افزایش تهدیدهای مختلف رایانهای باعث تقویت فشارهای نظارتی مثل مقررات عمومی حفاظت از دادهها شده است. همین موضوع منجر به تلاش سازمانها برای بهبود امنیت سیستمهای اطلاعاتی و در نتیجه آشنایی با مرکز عملیات امنیتی شد. مرکز عملیات امنیتی یا همان SOC (Security Operations Center) حکم یک برج مراقبت را دارد که وظیفه تشخیص و جلوگیری از خطرات احتمالی و تعیین واکنشهای لازم برای مقابله با آنها را به عهده دارد. در واقع هدف اصلی، تضمین تداوم فعالیتهای تجاری با هدف سازگاری با محدودیتها و خطرات است.
مقاله پیشنهادی“مرکز عملیات امنیت (SOC) چیست؟”
سرویسهایی که مرکز عملیات امنیتی ارائه میدهد شامل ارزیابی آسیبپذیری، مدیریت تنظیمات و پیکربندی سیستمها، مدیریت و پاسخگویی به رخدادها و تداوم فعالیت سازمان در صورت وقوع حملات است. در بیشتر مواقع، مرکز عملیات امنیتی ترکیبی از ابزارهای تکنولوژیکی، فرایندها و افراد متخصص به منظور جمعآوری، مرتبسازی و بررسی حوادث امنیتی است. در ادامه این سه بخش اصلی هر مرکز عملیات امنیتی را به اختصار توضیح میدهیم:
- نیروی انسانی: اپراتورها، تحلیلگران و متخصصان امنیت سه رکن لازم نیروی انسانی هر مرکز عملیات امنیتی هستند. وظیفه اصلی آنها تعامل با تیم امنیت سیستمهای اطلاعاتی درونسازمانی و پیدا کردن بهترین راه حلها مطابق با نیازهای سازمان است. مهمترین هدف نیروی انسانی، تجزیه و تحلیل رویدادها به منظور رفع مشکلات ناشی از حوادث در کوتاهترین زمان ممکن است.
- فرایندها: فرایندهای مرکز عملیات امنیتی معطوف به نظارت بر اطلاعات و ایجاد امنیت در این زمینه است. هدف از این کار تشخیص مشکلات امنیتی، ایجاد راه حل مناسب و بهبود امنیت بر اساس ارزیابیهای انجام شده و نوع تهدیدهاست.
- فنآوریها: وقتی از فنآوریها صحبت میکنیم، منظور تمام ابزارهای فنی مورد نیاز برای جمعآوری و ذخیره اطلاعات، درک ارتباط بین آنها و ایجاد گزارش از رویدادهای امنیتی است. راه حل امنیتی نهایی که توسط مرکز عملیات امنیتی معرفی میشود، اطلاعات امنیتی و مدیریت رویداد یا همان SIEM است.
خدمات ارائه شده توسط مرکز عملیات امنیتی
خدماتی که مرکز عملیات امنیتی (SOC) ارائه میکند، به چهار دسته از فعالیتهای مختلف تقسیمبندی میشود. این چهار دسته که عبارت از جلوگیری، تشخیص، واکنش و گزارش هستند را در ادامه به تفکیک توضیح خواهیم داد:
دسته اول: جلوگیری
- نظارت امنیتی در ارتباط با تیم واکنش به حوادث امنیت رایانهای (CERT/CSIRT)
- ابزارهای دقیق تنظیم و نگهداری
- تعمیر و نگهداری ابزارها
- بهینه سازی قوانین تشخیصدهنده و در نظر گرفتن شاخصهای سازش (IoC) که توسط تیم واکنش به حوادث امنیت کامپیوتر یا تیم واکنش اضطراری رایانهای ارائه شده است.
بنابراین مرکز عملیات امنیتی، خطرات را شناسایی، میزان قرار گرفتن در معرض تهدیدها را اندازهگیری و سطح امنیت را برای تعیین نقشه راه و افزایش هوشیاری در برابر خطرات احتمالی آینده ارزیابی میکند.
دسته دوم: تشخیص
- جمع آوری و تجزیه و تحلیل وقایع
- ایجاد همبستگی در اطلاعات به منظور تجزیه و تحلیل رویدادهای امنیتی به صورت یکپارچه و مجزا نبودن اطلاعات از هم
- فعالسازی و تعیین هشدار در موارد مشکوک
در میان هرج و مرج فعالیتهای مختلف سازمان، وظیفه مرکز عملیات امنیتی (SOC) تشخیص حوادث امنیتی و تهدیدهای حتی ناموفق است. وجود نظارت فنی همراه با شناسایی الگوهای رفتاری، امکان هشدار در مدت زمان کوتاه را فراهم می کند. بنابراین مرکز امنیتی، رویدادهای گزارش شده توسط اجزای امنیتی را جمعآوری میکند، آنها را تجزیه و تحلیل میکند، هرگونه ناهنجاری را تشخیص میدهد و واکنش مناسبی برای مشکل به وجود آمده تعیین و اجرا میکند.
دسته سوم: واکنش
- پردازش فوری هشدارها و انجام تجزیه و تحلیل مستندات
- رسیدگی به حوادث امنیتی به کمک تیمهای نظارتی
- انجام تحقیقات پس از وقوع حادثه امنیتی
در این زمینه آنچه که بیشترین اهمیت را دارد، انتخاب مناسبترین واکنش نسبت به حملات در کوتاهترین زمان ممکن است. برای دستیابی به این هدف، مرکز عملیات امنیتی باید پشتیبانی اضطراری، افراد متخصص و روشهای مناسبی برای ارائه داشته باشد. دقت کنید که در صورت بروز مشکلات امنیتی، در دسترس نبودن هر یک از این گزینهها میتواند بسیار خطرآفرین باشد.
دسته چهارم: گزارش
- تولید گزارشات منظم در مورد تمام فعالیتهای مرکز عملیات امنیتی
- ایجاد داشبورد امنیتی که از شاخصهای زیر برخوردار باشد
- شاخصهای خدمات شامل هشدارها، حوادث، تحقیقات و غیره
- شاخصهای فنی (MCO/MSC)
- شاخصهای روند شامل گسترش محدوده جمعآوری، قوانین تشخیص جدید و غیره
انواع مرکز عملیات امنیتی (SOC)
اجرای مرکز عملیات امنیتی، یک پروژه بزرگ همراه با تاثیرات مهم عملیاتی است که میتواند پر هزینه هم باشد. با توجه به اینکه انواع مختلفی از مرکز عملیات امنیتی وجود دارد، انتخاب نوع مناسب از اهمیت بالایی برخوردار است. برای این کار، نیاز سازمان و چالشهای احتمالی پیش رو تعیینکننده هستند. اگر تصمیمات درستی در این زمینه انجام نگیرد، منجر به عدم برقراری امنیت کامل یا افزایش بیدلیل هزینه خواهد شد. به همین دلیل انتخاب نوع مناسب مرکز عملیات امنیتی اهمیت بسیار زیادی دارد و لازم است که زمان کافی برای تعیین آن صرف شود. انواع مرکز عملیات امنیتی به شرح زیر هستند:
- مجازی: در نوع مجازی هیچ نیروی اختصاصی و تماموقتی وجود ندارد؛ اعضای تیم به صورت پارهوقت و فقط در صورت بروز هشدار یا حادثه مهم فعالیت خواهند داشت.
- اختصاصی: تیم اختصاصی همراه به تجهیزات مورد نیاز به صورت تماموقت در سازمان حاضر خواهند بود.
- توزیعشده یا مدیریت مشترک: اعضای تیم متعهد و نیمه اختصاصی هستند و از سرویسهای ارائهدهنده خدمات امنیتی (MSSP) با مدیریت مشترک استفاده میکنند.
- مرکز فرماندهی: در این نوع، مرکز عملیات امنیتی با ایجاد هماهنگی بین مراکز امنیتی مختلف، اطلاعات مربوط به تهدیدات انجام شده را ارائه و راه حل مناسب را بدون حضور مستقیم اجرا میکند.
- مرکز عملیات شبکه (NOC): نوعی مرکز با تیم اختصاصی است که نه تنها برقراری امنیت، بلکه سایر عملیات حیاتی فناوری اطلاعات را به صورت ۲۴ ساعته از همان مرکز انجام میدهد.
- نسل بعدی مرکز عملیات امنیتی: این نوع از مرکز، علاوه بر عملکردهای سنتی، با استفاده از روشهای جدیدتری مثل هوش تهدید، تیم واکنش به حوادث رایانهای (CIRT) و فناوریهای عملیاتی (OT) را به کار میبرد.
- برونسپاری: این نوع هم شامل ایجاد هماهنگی با ارائهدهنده خدمات خارج از سازمانی است که از منابع انسانی و تکنولوژیکی برای ارائه خدمات مرکز عملیات امنیتی برخوردار است. سازمانهای بزرگ معمولا منابع لازم برای ایجاد یک مرکز عملیات امنیتی داخلی در نظر میگیرند؛ با این حال سازمانهای کوچکتر ممکن است دلیل کافی برای انجام این کار نداشته باشند و گزینهای مثل برونسپاری منطقیتر به نظر برسد.
فنآوریهای تشکیلدهنده مرکز عملیات امنیتی
هر مرکز عملیات امنیتی (SOC) برای ارتباط و تجزیه و تحلیل منابع ورودی سیستم به منظور حفاظت موثرتر و برقراری امنیت سایبری، به ابزارها و فنآوریهای مختلفی نیاز دارد. مهمترین این ابزارها عبارت از دیوار آتش، سیستمهای تشخیص و پیشگیری از نفوذ (IDS و IPS)، دیوار آتش تحت وب و ضد بدافزار هستند. گزارشهای مختلفی که توسط مرکز عملیات امنیتی، امنیت اطلاعات و مدیریت رویداد (SIEM) جمعآوری و ارائه میشود هم به چندین ابزار تجزیه و تحلیل قوی نیاز دارد که عبارتند از:
- ماژول تشخیص تهدیدهای مداوم و پیشرفته (APT)
- ابزار مدیریت آسیبپذیریها
- ابزار نظارت بر انطباق
- ماژول همبستگی ورود به سیستم
- ماژول تجزیه و تحلیل رفتاری
نتیجه گیری: افزایش مقاومت در برابر حملات سایبری
واضح است که داشتن یک مرکز عملیات امنیتی (SOC) با نظارت مستمر بر تجزیه و تحلیل فعالیتها و دادهها، تشخیص حوادث امنیتی را بهبود میبخشد. با اینکه راهاندازی چنین مرکزی میتواند پیچیده و پرهزینه باشد اما وجودش برای ایجاد امنیت سایبری در هر سازمانی ضروری است. به همین دلیل است که شرکتها یا مرکز عملیات امنیتی اختصاصی خود را راهاندازی میکنند یا از روشهای مختلفی این کار را برونسپاری میکنند تا از مزایای زیر بهرهمند شوند:
- کاهش خطرات و در دسترس قرار ندادن اجزای مهم سیستم اطلاعاتی
- شناسایی تهدیدها و جلوگیری از آنها: بنا بر اطلاعات سال ۲۰۱۷، امروزه شرکتها به طور متوسط به ۱۹۱روز شناسایی نقض دادهها (انتشار ناخواسته اطلاعات محرمانه) نیاز دارند. اما به کمک مرکز عملیات امنیتی، تهدیدات در لحظه قابل شناسایی هستند.
- کاهش زمان پاسخگویی: به عنوان مثال در مورد بدافزارها، زمان پاسخگویی به حداقل میرسد. امروزه با در نظر گرفتن مقررات عمومی حفاظت از دادههای اتحادیه اروپا (GDPR) لازم است در صورت وقوع نقض داده، جزئیات آن پس از حداکثر ۷۲ ساعت گزارش شود.
- بهبود نظارت: یکی از عوامل کلیدی موفقیت مرکز عملیات امنیتی، ایجاد یک استراتژی نظارت موثر است. برای رسیدن به استراتژی مناسبی که باهعث بهبود نظارت شود، قلمروی فعالیت، معماری فنی و مراحل نظارت و نگهداری، پس از انجام بررسیهای لازم مشخص و در یک سند تعریف میشوند.
- بررسی حادثه در کوتاهترین زمان: سازمان شما از فعالیت تیمهایی که بزرگترین تهدیدها را شناسایی، ردیابی و برطرف میکنند سود بسیاری میبرد. بر اساس یک مطالعه که توسط مکآفی در سال ۲۰۱۸ انجام شده، یک مرکز عملیات امنیتی میتواند با استفاده از مهارتهای متخصصان در ردیابی تهدید، تحقیقات مربوط به حوادث را در کمتر از یک هفته به پایان برساند.