مرکز عملیات امنیت (SOC) واحدی متمرکز برای رسیدگی به حوادث و وقایع امنیتی در سازمانها بوده که هدف از ایجاد آن تشخیص و واکنش سریع در برابر حوادث امنیتی میباشد که از طریق یک کنسول مرکزی، وضعیت آنچه را که در حال حاضر در شبکه در حال اتفاق میباشد را نشان میدهد.
مرکز عملیات امنیت تمامی زوایای امنیتی را به صورت بلادرنگ از یک نقطه مرکزی مدیریت و مانیتور میکند و تمامی حوادث امنیتی را کشف و اولویت دهی کرده، سطح ریسک و داراییهایی را که تحت تأثیر قرار خواهند گرفت را تشخیص میدهد. این مرکز همچنین به طور همزمان راهکارهای مناسبی را متناسب با هر رویداد، اجرا یا پیشنهاد میکند.
بعضاً مرکز عملیات امنیت با مرکز عملیات شبکه (NOC) یکسان در نظر گرفته می شود. ممکن است به دلیل برخی تشابهات میان این دو مرکز، این امر تلقی گردد که مراکز مذکور دارای عملکرد مشابه میباشند. در واقع NOC امور کنترل ترافیک و مدیریت کارایی و تنظیمات شبکه ارتباطات را انجام داده، ولی مرکز عملیات امنیت وظیفه مدیریت حوادث و رخدادهای امنیتی (مدیریت ریسک و بحران) را به منظور حفاظت از اطلاعات به عهده دارد. در واقع مرکز عملیات امنیت وظیفه نظارتی بر روی زیرساختها و سرویسهای الکترونیکی را بر عهده خواهد داشت که بخشی از اطلاعات مورد نیاز در خصوص شبکه ارتباطات را از NOC دریافت خواهد نمود.
مزایای مرکز عملیات امنیت SOC
- کاهش زمان اختلال در ارائه خدمات به مشتری؛
- تشخیص سریع رویدادها و رخدادهای امنیتی؛
- پاسخگویی مناسب و مؤثر با رویدادها و رخدادهای امنیتی و تأمین امنیت شبکه در مقابل تهدیدهای احتمالی؛
- تحلیل مناسب رویدادها و رخدادهای امنیتی؛
- حداقل نمودن آثار و هزینه های ناشی از تهدیدها و حملات امنیتی؛
- پایش امنیتی متمرکز ترافیک شبکه؛
- تحلیل ریسک اثربخش داراییهای اطلاعاتی شبکه؛
- ارتقاء امنیت و پایداری دادهها و خدمات به وسیله حفاظت از زیرساختهای اطلاعاتی، ترافیک داده ها، سرویسها و داده های مشتریان؛
- اعمال مدیریت مناسب بر روی وصله های امنیتی تجهیزات مختلف؛
رویکرد آشنا ایمن در طراحی و استقرار SOC
در رویکرد آشنا ایمن با توجه به آنالیز شرایط موجود سازمان و با استفاده از کنترل های امنیتی بیستگانه SANS اقدام به طراحی SOC می نماید. به طور کلی مرکز عملیات امنیت شبکه در رویکرد آشنا ایمن از 5 ماژول زیر تشکیل شده است:
- مولدهای وقایع (Event Generator)
- جمع آوری اطلاعات (Collection)
- پایگاه داده پیام (Massage Database)
- موتورهای تحلیل (Analysis Engines)
- مدیریت واکنش (Reaction Management)
در این ساختار آشنا ایمن با استفاده از تجربه بلندمدت خود در طراحی معماری امنیت، اقدام به طراحی زیرساخت مورد نیاز و طراحی LOS و LOM مورد نیاز برای استقرار مرکز عملیات امنیت می نماید. طراحی SOC در رویکرد آشنا ایمن بهگونهای صورت می پذیرد که بتواند با توجه به تعاریف بالا عملیات زیر را در سازمان مدیریت نماید:
- تولید وقایع امنیتی؛
- جمع آوری اطلاعات؛
- ذخیره سازی؛
- تحلیل؛
- واکنش؛
بزرگترین مزیت رقابتی آشنا ایمن در این حوزه، داشتن تیمی کامل به منظور طراحی زیرساخت فیزیکی و زیرساخت سرویس SOC می باشد. با توجه به حساسیت اطلاعات در SOC، می بایست نیازمندی های اولیه در خصوص کنترل دسترسی به آن صورت پذیرد که این امر در طراحی تیم آشنا ایمن مد نظر قرار خواهد گرفت.
مزیت دیگر آشنا ایمن طراحی ماژولار است. در این رویکرد با استفاده از اصول طراحی معماری امنیت و با توجه به کنترلهای امنیتی الگوی SANS، و با توجه به آنالیز هزینه- منفعت صورت پذیرفته طراحی در ماژول های مختلف از قبیل مدیریت رخداد، مدیریت آسیب پذیری، مدیریت تهدیدات، مدیریت لاگ، مدیریت دسترسی و … صورت می پذیرد. همچنین با توجه به محدودیت بودجه عمده سازمان، امکان استقرار در چند فاز به شیوه های اثربخش فراهم می گردد.
برای کسب اطلاعات تفصیلی و بیشتر در خصوص هدف از ایجاد مرکز عملیات امنیت و تفاوت آن با NOC و CSIRT و یا قابلیت ها و خدمات مرکز عملیات امنیت سایبری همچنین بررسی ساختار سازمانی و انواع مختلف این مراکز و یا تفاوت بین مراکز NOC و SOC به وبلاگ تخصصی شرکت آشنا ایمن مراجعه فرمایید.