SoC/SGOM Nedir ve Faydaları Nelerdir?

Abdullah Kuşpınar
Aug 14, 2024
7 min read

Updated: Aug 16, 2024

Teknolojinin yaygınlaşması hayatımızı geri dönüşü olmayan bir şekilde değiştirmiş ve hayatımızın bir parçası olarak vazgeçilmez duruma gelmiştir. Artık okullarımızda, hastanelerimizde, evlerimizde hatta vücutlarımızda bile teknoloji üst seviyede kullanılır hale gelmiştir.

Tabii buradaki en büyük etken internet olmuştur. İnternet sayesinde kurum/kuruluşların iş modelleri, üretim modelleri, verilen hizmetler ve ürünler ile bunları müşterilere ulaştırma yolları da değişiklik göstermiştir. Özellikle Covid-19 pandemi sürecinin başlaması ile tüm işlemler online platformlara taşınmıştır. Bankalarda mobil ya da internet bankacılığı üzerinden işlemler hız kazanmış, restoranlar internet üzerinden paket servis verir hale gelmiş, marketler insanların mutfak ihtiyaçlarını kendi uygulamaları üzerinden eve-teslim yoluyla temin etmeye başlamıştır. Özetle artık insanlar tüm ihtiyaçlarını e-ticaret siteleri üzerinden gerçekleştirmeyi tercih etmektedirler.

Dünyamız online platforma taşınırken geleneksel dolandırıcılık, hırsızlık yöntemleri, sahtekarlar, mafya ve organize suç şebekeleri de kendilerini hızlıca online platformlara taşımayı başarmıştır. Bu değişim sayesinde güç kavramı da değişerek, gücün artık veri olduğu tüm otoriterlerce kabul edilmiştir.

| "Bilgi Güçtür" — Francis Bacon

Gün geçtikçe veri ihlalleri ve sistemlere yapılan siber saldırılar artış göstermektedir. CyberCrime Magazine araştırma firmasının Cybersecurity Ventures Official Annual Cybercrime raporuna göre; 2015 yılında gerçekleşen siber saldırıların maddi zararı 3 trilyon dolardır ve 2021 yılında bu saldırıların Dünya çapındaki zararının yıllık 6 trilyon dolar olacağı tahmin edilmektedir.

Bu değişimler sebebiyle artık kurum/kuruluşlar teknoloji altyapılarını daha güvenli hale getirmek için güvenlik altyapılarına ciddi harcamalar yapmaya başlamış ve yeni sistemler, departmanlar kurmaya başlamışlardır. Bu gelişmeler sadece şirketlerle kalmamış, devletler de kendi bünyelerinde siber güvenlik ordusu kurmaya adım atmışlardır. Özellikle günümüzde Amerika, Rusya ve Çin devletleri arasında büyük bir rekabet yarışı başlamıştır.

| “Amerika’da iki çeşit büyük şirket bulunmaktadır. Bunlardan birisi Çinliler tarafından hacklenmiş olanlar, diğeri ise Çinliler tarafından hacklendiğini bilmeyenler!” — James Comey/FBI Direktörü

Yukarıda özetlenen durum incelendiğinde, siber suçların minimum seviyeye indirgenmesi için kurum/kuruluşların bir an önce bu saldırıları tespit edip, en kısa zamanda aksiyon alması gerektiği çok net bir şekilde görülmektedir. Bu da organizasyonlar için kurulan SoC-Siber Güvenlik Operasyon Merkezi(SGOM) ile mümkün olabilmektedir.

* * *

SoC-Siber Güvenlik Operasyon Merkezi(SGOM) Nedir?

Gün geçtikçe yeni siber tehditler ortaya çıkmakta ve bu tehditler kurumları olumsuz bir şekilde etkilemektedir. Kurumların bu tehditleri beklemek yerine, bu tehditlere karşı nasıl bir önlem alınması gerektiğine dair süreçler oluşturmaları zorunluluk haline gelmiştir. Çünkü bir siber güvenlik vakası gerçekleştiğinde önlem almak/müdahalede bulunmak zor olduğu için önceden gerekli önlemleri alarak saldırıların gerçekleşmesini engellemek ya da zararları minimum seviyeye düşürmek en sağlıklı yöntem olacaktır.

İşte buradaki en aktif kullanılan ve sağlıklı yöntem kurum/kuruluşların kendilerini siber saldırılardan korumak için bir Siber Güvenlik Operasyon Merkezi(SGOM/SoC) kurmalarıdır. SGOM sayesinde kurumların bünyelerinde barındırdığı zafiyetler en aza indirgenir ve sistemlerin güvenli bir şekilde yönetilmesi sağlanır. Aslında SGOM işleyişi üç temel yapı taşına sahiptir. Bunlar; insan, süreç ve teknolojidir. Bir SGOM’un sağlıklı çalışabilmesi için bu temel yapı taşlarını önem seviyesine göre sıralamak gerekirse, önce insan sonra süreç ve son olarak da yüksek teknoloji içeren bir organizasyon tasarlanması gereklidir.

İnsan, süreç ve gelişmiş teknoloji temel yapı taşlarına sahip bir kurumsal SGOM, temel seviyede henüz oluşmamış/oluşması muhtemel olan siber güvenlik tehditlerini ve olaylarını tespit etmek, bu vakaların kurum sistemlerini etkilemesini engellemek ve bir siber olay oluştuğunda müdahale etmekten sorumludur. Aşağıdaki resimde SGOM’un fonksiyonel yapısı görülmektedir.

Teknik literatür ve kabul görmüş otoriterlerin makaleleri incelendiğinde beş nesil SGOM/SoC’dan bahsetmek mümkündür.

1.Nesil SGOM(1975–1995): Merkezi yönetilmeyen, bir veya birkaç kişiden oluşan ekiplerdir. Genellikle personel, ağ ve sistem uzmanlarından oluşmaktadır. Bu nesil SGOM’lar da, merkezi güvenlik duvarı ve anti-virüs yazılımlarının yönetimi veya bu ürün/cihazlardan gelen loglar doğrultusunda müdahale edilmesi yöntem olarak kabullenilmiş ve kullanılmıştır. Henüz birinci nesil SGOM’larda süreçten bahsetmek mümkün değildir. Özetle log toplama ve olay müdahale fonksiyonlarına sahiptir denilebilir.

2.Nesil SGOM(1996–2001): Zararlı yazılımların(virüs, solucan, trojan vb.) hayatımıza girdiği dönemdir. İlgili dönemde bu SGOM’lar öncelikle kamu ve askeri organizasyonlarda kurulmuş, sonrasında özel sektöre adım atmıştır. SGOM’lar bu dönemde merkezi yönetilmeye başlanmış, ekipler daha büyük ve alanında uzman kişilerle donatılmıştır. Bu dönemdeki en büyük odak sistemlere izin girişi olmuştur. Teknoloji yelpazesi genişlemiş, Saldırı Tespit Sistemleri(IDS), Log Yönetim Sistemleri, Proxyler ve Zafiyet Tarama Sistemleri kullanılmaya başlanmıştır. Küçük süreçler oluşturularak siber güvenlik politikaları belirlenmiştir. Bu nesil SGOM’larda kazanılan en büyük fonksiyon “Güvenlik İzleme” fonksiyonu olmuştur.

3.Nesil SGOM(2002–2006): Bu dönemde artık siber saldırıların motivasyonu değişmiş ve paraya dönüşmüştür. Aynı zamanda bu dönemlerde hedefli saldırılarda bir artış olmuştur. Saldırıların artmasıyla ürün kategorileri genişlemiştir. Bu genişlemeyle ürünlerin otomasyon ihtiyacı artmış ve SIEM(Security Information and Event Management) sistemlerinin doğması sağlanmıştır. SIEM sistemleri sayesinde tüm ürünlerden gelen loglar tek bir merkezi sistem sayesinde incelenebilmektedir. Süreçlerin önemi tam anlamıyla fark edilmiş ve kurumlar içinde gerçekleşecek her işlem belli standartlara göre düzenlenerek süreçler oluşturulmuştur. Bu dönemde fark edilen en önemli olgu ise zafiyet taramadan çok, zaafiyet yönetiminin gerekliliği anlaşılmıştır.

4.Nesil SGOM(2007–2012): Artık bu dönemde siber saldırılar bireyler bazından çıkarak ülkelerin ulusal güvenlik meselesi haline gelmiştir. Aynı zamanda dünyada ‘hacktivist’ akımları başlamış, hack grupları oluşturularak siber saldırılar farklı boyutlara ulaşmıştır. Ülkeler kendi yapılarına SGOM’ları entegre ederek kendi güvenliklerini üst seviyede sağlamaya çalışmışlardır. Bu gerçekleşen olaylar sayesinde, siber saldırıların birçok adımdan oluştuğu ve tüm bu adımlara yönelik önlemlerin ve tespit mekanizmalarının oluşturulup, süreçlerin net bir şekilde oluşturulması ve sıkılaştırılmasının önemi anlaşılmıştır. Ürünlerin daha da gelişmesinin gerekliliği anlaşılarak, teknoloji bir adım daha ileri giderek SIEM’lere ek olarak analiz yazılımları ve big data(büyük veri) teknolojileri hayatımıza girmiştir. Özetle bu nesilin en önemli dört fonksiyonu; Güvenlik Analizi, Büyük Veri Analizi, Siber Tehdit İstihbaratı ve Dijital Adli Analiz fonksiyonları olmuştur.

5.Nesil SGOM(2013-∞): Bu nesil SGOM’ların hala gelişimi devam etmektedir. Henüz net şekilde bir açıklamada bulunmak doğru olmayabilir. Fakat bu nesil ile birlikte SGOM’lar bünyelerine yapay zeka teknolojisini katarak var olan teknolojilerdeki hata paylarını düşürmeye başlamış ve tam otomasyon şeklinde çalışmaya başlamışlardır diyebiliriz.

* * *

SGOM Nasıl Kurulur?

Siber Güvenlik Operasyon Merkezi kurulurken ihtiyaçların çok iyi anlaşılması ve yetenekli personelin bulunması önem arz etmektedir. SGOM kurulum ve karar aşaması dört başlık altında incelenmektedir.

Analiz: SGOM’un olgunluk modeline ve kurumun ihtiyacına göre analiz çalışmalarının yapılmasıdır. Kurumun mevcut güvenlik organizasyonu, süreçleri ve teknolojileri analiz edilir. Edilen sonuçlar doğrultusunda kurumun olgunluk skoru ortaya çıkar.
Planlama: Ulaşılmak istenen olgunluk skoru belirlenerek, var olan teknolojilerin ve süreçlerin geliştirilmesi için planlama yapılır.
Kurulum: En uzun süren adımdır. Karar verilen ürünlerin SGOM’a entegresi yapılması sağlanır ve var olan süreçler tekrardan yazılarak politikalar belirlenir. Ek olarak ilgili personele eğitimler verilerek, farkındalığı ve uzmanlığı arttırılır.
İşletim: Kurulum aşamasında gerçekleşen işlemler uygulamaya alınır ve hizmet sürekliliği sağlanır.

* * *

SGOM Modelleri

İlgili kaynaklarda birden fazla SGOM modeli mevcuttur. Bu modeller aşağı yukarı birbirleri ile benzemektedirler. Bazı kaynaklar 3, bazı kaynaklar ise 7 farklı model önermektedir. SGOM modellerini sınıflandırmak gerekirse, otoriterler tarafından da kabul görmüş dört ana başlık altında toplayabiliriz.

Sanal(Virtual) SGOM: Kurumların bünyesinde adanmış bir SGOM tesisi bulunmayan, değişik departmanlardaki personellerden oluşan yapılardır. Personel günlük işlerine ek olarak SGOM faaliyetlerine zaman ayırmaktadır. Bu yapıda SGOM hizmeti veren servis sağlayıcı firmalardan da destek alınmaktadır. En büyük avantajı, yüksek harcamalara gerek kalmadan temel seviyede SGOM’u kurumlara sağlamasıdır. Dezavantajı ise bu firmalar başka firmalara da destek verdiği ve ilgili kurumun iç yapısını bilmediği için tehditlerin ne pozisyonda olduğunu bilemeyebilirler. Ek olarak kurumların bazı gizli bilgilerini, hizmet veren firmalarla paylaşması gerektiğinden dolayı da risk oluşturabilmektedir. Genellikle küçük ve bütçesi sınırlı olan kurum/kuruluşlar tarafından tercih edilen model haline gelmiştir.
Adanmış(Dedicated/Internal) SGOM: SGOM faaliyetlerine ayrılmış özel bir tesiste görev yapan ve işi sadece SGOM faaliyetlerini gerçekleştirmek olan personellerden oluşan yapılardır. En büyük avantajı, SGOM yapısı tamamen kurum içinde kurulduğu için uçtan uca bütün trafik izlenebilir ve gerekli aksiyonlar hızlıca alınabilir. Ek olarak ihtiyaç doğrultusunda süreçlerin iyileştirilmesi için hızlıca SGOM yapısında düzenlemeler yapılabilir. Dezavantajları ise yüksek yatırım maliyetleri ve uzman personel istihdam sorunudur. Genellikle büyük ölçekli ya da büyümekte olan kuruluşlar tarafından tercih edilmektedir.

3. Karma(Hybrid) SGOM: Bu model, yukarıda bahsedilen iki SGOM modelinin en etkili şekilde birlikte kullanıldığı modeldir. Kurumların kendi personelleri ve SGOM hizmeti alınan firmanın uzman personelleri ile birlikte çalışarak en iyi çözümleri üretmeye çalışılırlar. Avantajı, bu SGOM modelinde sistemler ve alarmlar her iki firma tarafından da izlenir. Bu şekilde çift kontrol yapılmış olur. Genellikle bu modeli seçen kurumlar büyük ölçekli kurumlar olup, bütçe ve uzman personel sıkıntısı çeken firmalar olmaktadır. En büyük dezavantajı ise uzun vadede artan masraflar olduğu söylenebilir.

4. Merkezi(Command) SGOM: Bu model Global 2000 firmaları, büyük telekom sağlayıcıları ve ülkeler tarafından tercih edilmektedir. Bünyesinde birden fazla farklı lokasyonlarda SGOM’a sahip yapılardır. Temelde ana lokasyonda bir SGOM kurulur ve diğer lokasyonlardan gelen tespitler buraya iletilerek gerekli aksiyonların alınması sağlanır. En büyük avantajı, personelin üst seviye uzmanlardan ve farklı yetenekleri olan kişilerden oluşmasıdır. En büyük dezavantajı maliyet olmakla birlikte, personel günlük güvenlik operasyonlarından çok, tehdit istihbaratını ve durumsal farkındalığı yönetmeye odaklanmıştır.

| “Mükemmellik her savaşta çarpışarak kazanmak değildir. En iyi strateji savaşmadan kazanmaktır.” — Sun Tzu

* * *

SGOM Olgunluk Seviyeleri

Kurumlar bünyelerinde meydana gelen eksiklikleri ve problemleri çözmek veya bunları tespit etmek için farklı yöntemler kullanmaktadırlar. Bu yöntemler genellikle analiz, test ve denetim süreçlerini içermektedir. Fakat bu süreçler doğrultusunda var olan problemler tüm iyileştirmelere rağmen düzelememektedir. Bunun sebebi aslında kök sebepler sistem ile o kadar iç içe girmiştir ki, sistemin kendisi haline gelmiştir.

En iyi pratiklerin uygulanma oranına bağlı olarak sistemin güvenliğinin hangi ölçüde iyileşeceğini tanımlayan modeller ise “Olgunluk Modelleri(Maturity Levels)” olarak adlandırılmaktadır. İlgili modeller sayesinde sistem ihtiyaçları belirlenerek SGOM’un gelişmesi sağlanır. Olgunluk modelleri otoriterler tarafından 5 seviyeye ayrılmıştır. Bu seviyeler; Başlangıç, Yönetilen, Tanımlı, Ölçülebilen ve İyileştirici seviyeleridir.

Başlangıç Seviyesi: Herhangi bir süreç ve politikaya sahip değildir. Güvenlik ürünleri yetersiz veya teknolojinin gerisinde kalmıştır. Personel sayısı yetersiz, aynı zaman çalışan personelin de uzmanlık alanları bulunmamaktadır. Bu sebeplerden dolayı sağlıklı çalışan bir organizasyondan bahsedilemez.
Yönetilen Seviyesi: Kısmen yazılı olmayan süreçler ve politikalar oluşturulmuş, uygulanmaya başlanmıştır. Fakat dokümantasyon yapılmamaktadır. Temel güvenlik ürünleri mevcuttur ama etkin bir şekilde kullanılmamaktadır. Güvenlik ile ilgilenen personel mevcuttur fakat sadece güvenlik özelinde çalışmamaktadırlar. Ek olarak bir BT organizasyonu mevcuttur ama güvenlik personeli bu organizasyonun altında çalışmaktadır.
Tanımlı Seviyesi: İhtiyaç duyulan güvenlik ürünleri mevcuttur ve etkin şekilde kullanılmaktadır. Yazılı süreçler ve politikalar ihtiyacı karşılayacak şekilde dokümanlaştırılarak devreye alınıp uygulanmaya başlamıştır. Güvenlik personeli uzmanlaşarak rolleri belirlenmiş ve BT ile beraber veya bağımsız bir ekip olarak çalışmaktadır.
Ölçülebilen Seviyesi: İhtiyaç duyulan tüm güvenlik ürünleri etkin ve verimli bir şekilde kullanılmaktadır. Ürünler arasında entegrasyonlar sağlanarak bir çok süreç otomatikleştirilmiştir. Tüm süreçler yazılı hale getirilerek devreye alınmıştır. Yapılan tüm çalışmalar ilgili güvenlik politikalarına göre yapılmaktadır. Güvenlik ekipleri bağımsızlaşmış, BT dışında çalışan ayrı bir birim haline gelmiştir. Personel eğitimli ve yedekli olarak çalışmaktadır.
İyileştirici Seviyesi: Güvenlik ürünlerinin en verimli ve etkin bir şekilde çalıştırılması için gerekli metrikler sürekli ölçülür ve değerlendirmeler yapılır. Değerlendirmeler sonucunda iyileştirmeler sağlanır. Teknoloji ve süreçler arasında entegrasyon sağlanmıştır. Süreçlere ait metriklerde sürekli ölçülür ve hantallıkların giderilmesi için gerekli çalışmalar yapılır. Personelin sürekli iyileştirme yaklaşımı ile değerlendirilmesi yapılır. Eğitimler sayesinde çalışan ekiplerin yatayda ve dikeyde ilerlemesi sağlanır.

| “Olası çatışmalara her an hazır olma kaygısı düşman birimlerini zayıflatacaktır.” — Sun Tzu

* * *

SGOM Faydaları

SGOM kuran ve işleten kurumların en büyük motivasyonları bir siber saldırı sonucu maddi/manevi zarar görmesi, yasa, mevzuat veya standartlara uyum sağlama zorunluluğu ya da siber güvenlik risk artışlarının belirlenmesi ve önlem alma ihtiyacının önceden tespit edilmesi şeklinde açıklanabilir. SGOM’un temek hedefleri aşağıdaki gibi özetlenebilir;

Kurumların yasalara/mevzuatlara uygunluğunu sağlar.
Kurum bünyesindeki siber güvenlik ile ilgili temel yapı taşları kaynaklarının merkezileştirerek siber güvenlik kabiliyetlerinin artırılmasına yardımcı olur.
Sürekli izleme ve veri etkinliğinin analizi yoluyla güvenlik olaylarının tespitini kolaylaştırır.
Kurumun koruma, tespit, müdahale ve geri dönüş kabiliyetlerinin arttırılmasını sağlar.

* * *

Umarım yararlı bir yazı olmuştur. Okuduğunuz için teşekkür ederim.

Abdullah KUŞPINAR — Cyber Security Engineer/Researcher

Kaynaklar: