SOC Ekiplerinin Problemlerine Güncel Yaklaşımlar - NETSEC

SOC EKİPLERİNİN PROBLEMLERİNEGÜNCEL YAKLAŞIMLAR

O N U R A L A N B E LN E T S E C T R

2

Hakkımda• Bilgisayar Mühendisi (İYTE)

• Kurucu @cricomtr (cri.com.tr)

• Geliştirici @TaintAll (taintall.com)

• Uygulama Güvenliği Araştırmacısı

• Github: github.com/onura

• Twitter : @onuralanbel

• https://packetstormsecurity.com/search/?q=onur+alanbel

Görev ve Sorumluluklar

S İBER OLAY ÖNCES İ

• Logların merkezi olarak yönetilmesi• Farkındalık çalışmaları• Sızma Testi vb sonuçlarının analizi

S İBER OLAY ESNASINDA

• Operasyonel birimlerle koordinasyon• Adli birimler, basın vb. koordinasyon

S İBER OLAY SONRASI

• Raporlama• Ders çıkarma ve iyileştirme

4

DETAY ANAL İZLER YAPMAK

İHT İYAÇ DURUMUNDA AKS İYON ALMAK

ALARMLARA BAKMAK

LOGLAMA ALTYAPISININ BAKIMI VE DEVAMLILIĞ INI SAĞLAMAK

Pratikte Olan

5

01 02 03 04 05

WEB APPLICATION

ATTACK

MISC EXPLOIT

Problem IEkibin analiz gücünden çok daha fazla alarm oluşması

VIRUS FOUND

PORT SCANINTRUSIONATTEMPT

6

01

02

03

Çözüm IDaha iyi korelasyon

Optimizasyon / Tuning

Ekibin gücünü arttırma

7

Birbiriyle ilişkisi olabilecek alarmları farklı ekip üyelerinin analiz etmesi

AHMET1

MUSTAFA3

AHMET4

KAD İR6

G İZEM2

MURAT5

CANAN8

HAKAN7

Problem II

8

01

Çözüm II

Ekip içinde koordinasyonu arttırma

9

01 02 03 04 05

Problem IIIBiriken alarmlardan önce hangisine bakılmalı

10

Çözüm III

01

02

Alarmları önceliklendirme

SIEM skorlaması ne kadar detaylı ?

11

05:09 05:12 10:30 11:45

Olayın gerçekleşme zamanı

1

2

SOC ekibine alarmın düşmesi

SOC ekibinin alarmı incelemeye başlaması

3

4

Delillerin toplanması

Problem IVOlayın olduğu zaman ile analiz zamanı arasında geçen süreden dolayı delil kaybı

12

01

Çözüm IV

Otomasyon

13

77%

63%

50%

37%

22%

Problem V

Güvenlik ürünlerine yapılan yatırım ne kazandırdı ?

14

01

Çözüm V

Ürünlerden elde edilen çıktının analizi ve raporlanması

0

40

80

120

160

April May June July August

15

SOC ekiplerine yapılan yatırım ne kazandırdı ?

Problem VI

16

Çözüm VI

01

02

Ticketing sisteminden elde edilen çıktının analizi ve raporlanması

Gerçek olaylarla karşılaştırma imkanı

Bonus

Şirketin kendine has güvenlik risklerine göre yatırım alanlarını önceliklendirebilir.

17

18

SIEM’de oluşan alarmları analiz et ve tehditleri belirle

Bizim Çözümümüz

Kill Chain adımları ve sızma senaryolarının parçalarını yakalayabilmek için tehditleri analiz et

Tehditler üzerinden IP repütasyonundan host IoC’lerinin toplanmasına kadar farklı veri zenginleştirme adımları gerçekleştir

Tehditleri önceliklendirmek için risk skorlama algoritmasını çalıştır

TeşekkürlerSOC EKİPLERİNİN PROBLEMLERİNE GÜNCEL YAKLAŞIMLAR

www.cri.com.tr