SOC چیست؟ تکنولوژی، اهداف و ابزارهای مرکز عملیات امنیت
در این مقاله در مورد نحوه کار مرکز عملیات امنیت ویا Security Operation Control صحبت خواهیم کرد و اینکه چرا بسیاری از سازمانها به SOC به عنوان یک منبع با ارزش برای تشخیص حوادث امنیتی اعتماد می کنند را بررسی خواهیم کرد.
مرکز عملیات امنیت (SOC) چیست؟
مرکز عملیات امنیت (SOC) واحدی است که یک تیم امنیت اطلاعات را برای نظارت و تجزیه و تحلیل وضعیت امنیتی سازمان به طور مستمر در خود جای داده است. هدف تیم SOC کشف، تحلیل و پاسخ به حوادث امنیت سایبری با استفاده از ترکیبی از راه حل های فناوری و مجموعه قوی از فرایندها است. مراکز عملیات امنیتی بهطور معمول با تحلیلگران و مهندسین امنیتی و همچنین مدیرانی که بر عملیات امنیتی نظارت دارند، کار می کنند. کارکنان SOC با تیم های واکنش حوادث سازمانی همکاری می کنند تا اطمینان حاصل کنند که موضوعات امنیتی پس از کشف به سرعت مورد بررسی قرار می گیرند.
مراکز عملیات امنیت فعالیتها را در شبکه، سرورها، نقاط پایانی، پایگاه دادهها، برنامهها، وب سایتها و سایر سیستمها نظارت و تحلیل می کنند و به دنبال فعالیت غیر عادی است که می تواند نشان دهنده یک حادثه امنیتی یا به خطر افتادن موارد امنیتی باشد. SOC وظیفه اطمینان از شناسایی صحیح حوادث بالقوه امنیتی، تجزیه و تحلیل، دفاع، تحقیق و گزارش را دارد.
یک مرکز عملیات امنیت (SOC) چگونه کار میکند؟
تیم SOC به جای اینکه روی توسعه استراتژیهای امنیتی، طراحی معماری امنیتی یا اجرای اقدامات محافظتی متمرکز شود، مسئولیت مؤلفه عملیاتی و امنیتی امنیت اطلاعات سازمانی را بر عهده دارد. کارمندان مرکز عملیات امنیت، عمدتاً از تحلیلگران امنیت تشکیل شده اند که با یکدیگر همکاری می کنند تا حوادث امنیت سایبری را کشف، تجزیه و تحلیل، پاسخ، گزارش و جلوگیری از وقایع سایبری را انجام دهند. تخصصهای اضافی برخی از SOC ها می تواند شامل تجزیه و تحلیل جرم شناسی پیشرفته و مهندسی معکوس بدافزار برای تحلیل حوادث باشد.
اولین قدم برای ایجاد SOC سازمان تعریف دقیق استراتژی است که شامل اهداف تجاری خاص بخشهای مختلف و همچنین ورودی و پشتیبانی مدیران می باشد. پس از تدوین استراتژی، زیرساختهای مورد نیاز برای پشتیبانی از این استراتژی باید اجرا شود. طبق گفته مدیر ارشد امنیت اطلاعات Bit4Id پیرلوگی Paganini، زیرساخت های معمول SOC شامل فایروالها، IPS / IDS، راه حلهای تشخیص نقض دادهها و سیستم اطلاعات و مدیریت رویدادها (SIEM) است. فن آوری باید برای جمع آوری دادهها از طریق جریان داده ها، packet capture ،syslog و سایر روشها به کار گرفته شود تا فعالیت دادهها توسط کارمندان SOC در ارتباط و تحلیل قرار گیرد. مرکز عملیات امنیت همچنین به منظور محافظت از دادههای حساس و رعایت مقررات صنعت یا دولت، شبکه ها و نقاط پایانی را برای پیدا کردن آسیب پذیری رصد می کند.
مزایای داشتن مرکز عملیات امنیت(SOC)چیست؟
مهمترین مزیت داشتن یک مرکز عملیات امنیت، بهبود شناسایی حوادث امنیتی از طریق نظارت مداوم و تجزیه و تحلیل فعالیت دادهها است. تیمهای SOC با تجزیه و تحلیل این فعالیتها در سراسر شبکه سازمان، نقاط پایانی، سرورها و بانکهای اطلاعاتی به صورت شبانه روزی، اطمینان حاصل می کنند تا به موقع و در کمترین زمان متوجه اختلالات امنیتی شده و پاسخ به حوادث امنیتی در کوتاه ترن زمان ممکن انجام شود. نظارت ۲۴/۷ ارائه شده توسط SOC، به سازمانها این مزیت را می دهد تا بدون توجه به منبع، زمان، روز یا نوع حمله، از خود در برابر حوادث و تهدیدات سایبری دفاع کنند. شکاف بین زمان حمله تا زمان کشف شرکتها به خوبی در گزارش بررسی سالانه نقض اطلاعات در Verizon به اثبات رسیده است، و داشتن یک مرکز عملیات امنیت به سازمانها کمک می کند تا این شکاف را کمتر کنند و در رویارویی با تهدیدهای پیش روی خود بهتر عمل کنند.
بهترین اقدامات برای راه اندازی مرکز عملیات امنیت:
بسیاری از رهبران امنیت تمرکز خود را بیشتر بر روی تجزیه و تحلیل انسانی متمرکز میکنند به جای تکیه بر یک ابزار خودکار جهت تجزیه و تحلیل و تشخیص رویدادهای امنیتی.
متخصصان SOC به طور مداوم تهدیدهای شناخته شده و موجود را هنگام کار برای شناسایی خطرات جدید مورد بررسی قرار میدهند. آنها همچنین نیازهای شرکت و مشتری را برآورده می کنند و در سطح تحمل ریسک خود کار می کنند. در حالی که سیستم های فن آوری مانند فایروال ها یا IPS ممکن است از حملات اساسی جلوگیری کنند اما تجزیه و تحلیل نیروی متخصص انسانی لازم است تا از حوادث سایبری جلوگیری شود.
برای به دست آوردن بهترین نتیجه، SOC باید با جدیدترین اطلاعات در مورد تهدیدات بهروز باشد و از این اطلاعات برای بهبود مکانیزم های دفاعی داخلی استفاده کند. همانطور که موسسه InfoSec خاطرنشان می کند، SOC دادههای درون سازمان را استفاده می کند و آن را با اطلاعات تعدادی از منابع خارجی که بینش تهدیدها و آسیب پذیری ها را ارائه می دهند، در ارتباط می گذارد. این اطلاعات سایبری خارجی شامل فیدهای خبری، به روزرسانی در مورد امضا، گزارش وقایع، خلاصه تهدیدات و هشدارهایی از آسیب پذیری است که به SOC کمک می کند تا از تهدیدهای سایبری باخبر شود. کارکنان SOC باید به طور مداوم اطلاعات تهدید را در ابزارهای نظارتی SOC تأمین کنند و همچنین با تهدیدات جدید به روز شوند، SOC باید فرآیندی را در دست داشته باشد تا بتواند تهدیدات واقعی و غیر واقعی را تشخیص دهد.
SOC های واقعاً موفق از اتوماسیون امنیتی برای کارآمد بودن استفاده می کنند. سازمانها با تلفیق تحلیلگران امنیتی بسیار ماهر و اتوماسیون امنیتی، قدرت تحلیلی خود را برای افزایش اقدامات امنیتی و دفاع بهتر در برابر نقض داده ها و حملات سایبری افزایش می دهند. البته بسیاری از سازمانها متخصصان و منابع داخلی برای ارائه خدمات SOC را ندارند و ترجیح میدهند که آنرا برون سپاری کنند.
وظایف واحد SOC
در SOC مجموعههای مختلفی از کارکردهای عملیاتی وجود دارد ما در این قسمت به ۷ مورد از وظایف واحد SOC می پردازیم:
-
ارزش گذاری داراییها
برای اینکه SOC بتواند به یک شرکت در زمینه امنیت خود کمک کند، باید درک کاملی از ارزش منابع آن سازمان داشته باشند. در غیر این صورت، ممکن است نتوانند بر اساس اولویت ها اقدام کنند. یک بررسی دارایی باید همه سرورها، روترها، فایروالها و سایر منابعی را که تحت کنترل شرکت است، و همچنین سایر ابزارهای امنیتی سایبری که به طور فعال در حال استفاده هستند شناسایی کند.
-
جمع آوری گزارشات
دادهها مهمترین ورودی برای عملکرد صحیح SOC است و گزارشها به عنوان منبع اصلی اطلاعات در مورد فعالیت شبکه هستند. SOC باید دریافت لاگها را مستقیم از سیستم های سازمانی را انجام دهد تا دادهها در زمان واقعی جمع آوری شوند.
-
نگهداری پیشگیرانه
در بهترین حالت SOC قادر است از وقوع حملات سایبری با استفاده از فرآیندهای خود جلوگیری کند. این شامل نصب وصلههای امنیتی و تنظیم پالیسی های فایروال به طور منظم است. از آنجا که برخی از حملات سایبری در واقع به عنوان تهدیدات داخلی شروع می شوند، یک SOC باید به صورت فعال باید در سازمان خطرات را نیز جستجو کند.
-
نظارت مستمر
به منظور آمادگی در جهت پاسخگویی به یک حادثه در امنیت سایبری، SOC باید در اعمال نظارت خود هوشیار باشد. تفاوتِ بین مسدود کردن حمله و رها کردن میتواند منجر به از بین رفتن کل سیستم یا وب سایت باشد. ابزارهای SOC برای شناسایی تهدیدات احتمالی و سایر فعالیتهای مشکوک، اسکن آسیبپذیری را در شبکه شرکت اجرا می کنند.
-
مدیریت هشدار
سیستم های خودکار در یافتن الگوها و اسکریپتهای مخرب خوب عمل میکنند. اما عنصر انسانی SOC وقتی ارزش تجزیه و تحلیل هشدارهای خودکار و رتبه بندی آنها را بر اساس شدت و اولویت آنها می دهد، ارزش خود را اثبات می کند. کارکنان SOC باید بدانند که چه واکنشی باید گرفته شود و چگونه باید هشدار را اثبات کنند.
-
تجزیه و تحلیل علت
پس از وقوع یک حادثه و برطرف شدن، کار SOC تازه آغاز شده است. کارشناسان امنیت سایبری علت اصلی این مشکل را تجزیه و تحلیل کرده و تشخیص می دهند که چرا در وهله اول رخ داده است. این امر به روند پیشرفت مستمر منجر می شود و ابزارها و قوانین امنیتی اصلاح می شوند تا از وقایع بعدی همان حادثه جلوگیری کنند.
-
حسابرسی
شرکتها می خواهند بدانند که دادهها و سیستمهای آنها ایمن است. واحد SOC نیز برای تأیید کارکرد خود در حوزههایی که فعالیت می کنند باید ممیزی منظم را انجام دهند. گزارشات SOC و ممیزی SOC مواردی است که دادهها یا سوابق آنها را از توابع امنیت سایبری یک سازمان استخراج کند. در واقع این یک روش حسابرسی ویژه مربوط به امنیت اطلاعات است.
مشاغل مختلفی که در SOC به آنها نیاز خواهید داشت:
- مدیر SOC
مدیران SOC رهبران سازمان خود هستند. به این معنی که مسئولیت های سطح بالا به آنها تعلق می گیرد، از جمله استخدام/اخراج نیروها، تخصیص بودجه و تعیین اولویتها. آنها به طور معمول به طور مستقیم به سطح اجرایی، به ویژه مسئول ارشد امنیت اطلاعات (CISO) گزارش می دهند.
- حسابرس امنیت
حسابرسان امنیت نظارت بر اجرای استانداردها و فرآیندهای درون SOC دارد را بر عهده دارند. آنها اساساً به عنوان بخش کنترل کیفیت عمل می کنند، و اطمینان می دهند که اعضای SOC از پروتکلها پیروی می کنند و به مقررات سازمانی پایبند هستند.
- متخصص پاسخ به حادثه
پاسخ دهندگان حادثه افرادی هستند که برای واکنش به هشدارها در کوتاه ترین زمان ممکن تخصص دارند. آنها از طیف گسترده ای از خدمات نظارتی برای رتبه بندی شدت هشدارها استفاده می کنند، و هنگامی که یکی از این اتفاقات به وقوع پیوست، سعی در پاسخگویی به آن رخداد خواهند داشت.
- تحلیلگر SOC
تحلیلگران SOC مسئول بررسی حوادث و تعیین علت اصلی به وقوع پیوستن آنها هستند.
- شکارچی تهدید
اینها اعضای فعال تیم هستند که برای شناسایی زمینه های نقاط ضعف، از طریق تست های متفاوت هستند. هدف آنها این است که قبل از اینکه هکر بتواند با حمله از آنها سوءاستفاده کند، آسیب پذیری ها را پیدا کند.
مدلهای مختلف پیادهسازی SOC
SOC داخلی:
این مدل توسط متخصصان فناوری اطلاعات و امنیت در درون یک سازمان ایجاد میشود. این اعضای تیم یا در تمام بخشها توزیع می شوند یا به طور مرکزی به نظارت بر امنیت سایبری اختصاص می یابند.
SOC مجازی داخلی:
بدون داشتن تسهیلات اختصاصی، این تیمها گروههایی از کارمندان پاره وقت هستند که در صورت دریافت هشدارهای امنیتی اقدامات واکنشی انجام می دهند.
SOC مجازی برون سپاری شده:
مانند SOC مجازی داخلی ذکر شده در بالا، شیوه کارکرد این واحد به صورت راه دور است. با این حال، آنها به صورت یک سرویس مستقل خارج از سازمان هستند، و به صورت مستقل از کارمندان داخل سازمان فعالیت می کنند.
نتیجه گیری
موارد گسترده ای از جنبههای مختلف امنیت سایبری وجود دارد که باید در ساختار SOC در نظر گرفته شود، مهارتهای تخصصی بالا یکی از الزامات مهم برای اجرای یک SOC مؤثر و کارآمد است، روابط تنگاتنگ با بقیه تیمها در جهت رسیدن به استراتژی تجاری و ایجاد فرآیندهای کاری وظیفه طراحی و مدیریت مرکز عملیات امنیت را به عهده می گیرد. مرکز عملیات امنیتی یک نمونه کارا از امنیت اطلاعات کاربردی و جامع است.
رهبری: انگیزه و مهارتهای رهبری تیم برای یک مدیر SOC که مایل به ایجاد یک تیم عالی است، الزامی است. آموزش و مشارکت مداوم لازم است تا سرعت SOC منطبق بر توسعه بی امان تهدیدها و تلاش های خستگی ناپذیر و بطور فزاینده پیشرفته مهاجمان باشد. اجرای کارآمد و صحیح SOC نیاز به تلاش همه جانبه ای دارد، زیرا مسئولیت دشوار امنیت اطلاعات را بر عهده دارند.
من همچنین پیشنهاد می کنم علاقه مندان به امنیت سایبری باید دانش خود را در مورد این موضوع عمیق تر کنند، زیرا SOC راهکاری عالی و جامع برای مقابله با تهدیدات و حملات سایبری است. این واحد دیدگاه کاملی را در مورد امنیت اطلاعات و ارزش آنها ایجاد می کند، که اگر به صورت درست مورد استفاده قرار گیرد، می تواند در هر سازمانی نقش مهمی را بر عهده داشته باشد.
مطالب زیر را حتما بخوانید
-
TTP چیست؟ تاکتیکها، تکنیکها و رویهها در امنیت سایبری
11 بازدید
-
حمله pass-the-hash چیست؟ دیگر نیاز به کرک پسورد نیست!
22 بازدید
-
اکتیو دایرکتوری (Active Directory) چیست و چگونه کار می کند؟
25 بازدید
-
(Lateral Movement) چیست؟ تاکتیک مورد استفاده هکرها برای دسترسی به منابع بیشتر
43 بازدید
-
همه چیز در مورد تخصص تحلیلگر SOC – قسمت ۳| مهارتهای اساسی برای تحلیلگران
56 بازدید
-
همه چیز در مورد تخصص تحلیلگر SOC – قسمت ۲| مهارتهای اساسی برای تحلیلگران
87 بازدید
2 دیدگاه
به گفتگوی ما بپیوندید و دیدگاه خود را با ما در میان بگذارید.
دیدگاهتان را بنویسید لغو پاسخ
برای نوشتن دیدگاه باید وارد بشوید.
بابت سایت و اینهمه اطلاعات خوبی که در اختیار ما میذارید ازتون سپاسگذارم. استاد نوذری عزیز دوره شما رو دارم با دقت کامل نگاه می کنم. بنده مدیر سایتی هستم و کلا چندین سال هست که وارد این حوزه شده ام با این که رشته تحصیلیم کلا یک چیز دیگه بوده. اما توضیحاتتون بسیار عالی و روان هست که آدم مشتاقانه دوست داره بشینه و اطلاعاتش رو بالا ببره.
من نیز برای سایتی فروشگاهی تخفیفی به اسم ویرا برگ کار می کنم و نیاز دیدم که دانش خودم رو توی این زمینه ارتقا بدم که با یک سرچ ساده به دنیای مقالات ساینت روبرو شدم. واقعا از این همه دانشی که اینجاست لذت می برم.
امیدوارم که شما هم موفق باشید دوست عزیز.