مدیریت مرکز عملیات امنیت (SOC Management)

زمان مطالعه: ۶ دقیقه

شرکت ها با حملات مختلف به سیستم عامل ها و برنامه های کاربردی، شبکه، تهدیدات سایبری و رفتار مشکوک روبرو هستند. نرم افزارهای امنیت نقاط نهایی Endpoint Protection، سیستم شناسایی و پیشگیری از نفوذ IPS، اطلاعات مربوط به امنیت و مدیریت رویداد (SIEM)، واحد امنیت اطلاعات و سایر سیستم های امنیتی را با هشدارها و لاگ ها بمباران میکنند. نحوه مدیریت مرکز عملیات امنیت میزان کارآیی واحد SOC را مشخص میکند. تو این مقاله کلیه مواردی که میزان تاثیر گذاری این واحد را مشخص میکنند را بررسی میکنیم.

با افزایش تعداد و پیچیدگی های حملات سایبری، برخی از این پیام ها نیاز به توجه فوری دارند. اما کدام یک؟ اینجاست که یک مرکز عملیات امنیت (SOC) وارد عمل می شود.

مرکز عملیات امنیت چیست؟

مرکز عملیات امنیت (SOC) یک مکان اصلی است که تیم امنیت فناوری اطلاعات از آن برای نظارت و تحلیل وضعیت امنیت سازمان استفاده می کند. SOC مسئولیت عملیات امنیت اطلاعات سازمان را بر عهده دارد. هدف تیم SOC کشف، تحلیل و پاسخ به ناهنجاری ها و حوادث احتمالی امنیت سایبری با استفاده از ترکیبی از فناوری ها و فرایندها است. کارمندان با تیمهای پاسخ به رخداد سازمان همکاری می کنند تا اطمینان حاصل کنند که موضوعات امنیتی پس از کشف به سرعت مورد بررسی قرار می گیرند. ارزیابی ریسک، هماهنگی و ارتباطات با تیم های دیگر برای اطمینان از داشتن گروههای پشتیبان از اطلاعات در موارد وضعیت خطر از وظایف واحد SOC است.

SOC اطلاعاتی را در مورد زیرساخت هایی که عملیات امنیتی را مدیریت می کنند، فراهم می کندکه شامل موارد مربوط به پیشگیری و محافظت مداوم، تشخیص تهدیدات، و قابلیت پاسخگویی برای مقابله با هر گونه مسائل امنیتی احتمالی میباشد. مزایای SOC شامل موارد زیر است:

• زمان پاسخ سریع برای مقابله با بدافزارهایی که می توانند در عرض چند دقیقه گسترش یابند
• توانایی بهبودی سریع از حمله مخرب مانند DDoS
• نظارت در زمان واقعی
• متمرکز سازی لاگها
• برسی و نظارت بر وضعیت امنیتی
• بررسی و تحلیل پس از حادثه

مقایسه دو واحد SOC و NOC

تیم عملیات شبکه (NOC) بعضی اوقات می تواند با SOC اشتباه گرفته شود. SOC و NOC مسئولیت شناسایی، تحقیق، اولویت بندی، تشدید و حل مسائل را بر عهده دارند. با این وجود، انواع موضوعاتی که با آنها سر و کار دارند، تفاوت های چشمگیری دارند. هر دو به دنبال ناهنجاریها هستند. حتی ممکن است موارد مشابه وجود داشته باشد، ناهنجاری های مختلفی می تواند هم از طرف شبکه و هم از طرف امنیتی تأثیر بگذارد. اما تفاوت اصلی بین آنها فقط این است که SOC از لحاظ امنیتی متمرکز است و NOC بر روی عملکرد و در دسترس بودن شبکه متمرکز است.

به عنوان مثال در حین اختلال در کارکرد سرویسها، کسانی که در NOC هستند از نظر نقص فنی دستگاه یا مشکلات پیکربندی سیستم را مورد بررسی قرار می دهند. تلاش آنها برای رفع مشکل ممکن است شامل جایگزینی سخت افزار یا تغییر تنظیمات باشد. از طرف دیگر، مدیریت مرکز عملیات امنیت بیشتر به فعالیت های مخرب فکر می کند. سازمان ها به هر دو دیدگاه احتیاج دارند.

 مقایسه SOC جهانی و SOC سنتی

یک مرکز عملیات امنیت سنتی Traditional SOC و یک SOC جهانی  Global SOC اساساً در زمینه کارکرد یکسان هستند. با این حال تفاوت در دامنه وجود دارد. برخی از شرکت ها فقط به نیروی داخلی خود علاقه مند هستند، در حالی که برخی دیگر بر به صورت سراسری کار می کنند. علاوه بر این، SOC های جهانی به طور معمول فرماندهی و کنترل چندین SOC کوچکتر را در زیر مجموعه خود دارند. از این گذشته، SOC های جهانی می توانند با واگذاری وظایف به همتایان محلی که می توانند در مورد اتفاقاتی که در یک منطقه واضح و مشخص رخ می دهد سریعتر عمل کنند. با تمرکز توجه آنها به بخش کوچکتر، مدیریت مرکز عملیات امنیت را بسیار آسان تر کرد.

SOC های سرویس ابری Cloud SOCs

با ظهور ابر و نیاز به امنیت سرویس های ابری، دیگر لازم نیست SOC در یک مکان فیزیکی قرار داشته باشد. البته برخی سازمان ها تیم SOC خود را حفظ می کنند و زیرساخت های پشتیبانی را در یک مکان اصلی جمع می کنند. اما ارائه دهندگان خدمات اکنون شروع به ارائه SOC-As-A-Service می کنند. علاوه بر این، حتی آن دسته از شرکتهایی که سعی در نگه داشتن کلیه عملکردهای SOC خود در محل خود دارند، تمایل دارند حداقل بخشی از محیط خود را در محیط ابر نیز داشته باشند.

ری چاپل، CISSP، متخصص امنیت اطلاعات و مدرس می گوید: “بسیاری از ابزارها یا سیستم های تحت نظر، بدون توجه به اصطلاحات استفاده شده برای تعریف SOC، در ابر میزبانی می شوند.”

طراحی و ساخت مرکز عملیات امنیت

طراحی SOC با الزامات و دامنه کلی آن تعیین می شود. در حالی که SIEM ممکن است مرکزی برای SOC به عنوان ابزاری برای تجمیع و تجزیه و تحلیل اطلاعات امنیتی باشد، ابزارها و سیستم عامل های مستقر شده مخصوص محیط کسب و کار خواهند بود. باید به عواملی مانند پهنای باند شبکه، قابلیت پاسخگویی به حادثه (خودکار و دستی) و قابلیت های تحلیلی توجه شود.

یک قدم اولیه و مهم در طراحی SOC، ممیزی رویه های امنیتی موجود است. این امر به برنامه ریزان یک تصویر واقعی را ارائه می دهد. برنامه ریزی همچنین باید شامل انتخاب محل، منابع مورد نیاز، بودجه ریزی و آموزش باشد. با این حال با توسعه SOC، برنامه ها تغییر خواهند کرد. آماده بودن برای همه چیز از قبل تقریبا غیرممکن است. کسانی که فکر می کنند همه احتمالات ممکن را تحت پوشش خود قرار داده اند، تحت تأثیر عواملی مانند حمله کاملاً جدید، یا بخشی از زیرساخت های محافظت نشده یا محافظت نشده قرار می گیرند. بنابراین به این فکر نکنید که همه چیز کاملاً برنامه ریزی و طراحی شده است. همیشه جای پیشرفت وجود دارد و منظره تهدید به طور مداوم در حال تغییر و تحول است. آنچه مهم است، تکامل آن و انعطاف پذیری در برنامه ریزی و ساخت SOC است. مدیریت مرکز عملیات امنیت

بخش دیگر برنامه ریزی، تعریف وظایف است که باید به SOC محول شود. این باید شامل شناسایی حملات خارجی، نظارت بر مطابقت سازمانی، بررسی تهدیدات خودی یا عدم انطباق، مدیریت حوادث و موارد دیگر باشد. همچنین نحوه جمع آوری، تجمیع و متمرکز سازی، تجزیه و تحلیل و تجسم برای بهترین اثر را تعریف کنید. گروه های مختلف کاربر که به داده ها دسترسی پیدا می کنند، الزامات خاصی دارند که باید در مرحله طراحی در نظر گرفته شوند.

انواع SOC

انواع مختلفی از SOC ها وجود دارند که برخی از خصوصیات هر یک را به اشتراک می گذاریم: مدیریت مرکز عملیات امنیت

• SOC مجازی: هیچ تسهیلات اختصاصی در این نمونه وجود ندارد، اعضای تیم از لحاظ جغرافیایی وپراکنده هستند و غالبا ارائه خدمات آنها فقط به یک مشتری نیست .
• ترکیب SOC/NOC: یک تیم و امکانات برای نظارت بر شبکه و امنیت مشترک اختصاص داده شده است
• اختصاصی SOC: یک مرکز داخلی ،تجهیزات و نیروهای اختصاصی
• SOC جهانی: منطقه گسترده ای را نظارت می کند که شامل بسیاری از SOC های منطقه ای دیگر است

سازمان های کوچکتر ممکن است از مراکز عملیات امنیت برون سپاری شده استفاده کنند. یک مدل ترکیبی که ترکیبی از یک SOC مجازی را با برخی از وظایف داخلی SOC به وجود می آورد، احتمالاً توسط برخی سازمانهای کوچک و متوسط مستقر می شود، به ویژه آنهایی که از قبل برخی از کارکردهای امنیتی را برون سپاری می کنند و محدود به بودجه هستند و یا هنوز نتوانسته اند یک مجموعه کافی از نیروهای داخلی را توسعه دهند.

فن آوری های مورد نیاز در SOC:

مراکز عملیات امنیتی با طیف گسترده ای از فناوری های امنیتی مانند:

• سیستم نظارت، شناسایی، تحقیق و اصلاح رویدادهای امنیتی
• فایروال ها
• سیستم های پیشگیری و تشخیص نفوذ IPS
• مدیریت پاسخ به رخداد امنیتی
• تجزیه و تحلیل فارنزیک
• محافظت نقاط نهایی Endpoint protection
• ابزارهای اطلاعاتی تهدید Threat intelligence tools
• ابزار شکار تهدید Threat hunting tools
• مدیریت دستگاه امنیتی
• مدیریت تهدید و آسیب پذیری
• تحلیل رفتاری Behavioral Analytics
• تحلیل ترافیک
• شبیه سازهای حمله

سیستم های SIEM برخی از این موارد را پشتیبانی میکنند، البته نه همه آنها را.

چاپل گفت: “اکثر SIEM ها مولفه تجمیع داده های اصی را دارند.” “سایر ابزارهای مهم در نظر گرفته شده عبارتند از: کشف دارایی Asset Discovery، ارزیابی آسیب پذیری و تست نفوذ، گزارش گیری، نظارت و گزارش دهی، تشخیص ناهنجاری، تشخیص نفوذ، تجزیه و تحلیل داده ها و هوش تهدید.”

مدیریت مرکز عملیات امنیت و کارمندان SOC

SOC بسته به ساختار سازمانی موجود، به روشهای مختلفی مدیریت می شوند. به طور معمول  مدیر SOC به CISO یا یکی دیگر از مدیران اجرایی سطح C مانند CTO یا CIO گزارش می دهد. مدیر SOC می تواند نقشها و مسئولیتهای مختلفی را تحت اختیار داشته باشد. این شامل کسانی است که پس از وقوع حوادث به آنها پاسخ می دهند، کسانی که منظره تهدیدهای کلی را تجزیه و تحلیل می کنند، افرادی که شکار تهدید را انجام میدهند. در اینجا چند مورد از کارکردهای اولیه پرسنل آورده شده است:

مدیر SOC: مسئولیت پرسنل، بودجه، استراتژی فناوری و ارتباط با CISO را بر عهده دارد.

تحلیلگر SOC: وظیفه چک کردن هشدارها و پیدا کردن علت آنها را بر عهده دارد همچنین در راستای بالابردن سطح امنیت و دفاع باید اقدام کند.

متخصص شکار تهدید: برای ردیابی راه های حملات احتمالی را بر عهده دارد حملات جدید را قبل از دریافت هشدارها کشف می کند، و حضور موارد مخرب را می بیند که در شبکه پنهان و بدون فعالیت هستند.