با افزایش حملات سایبری و نقض داده ها، شرکت ها در هر اندازه باید بر ایمن سازی دارایی های فناوری خود تأکید کنند. با این حال، به دلیل محدودیت‌های بودجه و اولویت‌های رقابتی، ممکن است تشکیل یک تیم امنیت فناوری اطلاعات داخلی تمام وقت امکان‌پذیر نباشد.

راه حل هوشمند، در این مورد، بررسی مشارکت با یک SOC یا مرکز عملیات امنیتی است. SOC یک دفتر برون سپاری است که به طور کامل به تجزیه و تحلیل جریان ترافیک و نظارت بر تهدیدها و حملات اختصاص دارد.

در اینجا با SOC چیست و کارکردهای اساسی SOC و همچنین مدل‌ها و نقش‌های مختلف درگیر می‌شوید. مهم است که بدانید بهترین روش ها برای امنیت SOC چیست تا بتوانید گزینه های خود را بررسی کنید و بهترین فروشنده را انتخاب کنید.

مرکز عملیات امنیتی چیست؟

مراکز عملیات امنیتی (SOC) یک مکان متمرکز در سازمان است که یک تیم امنیتی مسئول نظارت بر وضعیت امنیتی شرکت و هرگونه تهدید امنیت سایبری را در خود جای داده است. SOC به محافظت از تمام حوزه‌های زیرساخت فناوری اطلاعات شرکت کمک می‌کند، از جمله، اما نه محدود به: شبکه‌ها، نرم‌افزار، و داده‌های موجود. SOCها چندین عملکرد را برای رسیدن به هدف اصلی دفاع در برابر حملات سایبری انجام می دهند.

یک مرکز عملیات امنیتی به صورت مداوم و ۲۴/۷/۳۶۵ برای ردیابی رویدادهای ثبت شده در سیستم سازمان و تصمیم گیری در مورد نحوه رسیدگی به این رویدادها کار می کند. آنها معمولاً توسط تیمی متشکل از تحلیلگران امنیتی، مهندسان و مدیران پشتیبانی می شوند که با هم کار می کنند تا فوراً به تهدیدات امنیتی پاسخ دهند.

اساساً می‌توانید به طور کامل به این تیم برای مقابله با مشکلات امنیتی در زمان واقعی اعتماد کنید و شبکه خود را محافظت کنید. مرکز عملیات امنیتی همچنین به طور مستمر به دنبال راه هایی برای بهبود وضعیت امنیتی سازمان و نحوه جلوگیری از حملات سایبری آینده است. اگر می‌خواهید شب‌ها با آرامش بخوابید و بدانید شبکه شما به طور مداوم در برابر هکرها محافظت می‌شود، یک SOC سرمایه‌گذاری عاقلانه‌ای است که باید در نظر بگیرید.

مزایای SOC

با توجه به نقش کلیدی فناوری در هر صنعت در سرتاسر جهان، امنیت سایبری باید برای همه سازمان‌ها در اولویت باشد. مدل SOC ثابت کرده است که در بسیاری از موقعیت ها موثر است، و ما برخی از مزایای کلیدی را در زیر بررسی خواهیم کرد. فقط به خاطر داشته باشید که با برون سپاری فعالیت های امنیتی IT خود، سطح مشخصی از ریسک را به ارث می برید !

۱٫ مقرون به صرفه بودن:

برای اکثر شرکت ها، حقوق کارکنان بزرگترین هزینه در بودجه آنهاست. بکارگیری یک تیم کامل از متخصصان امنیت سایبری مستلزم یک سرمایه‌گذاری عظیم اولیه و مداوم است. با استفاده مدل SOC، در عوض برای یک سرویس با شرایط واضح و مسئولیت کمتر پرداخت می‌کنید.

۲٫ خرابی کمتر:

هنگامی که یک وب سایت یا برنامه از کار می افتد، اغلب به معنای از دست دادن درآمد یا ضربه منفی به اعتبار یک شرکت است. استفاده از SOC می تواند این اثرات را به حداقل برساند و زمان حل حادثه را کوتاه کند. حتی مطمئن ترین ابزارهای نظارت بر زمان کار کامل نیستند، بنابراین وجود یک مرکز عملیات امنیتی در محل، افزونگی را در شبکه شما ایجاد می کند. کارکنان داخلی شما اولویت های رقابتی زیادی دارند که ممکن است برون سپاری فعالیت های امنیت سایبری به یک SOC مفید باشد.

۳٫ اعتماد مشتری:

یک نقض داده واحد، می تواند باعث شود مشتری دو بار در مورد اعتماد کردن به یک شرکت با اطلاعات خصوصی خود فکر کند. با فضای بسیار کمی برای خطا، قرار دادن یک مرکز عملیات امنیتی برای کار سیستم های نظارت شبانه روزی، حس اعتماد را برای همه کسانی که به شبکه و داده ها متکی هستند، ایجاد می کند.

نحوه عملکرد SOC ها: ۷ مسئولیت کلیدی

تا قبل از ظهور اخیر رایانش ابری، رویه امنیتی استاندارد برای یک شرکت این بود که یک راه حل سنتی اسکن بدافزار نرم افزاری را یا از طریق دانلود یا، در دوران باستان، یک CD-ROM که از طریق پست می رسید، انتخاب می کرد. آنها یک فایروال نصب شده در لبه شبکه را به آن اضافه می کنند و اطمینان دارند که این اقدامات داده ها و سیستم های آنها را ایمن نگه می دارد. واقعیت امروز محیط بسیار متفاوتی است، با تهدیدهایی که در سراسر شبکه پخش می شوند زیرا هکرها راه های جدیدی برای راه اندازی حملات سودآور و پیچیده مانند باج افزار ابداع می کنند.

SOC به عنوان یک عملکرد متمرکز در یک سازمان عمل می کند که افراد را استخدام می کند و از ابزارهایی برای نظارت مستمر وضعیت امنیتی برای شناسایی و جلوگیری از بدافزارهای مشکوک و حوادث امنیت سایبری استفاده می کند. در این زمینه، لایه‌ای از تخصص اجاره‌ای را برای استراتژی امنیت سایبری یک شرکت فراهم می‌کند که ۲۴/۷ عمل می‌کند تا شبکه‌ها و نقاط پایانی دائماً تحت نظارت باشند. اگر آسیب‌پذیری پیدا شود یا حادثه‌ای کشف شود، SOC با تیم فناوری اطلاعات در محل برای پاسخگویی به این مشکل و بررسی علت اصلی درگیر می‌شود.

یک مجموعه اصلی از عملکردهای عملیاتی وجود دارد که یک SOC باید انجام دهد تا به یک سازمان ارزش بیافزاید. SOC های فردی فعالیت ها و عملکردهای مختلفی را در داخل انجام می دهند بدون توجه به اینکه تحت چه مدلی فعالیت می کنند. با این حال، یک مجموعه اصلی از عملکردهای عملیاتی وجود دارد که یک SOC باید انجام دهد تا به یک سازمان ارزش بیافزاید. ما اینها را هفت صلاحیت نامیده ایم و در اینجا به آنها اشاره خواهیم کرد.

• بررسی دارایی (Asset Survey) : برای اینکه یک SOC به یک شرکت کمک کند تا ایمن بماند، آنها باید فهرست کاملی از منابعی که برای محافظت از آنها نیاز دارند داشته باشند. در غیر این صورت، ممکن است نتوانند از کل محدوده شبکه محافظت کنند. یک نظرسنجی دارایی باید هر سرور، روتر، فایروال تحت کنترل سازمانی و همچنین سایر ابزارهای امنیت سایبری را که به طور فعال مورد استفاده قرار می گیرند، شناسایی کند.

• جمع‌آوری گزارش (Log Collection) : داده‌ها مهمترین چیز برای عملکرد صحیح یک SOC است و گزارش‌ها به عنوان منبع کلیدی اطلاعات در مورد فعالیت شبکه عمل می‌کنند. SOC باید فیدهای مستقیم را از سیستم های سازمانی تنظیم کند تا داده ها در زمان واقعی جمع آوری شوند. بدیهی است که انسان‌ها نمی‌توانند چنین حجم زیادی از اطلاعات را هضم کنند، به همین دلیل است که ابزارهای اسکن لاگ با الگوریتم‌های هوش مصنوعی برای SOCها بسیار ارزشمند هستند، اگرچه آنها عوارض جانبی جالبی دارند که بشر هنوز در تلاش است تا آنها را برطرف کند.

• تعمیر و نگهداری پیشگیرانه (Preventative Maintenance) : در بهترین حالت، SOC می تواند با فعال بودن در فرآیندهای خود از وقوع حملات سایبری جلوگیری کند. این شامل نصب وصله های امنیتی و تنظیم خط مشی های فایروال به طور منظم است. از آنجایی که برخی از حملات سایبری به عنوان تهدیدهای خودی آغاز می شوند، یک SOC باید در داخل سازمان نیز به دنبال خطرات باشد.

• نظارت مستمر (Continuous Monitoring) : برای آمادگی برای پاسخگویی به یک حادثه امنیت سایبری، SOC باید در اقدامات نظارتی خود هوشیار باشد. چند دقیقه می تواند تفاوت بین مسدود کردن یک حمله و اجازه از بین بردن کل سیستم یا وب سایت باشد. ابزارهای SOC در سراسر شبکه شرکت اسکن می‌کنند تا تهدیدات احتمالی و سایر فعالیت‌های مشکوک را شناسایی کنند.

• مدیریت هشدار (Alert Management): سیستم های خودکار در یافتن الگوها و دنبال کردن اسکریپت ها عالی هستند. اما عنصر انسانی یک SOC زمانی که نوبت به تجزیه و تحلیل هشدارهای خودکار و رتبه‌بندی آنها بر اساس شدت و اولویت می‌شود، ارزش خود را ثابت می‌کند. کارکنان SOC باید بدانند که چه پاسخ هایی باید اتخاذ کنند و چگونه می توانند مشروعیت یک هشدار را تأیید کنند.

• تجزیه و تحلیل علت ریشه ای (Root Cause Analysis) : پس از وقوع یک حادثه و رفع آن، کار SOC تازه شروع شده است. کارشناسان امنیت سایبری علت اصلی مشکل را تجزیه و تحلیل کرده و علت وقوع آن را در وهله اول تشخیص خواهند داد. این به روند بهبود مستمر کمک می کند، با ابزارهای امنیتی و قوانینی که برای جلوگیری از وقوع حوادث مشابه در آینده اصلاح می شوند.

• حسابرسی انطباق (Compliance Audits) : شرکت‌ها می‌خواهند بدانند که داده‌ها و سیستم‌هایشان ایمن هستند، اما همچنین به شیوه‌ای قانونی مدیریت می‌شوند. ارائه دهندگان SOC باید ممیزی های منظم را برای تأیید انطباق آنها در مناطقی که در آن فعالیت می کنند انجام دهند.

نقش های شغلی SOC

برای کسانی که پیشینه ای در امنیت سایبری دارند، یک ارائه دهنده SOC مکان مناسبی برای ایجاد یک حرفه است. بیایید برخی از موقعیت های اصلی مربوط به اجرای SOC را بررسی کنیم.

مدیر SOC:

مدیران SOC رهبران سازمان خود هستند. وسایلی که مسئولیت‌های سطح بالا به عهده آنهاست، از جمله استخدام/اخراج، بودجه‌بندی و تعیین اولویت‌ها. آنها معمولا به طور مستقیم به سطح اجرایی، به ویژه افسر ارشد امنیت اطلاعات (CISO) گزارش می دهند.

حسابرس انطباق ( Compliance Auditor ):

حسابرس انطباق نقش کلیدی در استانداردسازی فرآیندها در یک SOC ایفا می کند. آنها اساساً به عنوان بخش کنترل کیفیت عمل می کنند و تضمین می کنند که اعضای SOC از پروتکل ها پیروی می کنند و به مقررات دولتی یا صنعتی پایبند هستند.

پاسخگوی حوادث:

پاسخ دهندگان حادثه افرادی هستند که پول می گیرند تا در اسرع وقت به هشدارها واکنش نشان دهند. آن‌ها از طیف گسترده‌ای از خدمات نظارتی برای رتبه‌بندی شدت هشدارها استفاده می‌کنند، و هنگامی که یکی از آنها به عنوان یک مشکل در مقیاس کامل تلقی شد، با شرکت آسیب‌دیده درگیر می‌شوند تا تلاش‌های بازیابی را آغاز کنند.

تحلیلگر SOC:

یک تحلیلگر SOC مسئول بررسی حوادث گذشته و تعیین علت اصلی پشت آن است. آن‌ها معمولاً سال‌ها تجربه حرفه‌ای در امنیت سایبری دارند و برای درک جنبه‌های فنی پشت نقض‌ها و نحوه جلوگیری از آنها بسیار مهم هستند.

شکارچی تهدید ( Threat Hunter ) :

اینها اعضای فعال تیم هستند که تست هایی را در یک شبکه انجام می دهند تا نقاط ضعف را شناسایی کنند. هدف این است که قبل از اینکه هکر بتواند با حمله از آنها سوء استفاده کند و امنیت کلی داده ها را بهبود بخشد، آسیب پذیری ها را پیدا کند.

مدل های SOC

تا این مرحله، ما بر روی یک مدل پردازنده خارجی SOC تمرکز کرده‌ایم که در آن شرکت مورد نظر برای مدیریت نیازهای امنیت سایبری خود به یک ارائه‌دهنده خارجی SOC پرداخت می‌کند. با این حال، چندین مدل معماری SOC دیگر وجود دارد که می توانند به روشی مشابه عمل کنند.

SOC اختصاصی یا داخلی:

این شرکت تیم امنیت سایبری خود را در نیروی کار خود راه اندازی می کند. اگر تصمیم دارید SOC اختصاصی خود را راه اندازی کنید، به پرسنل و تخصص برای انجام تمام نقش های شغلی SOC از مدیر گرفته تا تحلیلگر نیاز دارید.

SOC مجازی:

تیم امنیتی امکانات اختصاصی ندارد و اغلب از راه دور کار می کند. تحت یک مدل SOC مجازی، نقش مدیر SOC از نظر هماهنگ کردن افراد در مکان‌های مختلف حیاتی‌تر می‌شود.

جهانی یا فرماندهی SOC (Global or Command SOC ) :

یک گروه سطح بالا که بر SOC های کوچکتر در یک منطقه بزرگ نظارت می کند. سازمان‌های بزرگ و توزیع‌شده در سطح جهانی اغلب از مدل جهانی SOC حمایت می‌کنند، زیرا به آن‌ها اجازه می‌دهد تا ابتکارات استراتژیک و استانداردسازی رویه‌ها را تا سطوح شکارچی تهدید و تحلیلگر اجرا کنند.

SOC با مدیریت مشترک:

فناوری اطلاعات داخلی شرکت به شدت با یک فروشنده برون سپاری برای مدیریت نیازهای امنیت سایبری به طور مشترک همراه است. این یکی از مقرون‌به‌صرفه‌ترین مدل‌ها است، زیرا شما مجبور نیستید از هر نقشی استفاده کنید و می‌توانید با حسابرس انطباق شریک خود برای اطمینان از روش‌های مناسب کار کنید.

بهترین شیوه های SOC (Best Practices)

از آنجایی که مدل SOC در سال‌های اخیر به بلوغ رسیده و تکامل یافته است، بهترین شیوه‌های استاندارد از نظر بهترین نحوه عملکرد یک SOC در حال ظهور هستند. خواه از SOC داخلی خود استفاده می کنید یا به دنبال ارائه دهنده SOC هستید، در اینجا چند بهترین روش کلیدی برای پیاده سازی آورده شده است.

پیاده سازی اتوماسیون:

تیم های SOC باید تا حد امکان کارآمد باشند. این بدان معناست که آنها نمی توانند تمام وقت خود را برای خواندن ورودی های گزارش و تماشای جریان ترافیک تلف کنند. در عوض، آنها نیاز به پیاده سازی ابزارهای کامپیوتری مرکز عملیات امنیتی اتوماسیون دارند که از هوش مصنوعی برای شناسایی الگوها و اشاره به آنها به آنچه مهم است استفاده می کنند.

رویکرد ابری:

در قدیم، می‌توانستید یک فایروال را در لبه مرکز داده خود بکوبید و اطمینان داشته باشید که همه چیز در داخل آن محافظت شده است. اما با حرکت محاسبات ابری، SOCها باید به حوزه وسیع تری نگاه کنند. آنها باید نحوه تعامل همه بخش‌های زیرساخت ابری و اینکه آسیب‌پذیری‌ها در کجا پنهان می‌شوند را تجزیه و تحلیل کنند.

مثل یک هکر فکر کنید:

مجرمان سایبری همیشه به دنبال اختراع اشکال جدیدی از حمله هستند که شرکت ها و افراد نخواهند دید. برای اینکه از آنها جلوتر بمانند، تیم های SOC امنیت سایبری باید همان رویکرد خلاقانه را در پیش بگیرند. اگر آنها تمام روز را به نگرانی در مورد تهدیدات قدیمی بگذرانند، نسبت به انواع جدید حملات در افق چشم بسته خواهند بود. تست نفوذ و هرج و مرج از فعالیت‌های مرکز عملیات امنیتی بسیار مهم است، زیرا تیم‌ها را مجبور می‌کند به دنبال آسیب‌پذیری‌هایی باشند که در مکان‌های غیرمنتظره وجود دارد.

سوالات متداول درباره SOC

• چرا به یک مرکز عملیات امنیتی نیاز دارید؟

یک SOC برای محافظت از داده ها، سیستم ها و سایر منابع سازمانی حیاتی است. با یک ترتیب SOC، می توانید مطمئن باشید که شبکه شما از حملات محافظت می شود تا کارمندان شما بتوانند به جای نگرانی در مورد امنیت سایبری، بر فعالیت های اصلی خود تمرکز کنند.

• SOC باید چه چیزی را بررسی کند؟

ابزارها و تیم‌های SOC باید تمام ترافیک شبکه را از منابع خارجی نظارت کنند. این بدان معناست که هر سرور، روتر و پایگاه داده باید در محدوده تیم مرکز عملیات امنیتی باشد.

• تفاوت بین NOC و SOC چیست؟

NOC یک مرکز عملیات شبکه است. یک NOC اساساً بر روی به حداقل رساندن زمان خرابی و انجام توافقات سطح خدمات متمرکز است، در حالی که یک SOC عمیق‌تر به تهدیدات و آسیب‌پذیری‌های امنیت سایبری نگاه می‌کند.

• تفاوت بین SOC و SIEM چیست؟

SIEM مخفف Security Information and Event Management یک برنامه نرم افزاری است که به گروه بندی رویدادها برای تجزیه و تحلیل کمک می کند و می تواند به ارائه زمینه رویدادهای امنیتی کمک کند. SOC گروهی از افراد و ابزارهایی است که با هم کار می کنند در حالی که SIEM ابزاری است که آنها استفاده می کنند.

استفاده از یک SOC – چه داخلی و چه برون سپاری – یکی از بهترین راه‌ها برای محافظت از شبکه‌ها و داده‌های حیاتی در برابر تهدیدات خارجی و داخلی است. یک SOC می تواند به شما کمک کند اقدامات پیشگیرانه انجام دهید، آسیب هک ها را محدود کنید، و در صورت وقوع، زنجیره کشتار سایبری را ارزیابی کنید.