مراکز عملیات امنیت : SOC
با پیشرفت سریع تکنولوژی در عصر حاضر، کسب و کارهای بزرگ و کوچک باید از اطلاعات حساس خود در مورد مشتریان، کارکنان، شرکای خود و … بیشتر محافظت کنند(SOC). اما با افزایش پیچیدگی جرایم سایبری و نرم افزارهای نفوذگر، این حفاظت به کاری سخت و فشرده تبدیل شده است.
یک مرکز عملیات امنیت یا SOC متشکل از یک تیم از افراد متخصص و تجهیزاتی است که در آن تهدیدات امنیتی سایبری شناسایی و بررسی شده و بر پاسخ به هرگونه حادثه در رایانه ها، سرورها و شبکه ها نظارت می کنند.
تکنولوژی هایی که SOC ها از آنها اسفاده می کنند شامل فایروال ها و دیگر تجهیزات امنیتی، اطلاعات امنیتی و سیستم های مدیریت رویداد و راه حل هایی است که داده ها را جمع آوری و نظارت می کنند.
اگرچه هدف اصلی مراکز عملیات امنیت، جلوگیری از نقض و به حداقل رساندن زیان ناشی از فعالیت های مخرب سایبری است، اما بصورت کلی این مراکز دو گونه هستند:
- بعضی از شرکتها دارای SOC داخلی هستند.
- برخی دیگر از خدمات سایر مراکز عملیات امنیت بصورت برون سپاری استفاده می کنند.
ساختار و نقشهای اصلی در SOC
مدیر SOC : مدیر مرکز وظیفه مدیریت کارشناسان، بودجه و برنامه های درون مرکز را بر عهده دارد و به مدیران اجرایی گزارش می دهد. همکاری و ارتباط با مدیریت دیگر سازمان جهت حصول اطمینان از انطباق آنها با الزامات امنیتی تدوین شده نیز از دیگر وظایف ایشان است.
ممیزان انطباق : این کارشناسان، نحوه عکس العمل سایر افراد را در مواجهه با رخدادها پایش می کنند تا میزان انطباق آنها با دستورالعملهای مربوطه مشخص گردد.
کارشناسان جرم یابی : در طول تجزیه و تحلیل حوادث، این متخصصان جمع آوری داده ها و حفظ شواهد را بر عهده دارند.
تیم پاسخ به رخدادها : هنگام مواجهه با هشدارهای امنیتی، این کارشناسان ارزیابی های اولیه را بر روی رخداد ایجاد شده، انجام می دهند.
تحلیلگر امنیت سایبری : پس از شناسایی و تجزیه و تحلیل رویدادهای امنیتی، این متخصصان طبقه بندی، اولویت بندی و تعیین سطح هشدار برای تهدید ایجاد شده را بر عهده دارند.
انواع مراکز عملیات امنیت
- SOC داخلی : این مدل از متخصصان فناوری اطلاعات و امنیت در یک سازمان تشکیل شده است. این اعضای تیم یا به صورت متمرکز درون مرکز مستقر می شوند و یا برای نظارت بر بخشهای مختلف امنیت سایبری، در بخشهای مختلف سازمان توزیع می شوند.
- SOC مجازی داخلی : این تیم متشکل از کارشناسان نیمه وقتی است که بدون نیاز به تخصیص زیرساختها و امکانات کامل، صرفاً در زمان بروز رخدادهای امنیتی و اعلام هشدارهای مربوطه، اقدامات لازم را انجام می دهند.
- SOC تعاملی : شامل تیمی از کارشناسان سازمان است که اگرچه کار آنها صرفاً محدود به وظایف مرتبط با مرکز عملیات امنیت نیست، اما در زمان وقوع رخدادهای امنیتی می توانند با مدیریت یک تیم امنیت اطلاعات (که معمولاً از خارج از سازمان اداره می شود)، وظایف محوله را انجام دهند.
- مرکز فرماندهی مراکز عملیات امنیت : این مرکز وظیفه مدیریت و هماهنگی چندین مرکز عملیات امنیت را بر عهده دارد و معمولاً درگیر کارهای اجرایی نمی شود.
- Outsourced virtual SOC : مانند SOC مجازی داخلی ذکر شده در بالا، این SOCs از راه دور است؛ با این تفاوت که آنها خدمات خود را بصورت کاملاً مستقل و بدون نیاز به هماهنگی با دیگر کارکنان داخلی انجام می دهند.
گسترش دامنه کاربردپذیری
با توجه به گسترش زیر ساختهای مجازی و روند دیجیتال سازی همه جنبه های کسب و کارها، وجوه تماس مراکز عملیات امنیت نیز با سرعت در حال افزایش است. این مراکز باید بصورت مستمر تمامی فرآیندها و ارتباطات جدید را پایش نمایند که نیازمند استفاده فراگیر از تیم حرفه ای از کارشناسان امنیت در تمام مراحل طراحی فرآیندها و دستورالعملها، پایش انطباق آنها با الزامات امنیتی و همچنین تدوین سیاستهای مقابله با رخدادهاست.
افزایش ورودی داده ها
با توجه به وسعت دامنه تعامل مراکز عملیات امنیت و همچنین به این دلیل که فرآیندهای کسب و کار باعث افزایش احتمال وقوع رخدادهای امنیتی می شوند، تیم های امنیتی نیز نیاز به جمع آوری داده های مربوطه برای طبقه بندی مناسب این رخدادها دارند. ممکن است منشاء بسیاری از تهدیدات اینترنتی نامشخص باشد، بنابراین جمع آوری داده های کافی جهت رتبه بندی و در صورت لزوم تدوین سیاستهای پیشگیری از وقوع مجدد و یا کنترل عواقب ناشی از وقوع آنها، بسیار مهم و حیاتی است.
لزوم بهره گیری از تحلیلهای عمیقتر
صرف بازخوانی داده ها، بدون استفاده از روشهای جدید برای تجزیه و تحلیل آنها، کافی نیست. کارشناسان خبره باید با استناد به شواهد و داده های کافی، آسیب پذیری ها را بررسی کرده و دستورالعملهای مبارزه با آنها را تدوین کنند. با این حال، گستره وسیعی از سیستم ها و سایر فرآیندهای امنیتی می تواند به توانمند سازی کارشناسان برای به حداقل رساندن زمان بررسی ها و خودکار سازی بسیاری از این مراحل کمک کند.
روند فرایند SOC
- شناسایی و پایش دارایی ها : اطلاع از مشخصات دارایی های مجموعه می تواند کمک کند تا شانس شناسایی تهدیدات به حداکثر برسد.
- نظارت پیشگیرانه : تمرکز اصلی فعالیتها در SOC، بر شناسایی رخدادهای امنیتی و پیشگیری از بروز صدمات ناشی از آنهاست؛ مدیریت نحوه پاسخ به رخدادها در اولویت بعدی قرار دارد.
- مدیریت گزارش ها و پاسخ ها : در صورت وقوع یک رخداد امنیتی و وارد آمدن آسیب به دارایی های سازمان، ضروری است که گام های عملیاتی مورد بازبینی قرار گیرد تا منشاء بروز خطا شود. این موضوع از دو جنبه دارای اهمیت است: اول جهت جرم یابی و تعیین سطوح خطای پیش آمده توسط عوامل مختلف مؤثر و دوم جهت بازنگری رویه ها و دستور العملها.
- رتبه بندی هشدارها : یکی از وظایف اصلی مراکز عملیات امنیت، رتبه بندی سطح رخدادهاست. بر اساس این رتبه بندی است که میزان آسیب ناشی از آن، نحوه هشداردهی وقوع آن و نحوه پاسخگویی به آن مشخص می گردد.
- تنظیم استراتژی دفاع : مدیریت آسیب پذیری و افزایش آگاهی از تهدیدها بخش مهمی از جلوگیری از نقض امنیت است. این موضوع شامل نظارت منظم بر شبکه داخلی سازمان نیز می شود؛ زیرا بسیاری از مواقع حملات و نقض امنیت از داخل سازمان اتفاق می افتد.
- بررسی انطباق با الزامات امنیتی : SOCها باید بطور مستمر الزامات خود را بر مبنای دستورالعملها و استانداردهای امنیتی بین المللی (مانند استانداردهای سری ISO 27000 و یا استاندارد PCI) به روز رسانی نمایند.
مزایای داشتن مرکز عملیات امنیتی
- متمرکز کردن داشبوردهای کنترلی جهت مدیریت بهتر داراییها و رخدادها
- تضمین اعتماد ذینفعان از طریق ایجاد اطمینان خاطر از امنیت اطلاعات آنها
- نظارت بر کارآیی بخشها و ادارت مختلف امنیت در سازمان و ایجاد ارتباط هماهنگ جهت ارتقای این کارآیی
- به حداکثر رساندن آگاهی و سرعت عکس العمل به رخدادها برای به حداقل رساندن هزینه ها
جهت کسب اطلاعات بیشتر و ارتباط با کارشناسان تماس حاصل فرمایید.
۰۲۱۸۸۸۰۴۹۶۱ , ۰۲۱۷۴۳۹۱۱۰۱