آنچه در مقاله مرکز عملیات امنیت ( SOC ) خواهید خواند:
در حال حاضر با افزایش میزان و تنوع حملات به سازمان ها بیش از پیش نیاز یک سامانه متشکل از واحد گزارشات حملات، رفتارهای نامتعارف در درون شبکه و… به همراه یک دسته از فرآیندها جهت پیشگیری و مقابله و البته واحد نیروی انسانی متخصص در حوزه ی امنیت اطلاعات احساس می شود. به همین خاطر SOC به عنوان یک راهکار موثر جهت دستیابی به اهداف ذکر شده پا به عرصه امنیت گذاشت.
در مقاله زیر که با تلاش تیم امنیت روبیکو تهیه شده است، به ابعاد مختلف SOC اشاره می شود.
دسترسی سریع به مطالب
SOC چیست؟
SOC یا مرکز عملیات امنیت یک مرکز فرماندهی برای تیمی متشکل از متخصصان IT ست که تخصص آن ها امنیت اطلاعات می باشد که وظیفه ی نظارت، تجزیه و تحلیل و محافظت از سازمان در برابر حملات سایبری را بر عهده دارد.
در مرکز عملیات امنیت (SOC) ترافیک اینترنت، شبکه ها، دسکتاپ ها، سرورها و دستگاه های کاربران نهایی، دیتابیس ها، اپلیکیشن ها و بقیه ی سیستم ها به طور دائم به منظور کشف نشانه هایی از حادثه امنیتی مورد بررسی قرار می گیرند. کارمندان بخش مرکز عملیات امنیت معمولا با تیم ها و دپارتمان های دیگر همکاری می کنند اما عمدتا با تیم ها و کارمندانی که در زمینه ی IT تخصص بالایی دارند یا شرکت هایی که بخشی از سرویس ها به آن ها برون سپاری شده است، سر و کار دارند.
SOCها بخش جدا ناپذیری در به حداقل رساندن هزینه ها و از دست رفتن اطلاعات هستند. آن ها نه تنها به سازمان در پاسخگویی سریع به نفوذ کمک می کنند بلکه دائما باعث پیشرفت فرآیندهای شناسایی و جلوگیری از اتفاقات در سازمان می شوند.
اکثر سازمان های بزرگ مرکز عملیات امنیت (SOC) داخلی خود را دارند، در حالی که برخی شرکت ها به دلیل در اختیار نداشتن منابع و کارمندان لازم مجبور می شوند بخشی یا کل مسئولیت های SOC را به شرکت های ارائه دهنده خدمات مدیریت شده (MSP) بسپارند که به صورت ابری یا مجازی می باشد.
SOC ها را معمولا می توان در مراکز درمانی، آموزشی، اقتصادی، تجارت الکترونیک، مراکز دولتی، نظامی و صنایع پیشرفته تکنولوژی مشاهده کرد.
SOC چکار می کند؟
استراتژی اصلی مرکز عملیات امنیتی (SOC) حول محور مدیریت تهدید است که شامل جمع آوری و تجزیه و تحلیل اطلاعات با هدف یافتن فعالیت های مشکوک که نهایتا به امن سازی کل سازمان منجر می شود.
اطلاعات خاصی که توسط مرکز عملیات امنیت نظارت می شوند، اطلاعاتی مربوط به امنیت هستند که از طریق فایروال ها، مقابله هوشمند با تهدیدات (threat intelligence)، سیستم های شناسایی و جلوگیری از نفوذ (IPS/IDS)، تحلیلگران و سیستم مدیریت امنیت اطلاعات و رویداد (SIEM) به دست می آیند.
هشدارها به منظور برقراری ارتباط با اعضای تیم مرکز عملیات امنیت طراحی شده اند که در صورت مشاهده ی هرگونه فعالیت غیرعادی و شاخص های خطر (IOC) آن ها را مطلع سازند.
وظایف پایه ای یک تیم SOC به شرح زیر است:
- کشف و مدیریت دارایی: شامل داشتن آگاهی بالا از تمام ابزارها، نرم افزارها، سخت افزارها و تکنولوژی استفاده شده در سازمان می شود.این موارد همچنین به اطمینان از عملکرد صحیح، بروز بودن و به طور منظم patch شدن کلی دارایی ها تاکید دارند.
- نظارت دائمی بر رفتار: شامل زیر نظر گرفتن کل سیستم ها به صورت شبانه روزی (24/7) در طول سال می باشد. این عمل باعث می شود که هرگونه بی نظمی و فعالیت غیر عادی فورا شناسایی شوند. مدل های رفتاری می توانند سیستم های جمع آوری اطلاعات را آموزش دهند که فرق بین فعالیت های مشکوک و false positive را بهتر متوجه بشوند.
- ثبت و نگه داری گزارش فعالیت ها: به مرکز عملیات امنیت (SOC) توانایی بررسی دوباره یا شناسایی فعالیت هایی را که در گذشته منجر به نفوذ (یا لو رفتن اطلاعات) شده اند می دهد. گزارش تمام ارتباطات و فعالیت ها در سراسر سازمان می بایست توسط مرکز عملیات امنیت ثبت شوند.
- رتبه بندی اهمیت هشدار: به تیم ها کمک می کند که مهمترین و حساس ترین هشدارها در اولویت قرار بگیرند. تیم ها می بایست به طور منظم این رتبه بندی را با توجه به میزان آسیب احتمالی بروز کنند.
- توسعه و تکامل دفاعی: اهمیت بسیار زیادی برای تیم های SOC دارد به دلیل اینکه به آنها کمک می کند که همیشه بروز باشند. تیم ها می بایست یک “طرح مقابله با حوادث” (IRP) به منظور مقابله با حمله های جدید و قدیمی، تولید کنند. تیم ها همچنین باید هنگام دستیابی به اطلاعات جدید، برنامه را در صورت لزوم، تنظیم کنند.
- بهبودی بعد از حادثه: امکان بازیابی اطلاعات از دست رفته را به سازمان می دهد که شامل پیکربندی مجدد، بروزرسانی و بکاپ گیری از سیستم ها می باشد.
- نگهداری از انطباق: عملی کلیدی است که به اعضای تیم SOC و شرکت این اطمینان را می دهد که همیشه از روال معمول و استاندارد سازمانی در زمان اجرای برنامه های تجاری، پیروی می کنند. معمولا یکی از اعضای تیم بر آموزش و اجرای انطباق نظارت دارد.
ساختن یک تیم SOC برنده
SOC ها از افراد و کارمندان مختلفی تشکیل شده که هر کدام بخشی از این عملیات گسترده امنیتی را بر عهده دارند. عناوین شغلی و مسئولیت هایی که ممکن است در مرکز عملیات امنیت وجود داشته باشد شامل موارد زیر می شود :
- مدیر SOC فرد مسئول برای مدیریت روزانه ی عملیات های SOC و تیم امنیت سایبری است. همچنین داشتن ارتباط به روز با نفرات اجرایی سازمان جزو وظایف مدیر SOC است.
- یک مقابله کننده با حادثه به حملات موفق یا رخنه امنیتی رسیدگی می کند و اقدامات لازم برای کاهش و حذف خطر را پیاده سازی می کند.
- یک محقق Forensic مسئول شناسایی علت اصلی و یافتن منبع همه حملات و جمع آوری هرگونه شواهد و مدارک قابل استناد در دسترس است.
- یک حسابرس انطباق ( Compliance Auditor ) مطمئن می شود که همه ی عملیات های SOC و اعمال کارمندان بر اساس الزامات باشد.
- یک تجزیه و تحلیل گر امنیتی SOC هشدار های امنیتی را بر اساس فوریت یا شدت بررسی و دسته بندی می کند و ارزیابی آسیب پذیری معمول را انجام می دهد. یک تجزیه و تحلیل گر SOC باید مهارت هایی از قبیل دانش زبان های برنامه نویسی، توانمدی مدیریت سیستم ها ( System Administrator ) و انجام بهترین اقدامات امنیتی را داشته باشد.
- یک شکارچی تهدید ( Threat Hunter ) اطلاعات جمع آوری شده توسط مرکز عملیات امنیت را بررسی می کند تا تهدیداتی که سخت قابل تشخیص هستند را شناسایی کند. Resilience و تست نفود ( Pen Testing ) هم ممکن است بخشی از برنامه روتین شکارچی تهدید باشد.
- یک مهندس امنیت سیستم یا ابزاری را توسعه و طراحی می کند که بتواند به طور موثر نفوذ را تشخیص دهد و قابلیت های مدیریت آسیب پذیری داشته باشد.
10 عملکرد کلیدی که توسط SOC انجام می شود
1. مشخص کردن منابع در دسترس
مرکز عملیات امنیت (SOC) برای دو نوع از دارایی ها پاسخگو هستند، 1- دستگاه های مختلف، پروسه ها، نرم افزارهایی که موظف به امن کردن آنها هستند و 2- ابزارهای محافظتی که برای تقویت لایه های دفاعی در اختیار آنهاست.
- مرکز عملیات امنیت (SOC) از چه چیزهایی محافظت می کند
SOC نمی تواند امنیت دستگاه ها و داده هایی که نمی بیند را تامین کند. بدون داشتن میدان دید و کنترل از دستگاه ها به شبکه ی ابری، مثل این است که SOC در نقطه ی کور شبکه قرار گرفته است که این نقطه می تواند توسط حمله کننده ها پیدا و بهره برداری شود. در نتیجه هدف مرکز عملیات امنیت این است که دید کاملی از تهدیدات سازمان داشته باشد که علاوه بر کاربران نهایی، سرور ها و نرم افزار های متفاوت، باید بر سرویس های شرکت های ثالت و داده هایی که بین آنها در جریات است اشراف داشته باشد.
- مرکز عملیات امنیت (SOC) چطور محافظت می کند
مرکز عملیات امنیت (SOC) باید از ابزار های امنیت اطلاعات در حال استفاده و تمامی جریانات کاری مرتبط با مرکز عملیات امنیت درک کاملی داشته باشد. این امر باعث افزایش سرعت و قرار گرفتن SOC در بالاترین سطح کارایی می شود.
2. آماده سازی و نگهداری پیشگیرانه
حتی بهترین و سریع ترین واکنش ها هم برای جلوگیری از به وجود آمدن مشکلات کافی نیست. برای کمک به دور نگه داشتن مهاجمان، معیار های اجرایی SOC به دو بخش تقسیم می شود:
- آماده سازی
اعضای تیم ملزم هستند از جدیدترین اختراعات امنیتی، به روز ترین اخبار جرایم سایبری و توسعه ی تهدیدات احتمالی در آینده مطلع باشند. این تحقیق می تواند به خلق یک مسیر راه برای امنیت کمک کند که نهایتا به برنامه ریزی شرکت در حوزه ی امنیت سایبری برای آینده و پیش بینی برنامه برای بازیابی پس از بحران در صورت پیش آمدن بدترین حالت ممکن منجر خواهد شد.
- نگهداری پیشگیرانه
این گام شامل تمامی کارها از جمله، تعمیرات مداوم، به روز رسانی سیستم های موجود، بروز رسانی سیاست های فایروال ها، برطرف کردن نقاط ضعف و امن کردن برنامه ها، برای سخت تر کردن حمله برای مهاجمان می شود.
3. نظارت مستمر و فعال
ابزار های مورد استفاده SOC به صورت شبانه روزی و 7/24 در حال جست و جو و بررسی شبکه هستند تا هر گونه فعالیت مشکوک یا غیر عادی را نشان گذاری کنند. نظارت بر شبکه به صورت شبانه روزی به مرکز عملیات امنیت اجازه می دهد که بلافاصله متوجه تهدیدات در حال ظهور شود و بهترین شانس را برای جلوگیری یا کاهش آسیب را داشته باشد. ابزار های نظارتی می توانند شامل SIEM ( امنیت اطلاعات و مدیریت رویداد ) یا یک EDR، هر کدام از این دو ابزار نظارتی با استفاده از آنالیز رفتاری می تواند به سیستم ها فرق بین یک عملیات عادی روزانه و رفتار یک تهدید واقعی را بیاموزد و میزان رده بندی مشکلات و آنالیزی که توسط یک انسان باید انجام شود را به حداقل می رساند.
4. مدیریت و رتبه بندی هشدارها
زمانی که ابزار های نظارتی برای مشکلی اخطار می دهند، این وظیفه ی SOC است که به صورت دقیق هر کدام از این اخطارها را بررسی کند، سوای این که اخطار ممکن است درست یا غلط باشد باید مشخص کند که چقدر یک تهدید واقعی، جدی است. همچنین تشخیص دهد هدف این تهدیدات چه مواردی بوده است. این مورد به مرکز عملیات امنیت (SOC) اجازه می دهد که به صورت مناسب به رده بندی تهدیدات بپردازد و به مشکلات فوری قبل از باقی موارد با اولویت بالاتری رسیدگی کند.
5. مقابله با تهدیدات
مواردی که گفته خواهد شد اقداماتی است که اکثر مردم زمانی که به مرکز عملیات امنیت (SOC) فکر می کنند به ذهنشان خطور می کند. در سریع ترین حالت ممکن که حادثه تایید شد، مرکز عملیات امنیت (SOC) به عنوان اولین مقابله کننده وارد عمل می شود، اعمالی مانند خاموش کردن یا قرنطینه کردن دستگاه های کاربران نهایی، از بین بردن پروسه های آسیب زننده ( یا جلوگیری از اجرا شدن آنها )، پاک کردن فایل ها و… . هدف اصلی مقابله و پاسخگویی در ابعاد مورد نیاز به آسیب و تهدید است در حالی که کمترین تاثیر را در استمرار فعالیت سازمان داشته باشد.
6. بازیابی و اصلاح
پس از گذر از یک بحران، SOC کار خود را با بازگرداندن سیستم ها به حالت اولیه و بازیابی هر گونه فایل از دست رفته آغاز می کند. این اعمال ممکن است شامل پاک کردن یا راه اندازی مجدد سیستم های کاربران نهایی، تنظیم مجدد سیستم ها یا در موارد حملات باج افزار، استقرار بک آپ های در دسترس برای دور زدن باج افزار می شود و شبکه را به حالت عادی پیش از حادثه بازخواهد گرداند.
7. مدیریت گزارشات
SOC مسئول جمع آوری، نظارت و به صورت مداوم بررسی گزارشات تمامی فعالیت های شبکه و ارتباطات برای تمامی سازمان است. این اطلاعات به تعریف یک خط مشی برای فعالیت یک شبکه عادی، که می تواند وجود تهدیدات را مشخص و برای شرایط پس از حادثه به اصلاح آسیب ها و forensics منجر شود، کمک می کند. بسیاری از SOC ها از SIEM ( امنیت اطلاعات و مدیریت رویداد ) برای تجمیع و مرتبط سازی اطلاعات دریافتی از نرم افزار ها، فایروال ها، سیستم های عامل و دستگاه کاربران نهایی، که هر کدام از آنها گزارشات داخلی خود را دارد، استفاده می کنند.
8. بررسی ریشه ای علت بحران
پس از یک حادثه، مرکز عملیات امنیت موظف است که مشخص کند چه اتفاقی در چه زمانی، چطور و چرا به وقوع پیوسته است. در طول تحقیقات، مرکز عملیات امنیت (SOC) از گزارشات و دیگر اطلاعات برای ردیابی مشکل تا رسیدن به منبع آن استفاده می کند. این عمل کمک می کند تا از پیش آمدن اتفاقات و مشکلات مشابه در آینده جلوگیری شود.
9. پالایش و بهبود امنیت
مجرمان سایبری به صورت مداوم تغییر و بروز رسانی ابزارها و تاکتیک های خود هستند، به همین دلیل برای داشتن دست بالاتر در برابر آنها، SOC باید به طور مداوم متد های مقابله با بحران خود را بهبود ببخشد.
10. مدیریت انطباق
بسیاری از فرآیندهای مرکز عملیات امنیت با استفاده از بهترین راهکار های ارائه شده انجام می شوند، ولی ممکن است برخی از فرآیندها طبق نیازهای سازمان به به این لیست اضافه شود. مرکز عملیات امنیت (SOC) موظف به بررسی مداوم سیستم های خود است تا اطمینان حاصل کند که این سیستم بر اساس و منطبق بر آیین نامه، که می تواند توسط سازمان، صنعت یا نهاد های حکومتی صادر شود، باشد. عمل کردن بر اساس این آیین نامه ها نه تنها به امن کردن داده های حساس سازمان که مسئولیت آنها به مرکز عملیات امنیت سپرده شده، کمک می کند، همچنین می تواند سازمان را از آسیب رسیدن به اعتبار و چالش های قانونی که بر اثر رخنه اطلاعات به وجود آمده، دور نگاه دارد.
مزایای داشتن SOC
در صورت پیاده سازی صحیح، سامانه ی SOC می تواند مزایای بسیاری به سازمان ارائه کند که این مزایا شامل :
- نظارت بی وقفه و تجزیه و تحلیل فعالیت های مشکوک
- سرعت و شیوه پاسخگویی پیشرفته
- کاهش فاصله ی بین زمان ایجاد یک تهدید و زمان متوسط شناسایی آن ( MTTD )
- نرم افزار و سخت افزار متمرکز برای یک رویکرد امنیتی جامع تر
- همکاری و ارتباط کارا
- به حداقل رساندن هزینه ی مرتبط با حوادث امنیت سایبری
- مشتریان و کارمندانی که اطلاعات حساس را راحت تر به اشتراک می گذارند
- شفافیت و کنترل بیشتر بر عملیات های امنیتی
- ایجاد یک زنجیره ی کنترل برای اطلاعات، که در صورت نیاز سازمان برای پیگیرد قانونی جرایم سایبری، قابل استفاده است.
سوالات متداول
لورم ایپسوم متن ساختگی با تولید سادگی نامفهوم از صنعت چاپ و با استفاده از طراحان گرافیک است. چاپگرها و متون بلکه روزنامه و مجله در ستون و سطر آنچنان که لازم است.
جمع بندی و نتیجه گیری
برای تغییر این متن بر روی دکمه ویرایش کلیک کنید. لورم ایپسوم متن ساختگی با تولید سادگی نامفهوم از صنعت چاپ و با استفاده از طراحان گرافیک است.