Tehdit öncesi yapılması gerekenler, saldırı anında yapılması gerekenler ve saldırı sonrası çıkartılması gerekenler bu dersi kapsamına girmektedir.
Siber saldırıların/tehditlerin tespit edilmesinin zorlaşması
- Siber saldırıların / tehditlerin gün geçtikçe karmaşıklaşması,
- HEdef odaklı yapılan siber saldırıların, özellikle Gelişmiş Israrcı Tehdit(Advance Persistent Threat, APT)’lerin teknik ve taktiklerin sürekli değişmesi,
- Yeni teknik ve taktiklerin ortaya çıkması
- Saldırıların sisteme ilk sızma anı ile sızıntının tespit anı arasında geçen ortalama sürenin 146 gün olması(Fireeye araştırma raporu)
SGOM’in Çözüm bakış açısında üç faktör vardır:
- Teknoloji
- İnsan
- Süreç
Teknoloji
Ağ, sunucu ve işletim güvenliğinin sağlanması, Güvenli Bilgi ve Olay Yönetimi(SIEM), tehdiy istihbaratı, saldırı tespit/önleme sistemi, gelecek nesil güvenlik duverları, v.b
İnsan
Siber operasyonlar özel yetenek gerektirmektedir.
İnsan bu operasyonlarda genellikle en zayıf halka durumunda kalır.
Bu eksikliği ortadan kaldırmak için insana tekboloji kadar öenm gösterilmesi ve yatırım yapılması gerekir.
SGOM analist ve operatörlerin(SGOM takımının) iyi eğitimli ve yetenekli olması tercih edilir.
Sürekli eğitim, kurs, sertifika, üyelikler, v.b araçlarla yatırım yapılır.
SGOM içerisinde insan sayısı, niteliği, verimi ve vardiyası ile alakalı çalışmaların ve planlamalarn yapılması gerekmektedir.
Süreç
Planlı çalışmaların yapılması gerekmekte ve bu çalışmaların da başarılı olabilmesi için bir süreç içerisinde değerlendirilmesi gerekmektedir.
Zaafiyet yönetimi, vaka yönetimi, risk yönetimi, standartlara ve regülasyonlara uyumluluk gibi konular SGOM içerisinde yürütülmesi gereken süreçlere örnek olarak verilebilir.
SGOM Siber Kabiliyetleri
Gartner Adaptif Güvenlik Mimari modeline göre SGOM dört farklı yeteneği:
Tahmin (Predict):
Güncel tehditlerin farkında olma,
Bu tehditleri kullanabilecek atakları öngörme
Proaktif maruz kalma analizleri yapabilme.
Koruma (Prevent): Siber saldırılardan korunmak amacıyla;
Sistemleri izole etme,
Sıkılaştırma(hardening),
Saldırganları yönlendirme ve vakaları önleme
Tespit (Detect): Sisteme girmeyi başaran bir saldırganın;
Varlığını tespit etme,
Riskleri belirleme,
Önceliklendirme yapabilme
Müdahale (Respond):
Siber saldırıyı tespit sonrası vakaya doğru ve zamanında müdahale edebilme,
Sistemleri güvenli hale getirecek değişiklikleri yaparak geri dönüşü sağlama
