طراحی و پیاده سازی SOC

با روند فزآینده حملات سایبری، ایجاد مرکز SOC برای توانایی سازمان در جهت حفظ عملیات، سودآور ماندن ودستیابی و حفظ انطباق با مقررات قابل اجرا، حیاتی است. با این حال دستیابی به سطوح بالایی از بلوغ امنیتی از طریق یک مرکز SOC داخلی، فرآیندی پیچیده و چالش برانگیز است. به همین دلیل گروه لیان اقدام به راه‌اندازی خدمات مشاوره و راه‌اندازی مرکز عملیات امنیت به عنوان بخشی از فرآیند برون‌سپاری راه‌اندازی این مرکز، کرده است. 

فرآیند‌های مرکز SOC

مرکز SOC تهدیدات بالقوه زیرساخت فناوری اطلاعات یک سازمان را نظارت و پاسخ می‌دهد. فرآیندهای SOC مجموعه‌ای از رویه‌ها و شیوه‌هایی هستند که توسط تیم‌های SOC برای شناسایی، پیشگیری، شناسایی، پاسخ به و بازیابی تهدیدات امنیتی استفاده می‌شوند. در اینجا برخی از فرآیندهای کلیدی SOC که توسط گروه لیان ارائه می‌شود را ذکر خواهیم کرد:

• شناسایی تهدیدات امنیتی بالقوه

این فرآیند شامل نظارت بر ترافیک شبکه، گزارش‌های سیستم و سایر منابع داده برای شناسایی تهدیدات امنیتی بالقوه است. این موضوع می‌تواند شامل تلاش‌های مشکوک برای ورود به سیستم، رفتارهای غیرمعمول در سطح شبکه، یا تلاش‌ برای دسترسی غیرمجاز باشد.

• پیشگیری از تهدیدات امنیتی

تیم‌های SOC از تکنیک‌های مختلفی برای جلوگیری از تهدیدات امنیتی مانند مکانیزم‌های کنترل دسترسی، فایروال‌ها و سیستم‌های تشخیص و جلوگیری از نفوذ استفاده می‌کنند. متخصصان لیان با استفاده از ابزارها و تکنیک‌های موثر و کارا، اطمینان حاصل می‌کنند که سیاست‌ها و رویه‌های امنیتی به بهترین شکل اجرا و دنبال می‌شوند.

• شناسایی تهدیدات امنیتی

هنگامی که یک تهدید امنیتی بالقوه شناسایی شد، تیم‌های مرکز SOC از ابزارها و تکنیک‌های مختلفی برای شناسایی و تجزیه و تحلیل تهدید استفاده می‌کنند. این مورد شامل نظارت بر شبکه، هوش تهدید، و ابزارهای تشخیص و پاسخ نقطه پایانی (EDR) است. گروه لیان با استفاده از سیاست‌ها و ابزارهای پیش‌رو، اقدام به عملی کردن این موضوع می‌کند.

• پاسخ به تهدیدات امنیتی

هنگامی که یک تهدید امنیتی شناسایی شد، تیم‌های SOC باید به سرعت و به طور موثر برای مهار تهدید و به حداقل رساندن آسیب، واکنش نشان دهند. این مورد می‌تواند شامل مسدود کردن ترافیک شبکه، ایزوله کردن سیستم های آلوده و غیرفعال کردن حساب‌های در معرض خطر باشد. گروه لیان با پشتیبانی 7 در 24 خود، با اقدام سریع و به موقع، مشتریان را در جهت به حداقل رساندن زمان پاسخ به تهدیدات یاری خواهند کرد.

• بازیابی از تهدیدات امنیتی

پس از مهار و حل یک حادثه امنیتی، تیم‌های SOC باید برای بازگرداندن سیستم‌ها و داده‌ها به حالت عادی خود تلاش کنند. این موضوع شامل بازیابی اطلاعات، وصله سیستم و بازیابی حساب کاربری است. متخصصین لیان با بررسی علل بروز حادثه و رفع آنها، و همچنین انجام ممیزی‌ها، سعی در بازگرداندن کسب و کار شما به حالت عادی در کمترین زمان ممکن خواهد داشت.

افراد مرکز SOC

یکی از ارکان اصلی یک مرکز عملیات امنیت افراد متخصص با دانش مناسب است. یک مرکز عملیات امنیت از چهار Tier تشکیل شده است:

• Tier 1: تریاژ

تریاژ اولین سطح واحد SOC است. افراد حاضر در Tier 1 مسئول تریاژ حوادث امنیتی ورودی و تعیین شدت حادثه هستند. این موضوع شامل شناسایی منابع حادثه، تعیین دامنه حادثه و ارزیابی تاثیر حادثه است.

• Tier 2: بررسی و تحقیق

بررسی و تحقیق سطح دوم مرکز SOC است. افراد حاضر در Tier 2 مسئول بررسی حوادث امنیتی و تعیین علت اصلی بروز حادثه هستند. این موضوع شامل تجزیه و تحلیل گزارش‌ها، ترافیک شبکه و سایر منابع داده برای شناسایی منبع حادثه است. همچنین این افراد مسئول ارائه گزارش‌های دقیق حادثه و توصیه‌هایی برای اصلاح هستند.

• Tier 3: شکار تهدید

شکار تهدید (یا Threat Hunting) سومین سطح واحد SOC است. افراد حاضر در Tier 3 مسئول جست‌وجوی فعالانه برای شناسایی تهدیدات و آسیب‌پذیری‌ها در محیط یک سازمان هستند. این موضوع شامل تجزیه و تحلیل گزارش‌ها، ترافیک شبکه و سایر منابع داده برای شناسایی تهدیدات و آسیب‌پذیری‌های بالقوه است.

• Tier 4: مدیر SOC

مدیریت مرکز عملیات امنیت چهارمین سطح واحد SOC است. مدیر واحد SOC مسئول نظارت بر کل عملیات SOC است. آنها هدایت، راهنمایی و نظارت را برای تیم SOC، از جمله مدیریت بودجه و منابع SOC را ارائه می‌دهند. مدیر SOC همچنین تضمین می‌کند که SOC مطابق با سیاست‌های امنیتی، رویه‌ها و الزامات انطباق سازمان عمل می‌کند.

گروه لیان با آموزش اختصاصی افراد حاضر در مرکز SOC، تخصص مناسب این افراد و همچنین کارآیی آنها را تضمین می‌کند.

محصولات مرکز SOC

مراکز SOC از ابزارها و فناوری‌های مختلفی برای کمک به شناسایی، پیشگیری، پاسخ به حوادث و بازیابی تهدیدات امنیت سایبری، استفاده می‌کنند. رایج‌ترین ابزارها و فناوری‌های مورد استفاده در فرآیندهای SOC به شرح زیر است:

• مدیریت وقایع و رویداد امنیتی (SIEM)

ابزارهای SIEM به جمع‌آوری و تجزیه و تحلیل داده‌های رویداد امنیتی از منابع متعدد، مانند گزارش‌ها، دستگاه‌های شبکه و برنامه‌ها کمک می‌کنند. SIEM، داده‌ها را برای شناسایی تهدیدهات بالقوه مرتبط می‌کند و به تیم SOC برای بررسی بیشتر هشدار می‌دهد. یکی از ابزارهای محبوب، Splunk می‌باشد.

• سیستم تشخیص نفوذ (IDS)

ابزارهای IDS ترافیک شبکه را برای شناسایی حملات یا نقض‌های احتمالی نظارت می‌کنند. ابزارهای IDS می‌توانند مبتنی بر شبکه یا مبتنی بر میزبان باشند و معمولاً از ترکیبی از تکنیک‌های تشخیص مبتنی بر امضا و مبتنی بر ناهنجاری استفاده می‌کنند.

• پلتفرم‌های هوش تهدید (TIPs)

TIPها به تیم‌های SOC اطلاعات تهدید متنی ارائه می‌دهند تا به آنها کمک کنند، تهدیدات را سریع شناسایی کرده و به آنها پاسخ دهند. TIPها داده‌های تهدید را از چندین منبع جمع‌آوری می‌کنند و تجزیه و تحلیل و تجسم را برای تیم‌های SOC ارائه می‌دهند.

• اسکن و مدیریت آسیب‌پذیری

ابزارهای اسکن آسیب‌پذیری، آسیب‌پذیری‌ها را در شبکه، سیستم‌ها و برنامه‌های یک سازمان شناسایی می‌کنند. ابزارها آسیب‌پذیری‌های شناخته شده را اسکن می‌کنند و گزارش‌هایی را برای تیم SOC ایجاد می‌کنند تا اولویت‌بندی و اصلاح شوند. یکی از ابزارهای پیشرو در این حوزه، اسکنر Nessus می‌باشد.

• تشخیص و پاسخ نقطه پایانی (EDR)

ابزارهای EDR برای شناسایی و پاسخگویی به تهدیدات امنیتی در نقاط پایانی مانند لپ‌تاپ، رایانه‌های رومیزی و دستگاه‌های تلفن همراه طراحی و ارائه شده‌اند. راه‌حل‌های EDR با استفاده از تکنیک‌های مختلف، از جمله نظارت بر رفتار و یادگیری ماشین، برای شناسایی تهدیدهای بالقوه و واکنش سریع کار می‌کنند.

• پیشگیری از نشت اطلاعات (DLP)

ابزارهای DLP، برای جلوگیری از خروج داده‌های حساس از شبکه سازمان طراحی شده‌اند. ابزارهای DLP می‌توانند ترافیک شبکه و نقاط پایانی را برای داده‌های حساس نظارت کنند و سیاست‌هایی را برای جلوگیری از نشت داده‌ها اعمال کنند.

• هماهنگی امنیتی، اتوماسیون و پاسخ (SOAR)

ابزارهای SOAR فرآیندهای امنیتی را خودکار و هماهنگ می‌کنند و به تیم‌های SOC کمک می‌کنند تا به تهدیدات سریع‌تر و مؤثرتر پاسخ دهند. ابزارهای SOAR می‌توانند فرآیندهای واکنش به حادثه را خودکار کنند، با سایر ابزارهای امنیتی ادغام شوند و اطلاعات و گزارش تهدیدات را ارائه دهند.

چرا سازمان‌ها به مرکز عملیات امنیت SOC نیاز دارند؟

حتماً سازمان شما دارای اطلاعات طبقه‌بندی شده یا اطلاعات محرمانه است. این اطلاعات امروزه در سیستم‌های کارمندان شما ذخیره شده و بین افراد موجود در سازمان تبادل می‌شوند. حال اگر بستر درستی برای کنترل شبکه موجود در سازمان و رصد اتفاقات موجود در شبکه وجود نداشته باشد، قطعاً بسیاری از اطلاعات شما در معرض خطر قرار گرفته و ممکن است ضررهای هنگفتی به سازمان تحمیل شود.

پس راه‌اندازی مرکز عملیات امنیت SOC ، با درنظر گرفتن تمامی هزینه‌هایی که سازمان متقبل می‌شود، می‌تواند از اتفاقات بسیار بد در آینده نزدیک جلوگیری کند. بانک‌ها، مراکز دولتی حساس (مثل وزارت‌خانه‌ها) و حتی شرکت‌های خصوصی که در رقابت اطلاعاتی با رقیبان خود قرار دارند، حتماً باید یک بستر SOC با استانداردهای جهانی دارا باشند.

خدمات گروه لیان در حوزه مشاوره و راه‌اندازی مرکز SOC عبارت است از:

• نظارت امنیتی زیرساخت و سرویس شبکه بصورت شبانه‌روزی
• شناسایی و جلوگیری از حملات سایبری
• پایش و نظارت نقاط پایانی شبکه
• جمع‌آوری و تجزیه و تحلیل ترافیک شبکه
• پاسخ به حواث و رویدادهای امنیتی
• شکار تهدیدات احتمالی در سطوح شبکه
• مدیریت و نظارت لحظه‌ای تهدیدات سایبری
• تحلیل و بررسی و انجام عملیات فارنزیک بعد از وقوع حادثه
• ارائه راهکاری DR (بازیابی از حادثه) و BCP (طرح تدوام کسب و کار)
• آموزش و آماده‌سازی افراد متخصص