Kuruluşunuz için doğru yetenekleri sunan doğru güvenlik araçlarını bulma konusunda hiç bitmeyecekmiş gibi görünen bir arayış var.
SOC ekipleri, günlerinin yaklaşık üçte birini kuruluşları için herhangi bir tehdit oluşturmayan olaylara harcama eğilimindedir ve bu, verimsiz ve hantal SIEM’lerin yerini alacak (veya artıracak) otomatik çözümlerin benimsenmesini hızlandırmıştır.
Bu tehditlerin tahminen %80’inin çoğu kuruluşta yaygın olduğu göz önüne alındığında, günümüzün SOC’leri tehdit sinyallerinin bu büyük yüzdesini karşılamak için otomasyona güvenle güvenebilmektedir.
Ancak otomasyonun güvenlik ekiplerinin verimliliğini ve etkinliğini büyük ölçüde artırabileceği doğru olsa da, hiçbir zaman tüm tespit ve yanıt kullanım durumlarını hatasız bir şekilde kapsayamayacak.
Yakın zamanda yayımlanan Otonom Güvenlik Operasyon Merkezi (SOC) için GigaOm Radarında, “SOC’nin tamamen özerk olmayacağını ve olmaması gerektiğini” doğru bir şekilde belirtiyorlar.
Daha fazla satıcı SIEM kategorisindeki baskın oyunculara meydan okumaya çalıştıkça, %80’i kapsayan otomasyon sunan ve aynı zamanda geri kalan %20’lik kısmı kapsayan ısmarlama kullanım durumlarını kapsayacak özelleştirme yetenekleri sunan çözümlere olan talep artıyor.
Otomasyon, güvenlik ekiplerine değerli zaman kazandırabilir, böylece zamanlarının çoğunu kuruluşlarına özel kullanım senaryolarına harcayabilirler. |
%80: OTOMASYON
Küresel veri oluşturmadaki sürekli artışla birlikte kuruluşlar, güvenlik ekipleri tarafından yönetilen uyarıların sayısında da kaçınılmaz olarak bir artış görüyor.
Bu, aşırı çalışan güvenlik ekipleri için göz korkutucu görünebilir, ancak gelişmiş tedarikçi teklifleri, SOC iş akışının çeşitli aşamalarında otomasyon uygulayarak ekiplerin hızlarını ve etkinliklerini artırmalarına yardımcı oluyor.
Otomasyonu gördüğümüz dört temel aşama şunlardır:
- Veri Alma ve Normalleştirme: Veri alımının ve normalleştirmenin otomatikleştirilmesi, ekiplerin farklı kaynaklardan gelen büyük miktardaki verileri verimli bir şekilde işlemesine olanak tanıyarak sonraki otomatik süreçler için sağlam bir temel oluşturur.
- Tespit etme: Tespit kurallarının önemli bir bölümünü oluşturma sorumluluğunun devredilmesi, güvenlik analistlerinin kuruluşlarına veya pazar segmentlerine özgü tehditlere odaklanmasına olanak tanır.
- Soruşturma: Otomasyon, manuel ve tekrarlanan görevlerin yükünü hafifletebilir, araştırma ve önceliklendirme süreçlerini hızlandırabilir.
- Cevap: Bilinen ve keşfedilen tehditlere otomatik yanıtlar, hızlı ve doğru bir şekilde azaltımı kolaylaştırır. Bu, vaka yönetimine, SOAR çözümlerine, ITSM’ye vb. bağlantıyı içerebilir.
Hunters gibi modern SIEM yedek satıcıları, önceden oluşturulmuş tespit kurallarından yararlanır, tehdit istihbaratı beslemelerini entegre eder ve potansiyel müşterileri otomatik olarak zenginleştirir ve çapraz ilişkilendirir. Bu otomatikleştirilmiş süreçler, büyük miktardaki sıkıcı iş yükünü hafifleterek güvenlik ekiplerinin uyarıların büyük çoğunluğunu kolayca yönetmesine olanak tanır.
Otomatik zenginleştirme ve çapraz korelasyon, kapsamlı hikayeler oluşturarak yanal hareketlerin takibini çok daha verimli hale getirir. |
%20: ÖZELLEŞTİRME
İş akışının yukarıdaki aşamalarının otomatikleştirilmesi birçok SOC için verimliliğin artırılması açısından çok önemli olsa da, her zaman belirli bir düzeyde özelleştirmeye ihtiyaç duyulacaktır.
Her kuruluşun sektöre veya şirkete özel kullanım durumlarına bağlı olarak özel ihtiyaçları ve gereksinimleri vardır. Bu, otomatik ve yerleşik yetenekler genel kullanım durumlarının ve görevlerin %80’ini karşılayabilse bile, kalan %20’yi karşılamak için ek yeteneklere ihtiyaç olduğu anlamına gelir.
“Özelleştirme” pek çok farklı anlama gelebilir, ancak güvenlik ekipleri için temel gereksinim, hem benzersiz kullanım durumlarını kapsayacak esnekliğe hem de yeteneklerini ölçeklendirme yeteneğine sahip olmalarıdır. Bunun faydalı olabileceği birkaç kullanım senaryosuna bakalım:
- Özel veri kaynaklarını alma: her kuruluşun farklı günlük formatlarıyla aldığı birden fazla veri kaynağı vardır. Çoğu satıcı, her bir veri kaynağından yararlanacak önceden oluşturulmuş entegrasyonlara sahip olmayabilir; bu nedenle, bir satıcı bu özelliği sunarsa, bu büyük bir artış olabilir. Bu, özellikle verileri birden çok amaç için korumak amacıyla şu anda veri göllerini kullanan (veya yakında bu göllere geçecek olan) kuruluşlar için geçerlidir.
- Kod olarak algılama: bu, güvenlik sektöründe çok konuşulan bir kelime haline geldi, ancak bunun iyi bir nedeni var. Kod olarak algılama, algılama mühendislerine iyileştirilmiş ve verimli geliştirme yaşam döngüsü ve büyük kuruluşların çok kiracılı ortamları daha etkili bir şekilde yönetmesi gibi çeşitli avantajlar sunar. Konsepte aşina değilseniz, kod olarak algılama, istenen denetim yeteneklerini sağlamak için API’leri ve dağıtım hatlarını kullanır ve güvenlik operasyonlarına yönelik geliştirme yaşam döngüsünü geleneksel yazılım geliştirmeninkine çok daha yakın hale getirir. Bu yaklaşım, ekiplerin daha yüksek kalitede uyarılar geliştirmesine veya kuruluşunuzda kodu yeniden kullanmasına yardımcı olmak için süreçleri iyileştirir, böylece her yeni dedektörü sıfırdan oluşturmak zorunda kalmazsınız. Ayrıca, algılama mühendisliğinin geliştirme yaşam döngüsünde bırakılmasına yardımcı olarak dedektörleri manuel olarak test etme ve dağıtma ihtiyacını ortadan kaldırır.
- Ölçeklenebilir iş bağlamı: Belirli hassasiyet düzeylerine sahip varlıklar (taç mücevherleri gibi), farklı iş birimlerinden veya farklı coğrafyalardan gelen veriler veya farklı kaynaklardan gelen silolanmış veriler olsun, bilgileri anlaşılır ve eyleme geçirilebilir bir şekilde bir araya getirmek çok fazla zaman ve çaba gerektirir. Tüm bunları API aracılığıyla yönetme olanağı sağlayan bir SIEM alternatifinden yararlanmak, her satıcının sağlayamayacağı artırılmış verimlilik ve ölçeklenebilirlik sağlar.
Çözüm
Etkili bir SOC oluşturmak her zaman incelikli bir çaba olmuştur ve olmaya devam edecektir.
Güvenlik araçları söz konusu olduğunda herkese uygun tek bir çözüm yoktur. Kuruluşlara yalnızca kendi kullanım durumlarına göre özelleştirme yapma yolları sunmak değil, aynı zamanda bu “özelleştirmeyi” satıcıların sunduğu mevcut otomatikleştirilmiş yeteneklerle birleştirebilmeleri de hayati önem taşımaktadır.
Hem araçları özelleştirme konusunda uygulamalı bir yaklaşım sunabilen, hem de tekliflerinin özerk kısımlarını destekleyecek şekilde bunu yapabilecek satıcıları aramak bir zorunluluk haline geldi.
GigaOm’un daha önce bahsedilen otonom SOC raporunda lider olarak gösterilen Hunters gibi SIEM yedek satıcıları, kullanımı kolay ve önceden oluşturulmuş yetenekleriyle tanınıyor. Güvenlik ekiplerinin ihtiyaçlarını karşıladıklarından emin olmak için kuruluşların güvenlik stratejilerini kendilerine özgü gereksinimlerine göre uyarlamalarına olanak tanıyan yenilikçi özelleştirme özellikleri eklemeye devam ediyoruz.
%80’in karşılanması hayati öneme sahiptir, ancak kalan %20’nin ele alınması güvenlik ekibinizi diğerlerinden üstün kılacaktır.