امروزه بکارگیری مراکز داده برای مدیریت داده ها، خدمات و اتصال به اینترنت توسط شرکت ها و سازمان های مختلف در سراسر دنیا به یک نیاز اساسی تبدیل شده است. مدیریت رویدادهای امنیتی در چنین محیط های بزرگ و پیچیده ای یک مسأله اساسی برای محافظان امنیت است. اگرچه بکارگیری راهکارهای امنیتی نظیر استفاده از ضدبدافزارها و سامانه های احراز هویت و IDS ها و IPS ها، فایروال ها، کنترل دسترسی تا حدی می تواند شبکه را از حالت انفعالی و بدون نظارت نجات داده و به تأمین امنیت آن کمک نماید، ولی باید به این نکته مهم توجه نمود که بکارگیری این تجهیزات امنیتی، خود باعث تولید حجم عظیمی از رخدادهای امنیتی در قالب های متفاوت می شود. این حجم بالای داده های امنیتی تولید شده، باعث سردرگمی و سلب امکان مدیریت و استفاده از آنها می شود.
در سازمان ها ممکن است یک تیم عهده دار دیوار آتش، دیگری عهده دار تجهیزات مقابله با نفوذ(IPS) و یک تیم دیگر مسئول ابزار های امنیتی مرتبط با میزبان ها باشد، اما این مساله منجر به نوعی پایش امنیتی می شود که توسط تیم ها و ابزارهای مختلف اجرا می گردد. در این صورت شناسایی و تجمیع جزئیات یک حمله به صورت بلادرنگ بسیار مشکل خواهد شد و تحلیل شواهد قانونی یک حمله بعد از وقوع آن بسیار کند انجام می شود. با درنظر گرفتن موارد فوق، ضرورت دارد که مرکز عملیات امنیت در سازمان ها و زیرساخت های حیاتی استقرار یابند.
مرکز عمليات امنيت سايبری Cyber Security Operations Center که به اختصارCSOC يا SOC نيز ناميده می شود يکی از موضوعات بسيار مورد توجه در دنيای امنيت در سال های اخير بوده است. اين مرکز مجموعه ای از فناوری ها، نيروی انسانی و روال ها است که به طور خاص به منظور مديريت تمام يا بخشی از عمليات امنيت در سازمان ايجاد شده است. برخی عمليات امنيت عبارتند از:
البته هدف اصلی SOC، پایش امنیت به منظور مدیریت حوادث امنیتی است.
بنا به تعريف MITRE يکی از معتبرترين مراکز پژوهشی فناوری ايالات متحده، مرکز عمليات امنيت يک تيم از تحليلگران امنيت است که به منظور شناسايی، تحليل، پاسخ، گزارش دهی و پيشگيری از حوادث امنيت سايبری سازماندهی شده اند. مأموريت های SOC به طور کلی عبارتند از:
SOC شباهت هایی با دیگر گروه های عملیاتی سازمان دارد، اما لازم است به تفاوت های آن ها با این گروه ها توجه ویژه شود از جمله:
SOC بر خلاف NOC (مخفف Network Operations Center) ماموریت کشف و پیگیری حملات سایبری را دارد اما NOC عهده دار عملیات و راهبری تجهیزات شبکه است. به طور کلی NOC مرکزی است که عملیات کنترل و مانیتورینگ شبکه را به عهده دارد. این مرکز مسئول مانیتورینگ شبکه و رفع اشکالات شبکه در شرایط خاص هستند.
به طور کلی وظایف مرکز عملیات شبکه عبارتند از :
مرکز عملیات شبکه فاقد روشی برای مدیریت متمرکزحوادث امنیتی است. فعالیت اولیه NOC نگهداری و اطمینان از صحت و سلامت شبکه و زیرساخت سازمان است در حالی که SOC مدیریت حوادث امنیتی را به منظور حفاظت شبکه برعهده دارد. بنابراین به منظور افزایش بازدهی و کارآیی سازمان ها ، از طریق پاسخگویی مناسب به حوادث امنیت مانند ویروس ها و حملاتی که منجر به از دست رفتن یکپارچگی شبکه می شود ، وجود این مرکز در کنار مرکز NOC بسیار موثر خواهد بود.
SOC بر خلاف CERT (مخفف Computer Emergency Response Team) و CSIRT (مخفف Computer Security Incident Response TEAM) صرفاً به پاسخ به مدیریت حوادث امنیتی نمی پردازد بلکه طیف وسیعی از عملیات امنیت از راهبری تجهیزات تا ارزیابی آسیب پذیری تحلیل رخدادها را نیز انجام می دهد. در برخی راه حل ها، SOC آنقدر بزرگ دیده می شود که CSIRT به عنوان یکی از گروه های آن معرفی می شود. برخی دیگر هم بر این عقیده هستند که SOC نهادی جدا از CSIRT است که با آن در تعامل بوده و CSIRT به نوعی کاربر SOC محسوب می شود، به این معنی که حوادثی که توسط SOC قابل حل نبوده و نیاز به اقدامات یا بررسی های بیشتر دارد توسط SOC به CSIRT ارجاع می شود.
در مقاله بعدی به بحث قابلیت ها و خدمات مرکز عملیات امنیت سایبری خواهیم پرداخت.