چالش های ایجاد، ساخت و بهره برداری از یک مرکز عملیات امنیتی (SOC) چیست؟

مقدمه

نرخ جرایم سایبری همچنان در حال افزایش است. واقعیت این است که مرکز عملیات امنیتی (SOC) خط مقدم و آخرین خط دفاع است. حجم حملات سایبری و همچنین سرعت نسبی حملات فردی در حال افزایش است و این نکته حائز اهمیت است که هرچه یک حمله غیر منتظره سرعت بیشتری داشته باشد، احتمال آسیب های شدید هم وجود خواهد داشت.

مرکز عملیات امنیتی (SOC) برخی از مزایای تجاری کاملاً واضح، مانند بهبود آگاهی، شناخت وضعیت موجود، کاهش هزینه های امنیتی طولانی مدت و غیره را  دارد اما با وجود مزایای خیلی زیاد SOC، پذیرش SOC جهانی نیست. طبق بررسی جهانی امنیت اطلاعات EY 2017-2018 یا EY’s Global Information Security Survey فقط نیمی (یا بیشتر) از تمام سازمان های مورد بررسی دارای SOC هستند. با بقیه چه می گذرد؟!

چالش های بسیار مهمی برای ساخت و بهره برداری SOC وجود دارد. برای مثال، هزینه های سرمایه گذاری روی SOC در درجه اول منع کننده است. علاوه بر این، مقررات امنیتی خارجی و داخلی نیز سطح پیچیدگی را در روند توسعه SOC معرفی می کند. البته چالش ها پس از عملیاتی شدن SOC پایان نمی یابد. از آنجا که SOC عملیات امنیتی را متمرکز می کند، مسائل و کنترل تیم های SOC، فناوری های مورد استفاده در SOC نیز به عنوان چالش های بعدی خواهد بود. زیرا تربیت افراد متخصص و به روز بودن و کارآمدی فناوری های موجود در SOC همواره بایستی جزء برنامه های های بلند مدت SOC در نظر گرفته شود.

چالش های SOC

بودجه – بودجه‌بندی برای امنیت سایبری معمولا دشوار و غیر ممکن است و اکثر سازمان ها با همچنین پیشنهادی موافقت نمی کنند. در مواجهه با تهدیدهای متعدد، تمام چیزی که نیاز می باشد یک موفقیت است. چطور می‌توانید میزان امنیت سایبری را برای بیان تهدیدات اندازه گیری کنید و بگویید که چه خسارت های احتمالی برای سازمان خواهد داشت؟ پاسخ این است که شما نمی‌توانید این کار را بکنید. بنابراین جدیدترین استراتژی شما باید مربوط به حداقل رساندن زمان رفع و پیگیری تهدید باشد.

در بسیاری از سازمان ها، هزینه های بودجه در مورد بازگشت سرمایه (ROI) است و این بدان معنی است که سازمان در مورد بودجه ای که تخصیص می دهد انتظار دارد بازگشت سرمایه صورت گیرد. بنابراین تخصیص بودجه برای SOC با این دید کمی دشوار است. زیرا بازگشت سرمایه از طریق SOC آن طور که سازمان ها انتظار دارند صورت نمی گیرد بلکه با SOC از ضرر و زیان های ناشی از نشت و نقض اطلاعات، از بین رفتن داده های حساس، نفوذ به سیستم ها، خدشه دار شدن شهرت و غیره جلوگیری می شود. براساس تحقیقات موسسه Ponemon، متوسط ​​هزینه نقض داده ها در سال 2017 حدود 3.62 میلیون دلار بوده است. با این وجود برای بسیاری از تیم های مدیریتی، این رقم بسیار زیاد است ولی به هیچ وجه به آن توجه نمی کنند. با این وجود ضعف های موجود و رو به رشد در بودجه بندی SOC، فرصتی گسترده و مناسب برای حمله کنندگان سایبری ایجاد می کند.

تشکیل تیم – پیدا کردن افراد و کارمندان سایبری با تجربه برای SOC، در حال حاضر بسیار دشوار است و تقریباً غیرممکن می باشد. براساس بسیاری از تخمین ها، تا سال 2021 بیش از 3 میلیون جایگاه نا امن امنیت سایبری وجود خواهد داشت، این اتفاق صنایع خصوصی و دولتی را تحت تأثیر قرار می دهد. بنابراین استخدام و بکارگیری نیروهای کارآمد در حوزه امنیت سایبری، همواره یکی از مهمترین مولفه ها در ایجاد SOC به شمار می آید.

با توجه به کمبود استعداد سایبری در سطح جهانی، شما می توانید تصمیم بگیرید که برخی از پشتیبانی خود را به فراهم کنندگان خدمات امنیتی مدیریت شده (MSSP) برون سپاری کنید. در این حالت، شما محرمانه ترین عملیات داخلی خود را به افراد خارجی منتقل می کنید. بنابراین باید در تأیید شرکت و کارمندان مشخصی که روی فعالیت های امنیتی شما کار خواهند کرد، بسیار محتاط باشید. معمولا توصیه می شود که تا حد امکان فعالیت های امنیتی مثل SOC توسط نیروهای داخلی مدیریت و اجرا گردد.

حجم هشدار – اکنون یک سونامی واقعی از هشدارها به طور روزانه به تیم SOC ارسال می گردد. با توجه به تحقیقات صورت گرفته، در یک سازمان و شرکت نسبتا بزرگ ممکن است روزانه چندین هزار هشدار تولید گردد. این اعداد به قدری زیاد است که فقط کمی بیش از نیمی از این هشدارها توسط SOC مورد بررسی قرار می گیرند. حتی در مورد هشدارهای قانونی که توجه آنها را جلب می کند، فقط کمی بیش از یک سوم برطرف شده است. معمولا اکثر هشدارهای تولید شده نادرست هستند یا هشدارهایی که توسط افراد به صورت تیکت تولید می شوند، در مجموع غیر مرتبط با موضوعات امنیتی است.

بنابراین چگونه می توانید این چالش ها را برای تیم SOC برآورده کنید؟ بهترین شیوه ها و فناوری های جدید مورد نیاز است تا به تیم امنیتی مزیت لازم برای موفقیت را بدهند. استراتژی های جدید مانند Zero Trust برای پیروزی تیم SOC بسیار ضروری است. اصول اساسی Zero Trust این است که به کاربران داخل شبکه بیش از کاربران خارج از شبکه اعتماد نمی شود. Zero Trust همچنین سازگاری مهمی با سرمایه گذاری های موجود شما دارد. Zero Trust شرکت را مجبور می کند تا شبکه داخلی خود را سخت تر کرده و تهدیدهای پیشرفته ای که امروز شرکت شما با آن روبرو است را برطرف کند.

ابزارهای امنیتی – از آنجا که مجموعه های امنیتی مختلف توسط SOC مورد استفاده قرار می گیرند، نظارت بر تمام داده های تولید شده از نقاط و منابع داده مختلف دشوار است. در SOC ممکن است بیش از 20 فناوری استفاده شود که ردیابی و کنترل شخصی آنها دشوار است و داشتن یک منبع مرکزی و یک بستر واحد جهت مدیریت آنها، بسیار مهم است. یک بستر امنیت اطلاعات و مدیریت رویداد (SIEM) در اکثر SOCها این عملکرد را ارائه می دهد. بنابراین فراهم نمودن تجهیزات امنیتی برای SOC به دلیل هزینه های بسیار بالا، چالش دیگری است که سازمان ها با آن مواجه هستند.

نتیجه گیری

همانطور که عنوان شد اکثر سازمان ها و شرکت ها در زمان ایجاد SOC با چند چالش مطرح شده در فوق روبه رو هستند ولی بسته به نوع سازمان، نوع دارایی های اطلاعاتی، شهرت سازمان و غیره بایستی این چالش ها حل شود. اگر سازمان با دارایی های اطلاعاتی حساس (مانند اطلاعات مشتریان، حساب های مالی و غیره) در ارتباط است، امکان حل چالش ها برای مدیران و هیات مدیره سازمان ها وجود دارد. بنابراین با توجه به نوع دارایی های اطلاعاتی سازمان ها با چالش های مطرح شده به گونه ای متفاوت برخورد می شود و نهایتا می توان در راستای رفع آنها اقدام کرد.

نظر بدهید

آدرس ایمیل تان منتشر نخواهد شد.