SOC چیست؟

SOC مرکز عملیات امنیت SOC که همچنین از آن با عنوان مرکز عملیات امنیت اطلاعات (ISOC) نیز یاد می‌شود، یک موقعیت متمرکز است که در آن یک تیم امنیت اطلاعات، رخدادهای امنیت سایبری را بطور تمام وقت مانیتور، شناسایی و تحلیل کرده، سپس به آن پاسخ می‌دهد.

این تیم امنیتی که متشکل از مهندسین و تحلیل‌گران امنیتی است، بر تمامی تغییرات و Eventهای سرورها، دیتابیس‌ها، شبکه‌ها، برنامه‌های کاربردی، تجهیزات Endpoint، وبسایت‌ها و سایر سیستم‌ها نظارت داشته تا تهدیدات امنیتی مهم را نشانه‌گذاری کرده و هرچه سریع‌تر آنها را رفع نماید. آنها همچنین منابع خارجی مرتبط مانند لیست‌های تهدیدات که ممکن است وضعیت امنیتی سازمان را تحت تاثیر قرار دهند نیز مانیتور می‌کنند.

واحد عملیات امنیت SOC نه تنها باید تهدیدات را شناسایی کند بلکه باید آنها را تحلیل نموده، درباره منبع آن تحقیق کرده، تمامی آسیب‌پذیری‌های کشف شده را گزارش داده و برای جلوگیری از وقوع مورد مشابه در آینده برنامه‌ریزی کند. به عبارت دیگر، آنها بی‌وقفه با مشکلات امنیتی سروکار دارند در همین حین بطور پیوسته بدنبال راه‌هایی برای بهبود وضعیت امنیتی سازمان هستند.

در یک مقیاس بزرگ‌تر نهادهایی با عنوان مرکز عملیات امنیت جهانی (GSOC) وجود دارند که با دفاتر امنیتی که جهان را پوشش می‌دهند همکاری می‌کنند. با وجود دفاتر در سراسر دنیا، بجای تاسیس یک واحد عملیات امنیت SOC برای هر نقطه بین المللی، یک GSOC می‌تواند از تکرار امور و عملکردها در نقاط مختلف جلوگیری کند و ضمن کاهش مخارج کلی اطمینان حاصل کند که تیم امنیتی اشراف کاملی بر آنچه در تمامی سازمان رخ می‌دهد دارد.

در ادامه عملکردهای پایه‌ای SOC و GSOC را در کنار جنبه‌های کلیدی برپایی یک مرکز عملیات امنیت SOC شرح خواهیم داد.

سریع‌تر پاسخ دهند: SOC یک دید متمرکز، کامل و به موقع از نحوه عملکرد کل زیرساخت از نقطه دید امنیت ایجاد می‌کند حتی اگر موقعیت‌های مختلف و هزاران Endpoint وجود داشته باشد. می‌توان قبل از اینکه مشکلات خسارت‌های زیادی برای سازمان ایجاد کنند آنها را شناسایی کرده، تشخیص داده و جلوی آنها را گرفت.

اعتماد مصرف‌کننده و مشتریان را حفظ کند: مصرف‌کنندگان خودشان پیش از هرچیزی نسبت به بسیاری از شرکت‌ها شکاک بوده و نگران حریم خصوصی خود هستند. ایجاد یک مرکز عملیات امنیت SOC به منظور حفاظت از داده‌های مشتریان و مصرف‌کنندگان می‌تواند به ایجاد اطمینان در سازمان کمک کند. البته، جلوگیری از نقض امنیتی اعتماد را حفظ می‌کند.

هزینه‌ها را به حداقل می‌رساند: درحالی که بسیاری از شرکت‌ها فکر می‌کنند که هزینه برپایی یک SOC گزاف است، هزینه‌های مربوط به نقض امنیتی که شامل از دست رفتن داده‌ها، داده‌های خراب شده و یا نارضایتی مشتری می‌شود، بسیار بیشتر است. به علاوه، پرسنل SOC این اطمینان را به کاربر می‌دهند که از ابزارهای مناسب برای سازمان خود استفاده می‌کند، بنابراین هزینه‌ای صرف ابزارهای بی‌فایده نمی‌شود.در ادامه این مقاله از تدریس24 همراه ما باشید.

نحوه کارکرد مرکز عملیات امنیت

SOCبه جای تمرکز بر توسعه راهبردهای امنیتی، طراحی معماری امنیتی، یا اجرای اقدامات حفاظتی، تیم SOC مسئول بخش‌های عملیاتی و امنیت اطلاعات سازمان است. پرسنل مرکز عملیاتی امنیتی عمدتا از تحلیلگران امنیتی تشکیل شده‌است که برای شناسایی، تحلیل، واکنش، گزارش، و جلوگیری از حوادث امنیت سایبری با یکدیگر همکاری می‌کنند. سایر وظایف جانبی SOC ممکن است شامل تجریه و تحلیل پیشرفته جرم‌شناسی، تحلیل رمز، و مهندسی معکوس بدافزارها برای تحلیل رخدادها باشد.

اولین گام در ایجاد SOC یک سازمان، تعریف واضح یک راهبرد همگام با اهداف خاص سازمان و بخش‌های مختلف آن و نیز پشتیبانی از سوی مدیران اجرایی می‌باشد. هنگامی که یک راهبرد توسعه داده‌شد، زیرساخت مورد نیاز برای پشتیبانی از آن راهبرد باید اجرا شود. زیرساختهای متداول SOC عبارت‌اند از: فایروال‌ها، IPS و IDS، راهکارهای شناسایی نقص‌های امنیتی، تحقیق و تفحص و یک سیستم مدیریت داده‌ها و رخدادهای امنیتی (Security Information and Event Management System و یا به اختصار SIEM چیست).

SOCفناوری‌های مورد نیاز برای جمع‌آوری داده‌ها از طریق جریان داده‌ها، فرآیند بررسی و انتقال داده‌ها از راه دور (Telemetry Packet Capture، syslog) و دیگر روش‌ها باید در دسترس باشد تا متخصصین SOC بتوانند فعالیت داده‌ها را همبسته کرده و تحلیل کنند. مرکز عملیات امنیت SOC همچنین شبکه و Endpointها را برای شناسایی آسیب‌پذیری‌ها نظارت می نماید تا از داده‌های حساس حفاظت کرده و از منطبق بودن با مقررات صنعت و دولت اطمینان حاصل گردد.

مرکز عملیات امنیت SOC چه اهمیتی دارد

SOCحملات سایبری بطور روز افزون به سازمان‌ها خسارت وارد می‌کنند. در سال 2018، میلیاردها نفر دچار حملات سایبری و نقص امنیتی شدند و اعتماد مشتری به توانایی سازمان در حفظ حریم شخصی و اطلاعات فردی رو به زوال رفت. نزدیک به 70% مشتریان بر این باورند که سازمان‌ها نسبت به حملات سایبری و هکرها آسیب‌پذیرند. آنها تمایل کمتری دارند تا کسب‌وکار خود را با سازمان‌هایی که در معرض خطر بوده‌اند آغاز کرده یا آن را ادامه دهند.

به زبان ساده‌تر، مرکز عملیات امنیت SOC تضمین می‌کند که تهدیدات به موقع شناسایی شده و جلوی آنها گرفته می‌شود. از دید جامع‌تر، یک واحد عملیات امنیت SOC می‌تواند:

قیمت‌گذاری بر روی چنین مزایایی سخت است چرا که آنها حقیقتا باعث پیشرفت سازمان می‌شوند. اما آیا کاربر بطور مطلق نیازمند واحد عملیات امنیت SOC است؟ اگر تابع دولت و یا مقررات صنعتی بوده و یا از نقض امنیتی ضرر می‌بیند و یا در سازمانی است که داده‌های حساس مانند اطلاعات مشتریان را ذخیره می‌کند پاسخ مثبت است.

بهترین اقدامات اجرایی مرکز عملیات امنیت

SOCبسیاری از مدیران بخش امنیت برای ارزیابی و کاهش تهدیدات به صورت مستقیم به جای اتکا به یک Script، تمرکز خود را برای بر روی نیرو انسانی قرار داده‌اند. پرسنل SOC به طور مداوم هم در برابر تهدیدات شناخته شده و هم برای شناسایی تهدیدات جدید فعالیت می‌کنند. آن‌ها همچنین نیازهای مشتریان و نیازهای سازمان را برآورده کرده و در سطح تحمل ریسک خود فعالیت می‌کنند. در حالی که سیستم‌های فناوری مانند فایروال ها یا IPS ممکن است از حملات ساده جلوگیری کنند، برای مقابله با رخدادهای بزرگ، تحلیل انسانی لازم است.

SOCبرای کسب بهترین نتایج، SOC سازمان باید همواره از آخرین اطلاعات تهدید آگاه باشد و از این اطلاعات برای بهبود شناسایی داخلی و مکانیسم‌های دفاعی استفاده کند. همانطور که موسسه InfoSec بیان کرده است، SOC اطلاعات سازمان را از درون سازمان جمع‌آوری می‌کند و آن‌ها را با اطلاعات تعدادی از منابع خارجی مرتبط می‌کند که دید کلی نسبت به تهدیدات و آسیب‌پذیری‌ها را به ارمغان می آورد.

این اطلاعات سایبری خارجی شامل Feed اخبار، به‌روزرسانی Signatureها، گزارش رخدادها، چکیده اطلاعلات تهدیدات و هشدارهای آسیب‌پذیری می‌باشد، که SOC سازمان را در آگاه بودن از تهدیدهای سایبری در حال رشد یاری می‌کنند. برای آگاهی از جدیدترین تهدیدات، پرسنل SOC باید به طور مداوم ابزار نظارت را با اطلاعات تهدیدات تغذیه کنند. SOC سازمان همچنین باید برای تشخیص میان تهدیدات واقعی و تهدیدات اشتباها شناسایی شده، فرآیندهایی را داشته باشد.

SOCهای موفق از اتوماسیون امنیتی برای موثرتر و کارآمدتر شدن استفاده می‌کنند. با ترکیب تحلیلگران امنیتی بسیار ماهر با اتوماسیون امنیتی، سازمان‌ها قدرت تجزیه و تحلیل خود را برای بهبود تدابیر امنیتی و دفاع بهتر در برابر نقض امنیتی داده‌ها و حملات سایبری افزایش می‌دهند. بسیاری از سازمان‌ها که منابع داخلی برای تحقق این اهداف را در اختیار ندارند، این امور را به ارائه دهندگان خدمات امنیتی مدیریت شده که خدمات SOC را ارائه می‌دهند، واگذار می‌کنند.