گفتیم که یک مرکز عملیات امنیت، به طور پیوسته به نظارت و تجزیه و تحلیل رویههای امنیتی یک سازمان پرداخته، با نقضهای امنیتی مقابله نموده و و فعالانه مخاطرات امنیتی را ایزوله کرده و حذف مینماید. سپس در قسمت اول این مطلب به بررسی اهمیت یک مرکز عملیات امنیت اثربخش و مسئولیتهای اصلی یک تیم SOC پرداختیم. در این قسمت به موارد زیر خواهیم پرداخت:
- نقشها و مسئولیتهای مرکز عملیات امنیت
- بهترین راهکارها برای ساخت یک تیم SOC
نقشها و مسئولیتهای مرکز عملیات امنیت
- تحلیلگر امنیت[۱]– اولین پاسخدهنده به وقایع است. این پاسخ عموما در سه مرحله صورت میگیرد: تشخیص تهدید، بررسی تهدید و پاسخ به موقع. تحلیلگران امنیت باید اطمینان حاصل کنند که آموزش صحیح وجود داشته و کارکنان قادر به پیادهسازی رویهها و سیاستها هستند. این کارکنان با کارکنان بخش IT داخلی و مدیران کسبوکار برای تبادل اطلاعات درباره محدودیتهای امنیتی و فرایند مستندسازی همکاری میکنند.
- مهندس/معمار امنیت[۲]– نگهداری و پیشنهاد ابزارهای تجزیه و تحلیل و نظارت را بر عهده دارد. این کارکنان یک معماری امنیتی ایجاد کرده و و با توسعهدهندگان جهت اطمینان از اینکه این معماری بخشی از چرخه توسعه است، همکاری میکنند. یک مهندس امنیت میتواند متخصص نرمافزار یا سختافزار باشد که در طراحی سیستمهای اطلاعاتی به طور ویژه به جنبههای امنیت توجه میکند. این کارکنان ابزارها و راهحلهایی را جهت جلوگیری از حملات و پاسخدهی موثر به آنها برای سازمانها توسعه میدهند. مهندسین امنیت همچنین رویهها، نیازمندیها و پروتکلها را مستند میکنند.
- مدیر SOC[۳]– تیم عملیات امنیت را مدیریت کرده و به CISO گزارش میدهد. این کارکنان به نظارت بر تیم امنیتی پرداخته، راهنماییهای فنی ارائه کرده و فعالیتهای مالی را مدیریت میکنند. مدیر SOC بر فعالیتهای تیم SOC، از جمله استخدام، آموزش و ارزیابی کارکنان، سرپرستی میکند. از دیگر مسئولیتهای مدیران SOC میتوان به ایجاد فرآیندها، ارزیابی گزارشهای حوادث، و توسعه و پیادهسازی طرحهای ارتباط در زمان بحران[۴] است. این کارکنان گزارشهای انطباقی را ایجاد کرده، فرآیند حسابرسی را پشتیبانی کرده، کارایی SOC را اندازهگیری کرده و عملیاتهای امنیت را به رهبران کسبوکار گزارش میدهند.
- CISO– که عملیاتهای امنیت سازمان را تعریف میکند. این کارکنان مشکلات امنیتی را به مدیریت مخابره کرده و بر فعالیتهای انطباقپذیری نظارت میکنند. CISO حرف آخر را درباره سیاستها، استراتژی و رویههای مرتبط با امنیت سایبری سازمان میزند. همچنین، این کاربران نقشی مرکزی در مدیریت مخاطرات و انطباقپذیری و پیادهسازی سیاستها بهمنظور دستیابی به نیازهای امنیتی مشخص دارند.
سلسله مراتب سه سطحی تحلیلگران SOC
یک مرکز عملیات امنیت به طور معمول تحلیلگران را به سه یا چهار سطح تخصیص میدهد:
- تحلیلگر امنیتی پشتیبان سطح ۱[۵] – هشدارهای روزانه را دریافت و بررسی میکند. این تحلیلگران جدیدترین هشدارهای SIEM را برای بررسی ارتباط و فوریت آنها مرور کرده، با اولویتبندی از در حال رخ دادن یک حادثه امنیتی واقعی اطمینان حاصل کرده و ابزارهای نظارت بر امنیت را بررسی و پیکربندی میکند.
- تحلیلگر امنیت پشتیبان سطح ۲[۶] – به حوادث امنیت واقعی رسیدگی میکند. این تحلیلگران، حوادث شناسایی شده توسط تحلیلگران سطح ۱ را ارزیابی کرده، از هوش تهدید مانند قوانین بهروز شده و نشانههای نفوذ[۷] (IOCها) برای شناسایی دقیق سیستمهای آسیبدیده دامنه حمله استفاده نموده، فرآیندهای در حال اجرا و پیکربندی سیستمهای آسیب دیده را تجزیه و تحلیل کرده، تجزیه و تحلیلهای عمیق و دقیق هوش تهدید را برای یافتن عامل، نوع حمله، و دادهها و سیستمهای تحت تاثیر قرار گرفته انجام داده، و یک استراتژی برای محدودسازی حمله و بازیابی از آن ایجاد و پیادهسازی میکنند.
- تحلیلگر امنیت سطح ۳[۸]– باتجربهتر از یک تحلیلگر سطح ۲ است. این تحلیلگران با حوادث حیاتی سروکار داشته، ارزیابیهای آسیبپذیری و تستهای نفوذ را جهت ارزیابی مقاومت سازمان و مشخص کردن نواحی ضعف و نیازمند توجه انجام داده، هشدارها، هوش تهدید و دادههای امنیتی را مرور کرده، و تهدیدهای وارد شده به شبکه، شکافهای امنیتی و آسیبپذیریهای در حال حاضر ناشناخته را شناسایی میکنند.
- مدیر پاسخگویی به حادثه[۹]– به مدیریت و اولویتبندی اقدامات در هنگام جداسازی، تجزیه و تحلیل و محدودسازی یک حادثه میپردازد. این کارکنان، همچنین هرگونه نیازمندی خاص حوادث خیلی شدید را هم به سهامداران داخلی و هم سهامداران خارجی مخابره میکنند.
بهترین راهکارها برای ساخت یک تیم SOC موفق
تیم عملیات امنیت با چالشهای زیادی روبروست- ممکن است بیش از حد از اعضای آن کار کشیده شود، کمبود نیرو داشته باشد و توجه کمی از مدیران بالادستی دریافت کند. بهترین راهکارهای عملیات امنیت میتواند ابزارهای موردنیاز شرکتها برای محافظت از خود را به آنها داده و محیط کاری بهتری را برای تیمهای SOC فراهم کند.
- مراکز عملیات امنیت کارا از خودکارسازی امنیت استفاده میکنند.
با استفاده همزمان از تحلیلگران امنیت خبره و خودکارسازی امنیت، سازمانها قادر به تجزیه و تحلیل رویدادهای امنیتی بیشتری بوده، حوادث بیشتری را شناسایی کرده و به طور موثرتر در مقابل آن حوادث از خود محافظت میکنند.
- مراکز عملیات امنیت کارا از فناوری موثر استفاده میکنند.
تواناییهای SOC به قابلیتهای فناورانه آن بستگی دارد. فناوری باید دادهها را جمعآوری و تجمیع کرده، مانع تهدیدها شده و به محض وقوع تهدیدها، اقدام به پاسخدهی کند. یک تیم که به ابزارها و منابع دادهای مجهز باشد که مثبتهای کاذب[۱۰] را به مقداری کمینه کاهش میدهد، میتواند زمان موردنیاز تحلیلگران برای واکاوی حوادث امنیت واقعی را بیشینه نماید.
- مراکز عملیات امنیت کارا از هوش تهدید به روز استفاده میکنند
دادههای هوش تهدید از منابع داخلی سازمان در کنار اطلاعات حاصل از منابع بیرونی، بینش موردنیاز نسبت به آسیبپذیریها و تهدیدها را در اختیار تیم SOC قرار میدهد. بهروزرسانیهای Signatureها، منابع خبری، گزارشهای حوادث، هشدارهای آسیبپذیری، و خلاصههای ارائه شده در مورد تهدیدها از جمله منابع بیرونی هوش سایبری هستند. کارکنان SOC میتوانند از ابزارهای نظارتی SOC که هوش تهدید یکپارچه را فراهم میکنند، استفاده کنند.
- افراد و مسئولیتها در مراکز عملیات امنیت کارا
سازمانها اغلب مسئولیتهای مدیریتی را با شرکتهای زیرمجموعه یا با سازمانها و واحدهای تجاری همکار به اشتراک میگذارند. با توجه به این موضوع، باید استانداردهای خط مشی امنیت سازمانی به منظور تعریف مسئولیتها در رابطه با وظایف و مسئولیت ارائه پاسخ مورد استفاده قرار گیرد. یک سازمان همچنین میتواند نقش هر واحد یا آژانس تجاری را در رابطه با SOC تعریف کند.
- مراکز عملیات امنیت کارا از محیط[۱۱] دفاع میکنند
یکی از مسئولیتهای کلیدی یک تیم SOC دفاع از محیط است؛ اما تحلیلگران باید چه اطلاعاتی را و از چه محلهایی در این راستا جمعآوری کنند؟
بدین منظور، تیم SOC میتواند تمام دادههای ورودی، از جمله موارد زیر، را در نظر بگیرد:
- اطلاعات شبکه، مانند URLها، Hashها و جزئیات اتصال
- نظارت بر نقاط پایانی، اطلاعات آسیبپذیری به دست آمده از اسکنرهای آسیبپذیری، هوش امنیت، سیستمهای تشخیص و پیشگیری از نفوذ
- سیستمهای عامل
- اطلاعات توپولوژی
- آنتیویروسها و فایروالهای External-facing
[۱] Security analyst
[۲] Security Engineer/ Architect
[۳] SOC manager
[۴] Crisis communication plan
[۵] Tier 1 Support Security Analyst
[۶] Tier 2 Support Security Analyst
[۷] Indicator of compromise
[۸] Tier 3 Security Analyst
[۹] Incident Response Manager
[۱۰] False positive
[۱۱] Perimeter