ماهیت Security Operations Center یا به اختصار SOCای كه كاربر ایجاد میكند، چیست؟ نیازمند چه نوع قابلیتهایی است؟ كاربر چگونه نقشها و مسئولیتهایی را به آن محول میكند؟ درك چگونگی استفاده از عناصر فنی، ساختار سازمانی و بهترین روشها برای موثرسازی تیم SOC لازم است.
نقش و اهمیت یک تیم SOC کارآمد
Security Operation Center یك ساختار سازمانی است كه به طور مداوم روندهای امنیتی یك سازمان را مانیتور و تحلیل میكند. این مركز همچنین از سازمان در برابر نقضهای امنیتی دفاع كرده و ریسكهای امنیتی را فعالانه متمایز نموده و كاهش میدهد.
هدف تیم SOC این است كه با استفاده از مجموعه مطمئنی از فرآیندها و راهكارهای فنی، تهدیدات امنیت سایبری را تحلیل كرده و به آنها واكنش دهند. كادر تیم SOC عموما شامل مدیران، تحلیلگران امنیتی و مهندسانی است كه با تیمهای پاسخ به حوادث سازمانی همكاری میكنند تا به سرعت به مسائل امنیتی بپردازند.
تیم SOC فعالیت را در سرورها، شبكهها، برنامههای كاربردی، پایگاههای داده، وبسایتها و دیگر سیستمهای فنی ردیابی و تحلیل میكند. اعضای تیم این مركز لایه تحلیلی مهمی فراهم میكنند كه برای جستوجوی هر گونه فعالیت نامعمول كه ممكن است نشانه حادثهای امنیتی باشد، لازم است. همچنان كه سیستمهای فنی نظیر IPها یا فایروالها میتوانند جلوی حملات ابتدایی را بگیرند، به مهارت انسانی نیز برای پاسخ به حوادث جدی نیاز است.
Security Information and Event Management یا به اختصار SIEM راهكاری است كه با جمعآوری دادههای امنیتی از سراسر سازمان، تشخیص رویدادهایی كه ارتباطی به امنیت دارند و قرار دادن آنها در كانون توجه تیم SOC، تحلیلگران این مركز را توانمند میسازد. یك SIEM مدرن همه اطلاعات مربوط را مقابل متخصصان امنیتی میگذارد تا به آنها در تشخیص و كاهش سریعتر حوادث كمك كند.
مسئولیتهای ابتدایی تیم SOC
تیم SOC تضمین میكند كه حوادث محتمل امنیتی به درستی شناسایی، تحلیل و بررسی شوند و قابل تشخیص عام قرار گیرند و نیز از سازمان در برابر آنها محافظت شود.
مجموعه ویدئوی آموزش ضوابط SOC 2: موارد جدید در SOC 2 – قسمت اول
ویدیوهای بیشتر در مورد مرکز عملیات امنیت SOC
پیادهسازی و مدیریت ابزارهای امنیتی
تیم SOC باید دارای دستهای از محصولات فنی باشد كه بینشی نسبت به درون محیط امنیتی سازمان ارائه دهند. همچنین این مركز لازم است یك تیم ماهر امنیتی تعیین كند كه بتواند ابزارهای مناسب كار را برگزیده و به كار گیرد. این تیم باید درخواستهای پیشنهاد یا به اختصار RFPها از جانب Vendorها را ارزیابی كند، نیازهای یكپارچهسازی سیستم را در نظر بگیرد، نمونه راهحلهایی آزمایشی ظراحی كند و تبادلپذیری با زیرساخت كنونی را بیازماید.
ابزارهای امنیتی ابتدایی شامل فایروالها، فنآوری تشخیص و پیشگیری از نفوذ، ابزارهای مدیریت آسیبپذیری و تهدید، ابزارهای جلوگیری از دست رفتن اطلاعات، فنآوریهای فیلترینگ، راهكارهای بررسی ترافیك، فنآوری گزارشگیری و پلتفرمهای تحلیل داده است. تیم SOC همچنین ممكن است به ابزارهای قانونی سازمان نیز كه از قابلیت بررسی پاسخ به حوادث پشتیبانی میكنند، دسترسی داشته باشد.
راهكار SIEM در صدر این مجموعه ابزار میتواند به جمعآوری رویدادهای امنیتی و ایجاد هشدارها کمک کرده تا تحلیلگران به بررسی آنها بپردازند. ابزارهای نسل بعدی SIEM شامل قابلیتهای جدید نظیر User and Entity Behavior Analytics یا به اختصار UEBA و Security Orchestration and Automation یا به اختصار SOAR است كه میتوانند زمان تحلیلگران را ذخیره ك و تهدیداتی را شناسایی كنند كه ابزارهای قدیمی از تشخیص آنها عاجزند
بیشتر بخوانید: سرعتبخشی به عملیات امنیتی با استفاده از ترکیب فناوری SOAR و Fortinet’s Security Fabric
بررسی فعالیتهای مشكوك، مهار كردن آنها و پیشگیری از آنها
تیم SOC با كمك ابزارهای مانیتورینگ امنیت به دنبال فعالیت مشكوك در سیستمها و شبكههای IT است و این كار را معمولا با دریافت هشدارهایی از SIEM و تحلیل آنها انجام میدهد كه ممكن است شامل نشانههایی از خطر و هوش تهدیدات مرتبط باشد. این تیم هشدارها را اولویتبندی كرده، میزان تهدید را تشخیص داده و پاسخ میدهد.
سازمانها ممكن است قادر نباشند به طور كامل مانع ورود تهدیدات به شبكهشان شوند، اما میتوانند جلوی پخش تهدیدات را بگیرند. اگر سیستم شبكهای در معرض خطر باشد، SOC باید Hostهای آلوده را شناسایی كرده و مانع اثرگذاری آنها بر بقیه شبكه شود. این مركز میتواند به منظور جلوگیری از توزیع تهدید، از كنترل سوییچها، روترها و شبكه مجازی منطقه محلی یا به اختصار VLANها استفاده كند.
SOC باید هشدارها را همبسته سازد و ارزیابی كند. كادر این مركز میتوانند این رویدادها را جزئی از محیط شبكه كسبوكار در نظر بگیرند و فعالیتهای پاسخ را با كاركنان كلیدی به صورت Real Time هماهنگ سازند.
كاهش Downtime و تضمین تداوم كسبوكار
كسبوكارها باید اطمینان حاصل كنند كه شبكه و سیستمهایشان با Downtime حداقل یا صفر اجرا میشوند. زمانی میشد Mail Server آلوده به ویروس را برای پاكسازی خاموش كرد، اما در محیط امروز كسبوكار نمی تواند Downtime زیرساخت های مهم مانند ایمیل را داشته باشد.
در صورتی كه نقض امنیتی رخ دهد، تیم SOC میتواند به صورت پیشگیرانه ذینفعان متناسب كسبوكار را از رویدادهای جدی امنیتی باخبر سازد. در صورت امكان، ریسكها قبل از آن كه رویدادهای امنیتی به زیرساخت كلیدی كسبوكار برسند، كاهش داده میشوند و اگر این رویدادها به سیستمهای مهم برسند، افزونگی باید در جای درست انجام شود تا تداوم كسبوكار حفظ گردد.
استراتژی امنیتی
SOCها به طور ایدهآل همچون مراكز سرویس مشتركی هستند كه برای ذینفعان كسبوكار ارزش فراهم کرده و به آنها كمك میكنند به برنامههای كاری خود برسند. این مراكز سازمانهایی با عملكرد متقابل هستند كه عملیات انجامشده توسط دپارتمانهای مختلف را متمركز میسازند.
سازمانها باید مدل و راهنمای عملیشونده برای تیم SOC را تعریف كنند تا با افرادی از گروههای IT، منابع انسانی، قانونی، تطبیقپذیری و دیگر گروهها، پیگیریپذیری را ضمانت كنند، ناظر ارتباطات باشند و تعاملات را هدایت نمایند. مشخص بودن زنجیره دستورات در سازمان میتواند در حین فعالیتهای مهم اورژانسی نظیر خاتمه اتصال یا خاموش كردن كامل سیستم، از سردرگمی بكاهد.
پشتیبانی از Audit و تطبیقپذیری
SOC اغلب در قبال Auditing سیستمها برای برآوردن نیازهای تطبیقپذیری آنها با مقررات دولتی، شركتی و صنعتی نظیر SB 1386، HIPAA و Sarbanes-Oxley مسئول است. دسترسی كارآمد به اطلاعات تهدید، سطح Patch و دادههای كنترل شناسایی و دسترسی برای تطبیقپذیری ضروری است.
در گذشته، سازمانها از اسناد موجود برای ایجاد اسناد تازه برای یك Audit استفاده میكردند. این فرآیند در معرض خطا و وقتگیر است. SOCهای مدرن اگر مورد مدیریت صحیح تیمهای امنیتی قرار گیرند، از ابزارهای امنیتی نظیر SIEM استفاده میكنند كه دادههای امنیتی را از سراسر سازمان جمعآوری و گزارشها و Auditهای تطبیقپذیری ایجاد میكند.
