وظایف SOC یا مرکز عملیات امنیت چیست – قسمت اول

از وظایف SOC که مخفف Security Operation Center یا مرکز عملیات امنیت است ایجاد عملکردی متمرکز در یک سازمان بوده که افراد، فرآیندها و تکنولوژی را به کار می‌گیرد تا در حین جلوگیری، شناسایی، تجزیه، تحلیل و واکنش به حوادث امنیتی سایبری، به طور مداوم وضعیت امنیتی سازمان را کنترل کرده و بهبود بخشد.

SOC مانند Hub یا پست فرماندهی مرکزی عمل می‌کند که در سراسر زیرساخت‌های IT یک سازمان شامل شبکه‌ها، دستگاه‌ها، برنامه‌ها و فروشگاه‌های اطلاعاتی، فرآیند بررسی و انتقال داده‌ها را از راه دور در هر جا که باشند، انجام می‌دهد. گسترش تهدیدات پیشرفته، این ضرورت را ایجاب می‌کند که محتوا از منابع مختلف جمع‌آوری شود. در اصل، SOC نقطه‌ی ارتباط هر رویدادی است که در سازمان تحت نظارت Log می‌شود. از وظایف SOC این است که تصمیم می‌گیرد هر یک از این رویدادها چگونه مدیریت و انجام شوند.

وظایف SOC و کارکنان مرکز عملیات امنیت

وظیقه یک تیم عملیات امنیت و غالبا وظایف SOC یا مرکز عملیات امنیت شامل نظارت، شناسایی، بررسی و پاسخ به تهدیدات سایبری به صورت بیست و چهار ساعته است. تیم عملیات امنیت عهده‌دار مانیتورینگ و حفاظت از منابع بسیاری مانند توانایی‌های هوشمند، داده‌های پرسنل، سیستم‌های کسب و کار و یکپارچگی برند هستند. به عنوان بخشی از پیاده‌سازی چهارچوب کلی امنیت سایبری سازمان، گروه‌های عملیات امنیتی همانند کانون اصلی همکاری در تلاش‌های هماهنگ به منظور نظارت، ارزیابی و دفاع در برابر حملات سایبری عمل می‌کنند.

مشاوره رایگان راه‌اندازی مرکز عملیات امنیت SOC توسط کارشناسان شرکت APK، با شماره ۸۸۵۳۹۰۴۴-۰۲۱

SOCها معمولا با معماری Hub-and-Spoke ساخته می‌شوند، جایی‌که سیستم Security Information and Event Management یا به اختصار SIEM داده‌ها را از Feedهای امنیتی جمع‌آوری و به هم مرتبط می‌کنند. Spokeهای این مدل می‌توانند انواع سیستم‌ها مانند راهکارهای ارزیابی آسیب‌پذیری، سیستم‌های Governance، Risk  و Compliance یا به اختصار GRC، اسکنرهای برنامه و دیتابیس، Intrusion Prevent Systemها یا به طور خلاصه IPS، User و Entity Behavior Analytics یا به اختصار UEBA،Endpoint Detection  و Remediation یا به عبارتی EDR و Threat Intelligence Platform یا TIP را ادغام کنند.

SOC معمولا توسط SOC Manager هدایت می‌شود و ممکن است شامل پاسخ به رخداد‌ها، SOC Analysts در سطوح 1، 2 و 3، Threat Hunters و Incident Response Managerها باشد. از وظایف SOC گزارش به CISO است که آن هم به طور منظم به CIO یا مستقیما به CEO گزارش می‌دهد.

بیشتر بخوانید: بررسی ویژگی نسل جدید SOC

بررسی عملکرد و وظایف SOC در ساختار امنیتی شبکه

1. ازریابی منابع موجود

SOC مسئول دو نوع منبع است: دستگاه‌های مختلف، فرآیندها و برنامه‌ها. آنها مسئولیت حفاظت و ابزارهای دفاعی در اختیار آنها را برعهده دارند که به تضمین این حفاظت کمک می‌کند.

• موارد محافظت شده توسط SOC

SOC نمی‌تواند از دستگاه‌ها و داده‌هایی که قابل بررسی نیستند، محافظت کند. بدون قابلیت دید و کنترل از دستگاه به Cloud، احتمال وجود نقاط کور در وضعیت امنیت شبکه وجود دارد که قابل یافتن و استخراج هستند. بنابراین، از وظایف SOC ترسیم هدفی برای به دست آوردن نمایی کامل از چشم‌انداز تهدید کسب و کار است، که نه تنها شامل انواع مختلف Endpointها، سرورها و نرم‌افزارهای On Premise است، بلکه شامل خدمات Third-Party و Traffic Flowing بین این منابع می‌باشد.

• عملکرد محافظتی SOC

SOC همچنین باید درک کاملی از تمام Toolهای امنیت سایبری و همه‌ی گردش‌کارهای مورد استفاده در SOC را در دسترس داشته باشد. این امر باعث افزایش چابکی آن می‌شود و اجازه می‌دهد تا در اوج بهره‌وری اجرا شود.

بیشتر بخوانید: ارائه‌ی راهکار SOC به عنوان سرویس توسط شرکت Fortinet

2. آماده‌سازی و نگهداری پیشگیرانه

حتی فرآیندهایی که به خوبی مجهز شده‌اند و دارای واکنش سریع هستند برای جلوگیری از بروز مشکلات قبل از وقوع آنها، مناسب نیستند. از وظایف SOC انجام اقدامات پیشگیرانه برای  کمک به توقف مهاجمان  است که به دو دسته‌ی اصلی تقسیم می‌شوند:

• آماده‌سازی

اعضای گروه باید از جدیدترین نوآوری‌های امنیتی، آخرین روندها در جرائم سایبری و رشد تهدیدات در شرف وقوع، اطلاع داشته باشند. این تحقیق می‌تواند به اطلاع رسانی ایجاد یک Roadmap Security کمک کند که مسیری را برای تلاش‌های امنیت سایبری شرکت وDisaster Recovery Plan ی را فراهم می‌کند که به عنوان راهنما در هنگام بدترین سناریو به کار گرفته می‌شود.

• نگهداری پیشگیرانه

این مرحله شامل تمام اقداماتی است که انجام حملات موفق را مشکل‌تر می‌سازد، که شامل تعمیرات و نگهداری منظم و بروزرسانی سیستم‌های موجود، بروزرسانی Policyهای فایروال، رفع آسیب‌پذیری‌ها، Whitelisting، Blacklisting و ایجاد امنیت برای برنامه‌ها‌ است.

3. مانیتورینگ مستمر و فعال

Toolهای مورد استفاده توسط SOC، شبکه را به صورت 7/24 برای علامت‌گذاری هرگونه ناهنجاری یا فعالیت‌های مشکوک اسکن می‌کنند. مانیتورینگ شبکه در تمام ساعات شبانه روز به SOC اجازه می‌دهد تا بلافاصله از تهدیدات در حال ظهور مطلع شود و بهترین فرصت برای کاهش یا جلوگیری از آسیب را فراهم نماید. ابزارهای مانیتورینگ ممکن است شامل یک SIEM یا یک EDR، باشد که از پیشرفته‌ترین آنها می‌توان برای تحلیل رفتاری و آموزش تفاوت بین عملیات منظم روزمره و رفتار تهدیدآمیز واقعی سیستم‌ها، به حداقل رساندن میزان رده‌بندی، تجزیه و تحلیل که باید توسط افراد انجام شود، استفاده کرد.

4. رتبه‌بندی هشدار و مدیریت

وقتی ابزارهای مانیتورینگ مشکلی را اعلام می‌کنند، از وظایف SOC است که از نزدیک هر یک از آنها را مد نظر داشته باشد، خطا در اعلام هشدار را حذف و تهدیدهای واقعی و اهداف آنها را مشخص کند. این امر امکان الویت‌بندی مناسب خطرات قریب‌الوقوع و برطرف کردن مشکلات اضطراری در وهله‌ی اول، را به آنها می‌دهد.

5. پاسخ به تهدید

اغلب افراد وقتی به وظایف SOC فکر می‌کنند، این اقدامات به ذهنشان می‌رسد. به محض این که حادثه‌ای تایید می‌شود، SOC اولین پاسخ دهنده است و اقداماتی مانند خاموش کردن یا جداسازی Endpointها، پایان دادن به فرآیندهای مضر یا جلوگیری از اجرای آنها، حذف فایل‌ها و موارد دیگر را انجام می‌دهد. هدف، پاسخگویی به حد لازم با کمترین تاثیر ممکن بر تداوم کسب و کار است.

مقاله های مرتبط: