ساختار مراکز عملیات امنیت (SOC)

  • نویسنده: احمد آسنجرانی
  • تاریخ انتشار: شنبه ، ۲۲ تیر ماه ۹۸
  • تعداد بازدید: 5305
  • تعداد نظرها: 0
  • دسته بندی: زیرساخت

مرکز عملیات امنیت چیست و چرا مهم است؟

با پیشرفت سریع تکنولوژی در عصر حاضر، کسب و کارهای بزرگ و کوچک باید از اطلاعات حساس خود در مورد مشتریان، کارکنان، شرکای خود و ... بیشتر محافظت کنند. اما با افزایش پیچیدگی جرایم سایبری و نرم افزارهای نفوذگر، این حفاظت به کاری سخت و فشرده تبدیل شده است.

مطالعه ای که اخیراً در کسب و کارها در ایالت متحده انجام شده نشان می­دهد که از هر 4 سازمان یکی در طول یکسال گذشته مورد حمله قرار گرفته است. با توجه به همه ی این نتایج، کسب و کارها روشهای جدیدی را برای دفاع از خود در برابر حملات سایبری بررسی می کنند؛ برخی از برنامه های پیشرفته برای اسکن شبکه های خود استفاده می کنند و برخی امنیت سایبری خود را بطور کامل برون سپاری می کنند (برای کسب اطلاعات بیشتر به مقاله رویکردهای استراتژیک سازمان برای پیاده سازی ISMS رجوع شود.) اما موثرترین مفهومی که در میان سازمانها از محبوبیت بیشتری برخوردار است، استفاده از یک مرکز عملیات امنیت (SOC) است.

قبلاً با مفاهیم کلی مراکز عملیات امنیت سایبری و کارکرد آنها آشنا شده اید. در این مقاله سعی شده است ساختار سازمانی و انواع مختلف این مراکز مورد تحلیل قرار گیرد.

مرکز عملیات امنیت چیست؟

یک مرکز عملیات امنیت یا SOC متشکل از یک تیم از افراد متخصص و تجهیزاتی است که در آن تهدیدات امنیتی سایبری شناسایی و بررسی شده و بر پاسخ به هرگونه حادثه در رایانه ها، سرورها و شبکه ها نظارت می کنند.

آنچه که SOC را منحصر بفرد می کند، توانایی نظارت بر تمام سیستمها بطور مداوم است. کارکنان SOC شامل یک تیم از تحلیل گران سایبری باتجربه و مهندسان آموزش دیده هستند. این افراد از طیف وسیعی از برنامه های کامپیوتری و فرآیندهای امنیتی اختصاصی استفاده می کنند که می توانند ضعف های زیربنای مجازی شرکت را که منجر به نفوذ و سرقت اطلاعات می شود، مشخص کنند. تیم SOC طیف گسترده ای از فعالیتها مانند پیشگیری از تهدیدات بالقوه با تجزیه و تحلیل منابع فعال، ایجاد قوانین، شناسایی موارد استثنا، افزایش سرعت پاسخ به رویدادها و جلوگیری از آسیب پذیری های احتمالی در استراتژی های دفاعی از پیش تعیین شده، را انجام می دهد. اطمینان از مطابقت این برنامه ها با الزامات امنیتی شرکت، صنعت و دولت نیز بخش قابل توجهی از کار SOC است.

تکنولوژی هایی که SOC ها از آنها اسفاده می کنند شامل فایروال ها و دیگر تجهیزات امنیتی، اطلاعات امنیتی و سیستم های مدیریت رویداد و راه حل هایی است که داده ها را جمع آوری و نظارت می کنند. 

 اگرچه هدف اصلی مراکز عملیات امنیت، جلوگیری از نقض و به حداقل رساندن زیان ناشی از فعالیت های مخرب سایبری است، اما بصورت کلی این مراکز دو گونه هستند:

  • بعضی از شرکتها دارای SOC داخلی هستند.
  • برخی دیگر از خدمات سایر مراکز عملیات امنیت بصورت برون سپاری استفاده می کنند.

مراکز عملیات امنیت چگونه کار می کنند؟

به توجه به روند فزاینده تهدیدات امنیت سایبری در بخشهای مختلف (مانند بخشهای عمومی ، بخشهای نظامی، در حوزه های بهداشتی، مالی، آموزشی و ...) تیمها و مراکز عملیات امنیت در حال افزایش هستند. اما تیم های SOC دقیقاً چگونه سازمان های مربوطه خود را از این تهدیدات محافظت می کنند؟

SOC ها از روش ها و فرآیندهای استراتژیک (از طریق نظارت و تجزیه و تحلیل فعال جریان اطلاعات و رخدادها) برای تأمین امنیت سایبری سازمانها استفاده می کنند. بصورت کلی این رویه ها به وظایف قابل شناسایی زیر تقسیم می شوند:

  • شناسایی و پایش دارایی ها؛ اطلاع از مشخصات دارایی های مجموعه می تواند کمک کند تا شانس شناسایی تهدیدات به حداکثر برسد.
  • نظارت پیشگیرانه؛ تمرکز اصلی فعالیتها در SOC، بر شناسایی رخدادهای امنیتی و پیشگیری از بروز صدمات ناشی از آنهاست؛ مدیریت نحوه پاسخ به رخدادها در اولویت بعدی قرار دارد.
  • مدیریت گزارش ها و پاسخ ها؛ در صورت وقوع یک رخداد امنیتی و وارد آمدن آسیب به دارایی های سازمان، ضروری است که گام های عملیاتی مورد بازبینی قرار گیرد تا منشاء بروز خطا شود. این موضوع از دو جنبه دارای اهمیت است: اول جهت جرم یابی و تعیین سطوح خطای پیش آمده توسط عوامل مختلف مؤثر و دوم جهت بازنگری رویه ها و دستور العملها.
  • رتبه بندی هشدارها؛ یکی از وظایف اصلی مراکز عملیات امنیت، رتبه بندی سطح رخدادهاست. بر اساس این رتبه بندی است که میزان آسیب ناشی از آن، نحوه هشداردهی وقوع آن و نحوه پاسخگویی به آن مشخص می گردد.
  • تنظیم استراتژی دفاع؛ مدیریت آسیب پذیری و افزایش آگاهی از تهدیدها بخش مهمی از جلوگیری از نقض امنیت است. این موضوع شامل نظارت منظم بر شبکه داخلی سازمان نیز می شود؛ زیرا بسیاری از مواقع حملات و نقض امنیت از داخل سازمان اتفاق می افتد.
  • بررسی انطباق با الزامات امنیتی؛ SOCها باید بطور مستمر الزامات خود را بر مبنای دستورالعملها و استانداردهای امنیتی بین المللی (مانند استانداردهای سری ISO 27000 و یا استاندارد PCI) به روز رسانی نمایند.

هر یک از وظایف بالا، یک عملکرد حیاتی از SOCs است که کمک می کند تا اولاً نفوذ و تخریبی صورت نگیرد و ثانیاً در صورت نفوذ، فورا و هوشمندانه تبعات آن کنترل شود.

مزایای داشتن مرکز عملیات امنیتی چیست؟

اقدامات مراکز عملیات امنیت به دلایل کلیدی اثرات قابل توجهی بر نتایج کسب و کار دارد. همانطور که امنیت سایبری به طور فزاینده ای مهم است، برندهایی که اقدامات محافظتی بیشتر و مؤثرتری را در دستور کار قرار می دهند، عملا برنده این رقابت هستند. همان طور که صنعت امنیت اطلاعات درحال گسترش است، مزایا و قابلیت های SOC ها نیز در حال پیشرفت و گسترش هستند.

برخی از مزایای خاص مرکز عملیات امنیتی را می توان بصورت زیر خلاصه کرد:

  • متمرکز کردن داشبوردهای کنترلی جهت مدیریت بهتر داراییها و رخدادها
  • تضمین اعتماد ذینفعان از طریق ایجاد اطمینان خاطر از امنیت اطلاعات آنها
  • نظارت بر کارآیی بخشها و ادارت مختلف امنیت در سازمان و ایجاد ارتباط هماهنگ جهت ارتقای این کارآیی
  • به حداکثر رساندن آگاهی و سرعت عکس العمل به رخدادها برای به حداقل رساندن هزینه ها - به طور کلی، مهمترین مزیت یک SOC، افزایش توانایی شما برای کنترل تمام سیستم ها و کاهش پتانسیل نشت اطلاعات است.

 

تجربیات موفق چه می گویند؟

با توجه به تغییرات مستمر ماهیت فناوری های ارتباطی و حرکت آنها به سمت استفاده از زیرساختهای ابری، لازم است مراکز عملیات امنیت نیز به روزسانی شوند. بر اساس روندهای تغییر فناوری، برخی از این به روز رسانی ها را می توان به شکل زیر خلاصه کرد:

  • گسترش دامنه کاربردپذیری- با توجه به گسترش زیر ساختهای مجازی و روند دیجیتال سازی همه جنبه های کسب و کارها، وجوه تماس مراکز عملیات امنیت نیز با سرعت در حال افزایش است. این مراکز باید بصورت مستمر تمامی فرآیندها و ارتباطات جدید را پایش نمایند که نیازمند استفاده فراگیر از تیم حرفه ای از کارشناسان امنیت در تمام مراحل طراحی فرآیندها و دستورالعملها، پایش انطباق آنها با الزامات امنیتی و همچنین تدوین سیاستهای مقابله با رخدادهاست.
  • افزایش ورودی داده ها – با توجه به وسعت دامنه تعامل مراکز عملیات امنیت و همچنین به این دلیل که فرآیندهای کسب و کار باعث افزایش احتمال وقوع رخدادهای امنیتی می شوند، تیم های امنیتی نیز نیاز به جمع آوری داده های مربوطه برای طبقه بندی مناسب این رخدادها دارند. ممکن است منشاء بسیاری از تهدیدات اینترنتی نامشخص باشد، بنابراین جمع آوری داده های کافی جهت رتبه بندی و در صورت لزوم تدوین سیاستهای پیشگیری از وقوع مجدد و یا کنترل عواقب ناشی از وقوع آنها، بسیار مهم و حیاتی است.
  • لزوم بهره گیری از تحلیلهای عمیقتر- صرف بازخوانی داده ها، بدون استفاده از روشهای جدید برای تجزیه و تحلیل آنها، کافی نیست. کارشناسان خبره باید با استناد به شواهد و داده های کافی، آسیب پذیری ها را بررسی کرده و دستورالعملهای مبارزه با آنها را تدوین کنند. با این حال، گستره وسیعی از سیستم ها و سایر فرآیندهای امنیتی می تواند به توانمند سازی کارشناسان برای به حداقل رساندن زمان بررسی ها و خودکار سازی بسیاری از این مراحل کمک کند.
  • اتوماتیک کردن رویه ها- همانند بسیاری از زمینه های دیگر کسب و کار، معرفی فرآیندهای خودکار به قلمرو امنیت سایبری نفوذ کرده است. بعنوان نمونه اتوماسیون فرآیندها در وظایف مربوط به مدیریت یا ارزیابی های اولیه، محبوبیت زیادی دارد؛ زیرا تا پیش از آن بخش اعظم زمان و حجم کاری کارشناسان جهت شناسایی و مقابله با تهدیدات ناشناخته صرف می شد که این کار می تواند با دقت مناسبی به سیستمهای مکانیزه و هوشمند سپرده شود. به این ترتیب، همکاری میان تکنولوژی ها و بازیگران فعال این حوزه، سبب ایجاد قابلیتهای چشمگیر شده که از مهمترین ویژگیهای SOCs است.

ساختار سازمانی و نقش های مختلف در مراکز عملیات امنیت

اگرچه مراکز عملیات امنیت ممکن است بر حسب عوامل مختلفی همچون بودجه های مالی، تعداد کارکنان، دسترسی به آموزش مداوم و دامنه نفوذ، با یکدیگر متفاوت باشند، با این حال از منظر ساختار سازمانی چندین نقش کلیدی در بیشتر تیم های SOC حضور دارند، از جمله:

  • مدیر SOC – مدیر مرکز وظیفه مدیریت کارشناسان، بودجه و برنامه های درون مرکز را بر عهده دارد و به مدیران اجرایی گزارش می دهد. همکاری و ارتباط با مدیریت دیگر سازمان جهت حصول اطمینان از انطباق آنها با الزامات امنیتی تدوین شده نیز از دیگر وظایف ایشان است.
  • تیم پاسخ به رخدادها- هنگام مواجهه با هشدارهای امنیتی، این کارشناسان ارزیابی های اولیه را بر روی رخداد ایجاد شده، انجام می دهند.
  • کارشناسان جرم یابی- در طول تجزیه و تحلیل حوادث، این متخصصان جمع آوری داده ها و حفظ شواهد را بر عهده دارند.
  • ممیزان انطباق- این کارشناسان، نحوه عکس العمل سایر افراد را در مواجهه با رخدادها پایش می کنند تا میزان انطباق آنها با دستورالعملهای مربوطه مشخص گردد.
  • تحلیلگر امنیت سایبری- پس از شناسایی و تجزیه و تحلیل رویدادهای امنیتی، این متخصصان طبقه بندی، اولویت بندی و تعیین سطح هشدار برای تهدید ایجاد شده را بر عهده دارند.

این افراد می توانند به شیوه های گوناگون سازماندهی و عمل کنند. اما بصورت معمول چند مدل استاندارد برای ساختار مراکز عملیات امنیت وجود دارد که عبارتند از:

  • SOC داخلی- این مدل از متخصصان فناوری اطلاعات و امنیت در یک سازمان تشکیل شده است. این اعضای تیم یا به صورت متمرکز درون مرکز مستقر می شوند و یا برای نظارت بر بخشهای مختلف امنیت سایبری، در بخشهای مختلف سازمان توزیع می شوند.
  • SOC مجازی داخلی- این تیم متشکل از کارشناسان نیمه وقتی است که بدون نیاز به تخصیص زیرساختها و امکانات کامل، صرفاً در زمان بروز رخدادهای امنیتی و اعلام هشدارهای مربوطه، اقدامات لازم را انجام می دهند.
  • SOC تعاملی- شامل تیمی از کارشناسان سازمان است که اگرچه کار آنها صرفاً محدود به وظایف مرتبط با مرکز عملیات امنیت نیست، اما در زمان وقوع رخدادهای امنیتی می توانند با مدیریت یک تیم امنیت اطلاعات (که معمولاً از خارج از سازمان اداره می شود)، وظایف محوله را انجام دهند.
  • مرکز فرماندهی مراکز عملیات امنیت – این مرکز وظیفه مدیریت و هماهنگی چندین مرکز عملیات امنیت را بر عهده دارد و معمولاً درگیر کارهای اجرایی نمی شود.
  • Outsourced virtual SOC- مانند SOC مجازی داخلی ذکر شده در بالا، این SOCs از راه دور است؛ با این تفاوت که آنها خدمات خود را بصورت کاملاً مستقل و بدون نیاز به هماهنگی با دیگر کارکنان داخلی انجام می دهند.

پیاده سازی یک مرکز عملیات امنیت، ایجاد نقشهای لازم و سرمایه گذاری جهت تجهیز آن، برای کسب و کارهایی که هرگز به طور اصولی به امنیت سایبری فکر نمی کنند، یک تلاش پر هزینه به نظر می رسد. لذا روز به روز بر تعداد طرفداران برونسپاری خدمات مراکز عملیات امنیت افزوده می شود.

به دلایل مختلف از جمله اجتناب از هزینه استخدام مهندسین امنیت ماهر و تحلیلگران، تأمین زیرساختهای مناسب و هزینه آموزش مداوم کارکنان، برونسپاری خدمات عملیات امنیت اغلب بهترین گزینه برای بسیاری از کسب و کارهای کوچک و متوسط ​​می باشد.

یک SOC کاملا برون سپاری شده به طور کامل به یک ارائه دهنده خارج از سازمان متکی است تا از داراییهای سایبری سازمان مراقبت کرده و همزمان از مالکیت معنوی خود محافظت کند.

 

در مقالات بعدی به تفاوت مابین مراکز SOC و NOC و همچنین برخی ابزارهای پیاده سازی مرکز امنیت اطلاعات می پردازیم.

 

نویسنده: احمد آسنجرانی دسته بندی: زیرساخت