مرکز عملیات امنیت SOC که همچنین از آن با عنوان مرکز عملیات امنیت اطلاعات (ISOC) نیز یاد میشود، یک موقعیت متمرکز است که در آن یک تیم امنیت اطلاعات، رخدادهای امنیت سایبری را بطور تمام وقت مانیتور، شناسایی و تحلیل کرده، سپس به آن پاسخ میدهد.
این تیم امنیتی که متشکل از مهندسین و تحلیلگران امنیتی است، بر تمامی تغییرات و Eventهای سرورها، دیتابیسها، شبکهها، برنامههای کاربردی، تجهیزات Endpoint، وبسایتها و سایر سیستمها نظارت داشته تا تهدیدات امنیتی مهم را نشانهگذاری کرده و هرچه سریعتر آنها را رفع نماید. آنها همچنین منابع خارجی مرتبط مانند لیستهای تهدیدات که ممکن است وضعیت امنیتی سازمان را تحت تاثیر قرار دهند نیز مانیتور میکنند.
واحد عملیات امنیت SOC نه تنها باید تهدیدات را شناسایی کند بلکه باید آنها را تحلیل نموده، درباره منبع آن تحقیق کرده، تمامی آسیبپذیریهای کشف شده را گزارش داده و برای جلوگیری از وقوع مورد مشابه در آینده برنامهریزی کند. به عبارت دیگر، آنها بیوقفه با مشکلات امنیتی سروکار دارند در همین حین بطور پیوسته بدنبال راههایی برای بهبود وضعیت امنیتی سازمان هستند.
در یک مقیاس بزرگتر نهادهایی با عنوان مرکز عملیات امنیت جهانی (GSOC) وجود دارند که با دفاتر امنیتی که جهان را پوشش میدهند همکاری میکنند. با وجود دفاتر در سراسر دنیا، بجای تاسیس یک واحد عملیات امنیت SOC برای هر نقطه بین المللی، یک GSOC میتواند از تکرار امور و عملکردها در نقاط مختلف جلوگیری کند و ضمن کاهش مخارج کلی اطمینان حاصل کند که تیم امنیتی اشراف کاملی بر آنچه در تمامی سازمان رخ میدهد دارد.
در ادامه عملکردهای پایهای SOC و GSOC را در کنار جنبههای کلیدی برپایی یک مرکز عملیات امنیت SOC شرح خواهیم داد.
- سریعتر پاسخ دهند: SOC یک دید متمرکز، کامل و به موقع از نحوه عملکرد کل زیرساخت از نقطه دید امنیت ایجاد میکند حتی اگر موقعیتهای مختلف و هزاران Endpoint وجود داشته باشد. میتوان قبل از اینکه مشکلات خسارتهای زیادی برای سازمان ایجاد کنند آنها را شناسایی کرده، تشخیص داده و جلوی آنها را گرفت.
- اعتماد مصرفکننده و مشتریان را حفظ کند: مصرفکنندگان خودشان پیش از هرچیزی نسبت به بسیاری از شرکتها شکاک بوده و نگران حریم خصوصی خود هستند. ایجاد یک مرکز عملیات امنیت SOC به منظور حفاظت از دادههای مشتریان و مصرفکنندگان میتواند به ایجاد اطمینان در سازمان کمک کند. البته، جلوگیری از نقض امنیتی اعتماد را حفظ میکند.
- هزینهها را به حداقل میرساند: درحالی که بسیاری از شرکتها فکر میکنند که هزینه برپایی یک SOC گزاف است، هزینههای مربوط به نقض امنیتی که شامل از دست رفتن دادهها، دادههای خراب شده و یا نارضایتی مشتری میشود، بسیار بیشتر است. به علاوه، پرسنل SOC این اطمینان را به کاربر میدهند که از ابزارهای مناسب برای سازمان خود استفاده میکند، بنابراین هزینهای صرف ابزارهای بیفایده نمیشود.
مجموعه ویدئوی آموزش ضوابط SOC 2: موارد جدید در SOC 2 – قسمت اول
ویدیوهای بیشتر درباره مرکز عملیات امنیت SOC
مرکز عملیات امنیت SOC چه اهمیتی دارد
حملات سایبری بطور روز افزون به سازمانها خسارت وارد میکنند. در سال 2018، میلیاردها نفر دچار حملات سایبری و نقص امنیتی شدند و اعتماد مشتری به توانایی سازمان در حفظ حریم شخصی و اطلاعات فردی رو به زوال رفت. نزدیک به 70% مشتریان بر این باورند که سازمانها نسبت به حملات سایبری و هکرها آسیبپذیرند. آنها تمایل کمتری دارند تا کسبوکار خود را با سازمانهایی که در معرض خطر بودهاند آغاز کرده یا آن را ادامه دهند.
به زبان سادهتر، مرکز عملیات امنیت SOC تضمین میکند که تهدیدات به موقع شناسایی شده و جلوی آنها گرفته میشود. از دید جامعتر، یک واحد عملیات امنیت SOC میتواند:
قیمتگذاری بر روی چنین مزایایی سخت است چرا که آنها حقیقتا باعث پیشرفت سازمان میشوند. اما آیا کاربر بطور مطلق نیازمند واحد عملیات امنیت SOC است؟ اگر تابع دولت و یا مقررات صنعتی بوده و یا از نقض امنیتی ضرر میبیند و یا در سازمانی است که دادههای حساس مانند اطلاعات مشتریان را ذخیره میکند پاسخ مثبت است.
SOC چه کاری انجام میدهد
واحد عملیات امنیت SOC پاسخگویی به موقع به رویدادها را رهبری کرده و پیشرفتهای امنیتی مداوم را به جهت حفظ سازمان از حملات سایبری هدایت میکند. با استفاده از ترکیب پیچیدهای از ابزارها و افراد مناسب برای مدیریت و مانیتور کردن کل شبکه، یکSOC با عملکرد بالا این موارد را فراهم میکند:
برای مشاوره رایگان و یا راه اندازی Splunk/SIEM و مرکز عملیات امنیت SOC با کارشناسان شرکت APK تماس بگیرید |
- نظارت فعال و آیندهنگرانه و تمام وقت شبکه، سختافزار و نرمافزار برای شناسایی نقض ایمنی و پاسخگویی به رویداد
- خبرگی در تمامی ابزارهایی که سازمان استفاده میکند، شامل Vendorهای شخص ثالث ، تا اطمینان حاصل شود که آنها به سادگی میتوانند مشکلات امنیتی را حل کنند.
- نصب، بروزرسانی و عیبیابی نرمافرازهای برنامههای کاربردی
- مانیتور کردن و مدیریت فایروالها و سیستمهای پیشگیری از نفوذ (IPS)
- اسکنکردن و ترمیم آنتیویروس و راهکارهای بدافزار و باجافزار
- مدیریت ترافیک، ایمیل و فایلهای صوتی و تصویری
- مدیریت Patch و Whitelisting
- تحلیل عمیق دادههای ورود به سیستم امنیتی از منابع مختلف
- تحلیل، بررسی و مستندسازی روندهای امنیتی
- رسیدگی به نقضهای امنیتی برای فهم ریشهای حملات و جلوگیری از نقضهای آینده
- اعمال پالیسیهای امنیتی و روشها
- پشتیبانگیری، ذخیرهسازی و بازیابی
بیشتر بخوانید: راه اندازی مرکز عملیات امنیت یا SOC با اسپلانک
SOC طیفی از ابزارها را مورد استفاده قرار میدهد که دادهها را از سراسر شبکه و تجهیزات مختلف جمع آوری کرده، برای یافتن اختلالات مانیتور میکند و به تمامی کارکنان درباره تهدیدات بنیادی هشدار میدهد. با این حال فعالیتهای SOC محدود به حل مشکلات در زمانی که نمایان میشوند، نیست. در بازهای که مرکز عملیات امنیت SOC درحال شناسایی تهدیدات نیست چه میکند؟ پیدا کردن نقاط ضعف داخلی و خارجی به SOC محول شده است که این امر از طریق تحلیل مداوم آسیبپذیریهای سختافزار، نرمافزار و همچنین گردآوری فعال هوش تهدیدات در ریسکهای شناخته شده، صورت میگیرد. بنابراین حتی اگر ظاهرا تهدید فعالی وجود نداشته باشد، که با توجه به که حملات هکرها هر 39 ثانیه امری نادر است، کارکنان SOC بطور فعال و آینده نگرانه به دنبال راههایی برای بهبود امنیت هستند. ارزیابی آسیبپذیریها شامل تلاش فعالانه برای هک کردن سیستم خود به منظور یافتن نقاط ضعف است که با عنوان تست نفوذ شناخته میشود. به علاوه، نقش اصلی کارمندان واحد عملیات امنیت SOC تحلیل امنیتی است: ایجاد اطمینان از اینکه سازمان بطور بهینه از ابزارهای صحیح امنیتی استفاده میکند و ارزیابی اینکه چه چیزی کار میکند و چه چیزی کار نمیکند.
کارمندان واحد عملیات امنیت SOC چه کسانی هستند
مرکز عملیات امنیت SOC متشکل از مهندسان و تحلیلگران امنیتی فوق حرفهای است و در کنار آنها سرپرستهایی هستند که از کارکرد و راهاندازی بی نقص همه چیز اطمینان حاصل میکنند. اینها افراد متخصصی هستند که بطور ویژه آموزش دیدهاند تا تهدیدات امنیتی را مدیریت و مانیتور کنند. نه تنها آنها در استفاده از ابزارهای امنیتی مختلف ماهر هستند بلکه با فرآیندهایی آشنایی دارند که در هنگام ایجاد نقض امنیتی در زیرساخت، آنها را دنبال میکنند. بیشتر SOCها یک رویکرد سلسله مراتبی را اتخاذ میکنند تا مشکلات امنیتی را مدیریت کنند بطوری که مهندسین و تحلیلگران براساس مهارت و توانایی خود دستهبندی میشوند. یک تیم معمولی ممکن است اینگونه ساختاربندی شود:
بیشتر بخوانید: Ethical Hacking یا هک اخلاقی چیست و هکر قانونمند چه کسی است؟
- سطح 1: اولین خط پاسخگویی به رویداد. این متخصصان امنیتی منتظر هشدارها بوده و میزان فوریت آنها و تغییر وضعیت به سطح 2 را تعیین میکنند. همچنین کارکنان سطح 1 ممکن است ابزارهای امنیتی را مدیریت کرده و گزارشهای مداوم را تهیه کنند.
- سطح 2: این کارکنان معمولا خبرگی بیشتری دارند بنابراین به سرعت میتوانند به ریشه مشکل پی برده و ارزیابی کنند کدام قسمت زیرساخت در حال نفوذ است. آنها از روشهایی برای اصلاح مشکل و ترمیم خرابیها استفاده میکنند، همچنین سایر مشکلات را برای بررسیهای بیشتر، تفکیک میکنند.
- سطح 3: در این سطح، کارکنان شامل تحلیلگران امنیتی سطح بالایی هستند که بطور فعال به دنبال آسیبپذیریهای درون شبکهاند. آنها از ابزارهای شناسایی تهدیدات پیشرفته استفاده میکنند تا نقاط ضعف را شناسایی کنند و برای بهبود امنیت کلی سازمان توصیههایی را مطرح میکنند. در این گروه، ممکن است متخصصین ویژهای مانند بازرسین قانونی، حسابرسان یا محققین امنیت سایبری یافت شوند.
- سطح 4: این سطح شامل مدیران رده بالا و سردفترداران با بیشترین میزان تجربه هستند. این گروه تمامی فعالیتهای تیمی SOC را نظارت کرده و مسئول استخدام و آموزش و بعلاوه ارزیابی عملکرد خاص و کلی است. سطح 4 در طی بحرانها و بطور مشخص به عنوان واسطه میان تیم SOC و سایر سازمان خدمت میکند. آنها همچنین مسئول ایجاد اطمینان از تطابق با سازمان، صنعت و مقررات دولتی هستند.
