Uç nokta güvenliğinin üzerine inşa edilen çeşitli Tespit ve Müdahale araçları gibi çözümler bir şirketin güvenlik duruşunu büyük ölçüde geliştirebilirken SOC ekibinin müdahale ve iyileştirme çıtasını daha da yükseltmek için kullanılabilecek SIEM ve SOAR başka çözümler de var.
Bir Güvenlik Operasyon Merkezi (SOC) için Güvenlik Bilgi ve Olay Yönetimi (SIEM) ve Güvenlik Düzenleme, Otomasyon ve Yanıt (SOAR), siber güvenlik çıtasını yükseltmek için var olan iki kapsamlı seçenektir. Ancak, her biri farklı araçlar ve yaklaşımlar sunar ve bunlardan birini seçmeden önce farkları bilmeniz gerekir.
SIEM nedir? (Güvenlik Bilgi ve Olay Yönetimi)
Herhangi bir BT güvenlik yöneticisinin işini büyük ölçüde geliştiren görevlerden biri, günlük veri toplama ve analizidir. SIEM’in en iyi yaptığı şey tam olarak budur. Bir şirketin ağının tüm bölümlerinden veri toplayarak olası güvenlik olaylarına ve sorunlarına karşı uyarı verir ve güvenlik operatörlerinin güvenlik altyapılarını yönetmelerini kolaylaştırır.
Kesin olarak bir olay müdahale ve düzeltme aracı olmasa da bir tür gözlemci veya veri monitörü rolünü yerine getirerek olaylar hakkında ek bilgi verir. Ancak, SIEM’in olumsuzluğu otomasyondan yoksundur olmasıdır. Bu nedenle, veri toplama dışında, BT ekibinin bu verileri uygun gördükleri şekilde kullanmasını gerektiren işleri yapamaz. Bu bir sorun olabilir, çünkü bildirimler kolayca birikebilir ve güvenlik ekiplerini bunaltabilir, bir şirketin güvenlik duruşunu zorlayabilir ve zayıflatabilir. İşte bu noktada da SOAR yardımcı olur.
SOAR nedir? (Güvenlik Orkestrasyonu, Otomasyonu ve Müdahalesi)
SOAR, teknik olarak SIEM’in yerini almasa da SIEM’in yeteneklerinin bir evrimi olduğundan, müşterilerini ve ortaklarını korumaya çalışan güvenlik ekiplerinin yeteneklerini büyük ölçüde artırabilecek daha modern bir çözümdür.
SOAR teknolojisi SIEM’den çok daha fazla veri çeker. Yalnızca şirket ağından değil, aynı zamanda tehdit istihbaratı gibi diğer ek güvenlik beslemelerinden de faydalanır ve ayrıca uyarıları ve günlükleri daha iyi önceliklendirir. Bununla birlikte, en büyük gücü yapay zekâ otomasyonunda yatmaktadır, çünkü BT ekibi tarafından belirlenen olaylara otomatik yanıtlar da oluşturabilir. Bu, SIEM’de olmayan bir şeydir ve tehdit ve olay araştırmasını çok daha kolay hale getirir.
Ancak SOAR, SIEM’in yerini tam olarak alabilecek gibi değil; gerçek oldukça farklı.
Hangi çözüm SOC için daha iyi?
Daha önce de belirtildiği gibi, SOAR teknik olarak SIEM’den daha etkileyici görünse de kesin bir ikame değildir. SOAR, çok sayıda veri ile desteklendiğinde en iyi şekilde çalışır, SIEM ise daha iyi bir veri toplama aracı olduğu için bunu sağlayabilir, daha sonra SOAR söz konusu verileri önceliklendirebilir, en iyi yanıtı ve düzeltmeyi vurgulayabilir ve sürecin belirli bölümlerini otomatikleştirerek bazı görevleri güvenlik operatörlerinden çıkarabilir. Bunu iki parçalı bir süreç olarak düşünün; SIEM verilerin büyük kısmını sağlarken SOAR hem biraz daha ekler hem de yanıtı yürütür.
SOC araç kutusunu geliştirmek
Güvenlik operasyon merkezleri, işverenlerini veya müşterilerini düzgün bir şekilde korumak için ellerinde birçok farklı teknoloji ve araca sahip olabilir ve hem SIEM hem de SOAR, bunun üzerine inşa edildiği için normal uç nokta koruma yazılımından daha fazlasını sunar.
SOC’lar SIEM ve SOAR’ın yaptığına benzer bir koruma elde etmek için Genişletilmiş Algılama ve Yanıt (XDR) kullanmayı da tercih edebilir, ancak teknik olarak aynı yetenekleri ve kullanım durumlarını sunmadığı için ikisinin de yerine geçmez (SIEM günlükleri daha iyi tutarken SOAR daha iyi önceliklendirme ve otomatikleştirme yapar). Ancak yine de kapsamlı tehdit tespiti ve müdahalesi sağlayabilir.
Bir başka seçenek de Yönetilen Tespit ve Müdahale (MDR) kullanmaktır. Bu durumda, bir SOC ekibi işinin bir kısmını bir güvenlik tedarikçisine yaptırır ve bu da hem tehdit ortamında hem de güvenlik operasyon merkezinin kullandığı güvenlik çözümünde daha bilgili güvenlik uzmanları ekleyerek tespit ve müdahale yeteneklerini geliştirmede fayda sağlayabilir.
Önemli olan hazırlıklı olmaktır
Bir SOC için en önemli görev, siber tehditler dünyası her zaman değiştiği ve geliştiği için her türlü olasılığa karşı hazırlıklı olmaktır. SIEM sayesinde, ellerinin altında çok sayıda veri olabilir ve bir SOC, SOAR ile tehditlere ve olaylara daha kolay yanıt verebilirken, harici veri akışlarının çeşitli entegrasyonları sayesinde tehdit istihbaratını yüksek düzeyde tutabilir.
Daha önce bahsedilen XDR veya MDR gibi başka çözümler de mevcuttur ve hepsinin farklı kullanım durumları vardır. Bunun nedeni büyük ölçüde her şeyi kapsayabilecek “her işe yarayan” bir çözümün bulunmamasıdır. Bununla birlikte, ayrı araçları bir güvenlik stratejisi içinde çok katmanlı bir siber güvenlik savunma duruşunda birleştirmek, her bir çözümün kendi içinde sahip olacağı boşlukları kapatmanın ve yamalamanın en iyi yoludur ve tam koruma elde etmek isteyen herkes için güvenlik seviyesini yükseltir.
İlgili makale: Siber tehdit istihbaratı: Saldırganların bir adım önünde olmak
