On yıl önce, bir kuruluşa bir Güvenlik Operasyonları Merkezi’ne (SOC) sahip olduğunuzu söylemek belirli bir anlama geliyordu. Bu; analistlerden oluşan özel bir ekibin günün her saati ekranları izlediği, tüm BT ortamındaki tehditleri aradığı; olayları her an tespit etme, kontrol altına alma ve müdahale etme becerisine sahip insan, süreç ve teknolojiye sahip olduğu anlamına geliyordu.
Bugün ise bu terim neredeyse kopma noktasına gelene kadar esnetildi. Bir sağlayıcı; birden fazla rol, tehdit avcılığı ve olay müdahalesi ile 7/24 çalışan bir “SOC” pazarlıyor. Bir diğeri ise mesai saatleri içinde uç nokta uyarılarını izleyen ve şüpheli her şeyi e-posta ile ileten bir “SOC” pazarlıyor. Her ikisi de kendilerini aynı isimle adlandırıyor.
İster orta ölçekli bir kuruluştaki CISO, ister NIS2’ye hazırlanan bir BT yöneticisi, ister riskleri tartan bir yönetim kurulu üyesi olsun, siber dayanıklılıktan sorumlu olan herkes için bu durum büyük önem taşır. Yanlış SOC türünü seçmek, sahip olamadığınız bir yetenek için ödeme yapmak veya daha kötüsü, korunmadığınız halde korunduğunuzu varsaymak anlamına gelir.
Bu kılavuz, alıcıların gerçekte sorduğu soruları, genellikle sorma sıralarına göre yanıtlamaktadır. Güvenlik Operasyonları Merkezi’nin gerçekte ne olduğunu, giderek yaygınlaşan Yönetilen Tespit ve Yanıt (MDR) terimiyle nasıl bir ilişkisi olduğunu, tanımın neden aşındığını, bugün piyasada karşılaşacağınız temel SOC türlerini ve riskinize, sektörünüze ve bütçenize uygun olanı nasıl seçeceğinizi açıklamaktadır.
Başlamadan önce konumlandırmamız hakkında kısa bir not: Guardian360 bir SOC işletmez. Biz, bir kuruluşun birlikte çalışmayı seçtiği SOC her ne olursa olsun onu güçlendiren sürekli saldırı yüzeyi içgörüsü ve zafiyet yönetimi sağlıyoruz. Bu makale boyunca, farklı SOC modellerinin uygulamada nasıl göründüğüne dair dürüst örnekler olarak beş ortağımızı (NFIR, SLTN, Intermax, Beterbeschermd ve Trustteam) kullanıyoruz. Amaç birini diğerine tavsiye etmek değil, durumunuza en uygun modeli tanımanıza yardımcı olmaktır.
Güvenlik Operasyonları Merkezi (SOC) Gerçekte Nedir?
Bir Güvenlik Operasyonları Merkezi, özünde, bir kuruluşun içindeki veya dışındaki siber tehditlerin sürekli izlenmesi, tespiti, analizi ve bunlara müdahale edilmesinden sorumlu olan işlevdir. Üç şeyin birleşimidir: insanlar, süreçler ve teknoloji. Bunlardan herhangi birini çıkardığınızda bir SOC’ye sahip olamazsınız.
Teknoloji tarafı tipik olarak BT ortamındaki günlükleri (log) toplayan bir Güvenlik Bilgileri ve Olay Yönetimi (SIEM) platformu, Uç Nokta Tespit ve Yanıt (EDR) veya Genişletilmiş Tespit ve Yanıt (XDR) araçları, ağ tespit yeteneği ve bir vaka yönetim sistemini içerir. Modern SOC’ler giderek artan bir şekilde Güvenlik Orkestrasyonu, Otomasyonu ve Yanıtı (SOAR) araçları, tehdit istihbaratı beslemeleri ve Kullanıcı ve Varlık Davranış Analizi (UEBA) eklemektedir.
Süreç tarafı; tespit kullanım durumlarını (use cases), oyun kitaplarını (playbooks), eskalasyon yollarını, olay müdahale prosedürlerini, raporlama sıklıklarını ve sürekli iyileştirmeyi kapsar. Belgelenmiş oyun kitapları olmayan bir SOC, pratik anlamda sadece panolara bakan bir grup insandan ibarettir.
İnsan tarafı, birçok “SOC”un sessizce yetersiz kaldığı yerdir. Gerçek bir SOC’nin birden fazla seviyede analisti vardır; bunlar genellikle L1 triyaj, L2 inceleme, L3 tehdit avcılığı ve olay müdahalesidir. Ayrıca tespitleri hassaslaştıran mühendisleri, bir SOC yöneticisi ve ideal olarak müşteri kuruluşuyla CISO düzeyinde bir bağlantısı vardır. Sürekli çalışır, çünkü saldırganlar dokuzdan beşe çalışmazlar.
Eğer bir sağlayıcı size SOC adını verdiği bir şey sunuyorsa, en basit test şunu sormaktır: Pazar sabahı saat üçte kim izliyor, gerçekte ne yapıyorlar ve harekete geçmek için ne kadar yetkileri var?
SOC ile Yönetilen Tespit ve Yanıt (MDR) Arasındaki Fark Nedir?
“SOC” ve “MDR” terimleri piyasada o kadar birbirinin yerine kullanılıyor ki bunları birbirinden ayırmaya değer.
SOC operasyonel işlevdir: izleyen, tespit eden, analiz eden ve yanıt veren insanlar, süreçler ve teknoloji. Bu ifade belirli bir ticari teklifi değil, bir yeteneği tanımlar. Bir kuruluş kendi SOC’sini çalıştırabilir, bir sağlayıcının SOC’sini kiralayabilir veya hibrit bir model uygulayabilir.
Yönetilen Tespit ve Yanıt (MDR), orta ölçekli pazar için SOC yeteneğini paketlemek amacıyla en yaygın kullanılan ticari kılıftır. Bir MDR hizmetinde sağlayıcı, genellikle EDR veya XDR olan izleme araçlarının sorumluluğunu üstlenir, ortamınıza kendi analistlerini ve oyun kitaplarını uygular ve bulguları ile eylemleri müşteriye raporlar. Uygulamada, bugün orta ölçekli kuruluşlara sunulan dış kaynaklı SOC hizmetlerinin neredeyse tamamı MDR etiketi veya yakın bir varyantı altında satılmaktadır.
Bunun alıcılar için anlamı basittir. “MDR” etiketi size ticari model hakkında bir şeyler söyler, ancak analistlerin derinliği, kapsam saatleri, tespit kapsamı veya dahil edilen yanıt yetkisi hakkında bir şey söylemez. Tam olay müdahalesine sahip 7/24 uzman bir MDR, yalnızca uç noktaya odaklanan 5×8 bir MDR’den çok farklı olabilir; her ikisi de aynı üç harf altında satılır. Bu makalenin ilerleyen bölümlerindeki sorular, aradaki farkı ortaya çıkarmak için tasarlanmıştır.
“SOC” Terimi Neden Sulandı?
Üç güç tanımı birbirinden uzaklaştırdı.
Birincisi pazarlama enflasyonu. Siber tehditler gündemin üst sıralarına tırmandıkça, “SOC” hizmet satmaya yardımcı olan bir etiket haline geldi. 5×8 takip hizmeti olan uç nokta izleme, SOC olarak yeniden markalandı. Zafiyet yönetimi panoları, SOC bileşenleri olarak yeniden adlandırıldı. Bir etiketin sattığı yerde, etiket yayılır.
İkincisi, alana giren sağlayıcıların çeşitliliği. Bugün SOC benzeri hizmetler sunan şirketler çok farklı başlangıç noktalarından geliyor. Bazıları SOC’lerini olay müdahalesi etrafında kuran saf siber güvenlik firmalarıdır. Diğerleri, kendi platformlarını korumak için bir Siber Savunma Merkezi ekleyen ve bunu müşterilerine sunan yönetilen barındırma (managed hosting) sağlayıcılarıdır. Diğerleri, güvenliğin birçok uzmanlık alanından biri olduğu geniş BT entegratörleridir. Diğerleri ise KOBİ müşterilerinin antivirüs ve güvenlik duvarından daha fazlasına ihtiyacı olduğunu fark eden bölgesel yönetilen hizmet sağlayıcılarıdır (MSP). Bu modellerin her birinin kendine göre değeri vardır, ancak bunlar aynı ürün değildir.
Üçüncüsü, tek ve uygulanabilir bir standardın olmamasıdır. MITRE ATT&CK, SANS SOC fonksiyonları modeli ve NIST CSF dahil olmak üzere iyi çerçeveler mevcuttur, ancak bir alıcının talep edebileceği ve güvenebileceği bir sertifika yoktur. ISO 27001 ve SOC 2 bir kuruluşun bilgi güvenliğini nasıl yönettiği hakkında bir şeyler söyler ancak bir SOC’nin operasyonel derinliğini onaylamaz.
Sonuç, aynı kelimenin çok farklı fiyatlarla çok farklı hizmetleri kapsadığı bir pazardır. Ayrıştırmayı alıcı yapmak zorundadır.
Bugün Hollanda Pazarındaki Temel SOC Türleri Nelerdir?
Birlikte çalıştığımız sağlayıcılara baktığımızda, karşılaşacağınız durumların çoğunu kapsayan dört geniş model göze çarpmaktadır. Her birinin belirgin güçlü yanları, ödünleri ve ideal bir müşteri kitlesi vardır.
Tip 1: Uzman siber güvenlik firması SOC’si (Pure-play)
Bu, orijinal tanıma en yakın modeldir. Sağlayıcının tüm işi siber güvenliktir. SOC, operasyonun kalbidir; etrafı sızma testi, olay müdahalesi, dijital adli bilişim ve güvenlik farkındalık eğitimi gibi komşu yeteneklerle çevrilidir. Analistler derinlemesine uzmandır ve firma genellikle genel BT hizmetlerinden ziyade güvenlik çalışmalarına özgü akreditasyonlara sahiptir.
NFIR bu arketiplerin net bir örneğidir. Kendi SOC’lerinden 7/24/365 Yönetilen Tespit ve Yanıt hizmetinin yanı sıra olay müdahalesini yöneten bir Bilgisayar Acil Durum Müdahale Ekibi (CERT), CCV sertifikalı sızma testi uygulaması ve bir dijital adli bilişim kolu işletmektedirler. Personelleri Emniyet Genel Müdürlüğü (Hollanda) aracılığıyla resmi incelemeden geçmiştir ve firma güvenlik alanına odaklanmış ISO ve BSI akreditasyonlarına sahiptir. Öneri basittir: Ciddi bir durum yaşandığında, ortamınızı izleyen firma aynı zamanda olayı araştırabilir, kontrol altına alabilir ve sigortacılar, düzenleyiciler veya kolluk kuvvetleri için gerekebilecek adli ayrıntılar da dahil olmak üzere olayı raporlayabilir.
Bu modelin gücü derinliğidir. Dezavantajı ise nispeten olgun bir BT ortamına sahip bir müşteri beklemesidir. SOC tespit yapacak ve yanıt verecektir, ancak genel BT operasyonlarınızı yürütmez.
En iyi uyum: Hali hazırda yetkin bir BT fonksiyonuna sahip olan, uzman bir güvenlik ortağı isteyen ve güçlü olay müdahalesi ile adli bilişim yeteneklerine değer veren kuruluşlar. Bu tip, genellikle daha büyük orta ölçekli pazar ve kurumsal organizasyonlar, devlet, eğitim ve olay riski yüksek her sektör için uygundur.
Tip 2: Geniş kapsamlı bir BT entegratörüne gömülü SOC
Bu modelde güvenlik ve SOC, tek bir portföy içinde diğer BT hizmetleriyle (iş yeri, bulut, ağ, uygulamalar, veri, barındırma) yan yana yer alır. Modelin gücü entegrasyondur: Güvenliğinizi izleyen ortak, muhtemelen parçalarını kendisi oluşturduğu için geniş BT ortamınızı da anlar. Bu entegratörlerin çoğu barındırma ve özel bulut yeteneklerini de bizzat işletir; bu da barındırma, entegrasyon ve izlemeyi tek bir çatı altında sunabilecekleri anlamına gelir.
SLTN buna iyi bir örnektir. Kendilerini “Geleceğe hazır BT” ortağı olarak tanımlarlar ve iş ve BT profesyonel hizmetleri, dijital iş yeri, veri merkezi, bulut, barındırma, ağ oluşturma, yapay zeka hizmetleri, veri hizmetleri, uygulama hizmetleri ve siber güvenlik alanlarında uzmanlık sunarlar. Kritik olarak, SLTN kendi veri merkezini ve özel bulut yeteneğini işletmektedir, böylece bir müşteri güvenlik, iş yeri ve barındırılan altyapıyı aynı ortağa emanet edebilir. Siber güvenlik teklifleri danışmanlık odaklıdır: hayatta kalma kılavuzları, kuruluşa özel tavsiyeler ve personelin işlerini yapmalarına olanak tanırken sistemlerin nasıl korunacağına dair tam resmi görmek.
SLTN hakkında öne çıkan bir diğer nokta da hizmet verdikleri sektörlerin genişliğidir. Bu makaledeki bazı ortaklar bir veya iki alana sıkıca odaklanmışken (örneğin sağlık hizmetlerinde Intermax), SLTN’nin müşteri tabanı sağlık, perakende, yerel ve merkezi hükümet, finans, sanayi, lojistik ve profesyonel hizmetleri kapsamaktadır. BT ve güvenlik ihtiyaçları daha az belirgin bir sektörde yer alan orta ölçekli kuruluşlar veya birden fazla sektörde faaliyet gösteren gruplar için bu genişlik, SLTN’nin düzenleyici bağlama, sektöre özgü uygulamalara veya müşterinin işinin operasyonel ritmine nadiren yabancı kalacağı anlamına gelir.
Trustteam farklı bir yapıya sahip ikinci bir örnektir. Merkezi Benelüks’te bulunan ve Hollanda, Belçika, Fransa ve Lüksemburg’da ofisleri olan Trustteam, güvenlik uygulamasını (“Next Gen Security”) açıkça NIST Siber Güvenlik Çerçevesi etrafında organize eder: Tanımla ve Korumak, Tespit Et ve Yanıtla, Kurtar. Tespit Et ve Yanıtla sütunu altında, sürekli izleme, analiz, müdahale planlaması, farkındalık ve altyapı güvenliğinin yanı sıra MDR, Ağ Tespit ve Yanıt (NDR) ve Uç Nokta Tespit ve Yanıt (EDR) hizmetlerini paketlenmiş ürünler olarak sunarlar. Benelüks ayak izine sahip kuruluşlar için firmanın sınır ötesi yapısı anlamlı bir pratik avantajdır.
Bu modelin gücü tutarlılıktır. Güvenliği yabancı bir BT ortamına cıvatalamıyorsunuz; aynı ortak kimlik, iş yeri, bulut, barındırma ve güvenliği tek bir program olarak hizalayabilir. Dezavantajı ise SOC’nin bir uzmanınki kadar derin olmayabilmesi ve genişliğin, kuruluşun bir bütün olarak dikkatini birçok uygulama alanına bölmesi anlamına gelmesidir.
En iyi uyum: Özellikle BT ortamının kendisinin modernize edildiği durumlarda, BT ve güvenliğin sorumluluğunu birlikte üstlenecek tek bir ortak isteyen kuruluşlar. İş yeri, bulut veya ağ dönüşümü geçiren orta ölçekli kuruluşlar ve sınır ötesi varlığa değer veren Benelüks kuruluşları arasında yaygındır.
Tip 3: Yönetilen barındırma veya bulut platformuyla entegre SOC
Burada SOC, yönetilen bir barındırma veya bulut kaynak sağlama hizmetinin parçasıdır ve barındırma yeteneği firmanın ağırlık merkezidir. Sağlayıcının birincil işi, genellikle kendi veri merkezlerinde veya yönetilen bir bulut olarak müşteri altyapısını çalıştırmaktır ve güvenlik izlemesi doğrudan işlettikleri platforma dokunmuştur. Tip 2’den farkı odak noktası ve derinliktir: Barındırma, firmanın birçok uygulamasından biri değil, kimliğidir ve güvenlik yeteneği barındırılan ortam etrafında inşa edilmiştir.
Intermax güçlü bir örnektir. ISO 27001, ISO 20000, ISO 9001, NEN 7510, ISAE 3402 tip II ve SOC 2 dahil olmak üzere geniş bir sertifika portföyüne sahip Rotterdam merkezli bir bulut kaynak sağlama şirketidir. Yapay zeka destekli saldırı keşfi de dahil olmak üzere modern tespit araçlarını kullanan bir Siber Savunma Merkezi işletmektedirler. Sağlık hizmetlerindeki derinlikleri ayrı bir paragrafı hak ediyor.
Sağlık sektöründeki kuruluşlar için Intermax birçok açıdan istisnai bir uyumdur. NEN 7510 (sağlık hizmetleri için Hollanda bilgi güvenliği standardı), ISO 27001 ve SOC 2 kombinasyonu ile hastaneler, ruh sağlığı kurumları ve diğer sağlık kuruluşlarını içeren mevcut müşteri tabanı, Intermax’ın düzenleyici yükü ve klinik uygulamaları barındırmanın günlük gerçekliğini zaten anladığı anlamına gelir. Hollandalı bir sağlık kuruluşu için, zaman zaman klinik sistemlerle çalışmış bir barındırma ortağı ile işi bunlar üzerine kurulu olan bir ortak arasında seçim yapmak nadiren zor bir karardır.
Bu modelin gücü güvenliğin “içinde pişmiş” olmasıdır. Barındırma platformu ve SOC aynı mühendislik ekibini, aynı telemetriyi ve aynı uyumluluk kanıtlarını paylaşır. Dezavantajı ise SOC’nin yanı sıra bir barındırma modelini de satın alıyor olmanızdır; BT’nizi bağımsız olarak çalıştırmak ve yalnızca izleme için sözleşme yapmak istiyorsanız bu doğru yapı değildir.
En iyi uyum: Sağlık, finans ve kamu gibi düzenlemeye tabi sektörler ve barındırma ile güvenliklerini yüksek sertifikalı tek bir sağlayıcıya devretmek isteyen kuruluşlar. Klinik uygulama deneyimi nedeniyle Hollanda sağlık sektörü için özellikle güçlüdür.
Tip 4: MSP düzeyinde SOC (Diğer MSP’ler için SOC hizmetleri dahil)
Dördüncü model son birkaç yılda hızla büyüdü. KOBİ ve orta ölçekli müşteriler için halihazırda günlük BT hizmeti sunan bölgesel yönetilen hizmet sağlayıcıları, kurumsal bir sözleşmeyi asla karşılayamayacak kuruluşlar için erişilebilir olan SOC hizmetleri oluşturdu veya bunlarla ortaklık kurdu. Artık anlamlı bir alt eğilim görünür durumda: Bu firmaların bir kısmı SOC yeteneklerini sadece kendi müşterilerine değil, diğer MSP’lerin de kullanabileceği bir hizmet olarak kasıtlı olarak konumlandırıyor.
Beterbeschermd net bir örnektir. Firma, Kuzey Hollanda merkezli MSP BEEREPOOT bünyesinde doğmuştur ancak SOC yeteneklerini diğer MSP’lere ve onların son müşterilerine sunabilen ayrı bir marka ve operasyon olarak konumlandırılmıştır. Ekip, SOC operatörlerini risk analizi, denetimler, farkındalık eğitimi, NIS2 ve ISO 27001 rehberliği ve uyumluluk desteği sağlayan bir Siber Güvenlik Görevlisi rolüyle birleştirir. Kendi SOC’sini kuracak ölçeğe sahip olmayan bir MSP için, halihazırda bir SOC kurmuş olan akran bir MSP ile ortaklık kurmak hem ticari hem de kültürel olarak büyük bir kurumsal uzmanla ortaklık kurmaktan daha uygulanabilirdir.
Bu modelin gücü erişilebilirlik ve kültürel uyumdur. Daha küçük kuruluşlar izleme, farkındalık eğitimi ve uyumluluk rehberliğini kendi boyutlarına göre ölçeklenen tek bir ilişkide alırlar ve kendi SOC’si olmayan MSP’ler çok milyon avroluk yatırım yapmadan müşterilerine SOC sunabilirler. Dezavantajı ise adli bilişim ve tehdit avcılığı yeteneklerinin derinliğinin saf bir uzmanınkiyle eşleşmeyebilmesidir.
En iyi uyum: BT’leri bir MSP ilişkisi üzerinden yürüyen KOBİ’ler ve orta ölçekli kuruluşlar ile kendi müşterilerine sıfırdan SOC kurmadan bu hizmeti sunmak isteyen MSP’ler.
Peki Hangi Tip SOC’ye İhtiyacınız Var?
Dürüst cevap, kabaca şu sırayla beş faktöre bağlı olduğudur:
Risk profili. Gerçekçi en kötü durum senaryosu nedir? Hasta verilerini, ödeme verilerini veya kritik altyapıyı yöneten bir kuruluşun en kötü durumu, bir B2B hizmet firmasından farklıdır. En kötü durumunuz ne kadar yüksekse, o kadar derin tespit ve yanıt yeteneğine ihtiyacınız vardır.
Düzenleyici baskı. NIS2, GDPR (KVKK benzeri), NEN 7510 veya DigiD gibi sektöre özgü kurallar ve müşterilerden gelen sözleşme yükümlülüklerinin hepsi çıtayı yukarı taşır. Yukarıdaki SOC tiplerinden bazıları, başka türlü oluşturulması zor olan uyumluluk kanıtlarını beraberinde getirir.
Dahili BT olgunluğu. Uzman bir SOC, bulguları üzerinde işlem yapabileceğinizi varsayar. Dahili BT fonksiyonunuz küçük veya çok meşgulse, entegre bir model (BT entegratörü veya MSP ile) kaynak ayıramayacağınız bir uyarı akışını size teslim eden uzman bir ilişkiden daha uygulanabilir olacaktır.
Mevcut BT ilişkileri. BT’niz için bir MSP’ye veya entegratöre zaten güveniyorsanız, SOC’nizi aynı ilişkiye dahil etmek sürtünmeyi azaltır. Güçlü bir dahili BT fonksiyonunuz varsa ve uzman bir muhatap istiyorsanız, saf bir SOC size en fazla derinliği verecektir.
Bütçe. 7/24 uzman bir SOC ile 5×8 izleme eklentisi aynı fiyata sahip değildir. Ne harcamaya hazır olduğunuz konusunda net olun ve teklif istediğinizde sağlayıcılara karşı dürüst olun.
Bir SOC Sağlayıcısına Hangi Soruları Sormalısınız?
Sağlayıcıları değerlendirirken (yukarıdaki dört modelden herhangi birinde veya tamamen başka bir yerde olsunlar) kısa ve kullanışlı bir kontrol listesi:
Saatler. İzleme 7/24/365 mi, nöbetçi ile 5×8 mi yoksa başka bir şey mi? Pazar sabahı saat üçte kim uyanık ve sizin müdahaleniz olmadan ne yapmaya yetkili?
Kapsam. Tam olarak ne izleniyor? Sadece uç noktalar mı? Uç noktalar, kimlik ve e-posta mı? Bulut iş yükleri mi? Operasyonel teknoloji (OT) mi? Yerinde (on-premise) sunucular ve ağ mı? Kapsam ne kadar genişse SOC o kadar anlamlıdır.
Tespit. Hizmetin arkasında hangi araçlar var? SIEM ve EDR temeldir; XDR, NDR, kimlik tehdidi tespiti, bulut duruşu izleme ve tehdit istihbaratı beslemelerini sorun. Tespit kurallarının nasıl hassaslaştırıldığını ve ne sıklıkla gözden geçirildiğini sorun.
İnsanlar. Kaç analist, hangi seviyelerde ve nerede bulunuyorlar? Gece vardiyası şirket içinde mi yoksa dış kaynaklı mı? Rotasyon nasıl ve yorgunluk nasıl yönetiliyor? Atanmış kıdemli irtibat kişiniz kim?
Yanıt. Bir olay meydana geldiğinde SOC gerçekte ne yapar? Sizi uyarır ve durur mu? Bir ana bilgisayarı (host) izole eder mi? Ortamınıza erişip harekete geçer mi? SOC’nin ne kadar yetkisi var ve bu yetki nasıl test ediliyor?
Olay müdahale provizyonu (Retainer). Ciddi olaylar için garantili bir müdahale penceresi var mı? Adli bilişim yeteneği anlaşmanın bir parçası mı yoksa ayrı bir sözleşme mi? SOC, sigortacılar, düzenleyiciler ve gerekirse kolluk kuvvetleri için kullanılabilecek raporlar üretebilir mi?
Uyumluluk. SOC’nin kendisi hangi standartlara uyuyor? Sağlayıcı, ISO 27001, NEN 7510, NIS2 hazırlığı veya SOC 2 dahil olmak üzere kendi denetimlerinize yardımcı olacak kanıtlar sunabilir mi?
Raporlama ve şeffaflık. Her hafta, her ay, her çeyrekte ne alıyorsunuz? Temeldeki tespitleri ve eylemleri görebiliyor musunuz yoksa sadece özetleri mi? Bir portal var mı? Masa başı egzersizleri (tabletop exercises) ve tehdit avcılığı bulguları dahil mi?
Uyum ve çıkış. SOC, biletleme sisteminiz, kimlik sağlayıcınız ve bulut hesaplarınız gibi mevcut araçlarınızla nasıl entegre oluyor? Ayrılmak isterseniz tespit içeriğiniz ve geçmişiniz ne kadar taşınabilir?
SOC Seçerken En Yaygın Tuzaklar Nelerdir?
Piyasada birkaç hata tekrarlanıp duruyor.
Birincisi, sadece fiyata göre satın almaktır. Piyasa rayicinin dörtte biri fiyatına olan bir “SOC”, neredeyse kesinlikle işin dörtte birini yapıyordur. Yapmadığı iş, genellikle bir şeyler ters gittiğinde en çok ihtiyaç duyduğunuz kısımdır.
İkincisi, araç gereci bir hizmetle karıştırmaktır. SIEM bir SOC değildir. EDR bir SOC değildir. Uyarıların olduğu bir pano SOC değildir. Analistler ve oyun kitapları olmadan, araç gereç sadece gürültü üretir.
Üçüncüsü, yanıtı test etmemektir. Birçok kuruluş bir SOC sözleşmesi imzalar ve bir olay ortaya çıktığında gerçekte ne olacağını görmek için asla bir masa başı egzersizi yapmaz. İlişkiyi ilk kez stres testine tabi tuttuğunuz an, gerçek bir olayın gerçekleştiği gün olmamalıdır.
Dördüncüsü, çakışan sorumluluklar ve belirsiz eskalasyondur. SOC, MSP, dahili BT ekibi ve bulut sağlayıcısının hepsi belirli bir sistemi başkasının izlediğine inanıyorsa, hiç kimse izlemiyordur. İmzalamadan önce sahipliği haritalandırın.
Beşincisi, bir çıkış planı olmadan uzun bir sözleşme imzalamaktır. İlk günden, ayrılmak isterseniz tespit içeriğinize, geçmiş uyarılarınıza ve vaka verilerinize ne olacağını sorun.
SOC Seçimi İçin Kısa Bir Çerçeve
Yukarıdakileri bir araya getirdiğimizde, bir SOC seçmek için pratik bir sıra şöyledir:
Neyi ve kimden koruduğunuzu tanımlayarak başlayın. En kritik varlıklarınızı, en kötü durum senaryolarınızı ve geçerli düzenleyici rejimleri haritalandırın. Spesifik olun.
Neyi içeride tutmak istediğinize ve neyi dış kaynakla halletmek istediğinize karar verin. İki uç nokta (tamamen kurum içi SOC veya tamamen dış kaynaklı) orta ölçekli kuruluşlar için nadiren doğru cevaptır. SOC’nin sürekli tespiti üstlendiği ve ekibinizin politika, risk ve stratejik ilişkiyi elinde tuttuğu bir hibrit model genellikle en uygulanabilir olanıdır.
Gerçekçi bir bütçe belirleyin. Hollanda pazarındaki dış kaynaklı SOC hizmetleri için endüstri karşılaştırmaları, kapsam ve saatlere bağlı olarak geniş bir aralıkta yer alır. KOBİ fiyatlarına kurumsal düzeyde 7/24 izleme beklemeyin ve KOBİ düzeyinde kapsam için kurumsal fiyatlar ödemeyin.
İsme göre değil, SOC tipine göre kısa liste oluşturun. Bir uzmana mı, bir entegratöre mi, barındırma odaklı bir platforma mı yoksa MSP liderliğindeki bir hizmete mi ihtiyacınız olduğuna karar verin ve ardından o kategorideki en güçlü sağlayıcıyı arayın.
Yukarıdaki soruları yazılı olarak sorun ve cevapları karşılaştırın. İki sağlayıcı “aynı” hizmeti çok farklı fiyatlarla sunuyorsa, bu soruların cevapları genellikle nedenini açıklayacaktır.
Son olarak, referans alın. Mevcut müşterilere son başarılı tespitlerini değil, son gerçek olayları sırasında ne olduğunu sorun. İki cevap arasındaki boşluk aydınlatıcıdır.
Guardian360 Nerede Duruyor?
Biz bir SOC işletmiyoruz. Bu pazardan kasten uzak durduk çünkü sağlıklı bir SOC ekosisteminin müşteriye tek bir baskın sağlayıcıdan daha fazla fayda sağladığına inanıyoruz. Bizim yaptığımız şey, zincirin bir adım öncesinde yer almaktır.
Bir SOC, izlediği ortam iyi anlaşıldığında ve temel açıklıklar zaten kapatıldığında en etkili halini alır. Guardian360, saldırı yüzeyiniz ve zafiyetleriniz hakkında sürekli içgörü sağlar; böylece hangi modeli seçerseniz seçin, SOC zamanını yanlış yapılandırmalardan ve yamalanmamış sistemlerden kaynaklanan gürültüyü kovalamak yerine gerçek tehditlere harcar.
Bir SOC kararını tartıyorsanız ve yukarıdaki dört modelden hangisinin kuruluşunuza uygun olduğu konusunda objektif bir görüşme yapmak isterseniz, bunu yapmaktan memnuniyet duyarız. Ayrıca gerçekte neye ihtiyacınız olduğuna bağlı olarak sizi ilgili ortakla (NFIR, SLTN, Intermax, Beterbeschermd, Trustteam veya ağımızdaki diğerleri) tanıştırabiliriz.
Doğru SOC; riskinize, BT olgunluğunuza, sektörünüze ve bütçenize uygun olan SOC’dir. Bu mutlaka en büyüğü, en ucuzu veya sorgunuza ilk yanıt veren olmak zorunda değildir. Yukarıdaki çerçeve ile seçiminiz en azından tam olarak bilgilendirilmiş bir seçim olacaktır.
