alınması daha güvenli olabilir. Her iki durumda da ekipler ağda üretilen log bilgilerini toplamak, güvenlik ve hizmetlerin sürekliliği açısından analiz etmekle görevlidir.
NOC’un Görevleri:
Ağ Operasyon Merkezinin görevi, hizmet seviyesi anlaşmalarını karşılamak ve olayları kesinti süresini azaltacak şekilde izlemek ve yönetmektir. NOC kullanılabilirlik ve performansa odaklanır.
– Ağ ve sistem yönetimi konusunda uzman, deneyimli destek mühendisleri ve teknisyenlerden oluşan ekiple, 7/24 aktif bir şekilde monitoring hizmeti vermek.
– Kurum ağını oluşturan cihazlardan eşzamanlı olarak toplanan bilgiler, belirli zaman aralıkları içinde raporlamak.
– Ağ üzerinde oluşan problemlerin saptanarak kısa sürede ilgili kişi bilgilendirmek ve teknik destek anlaşması varsa sorun giderilerek iş akışı kesintiye uğramadan devamlılığı sağlamak.
– Ağ performans ölçümleri yapılıp değerlendirilerek, gerekli optimizasyonlar ve sistemlerin ideal performansta çalışmasını sağlamak.
– Yazılım ve uygulama yönetimi ve güncellemeleri, tek bir merkezden zamanında gerçekleştirmek.
SOC’un Görevleri:
– İzlenmesi gereken kritik bilişim sistemlerine ait logların analiz araçlarına gönderilmesini sağlayacak sorunsuz çalışan bir altyapı kurmak ve bunun için güvenlik izleme cihazlarını ve araçlarını en iyi şekilde yapılandırmak
– Korelasyon kurallarını gözden geçirmek ve düzenlemek, saldırı göstergelerini araştırmak, alarmları analiz etmek, alarmların kritiklik ve etki derecesini belirleyerek aciliyetine göre sıralamak, saldırı kaynaklarını belirlemek gibi zararlı aktiviteleri tespit için gereken önemli süreçleri güvenlik izleme cihazlarının yardımıyla en iyi şekilde yönetmek
– Olay müdahale politikalarını ve adımlarını etkili bir şekilde planlamak ve uygulamak
– Gerçekleşen saldırılar ve alınan aksiyonlarla ilgili çalışmalar yaparak iyileştirme ve kurtarma süreçlerini yönetmek, adli analiz süreçlerine destek sağlamak
– Her bir olay sonrası çıkarılması gereken derslerle ilgili çalışmalar yaparak güvenlik seviyesinin arttırılması, izleme ve tespit sistemlerinin ve güvenlik politikalarının elde edilen sonuçlara göre güncellenmesi gibi kritik işlemleri gerçekleştirmek
NOC ile elde edilebilecek faydalar şunlardır:
– 7/24 ağ trafiği ve ağ bileşenlerinin izlenmesi
– Ağ altyapısının iyileştirilmesi imkânı
– Band genişliği optimizasyonu ve gecikme tespiti imkânı
– Ağ erişim kontrolü
– Donanım listesi/Varlık envanteri çıkarma
– Hizmet seviyesi sözleşmesi imkânı
– Maliyet verimliliği
– Problem tespiti ve yama yönetimi
– Yardım masası hizmeti
SOC ile elde edilebilecek faydalar şunlardır:
– Koruma sürekliliği
– Minimum tepki zamanı
– Paydaşlara ve müşterilere karşı güvenilirlik tesis edilmesi
– Problem analiz kolaylığı
– Kritik olaylara imkân tanımadan tehdit tespiti