ساخت یک SOC یا انتخاب یک MSSP کدام اثربخش تر است

ساخت یک SOC یا انتخاب یک MSSP کدام اثربخش تر است؟

چاپ

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

ساخت یک SOC یا انتخاب یک MSSP کدام اثربخش تر است؟

چکیده:

تصمیم‌گیری درباره ایجاد یک SOC داخلی یا انتخاب یک MSSP برای رفع نگرانی‌ها در مورد امنیت اطلاعات می‌تواند برای شرکت‌هایی که به دنبال بهبود وضعیت امنیتی خود هستند، فرآیندی دشوار و زمان‌بر باشد. در این مطلب مزایا و معایب انتخاب هر یک از این دو گزینه را بررسی خواهیم کرد.
در ادامه به بررسی انتخاب SOC یا یک MSSP، خواهیم پرداخت.

 

سوالات:

- نیازمندی‌های یک سازمان برای ساخت یک SOC چه هستند؟
- چه سازمان‌هایی باید از MSSP استفاده کنند؟
- مزایای ساخت SOC چیست؟
- مزایای استفاده از سرویس‌های MSSP چیست؟
- ساخت یک SOC بهتر است یا استفاده از سرویس‌های یک MSSP ؟
- هزینه ساخت یک SOC شامل چه مواردی می‌شود؟
- استفاده از سرویس‌های یک MSSP چه هزینه‌هایی را در بر دارد؟
- تفاوت‌های SOC و MSSP چه هستند؟

تصمیم‌گیری درباره ایجاد یک SOC داخلی یا انتخاب یک MSSP برای رفع نگرانی‌ها در مورد امنیت اطلاعات می‌تواند برای شرکت‌هایی که به دنبال بهبود وضعیت امنیتی خود هستند، فرآیندی دشوار و زمان‌بر باشد. در این مطلب مزایا و معایب انتخاب هر یک از این دو گزینه را بررسی خواهیم کرد.


ایجاد یک SOC:


یک SOC (Security Operation center) مجموعه‌ای متمرکز است که در سطح فنی با رخدادهای امنیتی در یک سازمان سر و کار دارد. به طور معمول یک SOC از مجموعه‌ای از ابزارها، فرایندها و کارکنان تشکیل شده که فعالیت این واحدها متمرکز بر کشف، ارزیابی و بررسی حوادث امنیتی است. برای تخمین قطعات کلیدی مورد نیاز در ساخت یک SOC، لازم است درک کافی در مورد بخش‌های اصلی سازنده آن وجود داشته باشد. مثالی از عملیات‌های سه‌گانه امنیتی یک SOC در شکل زیر آورده شده است:

 

از  عملیات‌های سه‌گانه امنیتی یک SOC
از عملیات‌های سه‌گانه امنیتی یک SOC

در سطحی بالا، عملیات سه‌گانه امنیتی از اجزا زیر تشکیل شده است:

  • افراد: کارکنانی که به فعالیت در زمینه رخدادهای امنیتی می‌پردازند، مانند تحلیلگران SOC و پاسخ‌دهندگان به رویدادهای امنیتی.
  • فرایندها: به کارکنان کمک می‌کنند تا به طور کارا در مورد رخدادهای امنیتی تحقیق کرده و اطمینان از انجام موفق همه کارها، در زمان مناسب، را ایجاد می‌کنند.
  • تکنولوژی‌ها: قابلیت رویت (visibility) شبکه و ابزارهای مناسب برای نظارت و شناسایی علائم خرابکارانه را در اختیار کارکنان قرار می‌دهند.


با توجه به اینکه ساخت یک SOC می‌تواند هزینه زیادی داشته باشد، ضروری است قبل از آغاز کار میزان بودجه‌ای که از طرف سازمان برای این هدف در اختیار است، مشخص شود. یک بودجه امنیتی خوب باید حداقل 5 درصد کل بودجه IT سازمان باشد. در ادامه باید یک نقشه‌راه با مراحل ساختاریافته که قصد انجام آن‌ها در دوره‌های سه ماهه (یا هر مدت مناسب دیگری) وجود دارد، تهیه شود .به عنوان مثال، یک مرحله می‌تواند بهبود قابلیت رویت شبکه و افزایش توانایی تحلیل در راستای کشف فعالیت‌های خرابکارانه با پیاده‌سازی یک SIEM مانند APK SIEM باشد که این مرحله به شکل‌گیری هسته SOC از منظر تکنولوژی کمک می‌کند. یک مرحله دیگر می‌تواند ایجاد مجموعه‌ای از Use Case ها و کتاب‌های آموزشی جهت کمک به تحلیلگران جهت شناسایی و پاسخ به فعالیت‌های مخرب باشد. تهیه این نقشه‌راه به شناسایی و اولویت‌بندی قسمت‌های کلیدی برای پیاده‌سازی کمک می‌کند. مراحل در نظر گرفته شده باید بر ایجاد یا تکمیل تیم‌های تشکیل‌دهنده SOC مانند تیم‌های نظارت و کشف (Monitoring And Detection)، جرم‌یابی (Forensics)، جلوگیری از از دست دادن داده (Loss Data Prevention) و هوش تهدید (Threat Intelligence) متمرکز باشند.

در ادامه برخی از مزایای یک SOC در مقایسه با یک MSSP ذکر شده است:

 

SOC

MSSP

قابلیت شخصی‌سازی SIEM.

شخصی‌سازی محدود، هر چند ممکن است برخی از ارائه‌دهندگان قابلیت مدیریت SIEM را در اختیار قرار دهند.

ذخیره Logها به صورت محلی.

Logها ممکن است به صورت محلی ذخیره نشده و مشتریان ممکن است به Console Analyst دسترسی نداشته باشند.

کارکنان اختصاصی.

کارکنان مسئول نظارت بر چندین شبکه هستند.

 

درصورتی که SOC به طور مناسب پیاده‌سازی و تحلیلگران SOC به خوبی آموزش دیده باشند ، تا حد زیادی زمان مورد نیاز برای رسیدگی به مشکلات امنیتی را کاهش می‌دهد، اما یک معیار کلیدی برای ارزیابی یک SOC زمان رفع مشکلات امنیتی است که در آغاز ساخت، این زمان زیاد بوده و در طول زمان با بهبود SOC کاهش خواهد یافت.

در صورت وجود امکانات زیر ساخت یک SOC می‌تواند گزینه مناسبی برای یک سازمان باشد:


انتخاب یک MSSP:


سازمان ها با برون سپاری مدیریت امنیت به یک MSSP (Managed Security Service Provider) که صرفا بر تامین امنیت و کاهش خطرات ساختارIT، متمرکز است تضمین مضاعفی دارند که محیطشان امن باشد.MSSP ها به خاطر اینکه مشتریان متعددی دارند به آن ها این امکان را می دهند که دید بیشتری نسبت به تهدیدات یک سازمان داشته باشند و نیز اجازه می دهند که تهدیدات را همبسته سازی کنند ، همچنین به خاطر وجود مشتریانشان فرایندهای ثابتی برای مانیتور کردن و مدیریت امنیت رخداد ها دارند.

انتخاب یک MSSP یک تصمیم سخت برای هر کسی است. MSSP می‌تواند باعث تقویت SOC شود اما در سازمان های بزرگ هرگز جایگزینی برای واحد امنیت داخلی نیست. قبل از انتخاب یک MSSP، بهتر است ابتدا نیازهای سازمان شناسایی شود. مثال‌هایی از دلایل ترغیب سازمان‌ها به انتخاب یک MSSP برای پشتیبانی عملیات امنیت عبارت است از:

در هنگام انتخاب یک MSSP، لیست کردن نیازهای سازمان برای کسب آگاهی در مورد مناسب‌ترین سرویس MSSP رویکردی مناسب است. نمونه‌هایی از سرویس‌هایی که توسط MSSP ها ارائه می‌شود را در ادامه خواهید دید:


تهیه لیستی از سوالات برای ارسال به یک MSSP شروع خوبی برای کمک به آن‌ها برای درک نیازهای سازمان است. در ادامه، ممکن است MSSP فرم‌های خود را برای کسب اطلاعات بیشتر و دقیق‌تر در مورد شبکه سازمان (سخت‌افزارها، حجم log ها و ...) به شما ارسال کند. پس از تحلیل مناسب از نیازمندی‌های شما، سرویس‌های مناسبی که نیازمندی‌های شما را برآورده سازد از طرف MSSP به شما پیشنهاد خواهد شد. هزینه هر سرویس بسته به تعداد دستگاه و حجم logهای مورد نیاز به نظارت و مدیریت متغیر خواهد بود. مثالی از هزینه‌های پیاده‌سازی و نگهداری مداوم یک SIEM در مقابل هزینه انتخاب یک MSSP در جدول زیر آورده شده است:

 

هزینه‌های آغازین (راه‌اندازی) به ریال

ریز هزینه

SIEM

MSSP

درصد صرفه‌جویی

پلت‌فرم SIEM (شامل ذخیره‌سازی داده‌ها)

60%

شامل شده

 

هزینه نیروی کار مورد نیاز برای پیاده‌سازی SIEM

25%

شامل شده

 

کامپیوترها و نرم افزارهای مورد نیاز برای نیروهای جدید

10%

شامل شده

 

آموزش ابتدایی SIEM

5%

شامل شده

 

هزینه‌های MSSP

0

25%

 

کل هزینه اولیه

100%

25%

75%

همانطور که جدول بالا نشان می‌دهد، هزینه اولیه استفاده از سرویس‌های یک MSSP بسیارکمتر می‌باشد و هزینه های راه اندازی(License) و نگهداری صرفه جویی خواهد شد.

در ادامه، برخی از مزیت‌های یک MSSP در مقایسه با یک SOC آورده شده است:

 

 مزایای MSSP نسبت به SOC

شاخص

MSSP

SOC

نیروی انسانی

دسترسی به تخصص امنیت و هوشمندی لازم جهت تحلیل تهدیدات.

به سختی می‌توان تحلیلگر SOC با کیفیت یافته و استخدام کرد.

پشتیبانی

وجود SOCهای 24×7×365 آماده برای شناسایی و هشدار دادن درباره تهدیدهای امنیتی بالقوه.

پیاده‌سازی یک محیط SOC 24×7×365 با قابلیت فعالیت مناسب بسیار سخت است.

هزینه

هزینه کمتر نسبت به ساخت یک SOC داخلی.

به سرمایه اولیه بیشتری نیاز دارد.

 

سخن پایانی:

تصمیم‌گیری درباره ساخت یک SOC داخلی، استفاده از سرویس‌های ارائه شده توسط یک MSSP و یا استفاده همزمان از هر دو رویکرد مساله‌ای چالشی برای هر سازمانی است. اما، صحبت درباره این موضوع در سازمان بدین معنی است که شما قصد بهبود برنامه امنیتی سازمان خود را دارید که خود قدمی مثبت در این راستا است. قبل از تصمیم‌گیری در مورد این مساله، لازم است سازمان‌ها از بودجه، تخصص، وضعیت امنیت و ... خود اطلاع داشته باشند. به نظر متخصصان، از آن‌جا که استفاده از سرویس‌های یک MSSP سریع‌ترین بازدهی را نسبت به هزینه صرف شده خواهد داشت، برای اغلب سازمان‌ها بهتر است از سرویس‌های یک MSSP استفاده کنند. ساخت یک SOC یک سرمایه‌گذاری بلند مدت است که مزیت‌های مهمی را در درازمدت برای سازمان‌ها خواهد داشت. اما، با توجه به شناخت سریع‌تر و کم‌هزینه‌تر میزان سلامت شبکه در صورت انتخاب یک MSSP، این گزینه برای اغلب سازمان‌ها عملیاتی‌تر است. پس از انتخاب یک MSSP، هر ساله باید اهداف بازنویسی شده تا مطمئن شد که هنوز استفاده از یک MSSP گزینه خوبی برای سازمان است. در غیر این صورت، باید شروع به برنامه‌ریزی جهت ساخت یک SOC نمایید. امید است این مطلب برای سازمان‌هایی که در حال تصمیم‌گیری برای ساخت یک SOC یا استفاده از خدمات یک MSSP هستند، مفید واقع شود.

کلیدواژه‌ها:
SOC، MSSP، SIEM، تحلیل log، امنیت سیستم، هزینه ساخت یک SOC، هزینه استفاده از سرویس‌های یک MSSP.

 تست نفوذ چیست؟

مرکز عملیات امنیت (SOC) چیست؟

آسیب پذیری در OpenSSL مربوط به CVE-2016-2108

حمله سایبری در خاورمیانه: بهره برداری از CVE-2017-11882

تگ ها: