دوره آموزشی مرکز مان ...

مرکز عملیات امنیتی (SOC) یک مرکز کنترل برای تیمی از متخصصان فناوری اطلاعات (IT) با تخصص در امنیت اطلاعات (infosec) است که سازمان را در برابر حملات سایبری نظارت، تجزیه و تحلیل و محافظت می‌کنند. در SOC، ترافیک اینترنت، شبکه‌ها، دسکتاپ‌ها، سرورها، دستگاه‌های نقطه پایانی، پایگاه‌های اطلاعاتی، برنامه‌ها و سایر سیستم‌ها به‌طور مداوم برای کشف نشانه‌های یک حادثه امنیتی بررسی می‌شوند.

کارکنان SOC به صورت شبانه‌روزی کار می‌کنند و کارمندان به صورت شیفتی در تلاشند تا دائماً فعالیت ها را ثبت کرده و تهدیدات را کاهش دهند.

قبل از ایجاد SOC، یک سازمان باید استراتژی امنیت سایبری خود را برای همسویی با اهداف و مشکلات تجاری فعلی تعریف کند. SOCها بخش جدایی ناپذیر از به حداقل رساندن هزینه‌های نقض احتمالی داده‌ها هستند زیرا نه تنها به سازمان‌ها کمک می کنند تا به سرعت به نفوذ پاسخ دهند، بلکه دائماً فرآیندهای شناسایی و پیشگیری را بهبود می‌بخشند.

اکثر سازمان‌های بزرگ دارای SOCهای داخلی هستند، اما شرکت‌هایی که کارکنان یا منابعی برای نگهداری آنها ندارند، ممکن است برخی یا تمام مسئولیت‌های SOC را به یک ارائه‌دهنده خدمات، ابر یا یک SOC مجازی میزبانی شده برون سپاری کنند.

SOC ها معمولا در حوزه‌های سلامت، آموزشی، مالی، تجارت الکترونیک، دولت، عملیات نظامی و صنایع تکنولوژی پیشرفته یافت می‌شوند.

SOC چه کاری انجام می‌دهد؟

استراتژی کلی یک مرکز عملیات امنیتی حول محور مدیریت تهدید می‌چرخد ​​که شامل جمع‌آوری داده‌ها و تجزیه و تحلیل آنها برای فعالیت‌های مشکوک به منظور ایمن‌سازی کل سازمان است. داده‌های خام که توسط تیم‌های SOC نظارت می‌شوند، مربوط به امنیت هستند و از فایروال‌ها، اطلاعات تهدید، سیستم‌های پیشگیری و تشخیص نفوذ (IPS/IDS)، کاوشگرها، و اطلاعات امنیتی و سیستم‌های مدیریت رویداد (SIEM) جمع‌آوری می‌شوند.

برای برقراری ارتباط فوری با اعضای تیم در صورت غیر عادی بودن هر یک از داده‌ها یا نمایش شاخص‌های سازش (IOC) هشدارهایی ایجاد می‌شود.

مسئولیت‌های اساسی یک تیم SOC شامل موارد زیر است:

• کشف و مدیریت منابع مستلزم کسب آگاهی بالا از تمامی ابزارها، نرم افزارها، سخت افزارها و تکنولوژی‌های مورد استفاده در سازمان است. همچنین بر اطمینان از اینکه همه منابع به درستی کار می‌کنند و به طور منظم patch و به‌روز می‌شوند تمرکز دارد.
• پایش رفتار مستمر شامل بررسی همه سیستم‌ها به صورت 24 ساعته در طول سال است. این امر SOCها را قادر می‌سازد تا انرژی برابری را روی اقدامات واکنشی و پیشگیرانه بگذارند زیرا هرگونه بی‌نظمی در فعالیت فوراً شناسایی می‌شود. مدل‌های رفتاری سیستم‌های جمع‌آوری داده‌ها را در مورد فعالیت‌های مشکوک آموزش می‌دهند و می‌توانند برای تنظیم اطلاعاتی که می‌توانند به عنوان موارد مثبت کاذب ثبت شوند، استفاده شوند.
• نگهداری گزارش‌های فعالیت، اعضای تیم SOC را قادر می‌سازد تا اقدامات قبلی که منجر به نقض شده را به عقب برگردانده یا مشخص کنند. تمام ارتباطات و فعالیت‌های یک سازمان باید توسط SOC ثبت شود.
• رتبه‌بندی شدت هشدار، به تیم‌ها کمک می‌کند تا مطمئن شوند که ابتدا شدیدترین یا ضروری‌ترین هشدارها اعلام می‌شود. تیم‌ها باید به طور مرتب تهدیدات امنیت سایبری را از نظر آسیب احتمالی رتبه‌بندی کنند.
• توسعه و تکامل دفاعی برای کمک به تیم‌های SOC برای به‌روز ماندن مهم است. تیم‌ها باید یک طرح واکنش به حادثه (IRP) برای دفاع از سیستم‌ها در برابر حملات جدید و قدیمی ایجاد کنند. همچنین باید برنامه را در صورت لزوم هنگام کسب اطلاعات جدید تنظیم کنند.
• بازیابی رویداد سازمان را قادر می‌سازد تا داده‌های در معرض خطر را بازیابی کند که شامل پیکربندی مجدد، به‌روزرسانی یا پشتیبان‌گیری از سیستم‌ها می‌شود.
• حفظ انطباق برای حصول اطمینان از اینکه اعضای تیم SOC و شرکت از استانداردهای سازمانی و نظارتی هنگام اجرای طرح‌های تجاری پیروی می‌کنند، مساله‌ای کلیدی است. معمولا یکی از اعضای تیم بر آموزش و اجرای انطباق نظارت دارد.

قابلیت‌های اضافی SOC می‌تواند شامل مهندسی معکوس، تجزیه و تحلیل جرایم، تله‌متری شبکه و تحلیل رمز بر اساس نیازهای سازمان خاص باشد.

چگونه یک تیم SOC برنده بسازیم؟

SOCها با افراد مختلفی کار می‌کنند که در عملیات‌های امنیتی فراگیر نقش‌های مختلفی ایفا می‌کنند. عناوین شغلی و مسئولیت‌هایی که در یک SOC یافت می‌شود شامل موارد زیر است:

• یک مدیر SOC کارمندی است که مسئول مدیریت عملیات روزمره SOC و تیم امنیت سایبری آن است. همچنین بخشی از نقش مدیر SOC برای برقراری ارتباط با کارکنان اجرایی سازمان است.
• یک واکنش دهنده به حادثه، حملات یا نفوذهای موفق را مدیریت می‌کند و شیوه‌های لازم برای کاهش و حذف تهدید را اجرا می‌کند.
• محقق جرم شناسی مسئول شناسایی علت اصلی و یافتن منبع همه حملات، جمع‌آوری شواهد پشتیبان موجود است.
• یک مامور انطباق اطمینان حاصل می‌کند که تمام فرآیندهای SOC و اقدامات کارکنان الزامات انطباق را برآورده می‌کنند.
• یک تحلیلگر امنیتی SOC هشدارهای امنیتی را بر اساس فوریت یا شدت بررسی و سازماندهی می‌کند و ارزیابی‌های آسیب‌پذیری منظم را اجرا می‌کند. تحلیلگر SOC مهارت‌هایی مانند دانش زبان‌های برنامه‌نویسی، قابلیت‌های مدیر سیستم و بهترین شیوه‌های امنیتی را دارد.
• یک شکارچی تهدید، داده‌های جمع‌آوری شده توسط SOC را بررسی می‌کند تا تهدیداتی را شناسایی کند که به سختی قابل تشخیص‌اند. تست انعطاف‌پذیری و نفوذ (pen testing) نیز ممکن است بخشی از برنامه روتین شکارچی تهدید باشد.
• یک مهندس امنیت سیستم‌ها یا ابزارهایی را توسعه و طراحی می‌کند که برای اجرای موثر تشخیص نفوذ و قابلیت‌های مدیریت آسیب‌پذیری ضروری هستند.

انواع مراکز عملیات امنیتی

علاوه بر تصمیم‌گیری در مورد نقش‌های شغلی در تیم، چند مدل SOC وجود دارد که سازمان می‌تواند آنها را اجرا کند. از جمله:

• SOC اختصاصی یا خود مدیریتی (Dedicated or self-managed SOC): این مدل دارای یک تسهیلات در محل با کارکنان داخلی است.
• SOC توزیع شده (Distributed SOC): این مدل که به عنوان SOC مدیریت مشترک نیز شناخته می‌شود، دارای اعضای تیم نیمه اختصاصی تمام وقت یا نیمه وقت است که در خانه استخدام می‌شوند تا در کنار یک ارائه دهنده خدمات امنیتی مدیریت شده شخص ثالث (MSSP) کار کنند.
• SOC مدیریت شده (Managed SOC): این مدل دارای MSSPهایی است که تمام خدمات SOC را به یک سازمان ارائه می‌کنند. شرکای شناسایی و پاسخ مدیریت شده (MDR) شکل دیگری از SOC مدیریت شده هستند.
• SOC فرماندهی (Command SOC): این مدل درک اطلاعاتی تهدید و تخصص امنیتی را برای سایر مراکز عملیات امنیتی اختصاصی دیگر فراهم می‌کند. یک SOC فرماندهی در عملیات یا فرآیندهای امنیتی واقعی دخیل نیست، فقط در بخش اطلاعاتی دخالت دارد.
• مرکز Fusion: این مدل بر هر تشکیلات یا طرح‌های متمرکز بر امنیت، از جمله سایر انواع SOCها یا بخش‌های IT نظارت می‌کند. مراکز Fusion به عنوان SOCهای پیشرفته در نظر گرفته می‌شوند و با سایر تیم‌های سازمانی مانند عملیات IT، DevOps و توسعه محصول کار می‌کنند.
• SOC چند منظوره (Multifunction SOC): این مدل دارای یک مرکز اختصاصی و کارکنان داخلی است، اما نقش‌ها و مسئولیت‌های آن به سایر حوزه‌های حیاتی مدیریت IT مانند مراکز عملیات شبکه (NOCها) گسترش می‌یابد.
• SOC مجازی: این مدل دارای امکانات اختصاصی در محل نیست. یک SOC مجازی می‌تواند توسط سازمان اجرا یا به طور کامل مدیریت شود. SOC سازمانی معمولاً توسط کارکنان داخلی یا ترکیبی از کارمندان داخلی، برحسب نیاز و ارائه‌ شده توسط ابر ارائه می‌شود. همچنین SOCمجازی کاملاً مدیریت شده که به عنوان SOC برون سپاری یا SOC به عنوان سرویس (SOCaaS) شناخته می‌شود، هیچ کارمند داخلی ندارد.
• SOCaaS: این مدل مبتنی بر اشتراک یا مبتنی بر نرم افزار، برخی یا همه عملکردهای SOC را به یک ارائه دهنده ابری برون سپاری می‌کند.

بهترین شیوه‌های مرکز عملیات امنیتی

چند روش خوب مورد توافق برای اجرای SOC وجود دارد. قبل از اینکه یک SOC بتواند موفق باشد، مهم است که مدل SOC را انتخاب کنید که برای سازمان مؤثرتر باشد بنابراین تیمی با بهترین متخصصان امنیتی را استخدام کنید و ابزارها و فناوری‌های مناسب را به کار بگیرید.

در مرحله بعد، فرآیندهای هماهنگ‌سازی امنیتی، اتوماسیون و پاسخ (SOAR) را در صورت امکان اجرا کنید. ترکیب بهره‌وری یک ابزار اتوماسیون با مهارت‌های فنی یک تحلیلگر به بهبود کارایی و زمان واکنش به حادثه کمک می‌کند. همچنین عملکرد SOC را به طور موثرتر بدون وقفه فعال می‌کند.

SOCها به شدت بر دانش اعضای تیم امنیت سایبری متکی هستند. مدیران باید آموزش‌های مستمری را ارائه دهند تا از تهدیدات نوظهور، گزارش‌های حوادث امنیت سایبری و آسیب‌پذیری‌ها مطلع شوند. ابزارهای نظارت بر SOC باید به‌روز شوند تا هرگونه تغییر را منعکس کنند.

یک SOC فقط به اندازه استراتژی‌هایی که دارد مؤثر است. مدیران باید پروتکل‌های عملیاتی را اجرا کنند که به اندازه کافی قوی باشند تا از پاسخگویی منسجم، سریع و موثر اطمینان حاصل کنند.

سایر رویکرد‌های SOC شامل اطمینان از قابلیت مشاهده کامل در سراسر یک کسب‌وکار، جمع‌آوری هرچه بیشتر داده‌ها تا حد ممکن، بهره‌گیری از تجزیه و تحلیل داده‌ها و توسعه فرآیندهایی است که مقیاس‌بندی آنها برای توسعه آسان‌تر است.

مزایای مراکز عملیات امنیتی (SOC)

هنگامی که یک مرکز عملیات امنیتی به درستی اجرا شود، می‌تواند مزایای متعددی را برای سازمان فراهم کند، از جمله:

• نظارت و تجزیه و تحلیل بی‌وقفه برای فعالیت مشکوک
• بهبود زمان و شیوه‌های واکنش به حادثه
• کاهش فاصله بین زمان ایجاد اختلال و میانگین زمان تشخیص (MTTD)
• منابع نرم افزاری و سخت افزاری متمرکز برای یک رویکرد امنیتی جامع‌تر
• ارتباط و همکاری موثر
• به حداقل رساندن هزینه‌های مرتبط با حوادث امنیت سایبری
• مشتریان و کارمندانی که احساس راحتی بیشتری در اشتراک‌گذاری اطلاعات حساس دارند.
• شفافیت و کنترل بیشتر بر عملیات امنیتی
• ایجاد زنجیره کنترل برای داده‌ها، که اگر سازمان بخواهد افرادی را که مرتکب جرایم سایبری شده‌اند را تحت پیگرد قانونی قرار دهد، مورد نیاز است.

تفاوت SOC و NOC چیست؟

NOC شبیه به SOC است زیرا وظایف اصلی آن شناسایی، بررسی، رتبه‌بندی و رفع مشکلات است. NOCها با یک مدیر NOC یا سرپرست تیم شیفت کار می‌کنند که بر همه کارمندان و فرآیندهای درون مرکز نظارت می‌کند. اکثر کارمندان NOC مهندسان شبکه یا ترافیک هستند که برخی از آنها ممکن است سوابق تخصصی یا فنی بیشتری برای پوشش طیف متنوعی از حوادث داشته باشند.

برخلاف SOC، یک تیم NOC فقط مسائلی که در رابطه با عملکرد و در دسترس بودن شبکه به وجود می‌آیند را رسیدگی می‌کند که شامل اجرای فرآیندهای نظارت بر شبکه، خرابی دستگاه و پیکربندی شبکه است. همچنین NOC مسئولیت اطمینان از اینکه شبکه الزامات توافقنامه سطح سرویس (SLA) را برآورده می‌کند (مانند حداقل زمان خرابی) را بر عهده دارد.

تفاوت عمده در نوع حوادثی که SOCها و NOCها به آنها پاسخ می‌دهند ماهیت آنهاست. مشکلات شبکه معمولاً رویدادهای سیستمی هستند که به طور طبیعی رخ می‌دهند، مانند نقص یا بار ترافیک. مسائل امنیتی هوشمندترند و ممکن است از منابع خارج از کنترل سازمان ناشی شوند. به همین دلیل، NOCها تعمیرات سخت افزاری و تجهیزات فیزیکی را به طور منظم‌تری پوشش می‌دهند زیرا بیشتر حوادث امنیت سایبری SOC به صورت مجازی اتفاق می‌افتند.

NOCها در سازمان‌هایی که نیاز به در دسترس بودن بالای شبکه دارند، مانند دانشگاه‌ها و سازمان‌های دولتی رایج هستند. همچنین NOC می‌تواند برای سازمان‌هایی که به دسترسی به وب‌سایت و اتصال اینترنتی قوی، مانند تجارت الکترونیک، متکی هستند نیز کارایی داشته باشد. اگر یک مرکز عملیات امنیتی از مدل SOC چند منظوره پیروی کند نیز می‌تواند دارای NOC باشد.