By | 13 تیر 1404
0 Comment
SOC چیست

SOC یا Security Operations Center یا مرکز عملیات امنیت؛ تیمی از متخصصان امنیت فناوری اطلاعات است که با نظارت، شناسایی، تجزیه و تحلیل و بررسی تهدیدات سایبری، از سازمان محافظت می‌کنند. شبکه‌ها، سرورها، کامپیوترها، دستگاه‌های نقطه پایانی(endpoint)، سیستم‌عامل‌ها، برنامه‌ها و پایگاه‌های داده به طور مداوم برای یافتن نشانه‌هایی از یک حادثه امنیت سایبری بررسی می‌شوند. تیم SOC فیدها را تجزیه و تحلیل می‌کند، قوانینی وضع می‌کند، استثنائات را شناسایی می‌کند، پاسخ‌ها را بهبود می‌بخشد و مراقب آسیب‌پذیری‌های جدید است.

ماموریت اصلی SOC نظارت و هشدار امنیتی است.

با توجه به اینکه سیستم‌های فناوری در سازمان‌های مدرن به صورت 24 ساعته و 7 روز هفته کار می‌کنند، SOCها معمولاً به صورت شبانه‌روزی و در شیفت‌های مختلف کار می‌کنند تا از پاسخ سریع به هرگونه تهدید نوظهور اطمینان حاصل شود. تیم‌های SOC ممکن است با سایر بخش‌ها و کارمندان یا ارائه‌دهندگان متخصص امنیت فناوری اطلاعات شخص ثالث(third party IT security providers) همکاری کنند.

قبل از راه‌اندازی SOC، سازمان‌ها باید یک استراتژی جامع امنیت سایبری تدوین کنند که با اهداف و چالش‌های تجاری آنها همسو باشد. بسیاری از سازمان‌های بزرگ دارای یک SOC داخلی هستند، اما برخی دیگر تصمیم می‌گیرند SOC را به یک ارائه‌دهنده خدمات امنیتی مدیریت‌شده شخص ثالث(third-party managed security services providers) برون‌سپاری کنند.

در واقع، خدمات مشاوره اطلاعات امنیتی و عملیات شامل مجموعه‌ای از راه‌حل‌های امنیتی برای جلوگیری از تهدیدات امنیتی است.

SOC چیست

یک SOC چگونه کار می‌کند؟

ماموریت اصلی SOC نظارت و هشدار امنیتی است. که شامل جمع‌آوری و تجزیه و تحلیل داده‌ها برای شناسایی فعالیت‌های مشکوک و بهبود امنیت سازمان می باشد. داده‌های تهدید کننده از فایروال‌ها، سیستم‌های تشخیص نفوذ یا IDS(Intrusion Detection Systems)، سیستم‌های پیشگیری از نفوذ یا IPS(Intrusion Prevention Systems)، سیستم‌های مدیریت اطلاعات و رویدادهای امنیتی یا SIEM(Security Information and Event Management) و اطلاعات تهدید(threat) جمع‌آوری می‌شود. به محض مشاهده اختلافات، روندهای غیرعادی یا سایر شاخص‌های خطر، هشدارها برای اعضای تیم SOC ارسال می‌شوند.

SOC چیست

یک SOC چه کاری انجام می‌دهد؟

کشف دارایی‌ها(Asset discovery): با کسب آگاهی عمیق از تمام سخت‌افزارها، نرم‌افزارها، ابزارها و فناوری‌های مورد استفاده در سازمان، SOC تضمین می‌کند که دارایی‌ها برای حوادث امنیتی تحت نظارت هستند.

نظارت رفتاری(Behavioral monitoring): SOC زیرساخت‌های فناوری را به صورت 24 ساعته و 7 روز هفته و 365 روز سال برای یافتن ناهنجاری‌ها تجزیه و تحلیل می‌کند. SOC از اقدامات واکنشی و پیشگیرانه برای اطمینان از شناسایی و رسیدگی سریع فعالیت‌های نامنظم استفاده می‌کند. نظارت رفتاری فعالیت‌های مشکوک برای به حداقل رساندن نتایج مثبت کاذب استفاده می‌شود.

نگهداری گزارش‌های فعالیت(Maintaining activity logs): تمام فعالیت‌ها و ارتباطاتی که در سراسر سازمان انجام می‌شود باید توسط تیم SOC ثبت شود. گزارش‌های فعالیت به SOC اجازه می‌دهد تا اقدامات گذشته‌ای را که ممکن است باعث نقض امنیت سایبری شده باشند، به عقب برگرداند(backtrack and pinpoint past actions) و مشخص کند. مدیریت گزارش همچنین به تعیین یک خط مبنا برای آنچه که باید فعالیت عادی تلقی شود، کمک می‌کند.

رتبه‌بندی هشدار(Alert ranking): همه حوادث امنیتی یکسان نیستند. برخی از حوادث، خطر بیشتری را برای یک سازمان نسبت به سایرین ایجاد می‌کنند. تعیین رتبه‌بندی شدت(severity ranking) به تیم‌های SOC کمک می‌کند تا شدیدترین هشدارها را در اولویت قرار دهند.

پاسخ به حادثه(Incident response): تیم‌های SOC هنگام کشف یک خطر، به حادثه پاسخ می‌دهند.

بررسی علت ریشه‌ای(Root cause investigation): پس از یک حادثه، SOC ممکن است مسئول بررسی زمان، چگونگی و چرایی وقوع یک حادثه باشد. در طول بررسی، SOC برای ردیابی مشکل ریشه‌ای و درنتیجه جلوگیری از تکرار آن، به اطلاعات گزارش متکی است.

مدیریت انطباق(Compliance management): اعضای تیم SOC باید مطابق با سیاست‌های سازمانی، استانداردهای صنعتی و الزامات نظارتی عمل کنند.

SOC چیست

مزایای یک مرکز عملیات امنیت (SOC) چیست؟

هنگامی که یک مرکز عملیات امنیت (SOC) به درستی اجرا شود، مزایای بی‌شماری از جمله موارد زیر را ارائه می‌دهد:

  • نظارت و تحلیل مداوم فعالیت سیستم.
  • پاسخگویی بهبود یافته به حوادث.
  • کاهش جدول زمانی بین وقوع یک نفوذ و شناسایی آن.
  • کاهش زمان از کارافتادگی.
  • متمرکزسازی دارایی‌های سخت‌افزاری و نرم‌افزاری که منجر به رویکردی جامع‌تر و بلادرنگ‌تر به امنیت زیرساخت‌ها می‌شود.
  • همکاری و ارتباط مؤثر.
  • کاهش هزینه‌های مستقیم و غیرمستقیم مرتبط با مدیریت حوادث امنیت سایبری.
  • کارمندان و مشتریان به سازمان اعتماد می‌کنند و در به اشتراک گذاشتن اطلاعات محرمانه خود راحت‌تر می‌شوند.
  • کنترل و شفافیت بیشتر بر عملیات امنیتی.
  • زنجیره کنترل واضح برای سیستم‌ها و داده‌ها، چیزی که برای پیگرد قانونی موفقیت‌آمیز مجرمان سایبری بسیار مهم است.

SOC چیست

چالش‌های یک مرکز عملیات امنیت چیست و چگونه بر آنها غلبه می‌شود؟

  1. شکاف استعدادی(Talent gap)

چالش: کمبود زیادی در تعداد متخصصان امنیت سایبری مورد نیاز برای پر کردن موقعیت‌های شغلی موجود در حوزه امنیت سایبری وجود دارد. این شکاف در سال ۲۰۱۹ به ۴.۰۷ میلیون متخصص رسید. با چنین کمبودی، مراکز عملیات امنیت (SOC) روزانه در تنگنا قرار دارند و خطر زیادی وجود دارد که اعضای تیم از کار بیفتند.

راه حل: سازمان‌ها باید به درون خود نگاه کنند و ارتقای مهارت کارکنان را برای پر کردن شکاف‌های موجود در تیم SOC خود در نظر بگیرند. همه نقش‌ها در SOC باید یک پشتیبان داشته باشند که تخصص لازم را برای حفظ خود در صورت خالی شدن ناگهانی موقعیت داشته باشد یا یاد بگیرند که به جای استفاده از کمترین قیمت ممکن، مهارت‌هایی را که ارزش دارند، بپردازند.

  1. مهاجمان ماهر(Sophisticated attackers)

چالش: دفاع شبکه یکی از اجزای کلیدی استراتژی امنیت سایبری یک سازمان است. این امر نیاز به توجه ویژه دارد زیرا مهاجمان سایبری ابزارها و دانش لازم برای فرار از دفاع‌های سنتی مانند فایروال‌ها و امنیت نقاط پایانی را دارند.

راه حل: ابزارهایی را مستقر کنید که دارای قابلیت‌های تشخیص ناهنجاری و یا یادگیری ماشینی باشند و بتوانند تهدیدات جدید را شناسایی کنند.

  1. داده‌ها و ترافیک شبکه حجیم(Voluminous data and network traffic)

چالش: میزان ترافیک شبکه و داده‌هایی که یک سازمان معمولی مدیریت می‌کند بسیار زیاد است. با چنین رشد نجومی در حجم و ترافیک داده‌ها، تجزیه و تحلیل تمام این اطلاعات به صورت بلادرنگ با مشکل فزاینده‌ای مواجه می‌شود.

راه حل: مراکز عملیات امنیت (SOC) برای فیلتر کردن، تجزیه، تجمیع و مرتبط کردن اطلاعات به ابزارهای خودکار متکی هستند تا تحلیل دستی را به حداقل برسانند.

  1. خستگی هشدار(Alert fatigue)

چالش: در بسیاری از سیستم‌های امنیتی، ناهنجاری‌ها با نظم خاصی رخ می‌دهند. اگر SOC به هشدارهای ناهنجاری فیلتر نشده متکی باشد، حجم هشدارها می‌تواند بسیار زیاد شود. بسیاری از هشدارها ممکن است نتوانند زمینه و اطلاعات لازم برای بررسی را فراهم کنند و در نتیجه تیم‌ها را از مشکلات واقعی منحرف کنند.

راه حل: محتوای نظارتی و رتبه‌بندی هشدارها را پیکربندی کنید تا بین هشدارهای با دقت پایین و هشدارهای با دقت بالا تمایز قائل شوید. از ابزارهای تجزیه و تحلیل رفتاری استفاده کنید تا اطمینان حاصل شود که تیم SOC ابتدا بر رسیدگی به غیرمعمول‌ترین هشدارها متمرکز است.

  1. تهدیدات ناشناخته(Unknown threats)

چالش: تشخیص مبتنی بر امضا(signature-based detection)، تشخیص نقطه پایانی(endpoint detection) و فایروال‌های مرسوم نمی‌توانند یک تهدید ناشناخته را شناسایی کنند.

راه حل: مراکز عملیات امنیت (SOC) می‌توانند با پیاده‌سازی تجزیه و تحلیل رفتار برای یافتن رفتار غیرمعمول، راه‌حل‌های تشخیص تهدید مبتنی بر امضا، قوانین و آستانه خود را بهبود بخشند.

  1. ابزارهای امنیتی بیش از حد(Security tool overload)

چالش: بسیاری از سازمان‌ها در تلاش برای شناسایی هرگونه تهدید احتمالی، ابزارهای امنیتی متعددی را تهیه می‌کنند. این ابزارها اغلب از یکدیگر جدا هستند، دامنه محدودی دارند و پیچیدگی لازم برای شناسایی تهدیدهای پیچیده را ندارند.

راه حل: تمرکز بر اقدامات متقابل مؤثر با یک پلتفرم نظارت و هشدار متمرکز.

SOC چیست

مرکز عملیات امنیتی: داخلی یا برون‌سپاری شده؟

یک SOC با مدیریت خوب، مرکز عصبی یک برنامه امنیت سایبری سازمانی مؤثر است. SOC دریچه‌ای به سوی چشم‌انداز تهدیدهای پیچیده و گسترده فراهم می‌کند. یک SOC لزوماً نباید داخلی باشد تا مؤثر باشد. یک SOC که تا حدی یا کاملاً برون‌سپاری شده و توسط یک شخص ثالث باتجربه اداره می‌شود، می‌تواند بر نیازهای امنیت سایبری یک سازمان مسلط باشد. SOC در کمک به سازمان‌ها برای پاسخ سریع به نفوذ، نقش محوری دارد.

 

 

 

منابع:

Opentext

Trellix

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *