یک مرکز عملیات امنیت یا SOC، مسئولیت نظارت، پیشگیری، شناسایی، تحقیق و پاسخگویی به تهدیدات سایبری در طول شبانه روز را بر عهده دارد. تیم SOC استراتژی امنیت سایبری کلی سازمان را پیاده سازی میکند.
اطمینان از محرمانگی، صحت و دردسترس بودن اطلاعات در فرایند مدرن فناوری اطلاعات، کار بسیار بزرگی است. این فرایند شامل وظایف بسیاری میشود که عموما نیاز به درک درستی از مقوله امنیت اطلاعات دارد.
در سالهای اخیر میزان خسارت سازمانها از طریق حملات سایبری هدفمند و با هدف ضربهزدن به اعتبار سازمانها، بهطور چشمگیری افزایش یافته است. تقریبا همه روزه اخبار ناخوشایندی از نفوذ به سازمانهای معتبر جهانی شنیده میشود که منجر به افشای اطلاعات بسیاری از افراد شده است. حملات سایبری که عموما با هدف بهدست آوردن پول غیرقانونی و از طریق حملات باج افزارها انجام میشوند، در حال افزایش هستند. به ویژه، حملاتی که به سازمانهای حرفهای شده در زمینه جرایم سایبری به طور محسوسی بسیار خلاقانه بوده و پیشرفت کردهاند. این مسئله اقدامات متقابل موفقیت آمیز را بسیار دشوار کرده است بهطوری که یکی از دغدغههای اصلی سازمانهای بلوغ یافته در حوزه امنیت سایبری، دفاع کارا در مقابل این نوع حملات است.
بهعنوان مثال، محصولات منطبق با الگوی غیر انعطاف پذیر، مانند آنتی ویروسها، سیستمهای تشخیص و جلوگیری از نفوذ و … اغلب در تشخیص روشهای جدید حملات سایبری و بدافزارهای جدید ناکام هستند و به همین علت استفاده از این راه حلها به تنهایی نمیتواند در برابر حملات موثر باشد. به همین دلیل اخیرا انتشار محصولات نوع سندباکس و محصولات مبتنی بر هوش به سطح بالایی از موفقیت رسیده است. با این حال، در دنیای واقعی، تکنیکها و روشهای جدید حملات سایبری که توسط هکرها استفاده میشود، قادر به عبور از لایههای امنیتی مقابل خود هستند.
با توجه به مواردی که در بالا اشاره شد، اقدامات متقابل مبتنی بریک نوع محصولات امنیتی، تنها محدودیتهایی را در برابر حملات سایبری ایجاد میکنند و قادر نیستند بهطور حتمیمانع از حملات شوند، بنابراین نیاز است با ترکیبی از اقدامات متقابل موثر، استحکام دفاعی را تقویت کرد.
اگر به مرکز عملیات امنیت برای سازمان خود نیاز دارید، روی لینک زیر کلیک کنید:
سازمانهای بسیاری وجود دارند که با راهاندازی اقدامات امنیتی متعدد، آمادگی خود را در برابر حملات سایبری تقویت و توسعه میبخشند. از طرف دیگر، در پی افزایش اطلاعات مبادله شده از طریق اینترنت، لاگها و هشدارهای امنیتی نیز در حال افزایش هستند و این امر باعث میشود بسیاری از سازمانها از این موضوع تاثیر منفی بگیرند. تعیین اینکه آیا هر یک از لاگها یا هشدارها حاکی از تشخیص اشتباه، یک رویداد یا اتفاق با درجه اهمیت بسیار پایین یا یک حادثه بوده است، باید به سرعت و بهینه مورد توجه قرار گیرد، بسیار ضروری است. بنابراین طیف گستردهای از دانش و تخصص مورد نیاز است از جمله: مهارتهای شبکه، دانش امنیتی در مورد تکنیکهای حملات سایبری و اطلاعات آسیبپذیری و درک درست از سیستم و محیطهای شبکه و همچنین دانش قابل توجهی در مورد دستگاههای امنیتی.
در چنین شرایطی، روند برون سپاری نظارت امنیتی و عملیات به مرکز عملیات امنیت که توسط یک شرکت امنیتی اداره میشود، در بسیاری از سازمانها افزایش مییابد. به دنبال این روند، نیازهای خاصی برای مرکز عملیات امنیت وجود دارد که به سادگی گزارشهایی را درباره هشدارهای صادر شده توسط دستگاههای امنیتی به مشتریان ارسال میکنند. با این حال، انتظار میرود که افزایش سطح پیشرفت حملات سایبری، خواستار ارائه خدمات نظارت بر امنیت توسط مرکز عملیات امنیتهایی باشد که مهارت کافی به منظور تصمیم گیری و تشخیص درست درباره وقایع امنیتی را دارند.
مرکز عملیات امنیت یک واحد متمرکز در سازمانها است که از افراد، فرآیندها و فناوریها به منظور پایش مداوم وضعیت امنیتی سازمانها در عین جلوگیری، شناسایی، تجزیه و تحلیل و پاسخ به حوادث امنیت سایبری، استفاده میکند. در حقیقت مرکز علمیات امنیت مانند یک مرکز فرماندهی عمل میکند و با نظارت لحظه به لحظه، زمینه ساز برقراری امنیت در سازمانها است. مرکز عملیات امنیت تمام فعالیتهای شبکهها، سرورها، نقاط پایانی، پایگاههای داده، نرم افزارهای کاربردی، وبسایتها و دیگر سیستمهای موجود را به منظور تشخیص فعالیتهای غیرعادی و مشکوک که میتوانند خطری را متوجه سازمان کنند، نظارت و تجزیه و تحلیل میکند. مرکز عملیات امنیت باید از روند تشخیص مخاطرات بالقوه امنیتی، تجزیه و تحلیل لاگهای ورودی، دفاع متقابل در برابر این مخاطرات، بررسی علل وقوع و در نهایت ارائه گزارش استاندارد، اطمینان حاصل نماید.
مرکز عملیات امنیت بهجای اینکه بر روی توسعه استراتژی امنیت و طراحی معماری یا اجرای اقدامات محافظتی متمرکز شود، مسئولیت موثر و عملیاتی کردن امنیت اطلاعات سازمان را برعهده دارد. افراد حاضر در مرکز عملیات امنیت، عمدتاً از تحلیلگران امنیتی تشکیل شدهاند که با هم همکاری میکنند تا حوادث امنیت سایبری را کشف، تجزیه و تحلیل، پاسخ مناسب، گزارش و جلوگیری از وقایع سایبری انجام دهند. یک مرکز عملیات امنیت با تثبیت و استفاده از پرسنل کلیدی حوزه امنیت و اطلاعات رویدادها در یک مکان متمرکز، به بهبود امنیت و انطباق در سازمانها کمک میکند. ایجاد مرکز عملیات امنیت صرفا یک تمرین نیست، زیرا به یک سرمایه گذاری اساسی و مداوم در حوزه منابع انسانی (افراد)، فرآیند و فناوری نیاز دارد. با این حال مزایای حاصل از داشتن چنین مرکزی که منجر به بهبود وضعیت امنیتی میشود، از هزینهها بیشتر است.
در مرکز عملیات امنیت چه میگذرد؟
در یک مرکز عملیات امنیت چه میگذرد؟ از شناسایی تهدید تا رفع مشکلات و آسیبپذیریهای امنیتی چه مراحلی طی میشود؟ در ویدئوی زیر یک سناریوی فرضی را خواهیم دید که در آن یک مرکز عملیات امنیت که وظیفهی نظارت بر وضعیت امنیت شبکهی یک نیروگاه بزرگ را دارد، یک تهدید امنیتی را تشخیص داده و با انجام هماهنگیهای لازم و طی مراحل مشخص تهدید را متوقف کرده و راهکارهای امنیتی سیستم را برای جلوگیری از حملات بعدی ارتقا میدهد.
با توجه به این که این سناریو با الهام از نمونههای واقعی و توسط متخصصان حوزهی عملیات امنیت چیده شده است، دیدن این ویدئو دید دقیق و کاملی نسبت به عملکرد مراکز SOC در مقابل تهدیدات سایبری به شما خواهد داد.
فرآیندها
ساخت مرکز عملیات امنیت با مدل سازی تهدیدات آغاز می شود. مدل سازی تهدیدات فرآیندی است که متخصصان امنیت سایبری و صاحبان کسب و کار، به اتفاق تهدیدات سایبری کلیدی و مهم را شناسایی و اولویت بندی کرده، سپس چگونگی رخ دادن آنها را در ماشین داده ای را مدل سازی کرده و انگاه تصمیم می گیرند چگونه آنها را کشف و اصلاح کنند.
بخش مهم هر مرکز عملیات امنیت، فرآیند نحوه پاسخگویی به هشدارها، خطرات و حوادث است و بیشتر این مراکز از رویکرد چند لایه ای به این منظور استفاده می کنند. هشدارها از طریق راه های مختلفی از جمله راه حل های مدیریت رخدادها و وقایع امنیتی، و یا شبیه به آن، مدیریت و برای بررسی اولیه به لایه اول از مرکز عملیات امنیت می روند. اگر در لایه اول نتوانند حادثه و یا هشدار را برطرف کنند، به لایه بعدی ارجاع می دهند که توسط پرسنل با دانش پیشرفته تر و ابزارهای پاسخ دهی قدرتمندتر، فعالیت ادامه می یابد.
افراد
استخدام و بکارگیری پرسنل مناسب و کارکشته برای مرکز عملیات امنیت موفق، بسیار مهم و ضروری است. مجموعه متنوعی از پرسنل مورد نیاز است که هر شخص از مهارت ها، صلاحیت ها، شخصیت ها و امتیازات مختلف برخوردار است. همچنین باید اطمینان حاصل شود که آموزش های شغلی و مداوم به منظور ارتقای سطح دانش و کارایی کارکنان رخ داده و همچنین مسیرهای روشنی ایجاد شود تا تحلیلگران هر لایه از مرکز عملیات امنیت بتوانند به لایه های بالاتر پیشرفت کنند. در نهایت پرسنل حاضر در مرکز عملیات امنیت باید به بلوغ بالایی در نحوه کار تیمی برسند تا بتوانند به عنوان یک تیم برای اصلاح حوادث و بهبود شرایط امنیتی اقدام کنند.
فناوری
بستر هوش امنیتی، یک فناوری مهم و بحرانی در مرکز عملیات امنیت است. این پلتفرم باید بتواند کلیه داده های مربوط به دستگاه و نرم افزارهای موجود را فهرست بندی کرده و لاگ ها را از منابع امنیتی و غیرامنیتی در زمان بلادرنگ، ثبت کند. این پلتفرم همچنین باید قادر به گرفتن داده و غنی سازی آن با داده های خارجی مانند داده های اکتیودایرکتوری، بانک اطلاعات دارایی ها و موارد دیگر باشد. این غنی سازی خارجی زمینه بسیار مهمی را فراهم می کند که می تواند در قوانین همبستگی در زمان بلادرنگ مورد استفاده قرار گیرد تا از دارایی ها و کاربران در برابر تهدیدات پیشرفته و مدرن محافظت شود.
داده های نمایه شده بدلیل فهرست بندی، طبقه بندی و جست و جوهای انجام شده می توانند برای برآوردن نیازهای کلیدی مرکز عملیات امنیت، از جمله به منظور قوانین همبستگی در زمان بلادرنگ، تحقیقات در مورد حوادث سایبری اتفاق افتاده، گزارش های تفسیری و سفارشی، تجزیه و تحلیل پیشرفته فعالیت های غیرمعمول و شناسایی هرچه سریع تر تهدیدات و خطرات مورد استفاده قرار گیرند.
برای همبستگی و نیازهای هشدار دهنده، مهم است که این فناوری ها قابلیت انعطاف پذیری را در تشخیص تهدیدات از طریق طیف وسیعی از روش های تشخیص دقیق و قابل تنظیم، از جمله قوانین همبستگی، امتیاز دهی خطر و تشخیص ناهنجاری داشته باشد و سپس به طور خودکار سطح شدت را به این حادثه اختصاص دهد. این موضوع امکانی را فراهم می آورد که طی آن بطور خودکار صدها یا هزاران رویداد امنیتی روزانه فیلتر شده و فقط حوادث بحرانی به پرسنل مرکز عملیات امنیت اطلاع رسانی می شود.
