مرکز عملیات امنیتی (SOC) چیست و چرا اهمیت دارد؟

1. مقدمه

امروزه با پیشرفت سریع فناوری و روند رو به رشد مشاغل بزرگ و کوچک بایستی از اطلاعات حساس مشتریان، کارمندان، شرکای تجاری، شبکه های داخلی سازمان ها و غیره محافظت شود با افزایش ظهور مجرمان سایبری و نرم افزارهای مرتبط با هک و امنیت، این محافظت به یک کار روزانه چالش برانگیز تبدیل شده است.

در چند سال گذشته احتمال وقوع یک نقض امنیتی روی دارایی های فناوری اطلاعات (IT) سازمان ها بسیار افزایش یافته است. یک مطالعه جدید در مورد مشاغل مبتنی بر IT در ایالات متحده نشان داد که اکثر سازمان های بزرگ هیچگونه تدابیر امنیتی به صورت مستمر ندارند و فقط تعدادی کمی از سازمان ها به موضوع امنیت اهمیت می دهند. معمولا سازمان هایی که موضوع امنیت را جدی می گیرند به صورت پیوسته سناریوهای تست سایبری را روی دارایی های اطلاعاتی انجام می دهند تا در صورت کشف باگ ها و خطاهای امنیتی در راستای رفع آنها اقدام نمایند. بدون وجود تدابیر امنیتی مناسب، کسب و کارهای مبتنی بر IT انباشت هزینه ها را رقم می زنند. زیرا در ادامه مطالعه مربوطه اعلام شده است که تخلفات به طور متوسط ​​206 روز طول می کشد تا تشخیص داده شوند. بنابراین عدم توجه به موضوع امنیت اطلاعات و داده ها، پیامدهای مالی، اعتباری و پیوستگی کسب و کار بسیار زیان باری برای سازمان ها خواهد داشت.

سازمان های مبتنی بر IT امروزه در حال کشف روش های جدید برای دفاع از خود در برابر حملات سایبری احتمالی هستند. برخی از آنها برای اسکن شبکه و کشف باگ های سامانه های خود به برنامه های پیشرفته اعتماد می نمایند و برخی دیگر امنیت سایبری خود را کاملاً به سازمان های خارجی برون سپاری می کنند. مفهوم مؤثر دیگری که همچنان در بین سازمان های متمرکز بر استراتژی رو به افزایش است، ایجاد مرکز عملیات امنیتی یا SOC است.

مرکز عملیات امنیتی یا SOC تیمی از افراد متخصص، تجهیزات امنیتی و تسهیلاتی است که در آن خود را کاملاً به عملیات امنیتی با کیفیت بالا در حوزه IT اختصاص می دهند. SOC به دنبال جلوگیری از تهدیدات امنیت سایبری است و هرگونه حادثه در رایانه ها، سرورها و شبکه های تحت نظارت آن را تشخیص داده و پاسخ مناسب را در اسرع وقت می دهد. آنچه یک SOC را منحصر به فرد می کند، امکان نظارت بر همه سیستم ها بطور مداوم است. زیرا کارمندان در شیفت های کاری مختلف و انجام فعالیت های چرخشی، بصورت شبانه روزی کار می کنند.

بر خلاف مشاغل سنتی حوزه IT، کارمندان SOC در درجه اول شامل تیمی از تحلیل گران مجرب در زمینه امنیت سایبری و مهندسین آموزش دیده در این حوزه می باشند. این افراد از طیف وسیع برنامه های رایانه ای و فرآیندهای امنیتی ویژه ای استفاده می کنند تا بتوانند نقاط ضعف موجود در زیرساخت های  حیاتی و دیتا سنتر شرکت را مشخص کرده و از آسیب پذیری و سرقت داده ها و اطلاعات جلوگیری کنند.

فناوری های مورد استفاده SOC شامل فایروال ها، UTMها، آنتی ویروس ها، WAF، تجهیزات IDS/IPS، کاوشگرها (Probes)، سیستم های اطلاعاتی و مدیریت رویدادها می باشند و فرآیندهای SOC هنگام حرکت در این سکوهای مختلف و نقاط پایانی (End Systems)، داده ها را جمع آوری و نظارت می کنتد. تیم SOC با تجزیه و تحلیل فیدهای فعال حاصل از لاگ های جمع آوری شده، تعیین قوانین، شناسایی استثناء ها از آسیب پذیری ها و تهدیدهای احتمالی جلوگیری می کنند.

همانطور که در ابتدای مقاله عنوان شد برخی از شرکت ها SOC داخلی دارند، در حالی که برخی دیگر تصمیم به برون سپاری این سرویس ها دارند. مهمتر از همه اینها هدف اصلی جلوگیری از نقض و به حداقل رساندن خسارت ناشی از فعالیت های مجرمانه آنلاین است. تهدیدات امنیت سایبری به طور فزاینده ای در سراسر بخش های عمومی، مراقبت های بهداشتی، مؤسسات مالی، سیستم های آموزشی و موارد دیگر رشد کرده است به طوری که اگر کنترلی روی آنها صورت نگیرد فاجعه بار می شوند. اما دقیقاً چگونه تیم های SOC از سازمان های مربوط به خود در برابر این تهدیدات محافظت می کنند؟

2. مزایای داشتن SOC

حالا که با فرآیندهای اساسی SOC آشنا شدید، مزایای داشتن SOC را در ادامه تشریح خواهیم کرد. اقدامات SOC به چند دلیل مهم، بر نتایج تجاری سازمان تأثیر چشمگیری دارند. از آنجا که امنیت سایبری به طور فزاینده ای بسیار مهم است. در اینجا برخی از مزایای خاص مرکز عملیات امنیتی تشریح شده است که این موارد عبارتند از:

متمرکز کردن نمایش دارایی ها – به دلیل اینکه SOC به تمام دارایی های سازمان که به نوعی سرویس ارائه می کنند، دسترسی دارد، در صورت بروز مشکلات عمده برای آنها به آسانی قادر به تشخیص و کشف آنها است. بنابراین نرم افزارها و تجهیزات استفاده شده در SOC به صورت متمرکز و یکپارچه دارایی های سازمان را می تواند به نمایش گذارد.

تثبیت اعتماد به نفس مشتری و کارمندان – مصرف کنندگان و کارمندان می خواهند بدانند که اطلاعات آنها پس از ارائه به شرکت مورد نظر خود، ایمن خواهد بود. اتخاذ تدابیر دقیق برای جلوگیری از از بین رفتن داده ها، سوء استفاده از اطلاعات و نشت اطلاعات یکی از بهترین راه های بهبود و حفظ یکپارچگی برند در بلند مدت است.

همکاری در بین بخش ها – SOC منحصر به فرد است زیرا تیمی از افراد با مهارت های بالا هستند که در جهت رسیدن به یک هدف مشترک تلاش می کنند.  در زمان وقوع حملات سایبری SOC با هماهنگی و برقراری ارتباط بین بخش های مختلف سازمان کمک می کند تا به طور جمعی مشکل را برطرف سازد. بنابراین به دلیل اینکه SOC با اکثر بخش های سازمان در ارتباط است، به عنوان یک نقطه مشترک در سازمان تلقی می شود.

به حداکثر رساندن آگاهی برای به حداقل رساندن هزینه ها – به طور کلی، مهمترین فواید یک SOC افزایش توانایی شما در کنترل کلیه سیستم ها و کاهش از دست دادن داده ها است و به بازده بالاتر در جلوگیری از نقض های امنیتی کمک می کند. SOC به حفظ یکپارچگی اطلاعات حساس، صرفه جویی در هزینه ها و جلوگیری از هزینه های حملات سایبری کمک بسیار زیادی می کند.

3. فرآیندها و رویه ها

SOC با نظارت، تحلیل و بهره گیری از روش ها و فرآیندهای استراتژیک به حفظ امنیت سایبری کمک می کند. این فرایندها و رویه ها به وظایف قابل شناسایی زیر تقسیم می شوند:

ایجاد آگاهی از دارایی ها – از ابتدای کار، SOC باید با ابزارها و فناوری های موجود و همچنین سخت افزارها و نرم افزارهایی که در شبکه کار می کنند، مهارت و شناخت کافی داشته باشد. آگاهی بالا نسبت به تجهیزات و سامانه ها می تواند تا حد قابل توجهی به تشخیص تهدیدات در حال توسعه کمک کند.

نظارت پیشگیرانه – به جای تمرکز بر اقدامات واکنشی در صورت بروز بی نظمی و ناهنجاری های سیستمی، SOC قبل از اینکه سیستمی منجر به آسیب های اساسی شود، اقدامات عمدی برای کشف فعالیت های مخرب انجام می دهد.

مدیریت گزارش ها و پاسخ ها – در صورت مشاهده نقض در عملکرد کار SOC، ضروری است که بتوانید گام های کاری خود را دوباره ببینید تا به اشتباهات خود پی ببرید. بنابراین با مدیریت دقیق گزارش ها، پاسخ ها و فعالیت های کاری می توانید اقدامات کاهشی در زمینه اشتباهات غیر عمدی را اصلاح کنید.

رتبه بندی هشدارها – هنگامی که یک بی نظمی و ناهنجاری مشاهده می شود، یکی از وظایفی که SOC انجام می دهد رتبه بندی شدت حوادث و رخدادها است. هرچه نفوذ تهاجمی تر باشد یا هرچه نزدیک تر به آسیب پذیری بالقوه هدف باشد، فوراً SOC برای رفع تهدید اقدام خواهد کرد.

تنظیمات دفاعی – مدیریت آسیب پذیری و افزایش آگاهی از تهدیدات، بخش های اساسی جلوگیری از نقض امنیت است. این شامل نظارت مداوم در محیط و عملیات داخلی سازمان است. زیرا گاهی اوقات نقض هایی از درون سازمان صورت می گیرد و یا راه نفوذ از شبکه بیرون را مهیا می کنند.

بررسی انطباق – در عصر فناوری داده ها، حفظ و نگهداری مقررات اساسی امنیت اطلاعات بسیار مهم هستند به طوری که انطباق سازمان با استاندارهای امنیتی منجر به افزایش سطح امنیت سایبری خواهد شد. SOC برای رعایت هرگونه اقدامات اجباری در این راستا به طور روزانه تلاش می کند و این منجر می شود که یک گام جلوتر برای جلوگیری از صدمه زدن به سازمان باشد.

هر یک از وظایف فوق که در قالب فرآیند اطلاق می گردد، یک عملکرد مهم SOC محسوب می شود که به طور کلی سازمان را به خوبی محافظت می کند. SOC با تحت پوشش قرار دادن همه این پایه ها، کنترل سیستم های سازمان را بر عهده دارد و در صورت وقوع یک حمله سریع و هوشمندانه عمل می نماید.

4. نقش ها در SOC

در این بخش قصد داریم نقش های سازمانی اعضای مختلف مرکز عملیات امنیتی تشریح کنیم. امروزه مدل های زیادی برای پیاده سازی SOC وجود دارد که می توان متناسب با شرایط سازمان از آنها استفاده کرد. نقش ها در SOC متناسب با مدل SOC تعریف می شوند اما به طور کلی چند نقش پایه ای وجود دارد که در اکثر مدل های SOC از آنها استفاده می شود، این نقش ها عبارتند از:

مدیر SOC – همانطور که از عنوان پیداست، این افراد پرسنل، بودجه و برنامه ها را در SOC مدیریت می کنند و به مدیران اجرایی گزارش می دهند. آنها همچنین برای هماهنگی با قوانین و مقررات مربوط به انطباق با مدیریت در سایر بخش های سازمان تعامل دارند.

پاسخ دهنده رخداد (Incident) – وقتی هشدارهای امنیتی به وجود می آیند، این کارمندان ارزیابی اولیه از بی نظمی ها و ناهنجاری ها را انجام می دهند.

کارشناس فارنزیک (Forensic) – در طول تجزیه و تحلیل رخدادها، این متخصصان داده ها را جمع آوری و شواهد را حفظ می کنند تا نهایتا در اثبات فارنزیک یا جرم شناسی استفاده گردد.

حسابرس یا ممیزی انطباق – این متخصصان امنیت سایبری بر اقدامات افراد و پیروی از رویه ها و فرآیندها نظارت دارند تا اطمینان حاصل شود که کارمندان به درستی مراحل را دنبال می کنند.

تحلیلگر امنیت پایه – پس از شناسایی و تجزیه و تحلیل رویدادهای امنیتی، این متخصصان هشدارهای تهدید بالقوه را طبقه بندی، رتبه بندی و  می کنند.

5. مدل ها در SOC

نقش هایی که در بخش فوق اشاره شد در اکثر مدل های سازمانی SOC وجود دارند. نقش ها و افرادی که با یکدیگر برای مقابله با حوادث امنیت سایبری فعالیت می کنند می توانند در روش های مختلف SOC سازماندهی شوند. چند مدل استاندارد SOC وجود دارد که معمولاً در اکثر سازمان ها از آنها استفاده می شود، این مدل ها عبارتند از:

SOC داخلی – این مدل ها توسط متخصصان فناوری اطلاعات و امنیت در یک سازمان ایجاد می شوند. اعضای تیم یا در تمام بخش ها توزیع می شوند یا به طور مرکزی به نظارت بر امنیت سایبری اختصاص می یابند.

SOC مجازی داخلی – بدون داشتن تسهیلات اختصاصی معمولا سازمان ها از SOC مجازی داخلی بهره می برند. این گروه ها متشکل از افرادی هستند که به صورت نیمه وقت فعالیت می کنند و در هنگام دریافت هشدارهای امنیتی اقدامات واکنشی توسط این گروه ها صورت می گیرد.

SOC با همکاری – تیمی از افراد نیمه متخصص در سازمان با یک ارائه دهنده خدمات امنیتی جهت حفظ عملیات امنیتی همکاری می کنند.

فرماندهی SOC – این مراکز تلاش گروهی از SOCهای دیگر را هماهنگ می کنند تا بینش امنیتی بیشتری را در سازمان ارائه کنند. در واقع این مدل بیشتر وابسته به عملکرد سایر SOCهای دیگر می باشد.

Fusion SOC – این SOCها بر تلاش تیم های سنتی فناوری اطلاعات و تیم های فناوری اطلاعات عملیاتی، به همراه هرگونه ابتکار عمل پیشرفته در زمینه امنیت سایبری نظارت می کنند و نهایتا از نتیجه نظارت بر آنها رویکردهای امنیتی برای سازمان ارائه می شود.

SOC مجازی برون سپاری – مانند SOC مجازی داخلی ذکر شده در بالا، این SOC ها از راه دور هستند. با این حال، آنها یک سرویس مستقل شخص ثالث هستند، نه اینکه با سایر کارمندان داخلی هماهنگ شوند. در واقع این نوع SOC به مانند خرید یک سرویس برای سازمان است.

6. نتیجه گیری

سازمان ها و شرکت هایی که در حوزه فناروی اطلاعات فعالیت دارند، جهت حفاظت از دارایی های حساس به احتمال خیلی زیاد به مرکز عملیات امنیتی (SOC) نیاز مبرم دارند. زیرا SOC به دلیل مزایای زیادی که دارد، اعتبار سازمان را نیز بهبود می دهد. بنابراین سازمان ها بسته به بودجه خود می توانند یکی از مدل هایی که در فوق اشاره شد را انتخاب و نقش ها را براساس مدل مربوطه، تعریف کنند.

نظر بدهید

آدرس ایمیل تان منتشر نخواهد شد.