Tehdit İstihbaratı Ekibi (CERT/SOC) Nasıl Kurulur?

M

müfettiş

Moderatör
Top Poster Of Month
Creator
Katılım
20 Ocak 2024
Mesajlar
51
Tepkime puanı
0
Puanları
8
whatis-comparing_csirt_cert_soc_mobile.png


Tehdit İstihbaratı Ekibi (CERT/SOC) Nasıl Kurulur?​

Giriş: Savunmanın Komuta Merkezi​

Teknik araçları ve analiz yöntemlerini öğrendik. Peki bu işi kurumsal seviyede, 7/24 kesintisiz yapacak organizasyonel yapı nedir? Bir şirketi veya ülkeyi koruyan o "büyük ekranlı odalar" nelerdir?

Bu yapılar iki temel isimle anılır: SOC (Security Operations Center) ve CERT (Computer Emergency Response Team). İkisi de savunma hattıdır ama görev tanımları farklıdır. Bir Tehdit İstihbaratı (CTI) programı ise bu iki yapının "beyni" olarak konumlanır.

SOC vs. CERT: Fark Nedir?​

  • SOC (Güvenlik Operasyon Merkezi): "Gözetleme Kulesi"dir. Sürekli izler. Logları toplar, alarmları inceler ve "Bir saldırı var mı?" sorusuna yanıt arar. Vardiyalı analistler (Tier 1, 2, 3) çalışır.
  • CERT / CSIRT (Olay Müdahale Ekibi): "İtfaiye"dir. SOC "Yangın var!" dediğinde, CERT ekibi olay yerine gider, yangını söndürür, delil toplar ve hasarı onarır.

Modern CTI (Cyber Threat Intelligence) Ekibinin Rolleri​

Etkili bir istihbarat ekibi kurmak için şu rollere ihtiyacınız vardır:
  1. Tehdit Analisti (Threat Analyst): Gelen veriyi (Alerts) inceleyen, "Bu bir yanlış alarm mı yoksa gerçek saldırı mı?" kararını veren kişi.
  2. İstihbarat Araştırmacısı (Intel Researcher): Dark Web'de gezen, hacker forumlarına sızan, saldırgan profillerini (APT) takip eden "avcı".
  3. Tehdit Avcısı (Threat Hunter): Alarm beklemez. "Sistemde kesin bir sızıntı var" varsayımıyla ağın derinliklerinde anomali arar.
  4. CTI Mühendisi: İstihbarat platformlarının (MISP, OpenCTI) kurulumundan ve entegrasyonundan sorumludur.

Teknoloji Yığını (Tech Stack)​

İyi bir ekip, iyi araçlara muhtaçtır. SOC/CTI mimarisinin üç ayağı vardır:
  1. SIEM (Security Information and Event Management): Tüm logların toplandığı beyin. (Splunk, QRadar, ELK).
  2. TIP (Threat Intelligence Platform): Dış dünyadan gelen istihbaratın (Feed) toplandığı havuz. (MISP, ThreatConnect).
  3. SOAR (Security Orchestration, Automation and Response): Tekrarlayan işleri otomatize eden robot kollar. "Bu IP zararlıysa, git Firewall'da engelle" emrini SOAR uygular.

Süreçler: OODA Döngüsü​

Ekip kuruldu, araçlar hazır. Peki nasıl çalışacaklar? Askeri stratejiden alınan OODA (Observe, Orient, Decide, Act) döngüsü kullanılır:
  1. Gözlemle: Logları ve istihbarat akışlarını izle.
  2. Yönel: Tehdidin bağlamını anla (Bu saldırı finans sektörüne mi yönelik?).
  3. Karar Ver: Engelliyor muyuz, izliyor muyuz yoksa honeypot'a mı yönlendiriyoruz?
  4. Harekete Geç: Müdahale et ve raporla.

Başarı Kriterleri (KPIs)​

Bir SOC/CTI ekibinin başarısı "kaç saldırı engellediği" ile değil, hızla ölçülür:
  • MTTD (Mean Time to Detect): Bir saldırı başladığında, fark etmemiz kaç dakika sürdü?
  • MTTR (Mean Time to Respond): Fark ettikten sonra durdurmamız kaç dakika sürdü?Hedef, bu süreleri aşağı çekmektir.

Sonuç​

Tehdit İstihbaratı Ekibi kurmak, pahalı ekranlar alıp duvara asmak değildir. Doğru insanları (Analistler), doğru süreçlerle (Playbooks) ve doğru teknolojiyle (SIEM/SOAR) donatmaktır. Kurumun "bağışıklık sistemi" olan bu ekipler, dijital dünyada hayatta kalmanın garantisidir.
 
Cevap yazmak için giriş yap yada kayıt ol.
Geri
Üst