راه اندازی مرکز عملیات امنیتی SOC
SOC مخفف کلمه security operations center است که با هدف نظارت، پیشگیری، شناسایی، تحقیق و پاسخگویی به تهدیدات سایبری فعالیت میکند. راهاندازی یک مرکز عملیاتی موثر برای کسبوکارها با هر تعداد نیرو مهم است. حضور تیم امنیت سایبری به اندازه هریک از تیمهای دیگر حائز اهمیت است. کسبوکارهایی که اهمیت امنیت سایبری را تشخیص میدهند، برای اطمینان از اینکه دادهها و سیستمهای آنها ایمن باقی میماند، سرمایهگذاری کرده و منابع لازم برای مقابله با تهدیدات سایبری را در اختیار تیم SOC قرار میدهند. نقشها و مسئولیتهای مرکز عملیاتی امنیت سایبری کاملا مستقیم است اما در در پیشنیازها متفاوت هستند. بهطور کلی، کسبوکارها ارزش خاصی برای امنیت سایبری قائل نمیشوند. تیمهای SOC با چالشهای بیشماری روبرو هستند. کسبوکارها تمایلی به استخدام این نیروها ندارند، یک نفر وظایف یک تیم کامل را انجام میدهد و معمولا فعالیت آنها به چشم نمیآید!
مرکز عملیات امنیتی (SOC) چگونه کار میکند؟
یک کسبوکار ابتدا باید استراتژی امنیتی خود را تعریف کند و سپس زیرساخت مناسبی برای همکاری تیم SOC فراهم کند. سیستم اطلاعاتی که اساس فعالیت SOC است، یک سیستم اطلاعاتی امنیتی و مدیریت رویدادها (SIEM) است که از صداها ابزار امنیتی و سیستمهای سازمانی گزارشها و رویدادها را جمعآوری میکند و هشدارهای امنیتی عملیاتی را ایجاد میکند که تیم SOC میتواند تجزیه و تحلیل کند و به آن پاسخ دهد.تیمهای SOC بهطور کلی دارای دو مسئولیت اصلی است:
1. ابزارهای نظارتی امنیت سایبری را حفظ کنند
برای ایمنسازی و نظارت موثر بر یک سیستم، ابزارهای زیادی وجود دارد که تیمهای SOC باید از آنها نگهداری کرده و بهطور مداوم آپدیت کنند. بدون ابزار امنیتی مناسب، ایمنسازی موثر سیستمها و شبکهها غیرممکن است. نقشها و مسئولیتهای مرکز عملیات امنیتی، اعضای تیم را ملزم میکند تا ابزاری را که در تمامی فرآیندهای امنیتی استفاده میشود، حفظ کنند. یکی از این ابزارها، ابزارهای جمعآوری داده از سراسر شبکه است. این اطلاعات باید به تمام سیستمهای شبکه از جمله زیرساختهای ابری گسترش یابد، سپس این اطلاعات به یک SIEM و یک ابزار تجزیه و تحلیل ورود به سیستم منتقل شوند. یک وقفه در جریان این اطلاعات میتواند پیامدهای جدی داشته باشد.
2. فعالیتهای مشکوک در سراسر شبکه را بررسی کنند
با کمک ابزارهای نظارتی امنیت سایبری، تیم SOC مسئول تحقیق در مورد فعالیتهای مشکوک و بالقوه مخرب در سیستمها و شبکهها است. به طور معمول، SIEM یا نرمافزارهای تجزیه و تحلیل موجود آنها را از مسائل احتمالی آگاه میکند. سپس آنالیزور هشدارها را بررسی کرده، اقدامات اولیه را انجام داده و دامنه تهدید را تعیین میکند. ترکیبی از ابزار مناسب و تخصص کارشناسان، از ترکیبات لازم برای یک تیم موفق SOC است.
پوزیشن شغلی تیمهای SOC
تیمهای SOC معمولا دارای پوزیشنهای شغلی زیر هستند. هر کدام از این یک مسئولیتها میتواند به عهده یک نفر یا یک تیم باشد. البته که بسیاری از کسبوکارها فعالیتهای مربوط به تیم SOC را برونسپاری میکنند.
1. تحلیلگر امنیتی:
مسئول تشخیص تهدیدات امنیتی احتمالی و رسیدگی به آنها. همچنین اقدامات امنیتی را اجرا میکند و در برنامههای بازیابی حادثه، مشارکت میکند.
2. مهندس امنیت:
مسئول نگهداری و بهروزرسانی ابزارها و سیستمها که معمولا متخصص نرمافزار یا سختافزار است. همچنین آنها مسئول آماده کردن هرگونه اسنادی هستند که ممکن است توسط سایر اعضای تیم مورد نیاز باشد. (مانند پروتکلهای مورد استفاده)
چارت SOC در کسبوکارها
عملیات SOC را، سرپرست تیم SOC هدایت میکند. مسئول همگامسازی بین تحلیلگران و مهندسان مسئول استخدام، آموزش و استراتژی امنیتی است. پاسخگویی تهدیدات عمده امنیتی است و آنها را هدایت میکند.
4. افسر ارشد امنیت اطلاعات (CISO)
استراتژیها، پالیسیها و عملیات مربوط به امنیت سایبری را ایجاد میکند. از نزدیک با مدیرعامل همکاری میکند، در مورد مسائل امنیتی به مدیریت اطلاع داده و در مورد آن، گزارش تهیه میکند.
5. مدیر پاسخگویی به حوادث
مسئول مدیریت حوادث در کسبوکارهای بزرگ که در صورت بروز حادثه، الزامات امنیتی را برای آن کسبوکار در رابطه با یک نقض قابل توجه بیان میکند.
مزایای راهاندازی تیم SOC در کسبوکارها
یک مرکز عملیات امنیتی کارآمد، به عنوان سیستم عصبی مرکزی یک برنامه موثر امنیت سایبری فعالیت میکند. راهاندازی تیم SOC مزایای زیادی برای کسبوکارها به همراه دارد که در ادامه به آنها اشاره میکنیم:
1. واکنش به تهدید موجود در کمترین زمان ممکن
یکی از اهداف اصلی تیمهای SOC مدرن، سرعت بخشیدن به تجزیه و تحلیل امنیتی است تا متخصصان امنیت سایبری بتوانند نشانههایی از تهدید را تشخیص دهند، فعالیت مرتبط را بررسی کنند و در کمترین زمان ممکن، به این تهدید واکنش نشان دهند. هرچه زمان برای حمله مهاجمان سایبری محدود شود، فرصت کمتری برای ورود به داراییهای با ارزش و سرقت اطلاعات حساس دارند.
2. تاثیر تهدیدات را به حداقل میرسانند
کلیه فعالیتهایی که تیم SOC انجام میدهد، موجب به حداقل رساندن تاثیر تهدید و سایر خطرات سازمان منجر میشود. اولویتبندی موثر فعالیت SOC براساس عواملی مانند شدت آسیبپذیری در یک منبع، اطلاعات موجود در رابطه با روند تهدید و اهمیت تجاری یک منبع نیز انجام میشود. SOCهای موثر میتوانند در جلوگیری از نقض عمده حوادث امنیتی جزئی، تفاوت ایجاد کنند.
اپراتورهای SOC درک میکنند که هرچه اطلاعات بیشتری در مورد سیستمهای خود داشته باشند، شناسایی حملات علیه آنها راحتتر خواهد بود. SOCها به دنبال توسعه قابلیت دید امنیتی و پوشش واکنش به حادثه از طریق ایجاد موجودی کامل داراییهای فنآوری اطلاعات سازمانی خود و نظارت بر امنیت در کمترین زمان ممکن هستند تا آماده باشند که در صورت حمله سایبری، هوشیار باشند.
4. یک قدم جلوتر از مهاجمان هستند
هدف تیمهای SOC این است که فراتر از مهاجمان سایبری حرکت کرده و تلاش میکنند تا فعالیتهای خود که شامل شکار فعالانه تهدیدات است، توسعه دهند. مهاجمان مخفی برای جلوگیری از شناسایی تلاش میکنند، به همین دلیل است که تحلیلگران با سابقه SOC سرنخهای دیجیتالی را غربال میکنند تا شواهد اولیه حملاتی را کشف کنند که ممکن است همیشه باعث ایجاد هشدار نشوند؛ اما با این وجود ارزش بررسی دارد.
5. محافظت از کسبوکار در برابر خطرات سایبری
هدف نهایی تیمهای SOC، همگامسازی گزارشات تهیه شده و ارائه آن به بخشهای مختلف کسبوکار با هدف آگاهسازی کلیه افراد از خطر سایبری است. دادههای روند فعالیتهای نظارت و پاسخگویی SOC میتواند به شکلگیری نقشه راه امنیتی آینده، سادهسازی گزارش انطباق و محاسبه بهتر ریسک مالی تهدیدات سایبری کمک کند.