امنیت
آلیاسیس آرتباط
بدون دیدگاه

مرکز عملیات امنیت (SOC) چیست؟

SOC یا مرکز عملیات امنیت یک دفتر برون‎سپاری شده است که کار آن منحصرا تحلیل ترافیک اینترنت و ردیابی تهدیدها و حمله‌های سایبری است. در دنیای امروزی که حملات سایبری و نشت اطلاعات به طور مرتب اتفاق می‌افتد، کمپانی‌ها چه کوچک و چه بزرگ، نیاز دارند که دارایی تکنولوژیکشان را به شکل ویژه محافظت کنند. با این حال به دلیل محدودیت‌ها و اولویت‌های دیگر، بسیاری از سازمان‌ها امکان این که یک تیم مستقر بیست و چهار ساعته را برای حفاظت آی تی استخدام کنند ندارند. راه‌حل هوشمندانه برای چنین مشکلی شراکت با یک SOC یا به عبارتی مرکز عملیات حفاظتی است.

ما در این مقاله به کارکردهای اصلی یک مرکز عملیات حفاظتی و همین‌طور تنوع مدل‌ها و نقش‌هایی که در این مراکز وجود دارند می‌پردازیم. این نکته مهم است که بدانیم بهترین شیوه‌های عملی برای چنین مرکز محافظتی چه هستند و به این ترتیب است که شما می‌توانید گزینه‌های مخنلف را بررسی کنید و بهترین آنها را انتخاب کنید.

یک مرکز عملیات حفاظتی چگونه کار می‌کند؟

تا قبل از رواج ابرهای اطلاعاتی، شیوه معمول عملیات حفاظتی این بود که کمپانی‌ها نرم‌افزار متداولی را برای اسکن بدافزار انتخاب یا آن را دانلود و یا به شکل یک CD-ROM از طریق پست دریافت می‌کردند. آنها به این نرم‌‎افزار یک فایروال در حاشیه شبکه اضافه می‌کردند و خیالشان راحت بود که این اقدامات، اطلاعات و سیستم آنها را از خطر محافظت می‌کند. واقعیت امروز در محیطی کاملا متفاوت شکل می‌گیرد. تهدیدها در سراسر نت گسترده‌اند و هکرها راه‌های جدیدی ابداع کرده‌اند که با آن حملات پیچیده و پرمنفعتی به راه می‌اندازند، حملاتی مانند Ransomware.

مرکز عملیات حفاظتی نمونه نرم‌افزاری است که به عنوان یک مدل خدماتی ارائه می‌شود، از این جهت که این نرم‌افزار در ابر اطلاعاتی به عنوان یک سرویس جایگزین عمل می‌کند. به این ترتیب می‌تواند یک لایه تخصص اجاره‌ای در اختیار استراتژی امنیت شبکه کمپانی مورد نظر قرار بدهد که تمام مدت شبکه‌ها و نقاط اتصال را زیر نظر دارد. اگر اتفاقی بیفتد یا یک نقطه آسیب‌پذیر شناسایی شود این برنامه به تیم IT مستقر در شرکت اطلاع می‌دهد تا آنها دلیل مسئله را پیدا کنند و به آن پاسخ بدهند.

عملیات استاندارد SOC

ارائه دهندگان شخصی حفاظت سایبری SOC تولیدات و خدمات متنوعی ارائه می‌کنند. با این حال یک مجموعه اصلی از عملیات اجرایی وجود دارد که یک SOC باید انجام بدهد تا ارزش اضافه‌ای برای یک سازمان ایجاد کند. ما این‌ها را در یک گروه هفت‌تایی از قابلیت‌ها لیست کرده‌ایم و در ادامه به آنها می‌پردازیم.

۱. ارزیابی دارایی‌ها: اگر قرار است یک SOC امنیت شرکتی را تامین کند باید دانش دقیقی از منابعی که قرار است محافظت شوند داشته باشد. در غیر این‌صورت ممکن است نتواند از تمام شبکه مراقبت کند. یک ارزیابی دقیق از دارایی‌ها باید هر سرور، رهیاب یا فایروالی که تحت کنترل مجموعه است و همین‌طور هر وسیله دیگری که مجموعه در حال استفاده از آن است را شناسایی کند.

۲. مجموعه ورودی‌ها: اطلاعات، مهم‌ترین ابزار یک SOC برای عملکرد مناسب هستند و ورودی‌ها منابع کلیدی اطلاعات در مورد فعالیت شبکه‌ای‌اند. SOC  باید اطلاعات دقیقی از سیستم‌های مجموعه داشته باشد تا اطلاعات در لحظه جمع‌آوری شوند. بدیهی است که افراد نمی‌توانند این حجم عظیم اطلاعات را پردازش کنند. به همین دلیل است که ابزارهای پایش ورودی که از الگوریتم‌های هوش مصنوعی استفاده می‌کنند این‌قدر در برابر SOC ها آسیب‌پذیرند. این ابزارها هنوز از عوارض انسانی رنج می‌برند که انسان در حال تلاش برای رفع و رجوع کردن آن است.

۳. مراقبت پیشگیرانه: در بهترین حالت، SOC ها می‌توانند از حملات سایبری، پیش از وقوع جلوگیری کنند و این با فعال شدن در فرایندهای این حملات اتفاق می‌افتد. برای این کار SOC ها به طور منظم بسته‌هایی را نصب می‌کنند و سیاست‌های فایروال را تنظیم می‌کنند. از آنجا که بعضی از حملات سایبری در بدو امر به عنوان یک تهدید داخلی کارشان را شروع می‌کنند، SOC باید در داخل سازمان هم به دنبال تهدیدها بگردد.

۴. پایش مداوم: برای اینکه یک SOC آماده پاسخ به رخدادهای سایبری باشد باید حساسیت بالایی در فعالیت پایشی‌اش داشته باشد. بین جلوگیری از یک حمله سایبری و اجازه دادن به آن تا کل سیستم یا وب‌سایت را تصرف کند، گاهی چند دقیقه زمان لازم است. ابزارهای SOC اسکن‌هایی را در کل شبکه کمپانی انجام می‌دهند تا تهدیدهای بالقوه و سایر فعالیت‌های مشکوک را شناسایی کنند.

۵. مدیریت هشدارها: سیستم‌های اتوماتیک در پیدا‌کردن الگوها و تعقیب فرایندها عالی عمل می‌کنند ولی زمانی که نوبت به تحلیل هشدارهای اتوماتیک و طبقه‌بندی آنها بر اساس اولویت و شدت می‌شود، اهمیت نیروی انسانی در SOC را متوجه می‌شویم. کارمندان یک SOC باید بدانند که چه پاسخی به این هشدارها بدهند و چطور بفهمند که هر هشدار چقدر باید جدی گرفته شود.

۶. تحلیل عامل ریشه‌ای: بعد از اینکه یک حادثه اتفاق می‌افتد و مهار می‌شود، وظیفه اصلی SOC آغاز خواهد شد. متخصصین امنیت شبکه دلیل ریشه‌ای حادثه را تحلیل می‌کنند و تشخیص می‌دهند که چنین چیزی از ابتدا چطور اتفاق افتاده است. این فرایند زنجیره بهبود مداوم را تقویت می‌کند و به تدوین قواعد و به کارگیری ابزارهایی کمک می‌کند که جلوی پیش آمدن حوادث مشابه را بگیرند.

۷. حسابرسی قانونی: شرکت‌ها می‌خواهند اطلاعات و سیستم‌هایشان امنیت داشته باشند ولی آنها به همین اندازه مایلند که این کار به شیوه قانونی انجام شود. ارائه دهندگان SOC باید حسابرسی‌های منظمی انجام بدهند تا مطمئن شوند که فعالیت‌هایشان با مختصات منطقه‌ای که در آن کار می‌کنند مطابقت دارد. یک گزارش SOC چیست؟ هر چیزی که اطلاعات و عملیات امنیت شبکه را از یک سازمان استخراج می‌کند. یک SOC  چیست؟ یک فرایند حسابرسی مخصوص که به امنیت اطلاعات مربوط می‌شود.

مدل‌های مختلف SOC

تا اینجای کار ما بر یک پردازشگر SOC خارجی تمرکز کردیم. در این حالت کمپانی مورد نظر به یک تامین کننده SOC خارجی پولی پرداخت می‌کند تا به نیازهای امنیت شبکه کمپانی رسیدگی کند. علاوه بر این، مدل‌های ساختاری متعدد دیگری از SOC نیز وجود دارند که به شیوه مشابهی عمل می‌کنند.

  • SOC  داخلی یا اختصاصی: مجموعه یا شرکت، تیم امنیت شبکه خودش را درون نیروی سازمانی خودش تاسیس می‌کند.
  • SOC مجازی: تیم امنیت شبکه امکانات و مکان اختصاصی ندارد و معمولا دورکار است.
  • SOC جهانی یا بالادستی: یک گروه رده بالاست که بر فعالیت‌های تعدادی از SOC های کوچک‌تر در یک منطقه نظارت دارد.
  • SOC مشارکتی: در این حالت تیم داخلی آی‌تی کمپانی در همکاری تنگاتنگ با یک شرکت خارجی به نیازهای امنیت شبکه کمپانی رسیدگی می‌کنند.

مشاغل مربوط به SOC

برای کسانی که سابقه‌ای در امنیت شبکه دارند، SOC فراهم کننده یک امکان عالی شغلی است. اجازه بدهید به فهرست مهم‌ترین مشاغلی که در یک SOC  مورد نیازند نگاهی بیندازیم:

مدیرانSOC

این مدیران SOC هدایت کنندگان سازمان‌هایشان هستند. به این ترتیب مسئولیت درجه اول کارهایی مانند استخدام و اخراج و تنظیم اولویت‌ها بر عهده آنهاست. آنها معمولا مستقیما به هیئت رییسه کمپانی و به طور خاص به رئیس بخش امنیت اطلاعات گزارش می‌دهند.

حسابرس حقوقی

حسابرس حقوقی نقش کلیدی در استاندارد‌کردن فرایندهای یک SOC را دارد. عملکرد آنها ذیل دپارتمان کنترل کیفیت تعریف می‌شود و وظیفه‌شان اطمینان حاصل کردن از این موضوع است که اعضای SOC از قوانین دولتی و صنعتی تبعیت می‌کنند.

پاسخ دهنده به اتفاقات

این‌ها افرادی هستند که حقوق می‌گیرند تا به هشدارها در اولین فرصت ممکن واکنش نشان بدهند. آنها از دامنه گسترده‌ای از ابزارهای کنترلی استفاده می‌کنند تا میزان اهمیت هر هشدار را درجه‌بندی کنند و زمانی که یک هشدار، نشان‌دهنده‌ی یک مشکل تمام عیار بود، با واحدی که درگیر شده تماس می‌گیرند تا اقدامات ترمیمی را شروع کنند.

تحلیلگران SOC

تحلیلگر مرکز عملیات حفاظتی چه کاری انجام می‌دهد؟ این تحلیلگران مسئول بررسی اتفاقات رخ داده قبلی و تشخیص عامل ریشه‌ای این اتفاقات هستند. معمولا این تحلیلگران در تخصص امنیت شبکه چندین سال سابقه کاری دارند.

شکارچی تهدیدات

این گروه از کارمندان اعضای فعال تیمی هستند که آزمایش‌هایی روی شبکه انجام می‌دهند تا نقاط آسیب‌پذیر آن را پیدا کنند. هدف آنها این است که نقطه نفوذپذیر را قبل از اینکه هکرها به آن دست پیدا کنند شناسایی و تقویت کنند.

فواید SOC چیست؟

تکنولوژی در سراسر دنیای صنعتی امروز یک نقش کلیدی به عهده دارد و به همین دلیل امنیت شبکه باید برای تمام سازمان‌ها اولویت اصلی باشد. مدل مرکز عملیات حفاظتی اثربخشی خود را در موقعیت‌های زیادی نشان داده است و ما در ادامه به مهم‌ترین فوائد آن خواهیم پرداخت. البته این نکته را به خاطر داشته باشید که با برون‌سپاری فعالیت‌های مربوط به امنیت شبکه، شما در هر صورت مقادیری از ریسک را پذیرفته‌اید.

فوائد اقتصادی

برای بیشتر کمپانی‌ها حقوق پرسنل بیشترین هزینه را در بودجه‌بندی شرکت تشکیل می‌دهد. استخدام یک تیم کامل از متخصصین امنیت شبکه نیازمند مخارج خیلی زیاد اولیه و جاری است. با استفاده از مدل SOC شما با پرداخت پول کمتری می‎‌توانید از خدماتی مشخص و با مسئولیت کمتر بهره‌مند شوید.

به حداقل رساندن زمان خرابی شبکه

وقتی یک وب‌سایت یا یک اپلیکیشن از کار می‌افتد، منابعی از دست می‌روند و اعتبار شرکت زیر سوال می‌رود. استفاده از SOC  ها این‌گونه آثار مخرب را به حداقل می‌رساند و برطرف شدن مشکل را تسریع می‌کند. بهترین و قابل اعتمادترین ابزارهای نظارتی هم بی‌نقص نیستند. از طرفی مستقر‌کردن یک مرکز عملیات حفاظتی شبکه را دچار حشو و زواید زیادی می‌کند. پرسنل شما به اندازه کافی اولویت‌های دیگری برای رسیدگی دارند و بنابراین برون‌سپاری این وظایف به یک SOC می‌تواند مفید باشد.

جلب اعتماد مشتری

حتی یک مورد از نشت اطلاعات مانند نمونه Capital One Data Breach ممکن است مشتری بالقوه را در مورد اینکه آیا اطلاعات شخصی‌اش را در اختیار سازمان قرار بدهد یا نه دچار تردید کند. وقتی که فرصت برای ارتکاب اشتباه این‌قدر کم است عاقلانه این است که از یک مرکز اطلاعات حفاظتی بیست و چهار ساعته برای نظارت بر شبکه استفاده کنیم. این کار برای همه افرادی که با شبکه و اطلاعات کار می‌کنند احساس اطمینان ایجاد می‌کند.

استاندارد عملیاتی SOC ها

حالا که چند سالی از به راه افتادن SOC ها می‌گذرد، استانداردهای متعددی برای این شرکت‌ها ارائه شده است. این استانداردها یک مقررات اجباری برای SOC ها نیستند ولی زمانی که برای انتخاب یکی از این سرویس‌ها تصمیم می‌گیرید خوب است که این استانداردها را در نظر داشته باشید.

عملیات خودکار

تیم‌های SOC باید تا جای ممکن موثر باشند. به همین دلیل آنها نمی‌توانند تمام زمانشان را صرف خواندن مشخصات ورودی‌ها و جریان ترافیک کنند. آنها در عوض نیاز به یک ابزار کامپیوتری برای عملکرد خودفرمان دارند که با استفاده از هوش مصنوعی به آنها نشان بدهد که الگوهای عملیاتی را متوجه موضوعی کنند که در آن زمان اهمیت دارد.

رویکرد ابر اطلاعاتی

در دوران قدیم شما می‌توانستید با نصب یک فایروال روی شبکه اطلاعاتی مطمئن باشید که از هر چیزی داخل این شبکه محافظت کافی به عمل می‌آید. با ورود ابرهای اطلاعاتی SOC ها ناچارند به دامنه گسترده‌تری از کارها بپردازند. آنها باید این موضوع را تحلیل کنند که اجزای مختلف زیرساختی یک ابر اطلاعاتی چطور با هم درگیر می‌شوند و چه نقاط آسیب‌پذیری در این فرایند ممکن است پنهان بمانند.

فکر‌کردن مانند یک هکر

مجرمان سایبری همیشه به دنبال ابداع شکل‌های جدیدی از حمله هستند که افراد و کمپانی‌ها پیش‌بینی نمی‌کنند. تیم‌های SOC برای این که از آنها یک قدم جلوتر باشند ناچارند رویکرد مشابهی در پیش بگیرند. اگر آنها تمام زمانشان را صرف مقابله با تهدیدهای شناخته شده کنند در برابر تهدیدهای جدیدی که در راه است منفعل می‌شوند. نفوذ به شبکه و آزمایش اغتشاش عملیات حیاتی برای یک SOC هستند چرا که تیم را ناچار به جستجوی آسیب‌پذیری‌هایی که در جاهای ناشناخته پنهان شده می‌کنند.

تکنولوژی‌ها و راه‌حل‌های SOC

تیم‌های مختلف، تکنولوژی‌های متفاوتی برای حفاظت شبکه در اختیار دارند. فایروال و سیستم‎‌های تشخیص نفوذ جعبه اولیه ابزار را تشکیل می‌دهند ولی همزمان ابزارهای هوشمندی در حال ارائه به بازار هستند که عملرد مرکز حفاظتی را موثر و دقیق‌تر می‌کنند. به عنوان مثال Varonis Edge ابزاری است که تمام فعالیت‌های شبکه بینابینی را تحلیل و نقطه ورود هکرها را شناسایی می‌کند. راه‌حل‌های پیشگیرانه‌ی SOC هم درحال پیشرفت هستند. مانند موتور طبقه‌بندی اطلاعات وارونیس که به مراکز حفاظت عملیات کمک می‌کند مخازن اطلاعاتی که آسیب‌پذیری بیشتری دارند را تشخیص بدهد.

سوالات متداول

۱- چرا به یک مرکز عملیات حفاظتی نیاز دارید؟

مرکز عملیات حفاظتی برای مراقبت از اطلاعات، سیستم‌ها و سایر منابع یک شرکت اهمیت حیاتی دارد. با بستن قرارداد با یک مرکز عملیات حفاظتی می‌توانید مطمئن باشید که شبکه‌تان از حملات در امان است و کارمندان می‌توانند به جای نگرانی در مورد تهدیدات شبکه‌ای به فعالیت‌های اصلی‌شان بپردازند.

۲- مرکز عملیات حفاظتی چه چیزی را بررسی می‌کند؟

تیم‌ها و ابزارهای مرکز عملیات حفاظتی، تمام ترافیک اطلاعات شبکه که از بیرون وارد می‌شوند را بررسی می‌کند. این یعنی تمام سرورها و رهیاب‌ها و مخازن اطلاعاتی باید در دسترس تیم عملیات حفاظتی قرار داشته باشند.

۳- چه تفاوتی بین یک مرکز عملیات حفاظتی و  مرکز عملیات شبکه وجود دارد؟

مرکز عملیات شبکه در درجه اول بر کاهش زمان خرابی شبکه و انجام تعهدات خدماتی متمرکز است. مرکز عملیات حفاظتی بیشتر به آسیب‌پذیری‌ها و تهدیدات سایبری می‌پردازد.

۴- چه تفاوتی بین مرکز عملیات حفاظتی و اطلاعات حفاظتی و مدیریت پیشامدها وجود دارد؟

در واقع اطلاعات حفاظتی و مدیریت پیشامدها (SIEM) بخشی از وظایفی است که یک مرکز عملیات حفاظتی به عهده دارد. شرکت‌ها در قبال تهدیدهای امنیتی نیاز دارند که برای مسائل پیش‌بینی نشده آماده باشند. بنابراین باید یک برنامه‌ای برای پاسخ به بحران وجود داشته باشد. یک مرکز عملیات حفاظتی با همراهی ابزارهایی مانند Varonis Datadvantage می‌تواند تضمینی برای این موضوع باشد که مشکلاتی به همان سرعتی که پیدا می‌شوند، حل هم می‌شوند.

 

منبع

 

شناسه مطلب: ۳۰۷۹
منبع:
وبلاگ تخصصی آلیاسیس
1.05
22
23
فیسبوک توییتر گوگل + لینکداین تلگرام واتس اپ کلوب
آلیاسیس آرتباط

مطالب مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

هسته اصلی شرکت آلیاسیس ارتباط از سال 1383 تاکنون در زمینه فن آوری اطلاعات و ارتباطات ( ICT) فعالیت می نماید. شرکت آلیاسیس ارتباط با تجربه ای بالغ بر یک دهه حضور در صنعت فناوری اطلاعات و ارتباطات از تامین و توزیع تا ارائه خدمات مهندسی و خدمات پس از فروش به مجموعه کسب و کارهای بزرگ ، متوسط و کوچک در سه حوزه تجهیز تخصصی سخت افزارهای شبکه - ارائه خدمات مشاوره ، طراحی ، پیاده سازی ، پشتیبانی ، آموزش و خدمات پس از فروش در شبکه های محلی و گسترده ، امنیت شبکه ، مراکز داده و ارتباطات یکپارچه - ارائه راهکارهای جامع مبتنی بر شبکه های رایانه ایی ارائه خدمت می نماید.

دسترسی سریع