Aracılığıyla paylaş

Güvenlik ekipleri, roller ve işlevler

Bu makalede, bulut altyapısı ve platformları için gereken güvenlik rolleri ve işlevleri açıklanmaktadır. Geliştirmeden operasyonlara ve sürekli iyileştirmeye kadar bulut yaşam döngüsünün her aşamasıyla güvenliği tümleştirmek için bu rolleri kullanın.

Bulut benimsemeye dahil olan yöntemleri gösteren diyagram. Diyagramda her aşama için kutular bulunur: ekipler ve roller, strateji, plan, hazır, benimseme, idare ve yönetme. Bu makalenin kutusu vurgulanmış.

Kuruluş boyutu, bu rollere nasıl personel atandığını belirler. Büyük kuruluşlar genellikle her rol için özel ekiplere sahiptir. Küçük kuruluşlar genellikle birden çok işlevi daha az rolde birleştirir. Teknik platformlar ve hizmetler de belirli güvenlik sorumluluklarını etkiler.

Teknoloji ve bulut ekipleri bazı güvenlik görevlerini doğrudan gerçekleştirir. Özel güvenlik ekipleri, teknoloji ekipleriyle işbirliği içinde diğer görevleri gerçekleştirir. Kuruluş yapısından bağımsız olarak paydaşların gerekli güvenlik çalışmalarını anlaması gerekir. Bulut hizmetleri hakkında bilinçli kararlar almak için tüm ekiplerin iş gereksinimlerini ve risk toleranslarını anlaması gerekir. Belirli ekiplerin ve rollerin işlevlerini ve kapsamlı bulut güvenlik kapsamı sağlamak için nasıl etkileşimde bulunduklarını anlamak için bu kılavuzu kullanın.

Güvenlik rollerinin dönüşümü

Kuruluşlar bulut platformlarını ve modern geliştirme uygulamalarını benimsedikçe güvenlik mimarisi, mühendislik ve operasyon rollerinde önemli bir değişim yaşanıyor. Bu dönüşüm, güvenlik çalışmalarının nasıl gerçekleştirildiğini, ekiplerin nasıl işbirliği yaptığını ve sorumlulukların teknik işlevler arasında nasıl dağıtıldığını etkiler. Bu değişikliği birkaç faktör yönlendiriyor:

  • SaaS tabanlı ve bulutta yerel güvenlik araçlarına geçiş. SaaS platformlarının benimsenmesi, güvenlik ekiplerinin uygulamadan idareye odaklanmasını değiştirir. Güvenlik ekipleri ilkeleri, standartları ve yapılandırma temellerini sağlar. SaaS hizmetlerini doğrudan yapılandırmaz. SaaS uygulamasının sahibi olan ekipler bu kılavuzu kendi araçlarına uygular. Bu ayrım, uygulama ekiplerinin hizmetlerinin işletimsel ayarlarını yönetmesine olanak tanırken güvenlik gereksinimlerini karşılamayı sağlar.

  • Mühendislik ekipleri arasında paylaşılan bir sorumluluk olarak güvenlik. Artık tüm teknik ekipler, kendi derledikleri veya çalıştırdıkları iş yüklerine ve hizmetlere güvenlik denetimleri uygulamakla doğrudan sorumlu olur. Güvenlik ekipleri, güvenli uygulamayı varsayılan hale getiren ve teslim süreçlerindeki sürtüşmeyi azaltan düzenler, rehberlik, otomasyon ve koruyucu önlemler sağlar.

  • Daha geniş, teknoloji arası beceri gereksinimleri. Güvenlik ekiplerinin çok çeşitli teknolojileri ve saldırganların sistemler arasında nasıl hareket ettilerini giderek daha iyi anlaması gerekiyor. Bulut platformları kimlik, ağ, işlem, uygulama ve operasyon katmanlarını tümleştirdiğinden, güvenlik uzmanlarının dar teknik etki alanlarına odaklanmak yerine uçtan uca saldırı yollarını değerlendirmesi gerekir.

  • Bulut platformlarında ve güvenlik özelliklerinde sürekli değişiklik. Bulut hizmetleri hızla gelişir ve yeni özellikler sık sık görünür. Güvenlik süreçleri, mimari, mühendislik ve operasyon rollerinden daha fazla çeviklik gerektirerek etkili olmaya devam etmek için sürekli olarak uyum sağlamalıdır.

  • Sıfır Güven ilkelerine daha fazla güven. Modern saldırganlar ağ çevre denetimlerini düzenli olarak atlayarak kimlik, cihaz durumu, uygulama bağlamı ve telemetri verilerini güvenlik kararları için merkezi hale getirir. Mühendislik, operasyon ve güvenlik rollerinin Sıfır Güven düşüncesini tasarım, yapılandırma ve izleme etkinliklerine dahil etmesi gerekir.

  • Güvenliğin DevOps ve platform mühendisliği uygulamalarıyla tümleştirilmesi. Hızlandırılmış yayın döngüleri, güvenlik etkinliklerinin yaşam döngüsünde daha önce değişmesini ve otomasyon aracılığıyla çalıştırılmasını gerektirir. Güvenlik rolleri ci/CD iş akışlarına ve operasyonel süreçlere güvenlik denetimleri, ilke zorlama ve doğrulama eklemek için mühendislik ve platform ekipleriyle giderek daha fazla işbirliğine sahiptir.

Bu değişiklikler, yeni roller oluşturmak yerine mevcut rollerin birlikte çalışma şeklini yeniden şekillendirdi. Amaç, güvenliğin bulut hizmetlerinin tasarlanmasının, derlenmesinin, dağıtılmasının ve çalıştırılmasının tümleşik, sürekli bir parçası haline geldiğinden emin olmaktır.

Rollere ve ekiplere genel bakış

Aşağıdaki bölümlerde genellikle temel bulut güvenliği işlevlerini gerçekleştiren ekipler ve roller açıklanmaktadır. Geçerli kuruluş yapınızı standart bulut güvenliği işlevleriyle eşlemek için bu açıklamaları kullanın. Kapsam boşluklarını belirleyin ve kaynakların nereye yatırım yapılacağına karar verin. Tüm paydaşların güvenlik sorumluluklarını ve diğer ekiplerle nasıl işbirliği yapılacağını anladığınızdan emin olun. Teknik ekipler için ekipler arası güvenlik süreçlerini ve paylaşılan sorumluluk modelini belgeleyin. Paylaşılan sorumluluk modeli, Sorumlu, Hesap Verebilir, Danışılan, Bilgilendirilen (RACI) matrisi gibi çalışır. Belirli sonuçlar için karar alma yetkisi ve işbirliği gereksinimlerini tanımlar. Bu belge, kapsam boşluklarını ve çakışan çabaları önler. Ayrıca zayıf kimlik doğrulaması veya şifreleme çözümlerinin seçilmesi gibi yaygın kötü amaçlı yöntemleri engeller. Daha küçük bir kuruluşsanız ve en düşük uygun güvenlik ekibiyle çalışmaya başlamak istiyorsanız bkz. Küçük kuruluşlar için en düşük uygulanabilir güvenlik ekibi. Önemli güvenlik rolleri şunlardır:

Bulut hizmeti sağlayıcı

Bulut hizmeti sağlayıcıları, temel alınan bulut platformu için güvenlik işlevleri ve özellikleri sağlayan sanal ekip üyeleridir. Bazı bulut sağlayıcıları, ekiplerinizin güvenlik duruşunuzu ve olaylarınızı yönetmek için kullanabileceği güvenlik özellikleri ve özellikleri de sağlar. Bulut hizmetleri sağlayıcılarının neler gerçekleştirdiği hakkında daha fazla bilgi için bkz . Bulut paylaşılan sorumluluk modeli.

Birçok bulut hizmeti sağlayıcısı, istek üzerine veya Microsoft hizmet güveni portalı gibi bir portal aracılığıyla güvenlik uygulamaları ve denetimleri hakkında bilgi sağlar.

Altyapı/platform ekipleri (mimari, mühendislik ve operasyonlar)

Altyapı/platform mimarisi, mühendislik ve operasyon ekipleri bulut altyapısı ve platform ortamlarında (sunucular, kapsayıcılar, ağ, kimlik ve diğer teknik bileşenler arasında) bulut güvenliği, gizlilik ve uyumluluk denetimlerini uygular ve tümleştirir.

Mühendislik ve operasyon rolleri öncelikli olarak bulut veya sürekli tümleştirme ve sürekli dağıtım (CI/CD) sistemlerine odaklanabilir veya tüm bulut, CI/CD, şirket içi ve diğer altyapılar ve platformlar üzerinde çalışabilir.

Bu ekipler, kuruluşun iş iş yüklerini barındıran bulut hizmetleri için tüm kullanılabilirlik, ölçeklenebilirlik, güvenlik, gizlilik ve diğer gereksinimleri karşılamakla sorumludur. Tüm bu gereksinimleri harmanlayan ve dengeleyen sonuçlar elde etmek için güvenlik, risk, uyumluluk ve gizlilik uzmanlarıyla işbirliği içinde çalışırlar.

Güvenlik mimarisi, mühendislik ve duruş yönetimi ekipleri

Güvenlik ekipleri, güvenlik stratejisini, ilkesini ve standartlarını eyleme dönüştürülebilir mimarilere, çözümlere ve tasarım desenlerine çevirmeye yardımcı olmak için altyapı ve platform rolleriyle (ve diğerleriyle) birlikte çalışır. Bu ekipler, bulut ekiplerinin güvenlik başarısını etkinleştirmeye odaklanır. Altyapının güvenliğini ve bunu yönetmek için kullanılan süreçleri ve araçları değerlendirir ve etkiler. Altyapı için güvenlik ekipleri tarafından gerçekleştirilen yaygın görevlerden bazıları şunlardır:

  • Güvenlik mimarları ve mühendisleri , altyapı/platform muadilleriyle işbirliği içinde denetimler tasarlamak ve uygulamak için bulut ortamlarına yönelik güvenlik ilkelerini, standartlarını ve yönergelerini uyarlar. Güvenlik mimarları ve mühendisler, aşağıdakileri içeren çok çeşitli öğelerde yardımcı olabilir:

    • Kiracılar/abonelikler.Güvenlik mimarları ve mühendisleri, bulut sağlayıcıları genelinde bulut kiracıları, abonelikler ve hesaplar için güvenlik yapılandırmaları oluşturmaya yardımcı olmak için altyapı mimarları ve mühendisler ve erişim mimarları (kimlik, ağ, uygulama ve diğerleri) ile birlikte çalışır (güvenlik duruşu yönetim ekipleri tarafından izlenir).

    • Kimlik ve erişim yönetimi (IAM).Erişim mimarları (kimlik, ağ, uygulama ve diğerleri), erişim yönetimi çözümleri tasarlamak, uygulamak ve çalıştırmak için kimlik mühendisleri ve operasyonlar ve altyapı/platform ekipleri ile işbirliği gerçekleştirir. Bu çözümler, kuruluşun iş varlıklarının yetkisiz kullanımına karşı koruma sağlarken, yetkili kullanıcıların kuruluş kaynaklarına kolay ve güvenli bir şekilde erişmek için iş süreçlerini izlemesine olanak tanır. Bu ekipler kimlik dizinleri ve çoklu oturum açma (SSO) çözümleri, parolasız ve çok faktörlü kimlik doğrulaması (MFA), risk tabanlı Koşullu Erişim çözümleri, iş yükü kimlikleri, ayrıcalıklı kimlik/erişim yönetimi (PIM/PAM), bulut altyapısı ve yetkilendirme yönetimi (CIEM) gibi çözümler üzerinde çalışır. Bu ekipler ayrıca güvenlik hizmeti uç (SSE) çözümleri tasarlamak, uygulamak ve çalıştırmak için ağ mühendisleri ve operasyonlarla işbirliği de gerçekleştirir. İş yükü ekipleri, tek tek iş yükü ve uygulama bileşenlerine sorunsuz ve daha güvenli erişim sağlamak için bu özelliklerden yararlanabilir.

    • Veri güvenliği.Güvenlik mimarları ve mühendisleri, altyapı/platform ekiplerinin tüm veriler için temel veri güvenliği özellikleri oluşturmasına ve tek tek iş yüklerindeki verileri sınıflandırmak ve korumak için kullanılabilecek gelişmiş özellikler oluşturmasına yardımcı olmak için verilerle ve yapay zeka mimarlarıyla ve mühendislerle birlikte çalışır. Temel veri güvenliği hakkında daha fazla bilgi için bkz. Microsoft güvenliği Veri Koruması karşılaştırması. Tek tek iş yüklerindeki verileri koruma hakkında daha fazla bilgi için İyi Tasarlanmış Çerçeve kılavuzuna bakın.

    • Ağ güvenliği.Güvenlik mimarları ve mühendisleri, altyapı/platform ekiplerinin buluta bağlantı (özel/kiralanan hatlar), uzaktan erişim stratejileri ve çözümleri, giriş ve çıkış güvenlik duvarları, web uygulaması güvenlik duvarları (WAF'ler) ve ağ segmentasyonu gibi temel ağ güvenlik özellikleri oluşturmasına yardımcı olmak için ağ mimarları ve mühendisleriyle birlikte çalışır. Bu ekipler SSE çözümlerini tasarlamak, uygulamak ve çalıştırmak için kimlik mimarları, mühendisler ve operasyonlarla işbirliği de gerçekleştirir. İş yükü ekipleri, tek tek iş yükü ve uygulama bileşenlerinin ayrı ayrı korunmasını veya yalıtımını sağlamak için bu özelliklerden yararlanabilir.

    • Sunucular ve kapsayıcı güvenliği.Güvenlik mimarları ve mühendisleri altyapı mimarları ve mühendisleriyle işbirliği yaparak altyapı/platform ekiplerinin sunucular, sanal makineler (VM'ler), kapsayıcılar, düzenleme/yönetim, CI/CD ve ilgili sistemler için temel güvenlik özellikleri oluşturmasına yardımcı olur. Bu ekipler keşif ve envanter süreçleri, güvenlik temel/yetkilendirme yapılandırmaları, bakım ve düzeltme yamaları uygulama süreçleri, yürütülebilir ikili dosyalar için izin verilenler listesi, şablon görüntüleri, yönetim süreçleri ve daha fazlasını oluşturur. İş yükü ekipleri, tek tek iş yükü ve uygulama bileşenleri için sunucular ve kapsayıcılar için güvenlik sağlamak üzere bu temel altyapı özelliklerinden de yararlanabilir.

    • Yazılım güvenliği temelleri (uygulama güvenliği ve DevSecOps için).Güvenlik mimarları ve mühendisleri, altyapı/platform ekiplerinin tek tek iş yükleri, kod tarama, yazılım malzeme listesi (SBOM) araçları, WAF'ler ve uygulama tarama tarafından kullanılabilecek uygulama güvenliği özellikleri oluşturmasına yardımcı olmak için yazılım güvenlik mühendisleriyle birlikte çalışır. Güvenlik geliştirme yaşam döngüsü (SDL) oluşturma hakkında daha fazla bilgi için bkz . DevSecOps denetimleri . İş yükü ekiplerinin bu özellikleri nasıl kullandığı hakkında daha fazla bilgi için, İyi Tasarlanmış Çerçeve'deki güvenlik geliştirme yaşam döngüsü kılavuzuna bakın.

  • Yazılım güvenliği mühendisleri kod olarak altyapı (IaC), CI/CD iş akışları ve diğer özel olarak oluşturulmuş araçlar veya uygulamalar dahil olmak üzere altyapıyı yönetmek için kullanılan kodu, betikleri ve diğer otomatik mantığı değerlendirir. Bu mühendislerin derlenmiş uygulamalarda, betiklerde, otomasyon platformlarının yapılandırmalarında resmi kodu korumak için devreye alınması gerekir. Saldırganların sistemin çalışmasını işlemesine olanak tanıyabilecek diğer yürütülebilir kod veya betik türlerini gözden geçirirler. Bu değerlendirme yalnızca bir sistemin tehdit modeli analizini gerçekleştirmeyi veya kod gözden geçirme ve güvenlik tarama araçlarını içerebilir. SDL oluşturma hakkında daha fazla bilgi için SDL uygulamaları kılavuzuna bakın.

  • Duruş yönetimi (güvenlik açığı yönetimi / saldırı yüzeyi yönetimi), teknik operasyon ekipleri için güvenlik etkinleştirmesine odaklanan operasyonel güvenlik ekibidir. Duruş yönetimi, bu ekiplerin saldırı tekniklerini engellemek veya azaltmak için denetimleri önceliklendirmesine ve uygulamasına yardımcı olur. Duruş yönetimi ekipleri tüm teknik operasyon ekipleri (bulut ekipleri dahil) genelinde çalışır ve genellikle güvenlik gereksinimlerini, uyumluluk gereksinimlerini ve idare süreçlerini anlamanın birincil aracı olarak görev görür.

    Duruş yönetimi genellikle yazılım mühendislerinin uygulama geliştirme ekipleri için güvenlik CoE'sı olarak hizmet verme şekline benzer şekilde güvenlik altyapısı ekipleri için mükemmellik merkezi (CoE) görevi görür. Bu ekipler için tipik görevler şunlardır.

    • Güvenlik durumu izleme. Microsoft Güvenlik Açıkları Yönetimi, Microsoft Entra İzin Yönetimi, Microsoft dışı güvenlik açığı yönetimi ve Dış Saldırı Yüzeyi Yönetimi (EASM) ve CIEM araçları ile özel güvenlik duruşu yönetim araçları ve panoları gibi güvenlik duruşu yönetim araçlarını kullanarak tüm teknik sistemleri izleyin. Ayrıca duruş yönetimi aşağıdakilere göre içgörüler sağlamak için analiz gerçekleştirir:

      • Yüksek olasılıkla ve zarar verici saldırı yollarını tahmin etme. Saldırganlar farklı sistemlerde birden çok varlığı ve güvenlik açığını birbirine bağlayarak "grafiklerde düşünür" ve iş açısından kritik sistemlerin yollarını arar. Örneğin, kullanıcı uç noktalarının güvenliğini tehlikeye atıp karma/anahtar kullanarak yönetici kimlik bilgilerini yakalayıp iş açısından kritik verilere erişin. Duruş yönetimi ekipleri, her zaman teknik listelerde ve raporlarda görünmeyen bu gizli riskleri keşfetmek ve azaltmak için güvenlik mimarları ve mühendislerle birlikte çalışır.

      • Güvenlik duruşu araçlarından alınan teknik verilerin ötesinde daha ayrıntılı bilgi ve içgörüler elde etmek için sistem yapılandırmalarını ve operasyonel süreçleri gözden geçirmek için güvenlik değerlendirmeleri gerçekleştirme. Bu değerlendirmeler, resmi olmayan keşif konuşmaları veya resmi tehdit modelleme alıştırmaları biçiminde olabilir.

    • Öncelik belirleme konusunda yardımcı olun. Teknik ekiplerin varlıklarını proaktif olarak izlemesine ve güvenlik çalışmalarını önceliklendirmesine yardımcı olun. Duruş yönetimi, güvenlik uyumluluk gereksinimlerine ek olarak güvenlik riski etkisini (deneyim, güvenlik operasyonları olay raporları ve diğer tehdit bilgileri, iş zekası ve diğer kaynaklar tarafından bilgilendirilir) göz önünde bulundurarak risk azaltma çalışmasının bağlam içine alınmasına yardımcı olur.

    • Eğit, rehberlik et, destekle. Eğitim, bireysel rehberlik ve resmi olmayan bilgi aktarımı ile teknik mühendislik ekiplerinin güvenlik bilgi ve becerilerini artırın. Duruş yönetimi rolleri, kurumsal hazırlık / eğitim ve güvenlik eğitimi ve etkileşimi rolleri ile, resmi güvenlik eğitimi konusunda ve güvenlik konusunu iş arkadaşlarına anlatan teknik ekipler içinde güvenliği kurmak üzerine çalışabilir.

    • Boşlukları belirleyin ve düzeltmeleri önerin. Genel eğilimleri, süreç boşluklarını, araç boşluklarını ve riskler ve risk azaltmalarla ilgili diğer içgörüleri belirleyin. Durum yönetimi rolleri, çözüm geliştirmek, finansman çözümleri için bir örnek oluşturmak ve düzeltmeleri dağıtmaya yardımcı olmak amacıyla güvenlik mimarları ve mühendisleriyle işbirliği yapar ve iletişim kurar.

    • Güvenlik operasyonlarıyla (SecOps) koordinasyon sağlamak. Teknik ekiplerin algılama mühendisliği ve tehdit avcılığı ekipleri gibi SecOps rolleriyle çalışmasına yardımcı olun. Tüm operasyonel rollerdeki bu süreklilik, algılamaların yerinde ve doğru şekilde uygulanmasını, güvenlik verilerinin olay araştırması ve tehdit avcılığı için kullanılabilir olmasını, işlemlerin işbirliği için mevcut olmasını ve daha fazlasını sağlamaya yardımcı olur.

    • Raporlar sağlayın. Kurumsal risk süreçlerini güncelleştirmek için üst yönetime ve paydaşlara güvenlik olayları, eğilimler ve performans ölçümleri hakkında zamanında ve doğru raporlar sağlayın.

    Postür yönetimi ekipleri genellikle Open Group Sıfır Güven Referans Modeli'nde açıklanan işlevsel, yapılandırma ve işletimsel güvenlik açığı türlerinin tamamını kapsamak için mevcut yazılım güvenlik açığı yönetimi rollerinden gelişir. Her güvenlik açığı türü, yetkisiz kullanıcıların (saldırganlar dahil) yazılım veya sistemlerin denetimini ele geçirmesine olanak tanıyarak iş varlıklarına zarar vermelerini sağlayabilir.

    • İşlevsel güvenlik açıkları yazılım tasarımında veya uygulamasında ortaya çıkar. Etkilenen yazılımın yetkisiz denetimine izin verebilirler. Bu güvenlik açıkları, kendi ekiplerinizin geliştirdiği yazılımlardaki kusurlar veya ticari veya açık kaynak yazılımlarda (genellikle Ortak Güvenlik Açıkları ve Etkilenmeler tanımlayıcısı tarafından izlenen) kusurlar olabilir.

    • Yapılandırma güvenlik açıkları , sistem işlevselliğine yetkisiz erişim sağlayan sistemlerin yanlış yapılandırılmalarıdır. Bu güvenlik açıkları, yapılandırma kayılması olarak da bilinen devam eden işlemler sırasında ortaya konabilir. Ayrıca yazılım ve sistemlerin ilk dağıtımı ve yapılandırması sırasında veya bir satıcının zayıf güvenlik varsayılanları tarafından da tanıtılabilir. Bazı yaygın örnekler aşağıdakileri içermektedir:

      • DNS kayıtları ve grup üyeliği gibi öğelere yetkisiz erişim sağlayan yalnız bırakılmış nesneler.

      • Aşırı yönetim rolleri veya kaynaklara yönelik izinler.

      • Bilinen güvenlik sorunları olan daha zayıf bir kimlik doğrulama protokolünün veya şifreleme algoritmasının kullanılması.

      • Zayıf varsayılan yapılandırmalar veya varsayılan parolalar.

    • operasyonel güvenlik açıkları , sistemlerin yetkisiz erişimine veya denetimine izin veren standart işletim süreçlerinde ve uygulamalarında zayıflıklardır. Örnekler şunları içerir:

      • Yöneticiler ayrıcalıklı görevleri gerçekleştirmek için kendi hesapları yerine paylaşılan hesapları kullanıyor.

      • "Yukarı göz atma" yapılandırmalarının saldırganlar tarafından kötüye kullanılabilecek ayrıcalık yükseltme yolları oluşturmadaki kullanımı. Bu güvenlik açığı, yüksek ayrıcalıklı yönetim hesapları düşük güvenilir kullanıcı cihazlarında ve iş istasyonlarında (standart kullanıcı iş istasyonları ve kullanıcıya ait cihazlar gibi) oturum açarken, bazen bu riskleri etkili bir şekilde azaltmayan atlama sunucuları aracılığıyla ortaya çıkar. Daha fazla bilgi için bkz. ayrıcalıklı erişimin güvenliğini sağlama ve ayrıcalıklı erişim cihazları.

Güvenlik işlemleri (SecOps/SOC)

SecOps ekibi bazen Güvenlik İşlemleri Merkezi (SOC) olarak adlandırılır. SecOps ekibi, kuruluşun varlıklarına yönelik saldırgan erişimi hızla bulmaya ve kaldırmaya odaklanır. Teknoloji operasyonları ve mühendislik ekipleri ile yakın ortaklık içinde çalışırlar. SecOps rolleri geleneksel BT, operasyonel teknoloji (OT) ve Nesnelerin İnterneti (IoT) dahil olmak üzere kuruluştaki tüm teknolojilerde çalışabilir. Aşağıda, bulut ekipleriyle en sık etkileşim kuran SecOps rolleri bulunur:

  • Önceliklendirme analistleri (katman 1). İyi bilinen saldırı teknikleri için olay algılamalarına yanıt verir ve bunları hızlı bir şekilde çözmek (veya bunları uygun şekilde araştırma analistlerine ilerletmek) için belgelenmiş yordamları izler. SecOps kapsamına ve olgunluk düzeyine bağlı olarak, bu e-posta, uç nokta kötü amaçlı yazılımdan koruma çözümleri, bulut hizmetleri, ağ algılamaları veya diğer teknik sistemlerden gelen algılamaları ve uyarıları içerebilir.

  • Araştırma analistleri (katman 2). Daha fazla deneyim ve uzmanlık gerektiren (iyi belgelenmiş çözüm yordamlarının ötesinde) daha yüksek karmaşıklığa ve daha yüksek önem derecesine sahip olay araştırmalarına yanıt verir. Bu ekip genellikle canlı insan saldırganları tarafından gerçekleştirilen saldırıları ve birden çok sistemi etkileyen saldırıları araştırır. Olayları araştırmak ve çözmek için teknoloji operasyonları ve mühendislik ekipleri ile yakın işbirliği içinde çalışır.

  • Tehdit avcılığı. Standart algılama mekanizmalarından kaçan teknik altyapıdaki gizli tehditleri proaktif olarak arar. Bu rol, gelişmiş analiz ve hipotez temelli araştırmalardan faydalanıyor.

  • Tehdit bilgisi. Saldırganlar ve tehditler hakkında iş, teknoloji ve güvenlik dahil olmak üzere tüm paydaşlara bilgi toplar ve dağıtır. Tehdit bilgileri ekipleri araştırma yapar, bulgularını paylaşır (resmi veya resmi olmayan şekilde) ve bunları bulut güvenlik ekibi de dahil olmak üzere çeşitli paydaşlara dağıtır. Bu güvenlik bağlamı, bu ekiplerin tasarım, uygulama, test ve operasyonda gerçek dünya saldırı bilgilerini kullanmaları ve sürekli geliştirmeleri nedeniyle bulut hizmetlerini saldırılara karşı daha dayanıklı hale getirmelerine yardımcı olur.

  • Algılama mühendisliği. Özel saldırı algılamaları oluşturur ve satıcılar ve daha geniş bir topluluk tarafından sağlanan saldırı algılamalarını özelleştirir. Bu özel saldırı algılamaları, yaygın olarak genişletilmiş algılama ve yanıt (XDR) araçlarında ve bazı güvenlik bilgileri ve olay yönetimi (SIEM) araçlarında bulunan yaygın saldırılar için satıcı tarafından sağlanan algılamaları destekler. Algılama mühendisleri, algılamaları tasarlama ve uygulama fırsatlarını, bunları desteklemek için gereken verileri ve algılamalara yönelik yanıt/kurtarma yordamlarını belirlemek için bulut güvenlik ekipleriyle birlikte çalışır.

Güvenlik İdaresi, Risk ve Uyumluluk

Güvenlik İdaresi, Risk ve Uyumluluk (GRC), güvenlik ekiplerinin teknik çalışmalarını kuruluş hedefleri ve beklentileriyle tümleştiren birbiriyle ilişkili bir disiplin kümesidir. Bu roller ve takımlar iki veya daha fazla uzmanlık alanının karması olabileceği gibi ayrık roller de olabilir. Bulut ekipleri, bulut teknolojisi yaşam döngüsü boyunca bu uzmanlık alanlarının her biriyle etkileşim kurar:

  • İdare disiplini temel bir yetenektir. İdare ekipleri, kuruluşun güvenliğin tüm yönlerini tutarlı bir şekilde uygulamasına odaklanır. Ekipleri bağlayan ve yönlendiren karar hakları (hangi kararları kimin aldığı) ve süreç çerçeveleri oluşturur. Etkili idare olmadan, doğru denetimlere, ilkelere ve teknolojiye sahip bir kuruluş, hedeflenen savunmaların iyi, tamamen veya hiç uygulanmadığı alanlardan yararlanan saldırganların kurbanı olmaya devam edebilir.

  • Risk yönetimi uzmanlık alanı, kurumsal riski değerlendirmeye, anlamaya ve azaltmaya odaklanır. Risk yönetimi ekipleri, geçerli riskin net bir gösterimini oluşturmak ve güncel tutmak için kuruluş genelinde çalışır. Bulut ve risk ekipleri, bulut altyapısında ve platformlarında barındırılan kritik iş hizmetlerinden gelen riskleri değerlendirmek ve yönetmek için işbirliği yapmalıdır. Tedarik zinciri güvenliği dış satıcılardan, açık kaynak bileşenlerinden ve iş ortaklarından gelen riskleri ele alır.

  • Uyumluluk uzmanlık alanı, sistemlerin ve süreçlerin mevzuat gereksinimleri ve iç ilkelerle uyumlu olmasını sağlar. Bu disiplin olmadan, kuruluş dış yükümlülüklere uyumsuzluk (para cezaları, sorumluluk, bazı pazarlarda faaliyet gösterememesinden kaynaklanan gelir kaybı ve daha fazlası) ile ilgili risklere maruz kalabilir. Uyumluluk gereksinimleri genellikle saldırganların evrim hızına ayak uyduramaz, ancak yine de önemli bir gereksinim kaynağıdır.

Bu uzmanlık alanlarının üçü de tüm ekipler genelinde kurumsal sonuçlar elde etmek için tüm teknoloji ve sistemlerde çalışır. Üçü de birbirlerinden aldıkları bağlama dayanır ve tehditler, iş ve teknoloji ortamıyla ilgili güncel yüksek aslına uygun verilerden önemli ölçüde yararlanırlar. Bu disiplinler, uygulanabilecek eyleme dönüştürülebilir bir vizyon ve güvenlik eğitimi ile ilkeyi ifade etmek için mimariye de güvenir ve günlük birçok kararda ekiplere yol gösterir.

Bulut mühendisliği ve operasyon ekipleri, GRC konularında duruş yönetimi rolleri, uyumluluk ve denetim ekipleri, güvenlik mimarisi ve mühendisliği veya bilgi güvenliği sorumlusu (CISO) rolleri ile çalışabilir.

Güvenlik eğitimi, farkındalık ve ilke

Kuruluşlar, günlük çalışmalarında güvenliği etkili bir şekilde uygulamak için tüm rollerin bilgi, rehberlik ve güvene sahip olduğundan emin olmalıdır. Eğitim ve farkındalık genellikle bir kuruluşun güvenlik duruşundaki en zayıf bağlantılardır, bu nedenle tek seferlik eğitim olayları olarak ele alınmak yerine sürekli, rol farkında ve normal operasyonlara katıştırılmış olmalıdır.

Güçlü bir program, yapılandırılmış eğitim, resmi olmayan mentorluk ve teknik ekipler içinde belirlenen güvenlik şampiyonlarını içerir. Eğitim kimlik avı farkındalığını, kimlik hijyenini, güvenli yapılandırma uygulamalarını ve mühendislik rolleri için güvenli bir geliştirme zihniyetini kapsamalıdır. Bu çabalar, bireylerin güvenliğin neden önemli olduğunu, onlardan hangi eylemlerin beklendiğini ve bu eylemlerin doğru bir şekilde nasıl gerçekleştirileceklerini net bir şekilde anladığı, güvenlik öncelikli bir kültürü pekiştirmektedir.

Güvenlik eğitimi ve ilkesi her rolün şunu anlamasına yardımcı olmalıdır:

  • Neden. Güvenlik, sorumlulukları ve hedefleri bağlamında neden önemlidir? Bu anlayış olmadan, bireyler güvenliğin önceliklerini azaltır ve diğer görevlere odaklanır.
  • Ne. Belirli güvenlik görevleri ve beklentileri, rolleri ile uyumlu bir dilde açıklanmıştır. Netlik olmadan, insanlar güvenliğin kendileri için uygun olmadığını varsayar.
  • Nasıl. Sistemlere düzeltme eki uygulama, kodu güvenli bir şekilde gözden geçirme, tehdit modelini tamamlama veya kimlik avı girişimlerini tanımlama gibi gerekli güvenlik görevlerini doğru bir şekilde gerçekleştirme. Pratik rehberlik olmadan, insanlar isteyerek bile başarısız olur.

Küçük kuruluşlar için en düşük uygun güvenlik ekibi

Küçük kuruluşlarda genellikle belirli güvenlik işlevlerine bireyleri ayırmak için kaynaklar eksiktir. Bu ortamlarda, minimum rollerle temel sorumlulukları kapsar. Bulut platformu mühendisliği ve güvenlik sorumluluklarını, güvenli yapılandırma, kimlik hijyeni, izleme ve temel olay yanıtını yöneten tek bir işlevde birleştirin. Tehdit algılama iyileştirmesi, sızma testi veya uyumluluk gözden geçirmeleri gibi özel uzmanlık veya sürekli kapsam gerektiren görevleri, yönetilen güvenlik sağlayıcılarına devir. Büyük ekipler olmadan tutarlı bir güvenlik düzeyini korumak ve operasyonel ek yükü azaltmak için duruş yönetimi, kimlik koruması, yapılandırma temelleri ve otomatik ilke uygulama gibi buluta özel araçları kullanın.

Örnek senaryo: Ekipler arasında tipik birlikte çalışabilirlik

Bir kuruluş bir web uygulaması güvenlik duvarı dağıtıp kullanıma hazır hale getirdiğinde, çeşitli güvenlik ekiplerinin mevcut güvenlik altyapısına etkili dağıtım, yönetim ve tümleştirme sağlamak için işbirliği yapması gerekir. Ekipler arasındaki birlikte çalışabilirlik, kurumsal bir güvenlik kuruluşunda şu şekilde görünebilir:

  1. Planlama ve tasarım
    1. İdare ekibi gelişmiş web uygulaması güvenliği gereksinimini tanımlar ve waf için bütçe ayırır.
    2. Ağ güvenlik mimarı WAF dağıtım stratejisini tasarlayarak mevcut güvenlik denetimleriyle sorunsuz bir şekilde tümleştirilmesini ve kuruluşun güvenlik mimarisiyle uyumlu olmasını sağlar.
  2. Uygulama
    1. Ağ güvenlik mühendisi WAF'yi mimarın tasarımına göre dağıtarak belirli web uygulamalarını koruyacak şekilde yapılandırır ve izlemeyi etkinleştirir.
    2. IAM mühendisi erişim denetimlerini ayarlayarak WAF'yi yalnızca yetkili personelin yönetebilmesini sağlar.
  3. İzleme ve yönetim
    1. Duruş yönetimi takımı, WAF için izleme ve uyarı yapılandırılması ile WAF etkinliğinin takibi için panoların ayarlanmasına yönelik SOC'ye yönergeler sağlar.
    2. Tehdit bilgileri ve algılama mühendisliği ekipleri , WAF'yi içeren olaylar için yanıt planları geliştirmeye ve bu planları test etmek için simülasyonlar gerçekleştirmeye yardımcı olur.
  4. Uyumluluk ve risk yönetimi
    1. Uyumluluk ve risk yönetimi yetkilisi, yasal gereksinimleri karşıladığından ve düzenli denetimler yürüttüğünden emin olmak için WAF dağıtımını inceler.
    2. Veri güvenliği mühendisi WAF'nin günlük ve veri koruma önlemlerinin veri gizliliği düzenlemelerine uygun olmasını sağlar.
  5. Sürekli iyileştirme ve eğitim
    1. DevSecOps mühendisi, GÜNCELLEŞTIRMElerin ve yapılandırmaların otomatik ve tutarlı olmasını sağlayarak WAF yönetimini CI/CD işlem hattıyla tümleştirir.
    2. Güvenlik eğitimi ve görevlendirmesi uzmanı , tüm ilgili personelin WAF'yi etkili bir şekilde kullanmayı ve yönetmeyi anlamasını sağlamak için eğitim programları geliştirir ve sunar.
    3. Bulut idaresi ekibi üyesi waf dağıtım ve yönetim süreçlerini gözden geçirerek kuruluş ilkeleri ve standartlarıyla uyumlu olduğundan emin olur.

Bu roller, web uygulaması güvenlik duvarının doğru dağıtılmasını ve kuruluşun web uygulamalarını gelişen tehditlere karşı korumak için sürekli olarak izlenmesini, yönetilmesini ve geliştirilmesini sağlar.

Sonraki adım

Güvenliği bulut benimseme stratejinizle tümleştirme

  • Last updated on