[By Michael Mumcuoglu, CEO and Co-Founder, CardinalOps]
Hatırlamakta fayda var; siber güvenlik uzmanları doğası gereği kazanç, sadece saldırganlar olduğunda kaybetmek. Her ne kadar bir zafer gibi görünse de, sadece operasyonları sürdürdüğümüzde, hatta süreçleri devreye sokup süreçlerin mükemmel bir şekilde takip edildiğinde kazanamayız.
Saldırganlar sürekli olarak ortamlara girmenin ve tespit edilmekten kaçınmanın yeni yollarını düşünüyor. Dünün saldırılarına karşı savunma yapmak önemlidir ve şüphesiz bir kuruluşu daha güvenli hale getirecektir, ancak doğru süreçleri etkili bir şekilde takip etmek çok zor olduğundan kolaylıkla tek odak noktamız haline gelebilir. Peki bu hedefe nasıl ulaşacağız? Önemli unsurlardan biri SOC ekiplerimizin gelişmesi gerektiğidir.
Bizi gelişmeye zorlayan şey nedir?
Cybersecurity Ventures’a göre, siber suçların küresel yıllık maliyetinin 2024’te 9,5 trilyon dolara ulaşacağı tahmin ediliyor. Siber casusluğun ve ihlallerin ardındaki düşmanların geliştiğini sürekli olarak hatırlatıyoruz, ancak aynı zamanda bizi uyum sağlamaya zorlayan iç baskılar da var.
Şimdi ilk üçe bakalım:
#1 Saldırı yüzeylerinin genişletilmesi
Verilerin çoğalması ve artan sayıda ortamda korunması, işletmeler ve kuruluşların teknolojik gelişmelerle güçlendirilmesi nedeniyle bir zorunluluktur ve önümüzdeki yıllarda da hızlanmaya devam edecektir. Kimliklerin, veri göllerinin, bulut ve uç bilişimin kitlesel dijitalleştirilmesi, saldırı yüzeyinin katlanarak genişlemesine katkıda bulundu.
#2 İyi eğitimli güvenlik yeteneği eksikliği
Siber güvenlik topluluğunun en kritik endişeleri arasında, genişleyen saldırı yüzeyine ayak uyduracak gerekli beceri ve eğitime sahip iş gücünün görünürdeki kıtlığı yer alıyor. ISC2’nin son araştırmasına göre küresel endüstri, 3 milyondan fazla ek siber güvenlik uzmanından yararlanabilir. BT altyapısının ve dijital ticaretin doğal büyümesi, siber güvenlik işlerine olan talebin artmasının etkenleri arasında yer alıyor ve sonuç olarak tehdit ortamını genişletirken siber suçluları da teşvik ediyor.
#3 Çok sayıda araçtan gelen aşırı uyarılar
Güvenlik alanında yetenek açığına yönelik basit ve popüler bir çözüm, siber güvenlik sağlayıcılarının SOC operasyonlarında giderek daha fazla otomatikleştirilmiş araçlar kullanmaya başlamasını sağladı. Temel düzeyde bu, geleneksel olarak monoton görevlerin sürdürülmesine olanak tanırken ekiplerimizin bilişsel karar alma konusunda manuel çabalara odaklanmalarını sağlar. Bununla birlikte, bu otomatik araçlar, hiç bitmeyen bir uyarı akışı aktarıyor; bunların bazıları yanlış pozitifler, bazıları tanımlanması zor ve başarılı bir şekilde önceliklendirme, diğerleri ise sadece bilgilendirici. Bu nedenle, otomatik araçlar tarafından aktarılan büyük miktardaki bilgi, SOC ekiplerine artı ve eksilerden adil bir pay kazandırır.
Sonuçta, modern SOC sağlam bir prosedürel temelin yanı sıra insan inovasyonuna dayanan yeni bir süreç seti de gerektirir.
İnsan yaratıcılığı ile otomasyon arasında bir denge kurmak
Manuel operasyonlara karşı otomatik operasyonların güçlü ve zayıf yönlerini incelemek bir ikilemle sonuçlanır. Otomatik süreçlerin sağladığı tutarlılığı kullanmak daha mı etkili ve verimli? Yoksa bu tutarlılık, organik olarak insan yaratıcılığından kaynaklanan yeniliğin avantajlarından fedakarlık mı ediyor?
SOC’ler için, ayırt etme bir süreklilik boyunca bulunabilir. Bir tarafta, uyarı önceliklendirmenin yanı sıra raporlama ve ölçümler de otomasyonun tutarlılığından önemli ölçüde yararlanırken, kalite tehdit modellemesi ve avcılığı da insan inovasyonunun yaratıcılığıyla ödüllendiriliyor.
Otomatik ve bulut özellikli hizmetler, kuruluşların benzeri görülmemiş hacimlerdeki verileri incelemesine olanak tanıdı ve uygun yatırımla SOC’lerin algılama kurallarının sürekli yönetimini optimize etmesini sağlayabilir.
Tehdit avcılığı genellikle siber varlıklara yönelik olası araştırmaları veya saldırıları öngörmek ve tanımlamak için “alışılmışın dışında” düşünmeyi gerektirir. Bu bütünleyici rol, deneyimli siber güvenlik profesyonellerinin yaratıcılığının enjeksiyonundan faydalanır. Bu profesyonellerin becerikli ve odaklanmış olmaları ve en önemlisi, ikincil ve üçüncül sorumluluklar olmaksızın tehdit modelleme ve avlama işlemlerini yürütme yetkisine sahip olmaları gerekir.
İnsan yaratıcılığını SOC’nize enjekte etmek, otomatik operasyonların yanı sıra insan ekibine de fayda sağlar. Bu, bunalmaya veya tükenmişlik yaşamaya çok daha az eğilimli, bağlı bir iş gücüyle sonuçlanabilir. Eksikliklerin farkında kalırken, her bir güçlü yön grubu arasında bu dengeyi kurmak, mükemmel bir SOC’yi dağıtmak için kritik öneme sahiptir.
Proaktif Tehdit İstihbaratını Kullanma
Şu anda SOC ekipleri, tehdit istihbaratı operasyonlarının ve yönetiminin harcanan zamana ve çabaya değdiğinin tamamen bilincindedir. Üstün bir SOC’nin hedefi, benzersiz güvenlik kontrollerinin oluşturulmasını ve ayarlanmasını sağlayan proaktiviteden yararlanmak olmalıdır. Her organizasyonun savunmaya değer farklı “mücevher” varlıkları vardır ve düşmanların mevcut tahkimatlardan yararlanma potansiyellerini sürekli olarak analiz etmek, güvenliği sağlamak için temel bir taktiktir.
MITRE ATT&CK çerçevesi, SOC ekiplerinin tehdit savunmasına yönelik proaktif ve bilinçli bir yaklaşımla nasıl gelişebileceğinin güzel bir örneğidir. Yaklaşık on yıl önce oluşturulmasından bu yana çerçeve, güvenlik kontrollerinin oluşturulmasını ve ince ayarını dinamik olarak gerçekleştirmek için daha önce tehdit istihbaratını reaktif modda kullanan ekiplere fayda sağladı.
Çerçeve, belirli kuralları güçlendirmek ve sıkılaştırmak için daha derinlemesine öneriler sağlayan çok hassas kontrollerle çalışır. Bu, SOC ekiplerinin hatalı uyarıları önemli ölçüde azaltmasına ve zamanlarını ve enerjilerini, kuruluşlarının özel varlıklarını korumaya yönelik özel kurallardan kaynaklanan uyarılara odaklamalarına olanak tanır.
SOC’nin Geleceği
SOC’lerin hibrit modeli ve bunların arkasındaki iş gücü evrim gerektirebilirken, bizim anlayışımızın da buna uyması gerekmiyor. Gartner’ın tanımladığı gibi,
“Bir güvenlik operasyon merkezi, merkezi ve birleştirilmiş siber güvenlik olaylarını önleme, tespit etme ve yanıt verme yetenekleri sağlar.”
SOC modernizasyonu, tek başına teknolojinin çok ötesine uzanır; kuruluşlara becerileri ve rolleri yeniden değerlendirme ve dağıtılmış bir iş gücünü destekleme fırsatı sunarken aynı zamanda insan yaratıcılığını ve yenilikçiliğini stratejik bir güç çarpanı olarak birleştirir.
Reklam