اشتراک مقالات

استاندارد پیاده ‌سازی مرکز SOC چیست و چه تفاوتی بین SOC و NOC وجود دارد

1889 مشاهده 2 12 اسفند, 1398

پیاده ‌سازی مرکز SOC

در پیاده ‌سازی مرکز SOC یا مرکز عملیات امنیت تمرکز بر مانیتور کردن، شناسایی و تحلیل سلامت امنیت یک سازمان‌ بطور بی‌وقفه در تمامی روزهای سال است، هدف NOC یا مرکز عملیات شبکه بر روی اطمینان از صحت عملکرد شبکه، سرعت متعادل و مدت زمان Downtime محدود گذاشته شده است.

لایسنس اسپلانک

مهندسین و تحلیل‌گران SOC در جستجوی تهدیدات سایبری و حملات انجام شده هستند و قبل از اینکه داده‌ها یا سیستم‌های یک سازمان به خطر بیافتند، به آنها پاسخ می‌دهند. کارکنان NOC در جستجوی هر مشکلی که ممکن است باعث کاهش سرعت شبکه شده و یا به Downtime بیانجامد، هستند. هردو با هدف جلوگیری از مشکلات پیش از اینکه مشتریان و یا کارکنان تحت تاثیر قرار بگیرند، بطور فعال و آینده‌نگرانه شبکه را مانیتورکرده و به دنبال راه‌های پیشرفت امنیت هستند تا مشکلات مشابه دیگر، خطری ایجاد نکنند.

لازم است مراکز SOC و NOC برای برطرف کردن وقایع و شرایط بحرانی با یکدیگر همکاری کنند و در برخی موارد عملکردهای SOC درون NOC صورت خواهد گرفت. مراکز NOC می‌توانند برخی از تهدیدات امنیتی را، بخصوص اگر به عملکرد شبکه مربوط باشند، شناسایی کرده و به آنها پاسخ دهند. البته این امر در صورتی ممکن است که تیم مورد نظر آموزش دیده و به دنبال تهدیدات باشد. یک مرکز SOC عادی بدون سرمایه‌گذاری بر ابزارهای مختلف و مجموعه مهارت‌ها، قابلیت شناسایی مشکلات عملیاتی شبکه و پاسخگویی به آنها را ندارد.

بهترین اقدامات برای پیاده سازی مرکز SOC

استاندارد  پیاده سازی مرکز SOC  نیازمند اقدامات زیر است:

  • تدوین استراتزی
  • ایجاد قابلیت دید بر تمامی سازمان
  • سرمایه‌گذاری برای ابزارهای مناسب و سرویس‌ها
  • استخدام و آموزش نیروی کار مناسب
  • به حداکثر رساندن بازده
  • طراحی مرکز SOC طبق نیازها و ریسک‌های خاص کاربر

تدوین استراتژی

پیاده ‌سازی مرکز SOC سرمایه‌گذاری مهمی برای سازمان محسوب می‌شود. بخش‌های زیادی در برنامه‌ریزی امنیتی وجود دارند و برای تدوین استراتژی‌ای که نیازهای امنیتی سازمان را پوشش دهد، این موارد باید در نظر گرفته شوند:

  • چه چیزی نیاز به محافظت دارد؟ یک شبکه On-premises یا جهانی؟ Cloud یا Hybrid؟ چه تعداد Endpoint؟ آیا از داده‌های فوق‌ محرمانه محافظت می‌شود یا اطلاعات مشتری؟ چه داده‌هایی بیشترین اهمیت را دارند و بیشتر هدف قرار می‌گیرند؟
  • آیا مراکز SOC با NOC ادغام می‌شوند یا دو دپارتمان جدا تشکیل می‌شود؟ با توجه به تفاوت قابلیت‌های هر کدام، ادغام آنها نیازمند ابزارهای مختلف و مهارت‌های کارکنان است.
  • آیا سازمان خواستار دسترسی تمام وقت کارکنان SOC در طی سال است؟ این امر هزینه‌ها، اختصاص دادن کارمندان و محاسبات را تحت تاثیر قرار می‌دهد.
  • آیا سازمان قصد دارد مرکز SOC را بطور کامل به‌صورت داخلی ایجاد ‌کند یا برخی از کارکردها را به یک Vendor شخص ثالث ارجاع می‌دهد؟ یک تحلیل دقیق هزینه و فایده منجر به تصمیم‌گیری‌های درست می‌شود.

SIEM چیست؟ مزایای استفاده از Splunk Enterprise Security در سازمان ها

ویدیوهای بیشتر درباره امنیت

ایجاد قابلیت دید بر تمامی سازمان

 در پیاده ‌سازی مرکز SOC توجه به این نکته ضروری است که  لازم است SOC به هرچیزی فارغ از کوچک یا بی‌اهمیت بودن آن، دسترسی داشته باشد زیرا هر مساله کوچکی بر امنیت تاثیرگذار است. علاوه بر زیرساخت بزرگ‌تر، این امر شامل تجهیزات Endpoint و سیستم‌هایی است که توسط شخص ثالث و داده‌های رمزگزاری شده کنترل می‌شوند.

شرکت APK نخستین شرکت دانش محور در اجرای پروژه های انفورماتیکی کشور    تماس با کارشناسان 021-88539044-5

سرمایه‌گذاری برای ابزارهای مناسب و سرویس‌ها

 همان‌طور که سازمان به فکر پیاده ‌سازی مرکز SOC است در وهله اول باید بر ابزار تمرکز کند. تعداد حوادث امنیتی زیاد است و عدم استفاده از ابزارهای مناسب و خودکار برای مقابله با «Noise»، متعاقبا باعث افزایش تهدیدات مهم خواهد شد. بطور ویژه باید در موارد زیر سرمایه‌گذاری شود:

  • امنیت اطلاعات و مدیریت رویدادها (SIEM): این سیستم مدیریت امنیت، قابلیت دید کامل به فعالیت‌های درون شبکه، جمع‌آوری، مجزا نمودن و طبقه‌بندی داده‌های ماشین را از بازه وسیعی از منابع در شبکه فراهم کرده و آن داده‌ها را تحلیل می‌کند. بنابراین می‌توان در سریع‌ترین زمان اقدامات لازم را روی آنها انجام داد.
  • سیستم‌های محافظت از Endpoint: هر تجهیزاتی که به شبکه متصل می‌شود نسبت به حمله آسیب‌پذیر است. یک ابزار امنیت Endpoint از شبکه، زمانی که تجهیزات یاد شده به آن دسترسی دارند محافظت می‌کنند.
  • فایروال: ترافیک ورودی و خروجی شبکه را مانیتور کرده و بطور خودکار براساس قوانین تعیین شده ترافیک را بلاک می‌کند.
  • امنیت خودکار برنامه‌های کاربردی: این مورد فرآیند تست کردن را در تمامی نرم‌افزار خودکار کرده و برای تیم امنیتی واکنش به موقع به آسیب‌پذیری‌ها را فراهم می‌کند.
  • سیستم کشف منابع: این سیستم ابزارهای فعال و غیرفعال، تجهیزات و نرم‌افزار مورد استفاده در شبکه را پیگیری می‌کند تا بتوان ریسک را ارزیابی کرده و به نقاط ضعف رسیدگی کرد.
  • ابزار مانیتور کردن داده‌ها: به کاربر امکان بررسی و ارزیابی داده‌ها را می‌دهد تا از امنیت و بی‌عیبی آن اطمینان حاصل کند.
  • سیستم کنترل، ریسک و انطباق (GRC): در زمان و مکان مورد نیاز به کاربر این اطمینان را می‌دهد که با قوانین و مقررات مختلف تطابق داشته باشد.
  • اسکن کننده‌های آسیب‌پذیری‌ و تست نفوذ: چنین قابلیتی باعث می‌شود تحلیل‌گران امنیتی در جستجوی آسیب‌پذیری‌ها بوده و نقاط ضعف کشف نشده‌ای در شبکه پیدا کنند.
  • سیستم مدیریت Log: این سیستم امکان ذخیره‌سازی تمامی Logهای قسمت نرم‌افزار، سخت‌افزار و تجهیزات Endpoint که در شبکه کار می‌کنند را فراهم می‌کند.

مشاوره رایگان پیاده سازی مرکز SOC توسط کارشناسان شرکت APK – تماس با شماره 88539044-021

استخدام و آموزش نیروی کار مناسب

استخدام نیروهای با استعداد و بهبود مداوم مهارت‌های آنها در موفقیت تاثیر به‌سزایی دارد. بازار استعدادهای امنیتی رقابتی است. پس از استخدام افراد، باید برای بهبود مداوم مهارت‌های آنها سرمایه‌گذاری کرد چرا که این کار نه تنها امنیت را بهینه می‌کند بلکه نگهداری و تعامل را بهبود می‌بخشد. تیم مورد نظر باید برنامه کاربردی و امنیت شبکه، فایروال‌ها، تضمین اطلاعات، Linux، UNIX، SIEM و مهندسی و معماری امنیت را درک کند. خبره‌ترین تحلیل‌گر امنیتی باید این مهارت‌ها را دارا باشد:

  • هک اخلاقی: یکی از افراد باید بطور فعال برای هک سیستم، تلاش کند تا بدین‌وسیله آسیب‌پذیری‌های درون سیستم آشکار شوند.
  • جرم‌شناسی سایبری: تحلیل‌گران باید مشکلات را بررسی کرده و تکنیک‌های تحلیل را بکار ببرند تا هم شواهد و مدارک بررسی‌ها را درک کرده و هم آنها را حفظ کنند. اگر یک مورد در شرف ارجاع به دادگاه بود، تحلیل‌گر امنیتی می‌بایست قادر باشد تا زنجیره‌ای از مدارک و شواهد را فراهم کند تا نشان دهد چه اتفاقی و چرا افتاده است.
  • مهندسی معکوس: این امر فرآیند ساختن یا بازسازی نرم‌افزار است که به منظور درک چگونگی کارکرد آن و مهم‌تر از آن فهم نقاط آسیب‌پذیر انجام می‌شود. بنابراین تیم می‌تواند اقدامات پیشگیرانه انجام دهد.
  • تخصص در سیستم جلوگیری از نفوذ: مانیتور کردن ترافیک شبکه برای آگاهی از تهدیدها، بدون ابزارها غیر ممکن است. SOCها باید  بدانند چگونه از ابزارها درست اسفاده کنند.

رایج‌ترین انواع مرکز SOC

  • مراکز SOC داخلی عموما با کارکنان تمام‌وقت و مستقر در محل که شامل یک محل فیزیکی برای انجام تمام فعالیت‌هاست.
  • SOCهای مجازی در محل سازمان نبوده و متشکل از کارکنان نیمه وقت یا قراردادی است که با همکاری هم مشکلات را برطرف می‌کنند. پارامترها و مقررات تنظیم شده تیم SOC و سازمان برای چگونگی کارکرد روابط و اینکه SOC چه مقدار می‌تواند پشتیبانی کند، بسته به نیازهای سازمان تغییر می‌کند.
  • SOCهای خارجی که در آنها برخی یا تمامی عملکردها توسط یک تیم خدماتی ارائه دهنده امنیت خارجی (MSSP) مدیریت می‌شوند و در تحلیل امنیت و پاسخگویی تخصص دارند. برخی اوقات این شرکت‌ها سرویس‌های خاصی را ارائه می‌دهند تا یک مرکز SOC را حمایت کنند و برخی مواقع آنها به همه چیز رسیدگی می‌کنند.

بیشتر بخوانید: راه اندازی مرکز عملیات امنیت یا SOC با اسپلانک

SIEM چگونه باعث بهبود SOC می‌شود

SIEM باعث موثرتر شدن SOC در حفاظت از سازمان می‌شود. بهترین تحلیل‌گران امنیتی, حتی آنهایی که بهترین تنظیمات را دارند, نمی‌توانند خط به خط جریان‌های داده‌ را برای کشف فعالیت‌های مخرب مرور کنند و اینجاست که SIEM می‌تواند موثر واقع شود.

همانطور که اشاره کردیم، یک SIEM تمامی داده‌های حاصل از منابع مختلف درون سازمان را جمع آوری و سازمان‌دهی کرده و برای تیم SOC چشم‌اندازهایی را ایجاد می‌کند. بنابراین آنها می‌توانند به سرعت، حملات داخلی و خارجی را شناسایی کرده و به آنها پاسخ دهند، مدیریت تهدیدات را تسهیل کرده، ریسک‌ها را به حداقل برسانند و قابلیت دید به کل سازمان و هوش امنیتی را بدست آورند.

در پیاده‌ سازی مرکز SOC و امور مربوط به آن، راهکارSIEM حیاتی است، مانند مانیتور کردن، پاسخگویی به وقایع، مدیریت Log، گزارش انطباقی و اعمال پالیسی. قابلیت مدیریت Log، به تنهایی SIEM را به ابزاری ضروری برای هر تیم SOC بدل می‌کند. SIEM می‌تواند روی دسته‌های بزرگ داده‌های امنیتی حاصل از هزاران منبع، ظرف چند ثانیه تجزیه و تحلیل انجام دهد تا رفتارهای غیرعادی و مرموز را یافته و بطور خودکار آنها را متوقف کند. بسیاری از این اتفاقات بدون SIEM کشف نشده باقی می‌مانند.

پس از پیاده سازی مرکز SOC، راهکار SIEM به SOC کمک می‌کند تا لاگ‌ها را سازماندهی کرده و با ایجاد قوانینی خودکارسازی انجام داده تا بتواند هشدارهای اشتباه را بسیار کاهش دهد. باید شرایطی برای تحلیل‌گران امنیتی فراهم شود که بتوانند روی تهدیدات واقعی تمرکز کنند. همچنین SIEM می‌تواند کاربردی‌ترین گزارشات را ارائه دهد که هم به بررسی‌های جرم‌شناسی و هم به نیازهای انطباقی کمک می‌کند.

راه درست سرمایه‌گذاری در امنیت

هرسازمان نیاز بالایی به امنیت دارد. چه SIEM و کارکرد امنیتی داخل NOC گنجانده شود ، چه تمامی یا اکثر کارکردهای SOC به یک ارائه دهنده شخص ثالث واگذار شود و یا این فعالیت‌ها در درون سازمان انجام گیرد، لازم است تا به سوالاتی که یک SOC به آنها پاسخ می‌دهد اشاره شود.

باید با « نیازهای امنیتی ما چیست؟» شروع کرده و به «چگونه می‌توان بطور موثر این نیازها را تامین کرد؟» رسید.

مقاله های مرتبط:

Security Operations Center یا مرکز عملیات امنیت چیست و چه مزایایی دارد
آنالیز امنیتی یا Security Analytics چیست و چه مزایایی دارد؟
مرکز عملیات امنیت SOC چیست و در مقابله با حملات سایبری چه اهمیتی دارد
مزیت‌های اصلی داشتن یک مرکز عملیات امنیت (SOC) چیست؟
وظایف SOC یا مرکز عملیات امنیت چیست – قسمت اول
وظایف SOC یا مرکز عملیات امنیت چیست – قسمت دوم (پایانی)
برچسب ها : تفاوت مراکز SOC و NOCمرکز SOC چیستمرکز NOC چیستزاه اندازی مرکز SOC

مطلب مفید بود؟

 
بیشتر بخوانید