با پیشرفت سریع تکنولوژی در عصر حاضر، کسب و کارهای بزرگ و کوچک باید از اطلاعات حساس خود در مورد مشتریان، کارکنان، شرکای خود و ... بیشتر محافظت کنند. اما با افزایش پیچیدگی جرایم سایبری و نرم افزارهای نفوذگر، این حفاظت به کاری سخت و فشرده تبدیل شده است.
مطالعه ای که اخیراً در کسب و کارها در ایالت متحده انجام شده نشان میدهد که از هر 4 سازمان یکی در طول یکسال گذشته مورد حمله قرار گرفته است. با توجه به همه ی این نتایج، کسب و کارها روشهای جدیدی را برای دفاع از خود در برابر حملات سایبری بررسی می کنند؛ برخی از برنامه های پیشرفته برای اسکن شبکه های خود استفاده می کنند و برخی امنیت سایبری خود را بطور کامل برون سپاری می کنند (برای کسب اطلاعات بیشتر به مقاله رویکردهای استراتژیک سازمان برای پیاده سازی ISMS رجوع شود.) اما موثرترین مفهومی که در میان سازمانها از محبوبیت بیشتری برخوردار است، استفاده از یک مرکز عملیات امنیت (SOC) است.
قبلاً با مفاهیم کلی مراکز عملیات امنیت سایبری و کارکرد آنها آشنا شده اید. در این مقاله سعی شده است ساختار سازمانی و انواع مختلف این مراکز مورد تحلیل قرار گیرد.
یک مرکز عملیات امنیت یا SOC متشکل از یک تیم از افراد متخصص و تجهیزاتی است که در آن تهدیدات امنیتی سایبری شناسایی و بررسی شده و بر پاسخ به هرگونه حادثه در رایانه ها، سرورها و شبکه ها نظارت می کنند.
آنچه که SOC را منحصر بفرد می کند، توانایی نظارت بر تمام سیستمها بطور مداوم است. کارکنان SOC شامل یک تیم از تحلیل گران سایبری باتجربه و مهندسان آموزش دیده هستند. این افراد از طیف وسیعی از برنامه های کامپیوتری و فرآیندهای امنیتی اختصاصی استفاده می کنند که می توانند ضعف های زیربنای مجازی شرکت را که منجر به نفوذ و سرقت اطلاعات می شود، مشخص کنند. تیم SOC طیف گسترده ای از فعالیتها مانند پیشگیری از تهدیدات بالقوه با تجزیه و تحلیل منابع فعال، ایجاد قوانین، شناسایی موارد استثنا، افزایش سرعت پاسخ به رویدادها و جلوگیری از آسیب پذیری های احتمالی در استراتژی های دفاعی از پیش تعیین شده، را انجام می دهد. اطمینان از مطابقت این برنامه ها با الزامات امنیتی شرکت، صنعت و دولت نیز بخش قابل توجهی از کار SOC است.
تکنولوژی هایی که SOC ها از آنها اسفاده می کنند شامل فایروال ها و دیگر تجهیزات امنیتی، اطلاعات امنیتی و سیستم های مدیریت رویداد و راه حل هایی است که داده ها را جمع آوری و نظارت می کنند.
اگرچه هدف اصلی مراکز عملیات امنیت، جلوگیری از نقض و به حداقل رساندن زیان ناشی از فعالیت های مخرب سایبری است، اما بصورت کلی این مراکز دو گونه هستند:
به توجه به روند فزاینده تهدیدات امنیت سایبری در بخشهای مختلف (مانند بخشهای عمومی ، بخشهای نظامی، در حوزه های بهداشتی، مالی، آموزشی و ...) تیمها و مراکز عملیات امنیت در حال افزایش هستند. اما تیم های SOC دقیقاً چگونه سازمان های مربوطه خود را از این تهدیدات محافظت می کنند؟
SOC ها از روش ها و فرآیندهای استراتژیک (از طریق نظارت و تجزیه و تحلیل فعال جریان اطلاعات و رخدادها) برای تأمین امنیت سایبری سازمانها استفاده می کنند. بصورت کلی این رویه ها به وظایف قابل شناسایی زیر تقسیم می شوند:
هر یک از وظایف بالا، یک عملکرد حیاتی از SOCs است که کمک می کند تا اولاً نفوذ و تخریبی صورت نگیرد و ثانیاً در صورت نفوذ، فورا و هوشمندانه تبعات آن کنترل شود.
اقدامات مراکز عملیات امنیت به دلایل کلیدی اثرات قابل توجهی بر نتایج کسب و کار دارد. همانطور که امنیت سایبری به طور فزاینده ای مهم است، برندهایی که اقدامات محافظتی بیشتر و مؤثرتری را در دستور کار قرار می دهند، عملا برنده این رقابت هستند. همان طور که صنعت امنیت اطلاعات درحال گسترش است، مزایا و قابلیت های SOC ها نیز در حال پیشرفت و گسترش هستند.
برخی از مزایای خاص مرکز عملیات امنیتی را می توان بصورت زیر خلاصه کرد:
با توجه به تغییرات مستمر ماهیت فناوری های ارتباطی و حرکت آنها به سمت استفاده از زیرساختهای ابری، لازم است مراکز عملیات امنیت نیز به روزسانی شوند. بر اساس روندهای تغییر فناوری، برخی از این به روز رسانی ها را می توان به شکل زیر خلاصه کرد:
اگرچه مراکز عملیات امنیت ممکن است بر حسب عوامل مختلفی همچون بودجه های مالی، تعداد کارکنان، دسترسی به آموزش مداوم و دامنه نفوذ، با یکدیگر متفاوت باشند، با این حال از منظر ساختار سازمانی چندین نقش کلیدی در بیشتر تیم های SOC حضور دارند، از جمله:
این افراد می توانند به شیوه های گوناگون سازماندهی و عمل کنند. اما بصورت معمول چند مدل استاندارد برای ساختار مراکز عملیات امنیت وجود دارد که عبارتند از:
پیاده سازی یک مرکز عملیات امنیت، ایجاد نقشهای لازم و سرمایه گذاری جهت تجهیز آن، برای کسب و کارهایی که هرگز به طور اصولی به امنیت سایبری فکر نمی کنند، یک تلاش پر هزینه به نظر می رسد. لذا روز به روز بر تعداد طرفداران برونسپاری خدمات مراکز عملیات امنیت افزوده می شود.
به دلایل مختلف از جمله اجتناب از هزینه استخدام مهندسین امنیت ماهر و تحلیلگران، تأمین زیرساختهای مناسب و هزینه آموزش مداوم کارکنان، برونسپاری خدمات عملیات امنیت اغلب بهترین گزینه برای بسیاری از کسب و کارهای کوچک و متوسط می باشد.
یک SOC کاملا برون سپاری شده به طور کامل به یک ارائه دهنده خارج از سازمان متکی است تا از داراییهای سایبری سازمان مراقبت کرده و همزمان از مالکیت معنوی خود محافظت کند.
در مقالات بعدی به تفاوت مابین مراکز SOC و NOC و همچنین برخی ابزارهای پیاده سازی مرکز امنیت اطلاعات می پردازیم.