مرکز عملیات امنیت یا SOC چیست؟

اطمینان از محرمانگی، صحت و دردسترس بودن اطلاعات در فرایند مدرن فناوری اطلاعات، کار بسیاری بزرگی است.

یک مرکز عملیات امنیت یا SOC، مسئولیت نظارت، پیشگیری، شناسایی، تحقیق و پاسخگویی به تهدیدات سایبری در طول شبانه روز را بر عهده دارد. تیم SOC استراتژی امنیت سایبری کلی سازمان را پیاده سازی می‌کند.

اطمینان از محرمانگی، صحت و دردسترس بودن اطلاعات در فرایند مدرن فناوری اطلاعات، کار بسیار بزرگی است. این فرایند شامل وظایف بسیاری می‌شود که عموما نیاز به درک درستی از مقوله امنیت اطلاعات دارد.

در سال‌های اخیر میزان خسارت سازمان‌ها از طریق حملات سایبری هدفمند و با هدف ضربه‌زدن به اعتبار سازمان‌ها، به‌طور چشمگیری افزایش یافته است. تقریبا همه روزه اخبار ناخوشایندی از نفوذ به سازمان‌های معتبر جهانی شنیده می‌شود که منجر به افشای اطلاعات بسیاری از افراد شده است. حملات سایبری که عموما با هدف به‌دست آوردن پول غیرقانونی و از طریق حملات باج افزارها انجام می‌شوند، در حال افزایش هستند. به ویژه، حملاتی که به سازمان‌های حرفه‌ای شده در زمینه جرایم سایبری به طور محسوسی بسیار خلاقانه بوده و پیشرفت کرده‌اند. این مسئله اقدامات متقابل موفقیت آمیز را بسیار دشوار کرده است به‌طوری که یکی از دغدغه‌های اصلی سازمان‌های بلوغ یافته در حوزه امنیت سایبری، دفاع کارا در مقابل این نوع حملات است.

به‌عنوان مثال، محصولات منطبق با الگوی غیر انعطاف پذیر، مانند آنتی ویروس‌ها، سیستم‌های تشخیص و جلوگیری از نفوذ و … اغلب در تشخیص روش‌های جدید حملات سایبری و بدافزارهای جدید ناکام هستند و به همین علت استفاده از این راه حل‌ها به تنهایی نمی‌تواند در برابر حملات موثر باشد. به همین دلیل اخیرا انتشار محصولات نوع سندباکس و محصولات مبتنی بر هوش به سطح بالایی از موفقیت رسیده است. با این حال، در دنیای واقعی، تکنیک‌ها و روش‌های جدید حملات سایبری که توسط هکرها استفاده می‌شود، قادر به عبور از لایه‌های امنیتی مقابل خود هستند.

با توجه به مواردی که در بالا اشاره شد، اقدامات متقابل مبتنی بریک نوع محصولات امنیتی، تنها محدودیت‌هایی را در برابر حملات سایبری ایجاد می‌کنند و قادر نیستند به‌طور حتمی‌مانع از حملات شوند، بنابراین نیاز است با ترکیبی از اقدامات متقابل موثر، استحکام دفاعی را تقویت کرد.

اگر به مرکز عملیات امنیت برای سازمان خود نیاز دارید، روی لینک زیر کلیک کنید:

سازمان‌های بسیاری وجود دارند که با راه‌اندازی اقدامات امنیتی متعدد، آمادگی خود را در برابر حملات سایبری تقویت و توسعه می‌بخشند. از طرف دیگر، در پی افزایش اطلاعات مبادله شده از طریق اینترنت، لاگ‌ها و هشدارهای امنیتی نیز در حال افزایش هستند و این امر باعث می‌شود بسیاری از سازمان‌ها از این موضوع تاثیر منفی بگیرند. تعیین اینکه آیا هر یک از لاگ‌ها یا هشدارها حاکی از تشخیص اشتباه، یک رویداد یا اتفاق با درجه اهمیت بسیار پایین یا یک حادثه بوده است، باید به سرعت و بهینه مورد توجه قرار گیرد، بسیار ضروری است. بنابراین طیف گسترده‌ای از دانش و تخصص مورد نیاز است از جمله: مهارت‌های شبکه، دانش امنیتی در مورد تکنیک‌های حملات سایبری و اطلاعات آسیب‌پذیری و درک درست از سیستم و محیط‌های شبکه و همچنین دانش قابل توجهی در مورد دستگاه‌های امنیتی.

در چنین شرایطی، روند برون سپاری نظارت امنیتی و عملیات به مرکز عملیات امنیت که توسط یک شرکت امنیتی اداره می‌شود، در بسیاری از سازمان‌ها افزایش می‌یابد. به دنبال این روند، نیازهای خاصی برای مرکز عملیات امنیت وجود دارد که به سادگی گزارش‌هایی را درباره هشدارهای صادر شده توسط دستگاه‌های امنیتی به مشتریان ارسال می‌کنند. با این حال، انتظار می‌رود که افزایش سطح پیشرفت حملات سایبری، خواستار ارائه خدمات نظارت بر امنیت توسط مرکز عملیات امنیت‌هایی باشد که مهارت کافی به منظور تصمیم گیری و تشخیص درست درباره وقایع امنیتی را دارند.

مرکز عملیات امنیت یک واحد متمرکز در سازمان‌ها است که از افراد، فرآیندها و فناوری‌ها به منظور پایش مداوم وضعیت امنیتی سازمان‌ها در عین جلوگیری، شناسایی، تجزیه و تحلیل و پاسخ به حوادث امنیت سایبری، استفاده می‌کند. در حقیقت مرکز علمیات امنیت مانند یک مرکز فرماندهی عمل می‌کند و با نظارت لحظه به لحظه، زمینه ساز برقراری امنیت در سازمان‌ها است. مرکز عملیات امنیت تمام فعالیت‌های شبکه‌ها، سرورها، نقاط پایانی، پایگاه‌های داده، نرم افزارهای کاربردی، وبسایت‌ها و دیگر سیستم‌های موجود را به منظور تشخیص فعالیت‌های غیرعادی و مشکوک که می‌توانند خطری را متوجه سازمان کنند، نظارت و تجزیه و تحلیل می‌کند. مرکز عملیات امنیت باید از روند تشخیص مخاطرات بالقوه امنیتی، تجزیه و تحلیل لاگ‌های ورودی، دفاع متقابل در برابر این مخاطرات، بررسی علل وقوع و در نهایت ارائه گزارش استاندارد، اطمینان حاصل نماید.

مرکز عملیات امنیت به‌جای اینکه بر روی توسعه استراتژی امنیت و طراحی معماری یا اجرای اقدامات محافظتی متمرکز شود، مسئولیت موثر و عملیاتی کردن امنیت اطلاعات سازمان را برعهده دارد. افراد حاضر در مرکز عملیات امنیت، عمدتاً از تحلیلگران امنیتی تشکیل شده‌اند که با هم همکاری می‌کنند تا حوادث امنیت سایبری را کشف، تجزیه و تحلیل، پاسخ مناسب، گزارش و جلوگیری از وقایع سایبری انجام دهند. یک مرکز عملیات امنیت با تثبیت و استفاده از پرسنل کلیدی حوزه امنیت و اطلاعات رویدادها در یک مکان متمرکز، به بهبود امنیت و انطباق در سازمان‌ها کمک می‌کند. ایجاد مرکز عملیات امنیت صرفا یک تمرین نیست، زیرا به یک سرمایه گذاری اساسی و مداوم در حوزه منابع انسانی (افراد)، فرآیند و فناوری نیاز دارد. با این حال مزایای حاصل از داشتن چنین مرکزی که منجر به بهبود وضعیت امنیتی می‌شود، از هزینه‌ها بیشتر است.

در مرکز عملیات امنیت چه می‌گذرد؟

در یک مرکز عملیات امنیت چه می‌گذرد؟ از شناسایی تهدید تا رفع مشکلات و آسیب‌پذیری‌های امنیتی چه مراحلی طی می‌شود؟ در ویدئوی زیر یک سناریوی فرضی را خواهیم دید که در آن یک مرکز عملیات امنیت که وظیفه‌ی نظارت بر وضعیت امنیت شبکه‌ی یک نیروگاه بزرگ را دارد، یک تهدید امنیتی را تشخیص داده و با انجام هماهنگی‌های لازم و طی مراحل مشخص تهدید را متوقف کرده و راهکارهای امنیتی سیستم را برای جلوگیری از حملات بعدی ارتقا می‌دهد.

با توجه به این که این سناریو با الهام از نمونه‌های واقعی و توسط متخصصان حوزه‌ی عملیات امنیت چیده شده است، دیدن این ویدئو دید دقیق و کاملی نسبت به عملکرد مراکز SOC در مقابل تهدیدات سایبری به شما خواهد داد.

فرآیندها

ساخت مرکز عملیات امنیت با مدل سازی تهدیدات آغاز می شود. مدل سازی تهدیدات فرآیندی است که متخصصان امنیت سایبری و صاحبان کسب و کار، به اتفاق تهدیدات سایبری کلیدی و مهم را شناسایی و اولویت بندی کرده، سپس چگونگی رخ دادن آنها را در ماشین داده ای را مدل سازی کرده و انگاه تصمیم می گیرند چگونه آنها را کشف و اصلاح کنند.

بخش مهم هر مرکز عملیات امنیت، فرآیند نحوه پاسخگویی به هشدارها، خطرات و حوادث است و بیشتر این مراکز از رویکرد چند لایه ای به این منظور استفاده می کنند. هشدارها از طریق راه های مختلفی از جمله راه حل های مدیریت رخدادها و وقایع امنیتی، و یا شبیه به آن، مدیریت و برای بررسی اولیه به لایه اول از مرکز عملیات امنیت می روند. اگر در لایه اول نتوانند حادثه و یا هشدار را برطرف کنند، به لایه بعدی ارجاع می دهند که توسط پرسنل با دانش پیشرفته تر و ابزارهای پاسخ دهی قدرتمندتر، فعالیت ادامه می یابد.

افراد

استخدام و بکارگیری پرسنل مناسب و کارکشته برای مرکز عملیات امنیت موفق، بسیار مهم و ضروری است. مجموعه متنوعی از پرسنل مورد نیاز است که هر شخص از مهارت ها، صلاحیت ها، شخصیت ها و امتیازات مختلف برخوردار است. همچنین باید اطمینان حاصل شود که آموزش های شغلی و مداوم به منظور ارتقای سطح دانش و کارایی کارکنان رخ داده و همچنین مسیرهای روشنی ایجاد شود تا تحلیلگران هر لایه از مرکز عملیات امنیت بتوانند به لایه های بالاتر پیشرفت کنند. در نهایت پرسنل حاضر در مرکز عملیات امنیت باید به بلوغ بالایی در نحوه کار تیمی برسند تا بتوانند به عنوان یک تیم برای اصلاح حوادث و بهبود شرایط امنیتی اقدام کنند.

فناوری

بستر هوش امنیتی، یک فناوری مهم و بحرانی در مرکز عملیات امنیت است. این پلتفرم باید بتواند کلیه داده های مربوط به دستگاه و نرم افزارهای موجود را فهرست بندی کرده و لاگ ها را از منابع امنیتی و غیرامنیتی در زمان بلادرنگ، ثبت کند. این پلتفرم همچنین باید قادر به گرفتن داده و غنی سازی آن با داده های خارجی مانند داده های اکتیودایرکتوری، بانک اطلاعات دارایی ها و موارد دیگر باشد. این غنی سازی خارجی زمینه بسیار مهمی را فراهم می کند که می تواند در قوانین همبستگی در زمان بلادرنگ مورد استفاده قرار گیرد تا از دارایی ها و کاربران در برابر تهدیدات پیشرفته و مدرن محافظت شود.

داده های نمایه شده بدلیل فهرست بندی، طبقه بندی و جست و جوهای انجام شده می توانند برای برآوردن نیازهای کلیدی مرکز عملیات امنیت، از جمله به منظور قوانین همبستگی در زمان بلادرنگ، تحقیقات در مورد حوادث سایبری اتفاق افتاده، گزارش های تفسیری و سفارشی، تجزیه و تحلیل پیشرفته فعالیت های غیرمعمول و شناسایی هرچه سریع تر تهدیدات و خطرات مورد استفاده قرار گیرند.

برای همبستگی و نیازهای هشدار دهنده، مهم است که این فناوری ها قابلیت انعطاف پذیری را در تشخیص تهدیدات از طریق طیف وسیعی از روش های تشخیص دقیق و قابل تنظیم، از جمله قوانین همبستگی، امتیاز دهی خطر و تشخیص ناهنجاری داشته باشد و سپس به طور خودکار سطح شدت را به این حادثه اختصاص دهد. این موضوع امکانی را فراهم می آورد که طی آن بطور خودکار صدها یا هزاران رویداد امنیتی روزانه فیلتر شده و فقط حوادث بحرانی به پرسنل مرکز عملیات امنیت اطلاع رسانی می شود.

علاقمند به حوزه امنیت اطلاعات و آشنا به حوزه تست نفوذ
  • facebook
  • twitter
  • googleplus
  • linkedIn
  • flickr

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.