Hollandalı bağımsız araştırma şirketi TNO, NCSC ve ilgili bölgeleri ilgilendiren gelecekteki konuları ve gelişmeleri araştırmak üzere Ulusal Siber Güvenlik Merkezi (NCSC) ile birlikte çalışıyor.
Bunun bir parçası olarak, güvenlik operasyon merkezlerinin (SOC’ler) yakın gelecekte nasıl gelişeceğini ve hangi eğilimlerin onları etkileyeceğini değerlendirmek istendi. Sonuç, bir plan sağlayan bir rapordur. Geleceğin SOC’si.
TNO araştırmacıları Reinder Wolthuis ve Richard Kerkdijk, diğer meslektaşlarıyla birlikte, SOC’nin 2030’da nasıl görüneceğini belirlemek için baş bilgi güvenliği sorumluları (CISO’lar), SOC yöneticileri ve diğer paydaşlarla görüşmeler gerçekleştirdi. Wolthuis, “Ana sonuçlardan biri, o zamana kadar muhtemelen çok daha az SOC olacağıdır çünkü bir SOC’yi çalışır durumda tutmak karmaşık ve pahalı olacaktır” dedi.
“Birçok kuruluşun SOC operasyonlarını yönetilen güvenlik hizmeti sağlayıcılarına dış kaynak olarak vereceğini öngörüyoruz [MSSPs] ve yalnızca belirli bir risk profiline sahip olan kuruluşların (örneğin, hayati sektörlerdeki şirketler veya çok özel teknik altyapıya sahip olanlar) şirket içi bir SOC’yi haklı çıkarabileceğini ekledi.
Otomasyon ve sektörel SOC’ler
Araştırmacıların öngördüğü trendlerden biri, siber güvenlik operasyonlarının kapsamlı bir şekilde otomasyona tabi tutulmasıdır. Örneğin, makine tarafından okunabilen güvenlik kılavuzlarıyla olay müdahale iş akışlarının düzenlenmesi gibi.
“Ulusal CERT’ler [computer emergency response teams] Kerkdijk, “Hollanda Ulusal Güvenlik Konseyi’nin, bilinen tehditler için önceden tanımlanmış oyun kitapları veya oyun kitabı şablonları hazırlayarak bu çabayı destekleyebileceğini” öne sürdü.
Önümüzdeki yıllarda hem hükümet hem de sektörler arasında işbirliği ve bilgi paylaşımı çok daha kritik hale gelecek. Wolthuis, “Hollanda’da gördüğümüz bir diğer trend de sektörel SOC’lerin kurulması,” dedi.
Reinder Wolthuis, TNO
“Bu tür sektörel taraflar, seçmenlerine güvenlik operasyon hizmetlerine kolay erişim sağlayan yönetilen güvenlik hizmeti sağlayıcılarıyla çerçeve anlaşmaları yapabilir. Bu şekilde, sektöre özgü bilgiyi siber güvenlik uzmanlığıyla bir araya getirirsiniz.”
Şu anda birçok SOC hala birinci, ikinci ve hatta bazen üçüncü hat analistleriyle kurulurken, araştırmacılar bu kurulumun ileride ortadan kalkmasını bekliyor. Kerkdijk, “Bu, daha az insana ihtiyaç duyulacağı anlamına gelmiyor” dedi. “Ancak artan otomasyon, mevcut birinci hat analistlerini rutin, tekrarlayan görevlerden kurtaracak ve dikkatlerini daha karmaşık görevlere kaydırmalarına olanak tanıyacak.”
Kerkdijk, kapsamlı otomasyonun aynı zamanda SOC’deki çeşitli otomasyon çözümlerinin sürdürülmesi gerektiği anlamına geldiğini, dolayısıyla “tüm bu çözümleri optimize etmek için yeni bir mühendislik görevi olacağını” söyledi.
Bir diğer kritik ilişkili gelişme ise SOC’lerin önümüzdeki yıllarda daha proaktif ve öngörülü hale gelecek olmasıdır. Wolthuis bunun da SOC’de farklı roller gerektireceğini söyledi.
Gelişmiş saldırılara odaklanın
Araştırmacılar, SOC personelinin değişen rollerinin, değişen tehdit ortamı ışığında da dikkate alınması gerektiğini belirtti.
Wolthuis, “Ayrıca jeopolitik durum göz önüne alındığında, ülkelerin hükümetleri tarafından başlatılan ve genellikle jeopolitik hırslarla tetiklenen devlet destekli saldırılara artan bir odaklanma var” uyarısında bulundu.
“Ek olarak, yasadışı kazanç elde etmeye odaklanan büyük suç örgütleri hala dijital olarak aktif. Odaklanmanın bu tür tehditlere daha fazla ve heyecan için bu işe giren ve standart araçlar ile saldırı tekniklerini kaldıraç olarak kullanan script kiddies veya etik hacker’lardan daha az olmasını bekliyoruz. Gelecekteki SOC, standart tehditler güçlü BT ve otomasyon tarafından yakalanıp çözüldüğü için gelişmiş saldırılara daha fazla odaklanacak.”
Dahası, kapsamlı otomasyon işgücü piyasasındaki baskıyı bir nebze olsun hafifletebilir. Kerkdijk, “Siber güvenlik uzmanlarından oluşan kıt işgücü daha sonra otomasyonunu yapamadığımız şeylere adanacaktır. Bu şekilde, çalışanlarınızdan maksimum getiriyi elde ederken aynı zamanda zorlu işler yapabilmelerini de sağlarsınız” dedi.
Araştırmacıların gördüğü bir diğer gelişme de altyapının büyük bir kısmının buluta taşınması. Wolthuis, “Bu, neyi ve nasıl izleyeceğiniz konusunda sonuçlar doğuruyor çünkü bulut sağlayıcılarına bağımlısınız,” dedi. “Öte yandan, standartlaştırılmış bir altyapınız ve daha az çeşitli bir teknoloji ortamınız olduğu için avantajları da var. Bu nedenle izleme daha kolay hale geliyor ve böyle standartlaştırılmış bir ortam, otomatik olay azaltmaya iyi uyum sağlıyor.”
Wolthuis, diğer Avrupa ülkelerinin SOC kurulumu konusunda Hollanda’dan bir şeyler öğrenebileceğine ve geleceğe bakabileceğine inanıyor. “Avrupa’da bu tür gelişmelerde makul derecede iyi bir şekilde öncülük ediyoruz,” dedi. “Ancak Avrupa düzeyinde güvenlik konusunda daha yakın iş birliği yapmamız daha önemli.”
Piyasadaki mevcut MSSP’lerin bazılarının, müşterilerine yönetilen bir SOC sunabilen büyük BT hizmet sağlayıcıları tarafından devralınacağına inanıyor. “Bu tür yapılarda, örneğin Avrupa MSSP’lerinin hepsinin ABD’nin eline geçmemesini sağlamamız çok önemli. Bu bizi özellikle savunmasız ve bağımlı hale getiriyor,” dedi.
Araştırmacılar bunda hükümetler ve Avrupa Birliği için bir görev görüyor. Kerkdijk, “Avrupa düzeyinde, örneğin Enisa ve Avrupa Siber Güvenlik Yeterlilik Merkezi tarafından halihazırda çok fazla bilgi alışverişi yapılıyor,” dedi. “Ancak manzaranın çok parçalı hale gelmesine karşı dikkatli olmalıyız. Girişimlerin geliştirilmesi iyi bir şey. Yine de, kimin neyden sorumlu olduğu ve kuruluşların ne bekleyebileceği ve beklemesi gerektiği açık kalsın diye Avrupa düzeyinde de rasyonalizasyon arzu edilir.”
Gelecekteki SOC planı
TNO araştırmacılarının araştırmaları sonucunda hazırladıkları rapor, geleceğin SOC’si için bir plan anlatıyor. Bu plan kasıtlı olarak biraz kışkırtıcı.
Wolthuis, “Bazı şeyleri aşırıya götürdük,” diye açıkladı. “Belki de gelişmeler şu anda beklediğimizden daha yavaş ilerleyecek, ancak SOC’nin bugün bildiğimiz haliyle sonunda çok farklı olacağına ikna olduk. Birincil hedef olan personel daha proaktif. Önemli ölçüde farklı bir organizasyon olacak.”
Mevcut SOC’lerin kendilerini bu gelecek resminde henüz tam olarak göremeyebileceklerini söyledi. Yine de TNO’ya göre CISO’lar ve SOC yöneticileri küresel gelişmelerin gerektirdiği için değişimi kabul etmek zorunda kalacaklar.
Kerkdijk, “2030 yılına kadar anlamlı (yüksek) bir otomasyon düzeyine ulaşmak istiyorsanız, bu geçişin şimdi başlatılması gerekiyor” dedi.
Araştırmacılar, daha geleneksel, insan odaklı SOC süreçlerini sürdürmekte ısrar eden kuruluşların yakında güvenlik olaylarını yönetmede daha az etkili hale geleceğini ve dolayısıyla siber saldırılara kurban gitme olasılıklarının daha yüksek olacağını öngörüyor. “Saldırganlar da otomasyon yapıyor – savunmacılar olarak, geride kalamazsınız,” dediler.