SOC oluşturmanın önemi: Ortamın içine bakmazsanız onun gerçek durumunu bilemezsiniz ve saldırganlar da buna güvenirler.
ESET UK’de pazarlama lideri olarak görevimin bir parçası da güçlü ve kapsamlı çözümlerimizin kuruluşları korumak için nasıl uygulanabileceğini, siber güvenlik seviyelerini yükseltmenin önemini açıklığa kavuşturacak şekilde aktarmaktır. Ve bu açıklığa kavuşturma ihtiyacı şimdi her zamankinden daha acil.
İngiltere Ulusal Siber Güvenlik Merkezi (NCSC) dâhil olmak üzere siber güvenlik liderleri ve kurumları, siber saldırıların “olup olmayacağı değil, ne zaman olacağı” meselesi olduğunu sık sık dile getiriyorlar. Bu nedenle, her kuruluşu “ihlal öncesi durumda” veya tehditlerin zaten mevcut olduğu ancak radarın altında kaldığı bir durumda olarak tanımlamak çok da abartılı olmayabilir.
SOC ve Scrödinger’in kedisi
Bu da akla Schrödinger’in kedisini getiriyor. Kapalı bir kutudaki kedinin aynı anda hem canlı hem de ölü olduğu ünlü düşünce deneyini – ta ki içine bakana kadar. Bu benzetme biraz zorlayıcı olabilir ancak siber güvenlik açısından, kuruluşunuz da benzer bir durumda: Hem ihlal edilmiş hem de ihlal edilmemiş, tabii siz bakana kadar. Görünürlük olmadan, bunu bilemezsiniz. Ve fark ettiğinizde çoktan hasar verilmiş olabilir.
Bu gerçeği kabul etmek, zihniyet ve strateji değişikliği gerektirir. Aslında iç tehdit avcılığı ve kötü niyetli davranışların izlenmesi için gerekli araçlara sahip olmayan kuruluşlar için bunun aslında kuantum teorisinde karşılaşılan bir ikilik olduğunu ve bu nedenle bu kuruluşların bir tür “kuantum ihlali durumu” içinde olduğunu iddia etmek mümkündür.
Bu benzetmeyi yeni gerçekliği açıklamak ve kuruluşları siber güvenlik stratejilerini buna göre yeniden gözden geçirmeleri için teşvik etmek amacıyla kullanan en az birkaç kişi daha olduğunu öğrendiğimde hiç şaşırmadım. Ben merkezci bir bakış açısıyla biraz hayal kırıcı ama çok da değil. Çünkü bu düşünce tarzı en azından bu birkaç kişiye de yankı bulmuş.
Ancak şimdi, ana mesajı vurgulamak amacıyla bu benzetmede bazı kusurlar bulmaya çalışacağım.
Rastgele ve o kadar da rastgele olmayan
İlk olarak 90 yıl önce Avusturyalı fizikçi Erwin Schrödinger tarafından açıklanan orijinal düşünce deneyi, bir elementin radyoaktif bozunumu sonucu bir parçacığın dedektöre çarpması ve bunun da kutuya zehir salınmasına ve kedinin ölmesine neden olması gibi rastgele bir olasılığa dayanıyordu. Bu, kuantum bozunumu tarafından belirlenen rastgele bir olasılıktır. Oysa bir kuruluş içindeki suçlular tarafından kötü amaçlı yazılımın “patlatılması” zamanlaması, çoğu zaman planlanmıştır.
İngiltere’deki Marks and Spencer (M&S) ihlalinin arkasında olan Scattered Spider olarak bilinen İngilizce konuşan suçlulardan oluşan resmî olmayan grubun, haftalarca şirketin sistemlerinde fark edilmeden hareket ettiği düşünülüyordu. Aynı grubun, sıkça bahsedilen Jaguar Land Rover (JLR) ihlalinin arkasında olduğu düşünülüyor. Bu ihlalin İngiltere ekonomisine 2 milyar sterlinin üzerinde bir zarara yol açtığı tahmin ediliyor. Ve resmî olarak İngiltere tarihinin en pahalı ihlali olarak kabul ediliyor.
Saldırganların JLR’nin sistemlerinde ne kadar süre kaldıklarına dair ayrıntılar belirsiz olsa da aynı taktiklerin kullanılmış olabileceğini varsaymak doğru olur. M&S vakasında, failler uzun bir süre “yerinde kalarak” Paskalya tatili hafta sonu başında kaos yaratmışlardır. JLR saldırısı ise 31 Ağustos 2025’te, İngiltere otomotiv endüstrisinin Noel ve Şükran Günü’nün birleşimi sayılabilecek 1 Eylül’deki yeni araç tescil günü (yeni plaka günü) arifesinde gerçekleştirildi.
Rastgele mi? Sanmıyorum.
Bu nedenle, kuantum ihlali benzetmesi pek geçerli değil. Bir tahminde bulunacak olursam tarih maksimum yıkım için dikkatlice planlanmıştı. Bu da saldırganlar için muhteşem bir şekilde işe yaradı (ve tabii ki JLR için muhteşem bir şekilde kötü sonuçlandı).
Bu noktada, birkaç istatistiği hatırlamakta fayda var. IBM’in 2025 Veri İhlali Maliyet Raporu’na göre, bir ihlali tespit etmek ve kontrol altına almak için gereken ortalama süre (yani ihlalin tüm yaşam döngüsü) 241 gün, bir ihlali tespit etmek için gereken ortalama süre ise 181 gündür. Her iki durumda da büyük rakamlardan bahsediyoruz. Rahatsız edici gerçek şu ki birçok kuruluş bunu fark etmeden çok önce ihlal edilmektedir. Ve kalma süresi ne kadar uzun olursa saldırının nihai “patlaması” o kadar zarar verici olur.
Çözümler: Kilitler ve/veya SOC ‘ler
Şu ana kadar, kuruluşunuzun ihlal öncesi bir durumda olduğu yönündeki “teorimi” kabul ettiyseniz şimdi çözümler hakkında düşünebilirsiniz. Bu tür bir çözüm, genellikle güvenliğinizi satın almak/yükseltmek (yani daha büyük bir kilit satın almak) veya tümüyle EDR veya XDR araçlarına yükseltmek ve ardından tehdit avına çıkmaktır. İkincisi, elbette “kutuyu açmak” ve gözlemlemekle eşdeğerdir.
JLR ve Marks & Spencer ihlallerinin arkasında olan Scattered Spider gibi siber suç gruplarının kullandığı içeriden gelen tehditler, sosyal mühendislik ve diğer saldırı stratejilerini göz önünde bulundurduğunuzda ilk seçeneği (daha büyük kilitler) tercih etmek her zaman yardımcı olmayabilir. Kilidin boyutu ne olursa olsun, anahtarların çalınması (veya kötü amaçlı bir bağlantıya tıklayarak veya parolayı vermeye veya sıfırlamaya kandırılarak etkili bir şekilde ele geçirilmesi) bu durumda kilitleri işe yaramaz hâle getirir.
Peki, SOC ne durumda?
Bunun işe yaraması için elbette, öncelikle bir tür SOC oluşturmanız ve ardından buraya güvenlik analistleri yerleştirmeniz gerekir. Çok pahalı ve zaman alıcı bir işlemdir; kurulumu aylar sürebilir ve yüz binlerce pound/dolar/euro’ya mal olabilir. Ve bu, çokça bildirilen siber güvenlik becerileri eksikliği nedeniyle yeterli sayıda kişiyi işe alabilseniz bile geçerlidir. Öyleyse “komando” olalım; yani, bunu kendimiz yapalım.
Bu seçenek dikkatle değerlendirilmelidir – bu güçlü araçları kullanmak için gereken beceri küçümsenmemelidir. Bunlar etkinleştirildiğinde birçok (çoğu/tümü) kuruluş telemetri, uyarılar ve alarmların hacminin o kadar büyük olduğunu görecek. Gürültüyü azaltmak için de bunların çoğunu devre dışı bırakacaktır.
Dolayısıyla ihlalin “kuantum durumu” artık çözülmüş olsa da yani sistemlerinizi artık gözlemliyor olsanız da bu durum daha kötü bir duruma yol açabilir ve yanlış bir güvenlik hissi yaratabilir. Şu an her şey yolunda olduğunu düşünüyorsunuz oysa muhtemelen öyle değil. Çünkü gözlemlenenleri doğru analiz etmek için yeterli beceriye sahip olmayabilirsiniz.
Buna ek olarak, ESET’te, müşterilerimiz tarafından paylaşılan ve sigorta kapsamına girebilmek için EDR çözümlerinin uygulanmasını şart koşan siber sigorta poliçelerinin sayısında artış olduğunu görüyoruz. Bu durum, güvenlik uzmanlarını gerçek bir ikilemle karşı karşıya bırakabilir. (Kaçınılmaz olan) bir ihlal durumunda poliçenin geçerliliğini korumak için bu araçları doğru bir şekilde kullanma becerisi olmadan, yüksek beceri gerektiren operatörlerin kullanması zorunlu hâle gelir.
Stres, muhtemelen dünya çapındaki siber güvenlik ekiplerinin günlük işlerini tanımlarken en çok kullandıkları kelimelerden biridir ve bu hiç de şaşırtıcı değildir. Ancak üçüncü bir yol daha var. Bu araçları geliştiren ve tehditleri tespit etmek, izlemek ve gidermek için hizmetler sunan tedarikçilere yardım istemek.
Her büyüklükteki kuruluş için giderek daha fazla tercih edilen bir yol hâline geliyor. Yönetilen Tespit ve Müdahale (MDR) hizmetleri bu ikilemi çözüyor: Araçları yöneten uzmanlar, 24 saat izleme, proaktif tehdit avcılığı, hızlı tespit ve giderme gibi özellikler, durumu rahatlatır, “kuantum ihlal durumunu” çözer, siber bombayı etkisiz hâle getirir ve nihayetinde sigorta ve uyumluluk gereksinimlerini karşılamaya büyük ölçüde yardımcı olur. En önemlisi de uzun süre kalıcı APT ve siber suç gruplarının yarattığı hasarı azaltır.
Gerçeklik kontrolü
- Sistemlerinizdeki gerçekliği gözlemleyene kadar, ihlal edildiğinizi gerçekten bilemezsiniz. İhlal edilmediğinizi biliyor musunuz?
- Tehdit avcılığı ve düzeltme için gerekli becerilere sahip değilseniz kendi başınıza denediğiniz ve kullandığınız araçlar ters etki yaratabilir ve saldırganların arkasına saklanabileceği daha fazla gürültü yaratabilir. Bu becerilere sahip misiniz?
- EDR/XDR çözümlerini uygulamak için şirket içinde gerekli becerilere sahip olsanız bile tespit ve müdahale için gereken ortalama süre (MTTD ve MTTR), üçüncü taraf bir tedarikçinin başarabileceğinden yüzlerce kat daha uzun olacaktır (örneğin, ESET’in MTTD’si < 1 dakika; MTTR’si < 6 dakikadır). Kendi MTTD ve MTTR sürelerinizin ne olduğunu biliyor musunuz?
- Gerekli SOC’yi kurmak ve 7/24/365 izleme hizmeti sunmak inanılmaz derecede pahalıdır – çoğu şirket için bu maliyet çok yüksektir. SOC kurmak ve personel istihdam etmek için yeterli zamanınız (ve paranız) var mı?
- MSP’ler ve MSSP’ler aracılığıyla sunulan MDR hizmetleri, tek kişilik/çalışandan itibaren HER büyüklükteki kuruluş için etkinleştirilebilir.
