• Buradasın

    Atar Labs ve SOAR Teknolojisi Hakkında Kapsamlı Röportaj

    youtube.com/watch?v=9FeovFV3EBw

    Yapay zekadan makale özeti

    • Bu video, Çözüm Park'ın 602. web kestisi formatında bir röportajdır. Röportajı Gökhan moderatör yaparken, konuk olarak 15 yıldır güvenlik sektöründe çalışan ve şu anda Atar Labs'ta saha servisleri direktörü olarak görev yapan Nurettin Erginaz bulunmaktadır.
    • Video, Atar Labs ürünleri ve SOAR (Security Orchestration, Automation and Response) teknolojisi hakkında detaylı bilgiler sunmaktadır. İçerikte Atar Labs'ın kuruluşu, gelişimi ve teknolojik çözümleri anlatılırken, güvenlik sistemlerinde karşılaşılan sorunlar, yetkin insan bulma zorluğu ve bunlara teknolojik çözümlerle yaklaşım ele alınmaktadır. Ayrıca, Atar'ın multitenant sistemi, e-SOSU entegrasyonu ve farklı kullanım senaryoları da detaylı şekilde açıklanmaktadır.
    • Videoda ayrıca güvenlik operasyonlarında otomasyonun önemi, tekrar eden olayları robotlara devretme, farklı güvenlik sistemlerini tek bir kokpit üzerinden yönetme ve performans analizi gibi konular da ele alınmaktadır. Atar'ın bankacılık sektöründeki uygulamaları, verimliliği ve maliyet tasarrufu ile ilgili örnekler de sunulmaktadır.
    00:01Programın Tanıtımı
    • Çözüm Park'ın 602. web kestesi, bu sefer güvenlik konusuyla ilgili bir program.
    • Programda uzun yıllardan beri sektörde olan Nurettin Ergöz, Atar Labs firmasının saha servisleri direktörü olarak konuk.
    • Programda CM, SOC, SSC, as a service gibi güvenlik konuları ele alınacak.
    01:33Konunun Özeti
    • Güvenlik konuları zor ve riskli olduğu için konuşulurken dikkatli olunması gerekiyor.
    • Nurettin Ergöz, yaklaşık 15 senedir güvenlik alanında çalışmakta ve son 2 yılda Atar Labs'ta saha servisleri direktörlüğü yapmaktadır.
    • Atar Labs, Türkiye'den global'e bir ürün çıkarmak amacıyla kurulmuş bir şirket.
    05:42Güvenlik Evrimi
    • Güvenlik alanında 56-51'den sonra ESOI, ESOE, ESOI-SIEM ve SOAR gibi evrimsel süreçler yaşanmıştır.
    • İlk olarak log management ürünleri çıktı, sonra alarm sayısı artınca korelasyon ve EPS değerleri hayatımıza girdi.
    • Korelasyon sonrası CM (Cybersecurity Management) konusu gündeme geldi, ancak bu konuda hala olgunluk seviyesine ulaşmak zor.
    08:14SOAR ve Atar Ürünü
    • SOAR (Security Orchestration, Automation and Response) çözümü, tüm güvenlik çözümlerinin üzerinde şemsiye görevi gören bir sistemdir.
    • Atar, bu ürünlerden biri olup, tüm çözümleri orkestra ve otomotize eden bir çözüm sunmaktadır.
    • SOAR sistemleri, atak olmadan önce olası yerlere doğru hareketleri tanımlayarak hazır müdahale senaryoları oluşturabilir.
    09:54Güvenlik Süreçleri
    • Bir SOAR ürünü bir detection ürünü değildir, detection ürünü yapar ve alarmsı SIEM'e gönderir.
    • Tüm cihazların notification'larını tek bir merkezde toplamak daha avantajlıdır.
    • Kurumlar, mevcut framework'lere (SS, NIST, MITRE gibi) uygun şekilde müdahale adımlarını tanımlayabilir veya manuel adımlarla ilerleyebilir.
    11:34Social Engineering ve Güvenlik Tehlikeleri
    • Sistemlere giriş yaparken kullanılan bilgilerin (şifreler, doğum tarihleri, isimler) güvenliği önemlidir.
    • Social engineering, kişilerden kişisel bilgileri alarak güvenlik açıklarını kullanma yöntemidir.
    • Güvenlik farkındalığı, bu tür saldırıların önlenmesinde kilit rol oynar.
    12:23Gardner ve Güvenlik Sistemleri
    • Gardner, instant analiz yapabilen bir araç olarak tanımlanır ve CM ürünleriyle karıştırılmamalıdır.
    • CM'deki basit alarmları firewall'da bloklamakla kalmayıp, daha kapsamlı bir çözüm sunar.
    • SIEM ve Gardner konsept olarak benzer çalışsa da tamamen farklı ürünlerdir.
    13:36Büyük Veri ve Güvenlik Sorunları
    • Veri depolama teknolojileri gelişirken, veri kaynaklarının çeşitlendiği ve lenscape arttığı bir ortam oluşmuştur.
    • Büyük veri depolama alanlarına sahip olmak gerekebilecek sorunlar, güvenlik sistemlerinde önemli bir zorluk oluşturmuştur.
    • Güvenlik sistemleri, farklı formatlarda veri alabilir ve roblock kullanarak verileri anlamlandırabilir.
    15:31Güvenlik Takımlarının Karşılaştığı Sorunlar
    • Güvenlik takımları, büyüyen lenscape ve artan alarm sayısından dolayı zorluklar yaşamaktadır.
    • Güvenlik ürünlerinin sürekli değişmesi ve yeni özelliklerinin eklenmesi, takımların sürekli öğrenmeye ihtiyaç duymasına neden olmaktadır.
    • Eski güvenlik sistemleri (firewall, IPS) artık yeterli olmayarak, daha karmaşık saldırılarla karşı karşıya kalındığı için farklı bir yanıt gereklidir.
    17:15Alarm Sayısının Artması ve Sorunlar
    • Artan alarm sayısı, güvenlik takımlarının işini zorlaştırarak, gerçek tehditleri fark etmelerini engellemektedir.
    • Güvenlik sistemleri, gerçek tehditleri hızlıca belirleyebilmek için daha etkili olmalıdır.
    • Fos pozitifleri (yanlış pozitifler) ve korelasyon sorunları, günümüzdeki güvenlik sistemlerinde en büyük zorluklardan biridir.
    18:48İhtiyaç Analizi ve Karar Alma Süreci
    • Konuşmacı, ortaokul ve lise çocuklarıyla çalışırken çocukların telefon markaları hakkında konuşmalarını ve bu durumun ailelerin maddi durumunu yansıttığını belirtiyor.
    • Satın alma kararları sadece marka değil, gerçek ihtiyaç analizinden sonra verilmelidir.
    • Karar verirken önceliklendirme yapmak ve "kanban" adı verilen sistemi kullanmak önemlidir.
    21:03Yetkin İnsan Bulma Zorluğu
    • Sans'ın 2018 ve 2019 araştırmalarında katılımcıların %50'sinden fazlası yetenekli insan bulmanın zorluğunu belirtmiştir.
    • Avrupa'da dikey uzmanlıklar (örneğin sadece network security) çok yaygınken, Türkiye'de "İsviçre çakısı" modeli nedeniyle yetkin insanlar genellikle yatayda kalıyor.
    • Türkiye'de yetkin insanların az olması, iş yükünün artmasına neden oluyor.
    23:18Atari ve Alarmların Yönetimi
    • Level 1 ve Level 2 adamlar alarmları filtreleyerek daha üst seviyelere yönlendiriyor, bu süreç pahalı bir yöntemdir.
    • Atari, alarmları doğru olanları doğru insanların önüne geçirmeyi amaçlayan bir sistemdir.
    • Yetenekli insanları toplamak zor olsa da, bu insanlara günlük iş vermek gerekiyor.
    26:01Güvenlik Operasyonlarında Otomasyon Kullanımı
    • Güvenlik operasyonlarında otomasyon, günlük işlerin bir kısmını robotik tarafta üstlenerek insan yetkinliğini daha dikey alanlara yönlendiriyor.
    • Otomasyon, işsizlik değil yeni iş alanları yaratıyor; protec process automation sistemiyle globalde 17 milyon işsizlik oluşsa da 22 milyon yeni iş alımı gerçekleşmiş.
    • Güvenlik alanında otomasyonun temel amacı daha iyi güvenlik sağlamak, daha hızlı tespit etmek ve geri dönüşümü hızlandırmak.
    28:23Atak Hızı ve Alarm Miktarının Artması
    • Atak hızı artmış durumda; bir malware ortama girdiğinde 15 dakikanın altında işlemi tamamlıyor ve çıkıyor.
    • Güvenlik sistemlerinde alarm miktarı artmış durumda; günde 2000-3000 alarm alan büyük kuruluşlar var.
    • Her bir alarm için insan gücüyle tespit etmek 6-8 saat sürüyor ve bu süre insan kaynaklarını sınırlıyor.
    31:51Otomasyonun Güvenlik Alanında Katkısı
    • Otomasyon, tekrar eden olayları otomatikleştirmek için kullanılıyor ve istenirse onay mekanizmaları ile yarı otomatik çalışabilir.
    • Güvenlik alanında 119'dan fazla ürünle entegre olunmuş ve her 5 haftada yeni bir ürün ekleniyor.
    • Otomasyon, %40-50'lik alarm miktarını 5-10 arası senaryo ile otomatikleştirebiliyor ve insan kaynaklarını daha önemli olaylara yönlendiriyor.
    33:30Kullanıcı Arayüzü ve Performans İzleme
    • Güvenlik alanında kullanılan farklı marka aletlerin arayüzlerini öğrenmek ve kullanmak zorlu bir süreç.
    • Kokpit gibi bir arayüz sunarak analistlerin farklı marka aletlerin yeteneklerini kullanmasını kolaylaştırıyor.
    • Performans izleme için sadece sayıya değil, olayların içeriğine ve analistlerin performansına göre değerlendirme yapmak gerekiyor.
    35:53Atar Sisteminin Kullanım Alanları
    • E-sosya girdiğimiz için birçok firma karşımıza çıkıyor ve ürünlere yönlendirme yapmak yerine, hangi ürünse onu söylemek ve e-sosya alması gerekiyorsa onu önermek gerekiyor.
    • Atar sistemi hem end customer tarafından kendine kurulabilir hem de danışmanlık alarak oturtulabilir, bu projenin süresi 3 ila 6 ay içerisinde tamamlanabilir.
    • Atar multitenant yapısında çalışabilir, böylece e-sosya merkezi atar üzerinden hizmet alabilir ve KVKK gibi ciddi konularda veriler dışarı çıkmadan işlem yapılabilir.
    37:49Atar Sisteminin Güvenlik Özellikleri
    • Atar sistemi sayesinde e-sosya merkezi, müşterinin ortamında işlem yapabilir ve veriler dışarı çıkmadan işlem yapılabilir.
    • Sistemde izin verme mekanizması bulunmakta, örneğin bir aksiyon alındığında onay istenebilir.
    • Sistem raporlara dönüştürülebilir ve izlenebilir, böylece e-sosya merkezinin yetkinlikleri değerlendirilebilir.
    39:14Atar Sisteminin Entegrasyon Avantajları
    • Entegratör ve danışmanlık firmaları olay müdahalesinde otomasyon istiyor, böylece uzmanlar farklı yerlerden olayları çözebilir ve işleri uzmanlıklarına göre atayabilirler.
    • Atar sistemi sayesinde farklı bankalar arasındaki uzmanlar birbirlerinin işlerine erişip yardımcı olabilirler.
    • Sistem, olayları triyaj etme, alarmları gruplama ve kritiklik seviyesi belirleme gibi özellikler sunarak insan kaynaklarını daha etkili kullanmayı sağlar.
    41:50Atar Sisteminin Özellikleri
    • Atar sistemi, farklı uzmanlar arasında gezinen olayları direkt çözebilecek kişiye yönlendirebiliyor.
    • Sistemin shift özelliği sayesinde sabah ve akşam shiftler arasında otomatik olarak açık olanları bir sonraki shiftteki uygun kişilere atayabiliyor.
    • Sistem, tarihçeyi izleyerek önceki analistlerin ne yaptığını ve ne bulduklarını göstererek çalışmaya devam etmeyi sağlıyor.
    42:31Olay Yönetimi ve Entegrasyon
    • Sistem, çok fazla olay olduğunda psikolojik baskı azaltmak için olayları üç'er üç'er gösterme özelliği sunuyor.
    • Atar, farklı sistemlerle entegre edilebiliyor ve merkezi bir intelligence platformu olarak çalışabiliyor.
    • Sistem, mail server'dan gelen bilgileri pars edip insidant kaydına dönüştürebiliyor veya manuel olarak olay kaydı oluşturabiliyor.
    44:53Olay İnceleme ve Zenginleştirme
    • Alarm tıklanıldığında, o alarmı oluşturan source IP, destination IP, user name gibi bileşenler (scope) görüntüleniyor.
    • Sistem, virustotal, lokap gibi servislerle entegre olup IP adreslerinin risk değerlerini ve detaylarını alabiliyor.
    • Playbooklar yazarak alarm alındığında otomatik olarak gerekli bilgileri toplayıp analistin önüne hazırlayabiliyor.
    47:15İşbirliği ve Kayıt
    • Analistler, işlerini tamamlamak için diğer uzmanlara olayları esa edebiliyor.
    • Sistem, kullanıcıların sadece kendilerine atanmış olayları görebilmesini sağlıyor.
    • Her yapılan işlem zaman çizelgesinde adım adım kaydediliyor ve ayrıntılarına erişilebiliyor.
    48:41Aksiyon Alma ve Entegrasyon
    • Sistem, entegre edilen güvenlik ürünlerine aksiyon alma yetenekleri sunuyor.
    • Aksiyonlar geçici veya kalıcı hale getirilebiliyor.
    • Otomatik aksiyonlar için onay mekanizması eklenerek, aksiyonların kabul edilip edilmeyeceği kontrol edilebiliyor.
    52:31Müşteri İstekleri ve Entegrasyon Süreci
    • Müşterilerin özel istekleri için beş haftalık bir release cycle'ı vardır, ancak bu cycle'a dahil değilse ikinci cycle'ı alır.
    • Çok spesifik istekler için müşteriye alternatif çözümler sunulur.
    • İç firmalarda özel entegrasyonlar için global listeye yerleştirilmez, custom olarak geliştirilir ve sadece o müşteri tarafından kullanılabilir.
    53:25Atar'ın Kullanımı ve Avantajları
    • Atar'da yanlışlıkla alınan aksiyonlar geri alınabilir ve aktiviteler izlenebilir.
    • Daha önce tanımlanan "playbook"lar tekrar kullanılabilir, bu da tier bir çalışanların yetkinliğini artırır.
    • Playbook'lar otomasyon sağlar, hata yapma riskini azaltır ve audit amaçlı tüm işlemlerin kayıtlı olmasını sağlar.
    55:03Raporlama ve Eğitim
    • Atar'da on dört hazır rapor bulunmakta ve kendi raporlarını oluşturmak mümkündür.
    • Müşteriler eğitim alarak kendi özel ürünleri için Atar ile geliştirebilirler.
    • Atar Python, Java ve JavaScript gibi farklı programlama dillerini desteklemektedir.
    56:20Güvenlik Operasyon Merkezi ve Entegrasyonlar
    • Güvenlik operasyon merkezinde Atar, farklı sistemleri entegre ederek analistlere erişim sağlar.
    • Atar ile ilgili IP adreslerine erişim sağlanabilir ve ilgili adamlara yönlendirilebilir.
    • Global entegrasyon listesi ve yerel listeler bulunmaktadır ve bu sayı gün geçtikçe artmaktadır.
    57:23Senaryolar ve Otomasyon
    • Aynı kullanıcıdan farklı IP adreslerinden giriş algılandığında, Atar ile otomatik aksiyon alınabilir.
    • Şüpheli girişlerde SMS bildirimleri gönderilebilir ve kullanıcılarla iletişime geçilebilir.
    • Web sitelerinde sızmış verilerde, aynı parolayı kullanan kullanıcıların otomatik olarak kapatılması sağlanabilir.
    58:56Otomatik Sorun Çözme Sistemi
    • Çalışanların son gününde dosyaları kopyalama durumunda, sistemde bir malware olup olmadığına dair emin olmak için ara vermek gerekiyor.
    • Endpoint'te evidence toplamak için hangi network interface'lerin ayakta olduğu, modem veya USB cihazların varlığı gibi bilgileri kontrol etmek önemlidir.
    • Çalışan proseslerin listesini alarak, kirli bir proses varsa malware olduğu anlaşılır ve bu durumda bilgisayarı izole etmek gerekir.
    1:00:19Otomatik Sorun Çözme Stratejileri
    • Makine kapatıldığında RAM imajını volatilite gibi programlarla entegre ederek toplamak, kanıtları saklamak için önemlidir.
    • Kontrol trafiği üretildiğinde, cloud intelligence'a gitip kötü bir şey görüldüğünde tüm bağlantıları aynı anda bloklamak mümkündür.
    • Kullanıcı phishing maili bildirdiğinde, atar gibi bir sistem maili analiz edip içindeki linkleri ve attachment'ları sandbox'a götürerek test edebilir.
    1:02:25Otomatik Sorun Çözme Sistemlerinin Faydaları
    • Ataklar otomatize hale geldiğinde, savunma stratejilerinin de otomatize hale getirilmesi gerekiyor.
    • Atar gibi bir sistem, aynı alarmdan gelen farklı bilgisayarlardaki verileri bir case'e dönüştürerek işleri kolaylaştırıyor.
    • Bir GSM operatöründe günlük bir alarm yerine 250'e kadar alarm kontrolü yapılabiliyor ve bir müşteri için 9,30 adam eklenmiş gibi performans sağlanıyor.
    1:03:54Sistemlerin Etkileri ve Gelecek
    • Otomatik sistemler sayesinde eğitim zamanı düşürüldüğünde, çalışanların zamanı daha verimli kullanılıyor.
    • Atar gibi sistemler çevikliği artırıyor, accountability'yi yükseltiyor ve maliyeti düşürüyor.
    • Sertifikaların öneminden ziyade, iyi olaya müdahale edebilme yeteneğinin daha önemli olduğu vurgulanıyor.

    Yanıtı değerlendir

  • Yazeka sinir ağı makaleleri veya videoları özetliyor