Yazan: Chase Richardson, Baş Danışman, Bridewell
Büyük kuruluşlara yönelik siber saldırıların döner kapısı dönmeye devam ediyor. Geçtiğimiz yılın en önemli ihlallerinden biri, Eylül ayında Los Angeles Birleşik Okul Bölgesi’ne yapılan fidye yazılımı saldırısıydı. 1.000’den fazla okulu ve yaklaşık 600.000 kayıtlı öğrenciyi kapsayan, Rusça konuşan fidye yazılımı çetesi Vice Society’nin bilgisayar korsanları, 500 gigabaytlık kişisel veriyi çaldı ve bunların iadesi için fidye talep etti. Bölge pazarlık yapmayı reddedince binlerce sosyal güvenlik numarası, öğrenci değerlendirme kayıtları, ehliyet numaraları, pozitif Kovid test sonuçları ve yasal kayıtlar internete sızdırıldı.
Dahası, daha sonra, karanlık ağda yüzlerce öğrenci psikolojik değerlendirmesinin de yayınlandığı ve bunların ilaçlar, teşhisler, istismar olayları ve geçmiş travmalar hakkında ayrıntılı ayrıntılar içerdiği ortaya çıktı. Los Angeles Birleşik Okul Bölgesi’nin bu kayıtların varlığını kabul etmemesi nedeniyle yeniden ateşe maruz kalmasıyla birlikte bu olay, mevcut federal gizlilik yasalarındaki önemli bir boşluğu ve siber güvenliğin her düzeyinde şeffaflığa duyulan kritik ihtiyacı ortaya koyuyor.
Son derece hassas veriler söz konusu olduğunda kuruluşlar, gelişen risklere karşı mücadelede hareketsiz duramaz. Siber tehlikelere karşı savunmanın sinir merkezi olan güvenlik operasyon merkezleri (SOC’ler), modern siber güvenlik stratejisinin vazgeçilmezidir. İnsan uzmanlığı tarafından şekillendirilen ve desteklenen 7/24 gözetim ve yanıt verme özelliğiyle SOC, riskleri proaktif bir şekilde avlamaya, gerçek zamanlı güvenlik olaylarını izlemeye ve bunlara yanıt vermeye ve bir saldırıyı algılamak ve yanıt vermek için harcanan süreyi azaltmaya yardımcı olur.
Günümüzde tehdit önleme konusunda geleneksel güvenlik izleme ve bildirim yaklaşımları yeterli değildir. Tehdit tespit ve müdahale yetenekleri, siber saldırıların etkisini büyük ölçüde en aza indirecek ve kuruluşların gelecekteki güvenlik tehditleriyle başa çıkmaya daha hazırlıklı olmasını sağlayacak. SOC bunun olmasına izin veren motordur.
Doğru SOC modelini arama
Çok sayıda SOC modeli mevcuttur, bu nedenle ilk başta biraz bunaltıcı olabilir. Pek çok kuruluşun, operasyonları üzerinde tam kontrol sahibi olabilmek için kurum içi yönetime yönelmesi muhtemeldir. Şirket içi bir SOC ayrıca çok özel ihtiyaç ve gereksinimleri karşılayacak şekilde özelleştirilebilir ve kuruluşun politikaları, prosedürleri ve güvenlik kontrollerini kendi benzersiz risk profillerine göre uyarlamasına olanak tanır.
Ancak tamamen şirket içi bir yaklaşımdan dolayı çeşitli sorunlar ortaya çıkar. Örneğin, BT varlıkları yayıldıkça ve çevreler genişledikçe, bulutu ve olası tüm güvenlik açıklarını kapsamak için gereken araçların sayısı da artar. Bu araçların her birinin en yüksek standartlarda ustalıkla yapılandırılması, desteklenmesi ve 7/24 izlenmesi gerekir. Bu zorluğa ek olarak, pek çok kuruluş hâlihazırda zayıf bir şekilde entegre edilmiş araçlara sahiptir veya kapsama alanında onları açığa çıkarabilecek örtüşmeler veya tehlikeli boşluklar bulunmaktadır.
Ayrıca, ülke genelinde sektörü rahatsız etmeye devam eden bir sorun olan siber güvenlik becerilerinde eksiklik sorunu var. İşgücünü oluşturanlardan ABD’deki profesyonellerin %62’sinin dört yıldan az deneyime sahip olduğu tahmin edilmektedir. Bu nedenle, gergin ekiplerin gelen çok sayıda uyarıyla başa çıkmak için çok az zamanı var ve bırakın ilk etapta izlemeyi, yanıt verme fırsatı bile yok. Büyük miktardaki yanlış pozitifler ayrıca, elenmesi gereken aşırı gürültüye de neden olabilir ve yanlış raporlamaya yol açabilir.
Terazinin diğer ucunda ise tamamen dış kaynaklı bir hizmet bulunmaktadır. Görünüşte bu bariz bir alternatif gibi görünüyor ve çok ihtiyaç duyulan dış uzmanlığa erişim sağlıyor. Yönetilen bir güvenlik hizmetleri sağlayıcısı (MSSP), genellikle uçtan uca tehdit algılama ve yanıt hizmeti sunarak şirket içi BT ekiplerinin potansiyel riskleri anlamalarına yardımcı olur. Tespit yeteneklerini bilgilendirmek için genellikle daha geniş bir tehdit istihbaratı platform yelpazesine sahiptirler ve web üzerinden açık kaynak istihbaratına erişebilirler. Tamamen dış kaynaklı bir SOC’nin ölçeği, kuruluşun değişen ihtiyaçlarına ve bütçelerine göre kolayca büyütülebilir veya küçültülebilir.
Bununla birlikte, kapsamlı bir dış kaynak kullanımı stratejisinin ana dezavantajı, MSSP’lerin genellikle işin ortamını ve bağlamını tam olarak anlamamalarıdır. Bu, kuruluşun dahili BT ekipleriyle iletişim zorluklarına yol açabilir ve bu da güvenlik olaylarına koordineli bir yanıt verilmesini zorlaştırır. Bir kuruluşun operasyonlarından uzak olmak aynı zamanda mevcut BT altyapısıyla entegrasyonda zorluklara, gecikmelere, yanlış alarmlara, ek maliyetlere ve hatta sürtüşme ve kayıtsızlığa neden olabilir.
Hibrit etrafındaki heyecan
Mükemmel orta yolu bulmak için hibrit bir SOC modeli, şirket içi ve dış kaynaklı değişkenlerin sunduğu avantajları ortaya çıkarırken dezavantajları da ortadan kaldırabilir. Hibrit SOC, MSSP’nin uzmanlığının yanı sıra halihazırda sektörde yer alan profesyonellerin bilgi ve becerilerinden de en iyi şekilde yararlanır. Temel odak noktası iki ekip arasındaki işbirliği ve iyileştirmelerin nasıl yapılabileceğidir. MSSP’nin tehdit istihbaratı, güvenlik mühendisliği veya yönetilen mimarinin sorumluluğunu alması olabilir. Ancak değişen iş ihtiyaçlarına uyum sağlamak için esneklik önemlidir.
Başarılı hibrit SOC modellerinin birçok örneği var. Birleşik Krallık’ın sahip olduğu en büyük havalimanı işletmecisi olan Manchester Airport Group (MAG), havacılık sektörünü hedef alan ve sürekli gelişen siber tehditlere karşı görünürlüğünü ve korumasını iyileştirmek amacıyla 2021 yılında Microsoft ile ortaklaşa hibrit bir SOC pilot planı başlattı. Bu yaklaşım, cihazlarda ve sunucularda gerçek zamanlı izlemeyi saniyede 5.000 olaydan 80.000 olaya çıkararak daha hızlı, daha kapsamlı ve doğru tehdit algılama ve yanıtlamayı destekledi. Dış kaynaklı bir SOC kurulumundan şirket içi SOC kurulumuna güvenli bir şekilde geçiş yapmak için hibrit bir modelden yararlanılarak, MAG’ye ekip üyelerine tam anlamıyla beceri kazandıracak güven ve uzmanlık sağlandı, bu da eğitimde önemli maliyet tasarrufu ve büyük ölçüde geliştirilmiş bir güvenlik duruşuyla sonuçlandı.
Hibrit bir SOC, en önemlisi, bir yandan çalışanların projeleri ve şirket içi iyileştirmeleri yönlendirmesine izin verirken, bir yandan da siber tehdit tepkisi konusunda işletmeye özerklik kazandırır. Bu kurulumdaki bir MSSP, yüksek değerli olaylarda liderliği üstlenebilir, ancak aynı zamanda yeteneklerin eksik olduğu kurum içi personelin becerilerini de geliştirebilir. Güvenlik düzenleme, otomasyon ve yanıt (SOAR) araçları, araştırma ve eylem için daha iyi kullanılabilir. Geliştiriciler ayrıca SOAR kurulumlarının ötesinde daha yüksek verimlilik sağlamak için özel API tabanlı entegrasyonlar da oluşturabilirler.
Ancak, tercih ettikleri SOC’nin niteliği ne olursa olsun, her kuruluş, SOC personeli için sürekli eğitim ve öğretime öncelik vermelidir. Etkili tehdit tespiti ve müdahalesi, güvenlik ekiplerinin her zaman bilgili, güncel ve koordineli olmasına, giderek genişleyen güvenlik olaylarını araştırmak ve bunlarla mücadele etmek için sorunsuz bir şekilde birlikte çalışmasına bağlıdır. Tehditlere karşı işbirliğine dayalı ve çevik bir yanıt sağlamak için kuruluşların, tüm SOC personeline düzenli, çok katmanlı siber güvenlik eğitimi vermesi ve becerilerini gerçek dünyadaki durumlarda uygulamaya yönelik uygulamalı fırsatlarla tamamlaması gerekir. Bu eğitim, SOC ekiplerinin en son tehditlere ve teknolojilere ayak uydurmasını sağlayacak, böylece kuruluşlarının varlıklarını 7/24 koruma konusunda onlara güvenilebilecek.
Birleşik bir yaklaşımla esneklik
Fidye yazılımları ve büyüyen diğer tehdit vektörleri anlaşılır bir şekilde kuruluşlar arasında endişeye neden oluyor. Giderek daha karmaşık hale gelen siber saldırılara karşı savunma yapmak için bir SOC modeli gereklidir, ancak kullanılan tür, başarı ile başarısızlık arasındaki farkı ortaya çıkarabilir. Hibrit bir model, tamamen dış kaynaklı veya şirket içi değişkenlere yönelmek yerine, işe alım sıkıntılarını ortadan kaldırır, ilgili uzmanlığı sağlar ve işletmenin en son trendler ve tehditler konusunda güncel kalmasını sağlar. Kuruluşlar bunu birleştirerek siber güvenlik duruşlarında çok ihtiyaç duyulan iyileştirmeleri gerçekleştirebilir ve sonuçta güvenlik operasyonlarının her iki dünyanın faydalarını en üst düzeye çıkarmasını sağlayabilir.
yazar hakkında
Chase Richardson, Bridewell’de Baş Danışmandır. Chase, Houston, Teksas’ta yaşıyor ve burada küresel bir Siber Güvenlik danışmanlık firması olan Bridewell’in ABD Operasyonlarını yönetiyor. Geçen yıl ilk ABD ofisini açmak için Bridewell’e katıldı. Bridewell’den önce Chase, Houston’daki başka bir Siber Güvenlik danışmanlık firmasının kurucu üyesiydi ve burada 4 yıl içinde işletmenin çalışan sayısının 5’ten 50’ye çıkmasına yardımcı oldu ve Siber Güvenlik Riski, Yönetişim ve Uyumluluk, Saldırıya Yönelik Sızma Testi, Güvenlik Operasyonları ve Veri Gizliliği konularında uzmanlaştı. . Chase, Emory Üniversitesi’nden MBA derecesine sahiptir ve Sertifikalı Bilgi Sistemleri Güvenlik Uzmanı (CISSP) ve Sertifikalı Bilgi Gizliliği Uzmanıdır (CIPP/US).
Chase’e çevrimiçi olarak LinkedIn’den ve şirketimizin web sitesi https://www.bridewell.com/us adresinden ulaşılabilir.