با افزایش تسلط بر روی زبان امنیت اطلاعات، مدیران کسبوکارها میتوانند تصمیمات مناسبتری برای بهبود فرهنگ امنیتی سازمان اتخاذ نمایند. واژهنامهی زیر را میتوان به عنوان یک آموزش مقدماتی برای تازهکاران در زمینهی امنیت و همچنین یک راهنمای مرجع برای مدیرانی در نظر گرفت که قصد دارند خود و نیروهای زیرمجموعهی خود را با اصطلاحات موجود در زمینهی امنیت اطلاعات آشنا کنند. به بیان دقیقتر، این واژهنامه در بردارنده اصطلاحات امنیتی مرتبط با مراکز عملیات امنیت است چرا که یک SOC مولفهای اساسی برای داشتن امنیت سایبری قدرتمند محسوب می شود.
اصطلاحات عمومی امنیت اطلاعات
APT: تواناییهای نفوذگران برای ماندن طولانی مدت در شبکه را “تهدیدات مستمر پیشرفته” (APT) [۲]میگویند. بیتردید، مجرمان سایبری تلاشند بدون شناسایی شدن، تا حد امکان دسترسی خود را به شبکه حفظ کنند. این امر نیازمند اقدامات هک پیشرفتهای برای جلوگیری از شناسایی است که باعث دشوارتر شدن شناسایی APTها میشود.
DDoS: منع سرویس توزیعشده[۳] یا DDoS به حملاتی اطلاق میشود که طی آن، مهاجم با ارسال ترافیک از منابع و آدرسهای IP مختلف (کامپیوترها، دستگاههای متصل به اینترنت و …) پهنای باند یک سرویس تحت وب را اشباع و آن را غیرقابل استفاده کند. هدف از انجام حملات DDoS میتواند باجخواهی برای پایان دادن به حمله یا استفاده از آن به عنوان یک عملیات انحرافی برای یک اقدام خرابکارانهی دیگر باشد.
IoC: “نشانهی نفوذ” یا به “نشانه مخاطرهافتادگی”[۴] به هر نوع دادهای که نشاندهندهی نفوذ به شبکه باشد، اطلاق میگردد. معمولا، IoCها از طریق تجزیه و تحلیل دادههای Log کشف میشوند. امضا و آدرس IP متناظر با ویروسهای شناخته شده، مقادیر Hash متناظر با بدافزارهای شناخته شده و URLها یا نامهای دامنهی متناظر با سرورهای فرماندهی و کنترل Botnetها، نمونههایی از IoCها هستند.
SOC: مرکز عملیات امنیت ترکیبی است از متخصصان امنیت سایبری، فرایندهای تشخیص تهدید و پاسخگویی به وقایع و فناوریهای امنیتی پشتیبانیکننده که عملیات امنیتی یک سازمان را تشکیل میدهند. به طور معمول، شرکتهای بزرگتر به صورت درونسازمانی اقدام به ساخت و مدیریت SOC میکنند اما شرکتهای با اندازهی کوچک تا متوسط ممکن است SOC خود را به یک ارائهدهندهی “SOC به عنوان یک خدمت”[۵] برونسپاری کرده و به صورت شبانهروزی از خدمات تشخیص و پاسخگویی به تهدیدات ارائه شده توسط آنها استفاده نمایند.
NOC: مرکز عملیات شبکه[۶] یک مکان مرکزی است که در آن مدیریت و کنترل شبکهها و یک سرور اصلی، که از نظر جغرافیایی در مکانهایی پراکنده قرار دارند، توسط مدیران شبکه صورت میگیرد. مهندسان NOC به مسائل مختلفی از جمله حملات DDoS، قطعی برق، خرابی شبکه و مسیریابی سیاهچالهها رسیدگی میکنند.
MSP: “ارائهدهندگان خدمات مدیریت شده”[۷] (MSPها) شرکتهایی فعال در حوزهی فناوری اطلاعات هستند که بر اساس یک اشتراک ماهانه، یک خدمت، نرمافزار یا فناوری را عرضه میکنند. جزئیات خدمات ارائه شده توسط این شرکتها در موافقتنامههای سطح خدمات[۸] (SLAها) مشخص شده و آنها مسئول انجام موارد مشخص در مدت تعیین شده در موافقتنامه هستند. برخلاف فناوریها و خدماتی که تماما به صورت درونسازمانی یا مستقر در محل مدیریت میشوند، تعمیر و نگهداری مداوم خدمات مدیریت شده بر عهدهی MSP بوده و به طور معمول خارج از محل شرکت صورت میگیرد. معمولا MSPها خدمات موردنظر را با نرخگذاری به صورت “پرداخت به ازای کاربر”[۹] و با قیمت تمام شده کمتر و قابلپیشبینیتر ارائه میکنند.
MSSP: “ارائهدهندگان خدمات امنیتی مدیریت شده”[۱۰] نوعی MSP هستند که مدیریت، نظارت، تعمیر و نگهداری از خدمات امنیتی را در ازای یک هزینهی ثابت ماهانه ارائه میکنند. خدمات یک MSSP میتواند شامل پیکربندی و نظارت بر فایروالها، ابزارهای تشخیص نفوذ، محصولات حفاظت از نقاط پایانی و دیگر محصولات امنیت سایبری باشد.
MDR: خدمات عرضه شده توسط ارائهدهندگان “تشخیص و پاسخگویی مدیریت شده”[۱۱] بر تواناییهای شناسایی تهدیدات، پاسخگویی به حوادث و نظارت پیوسته متمرکز است. این خدمات توسط ارائهدهندگانی عرضه میشود که منطبق با مدل ارائهدهندگان خدمات امنیتی مدیریت شدهی سنتی نیستند.
ارائهدهندگان MDR به طور معمول از فناوری مبتنی بر ابر خود که شامل یک راهکار “مدیریت وقایع و امنیت اطلاعات”[۱۲] (SIEM) اختصاصی بوده و دادههای Log را از ابزارهای امنیت سایبری موجود مشتریان (فایروالهای نسل بعد[۱۳]، “فایروالهای برنامههای تحت وب”[۱۴]، ابزارهای “تشخیص و پاسخگویی در نقاط پایانی”[۱۵]، آنتیویروس و …) دریافت میکند. علاوه بر فناوری، ارائهدهندگان MDR دربردارندهی بهترین فرایندها و متخصصان امنیت سایبری برای شکار و اولویتبندی تهدیدات پیشرفته و توصیه اقدامات اصلاحی و پاسخ مناسب نیز میباشند.
افراد: نقشها و مسئولیتها
SOCها مهندسین امنیتی که قادر به ایفای حداقل یکی از نقشهای زیر باشند را به کار میگیرند :
تحلیلگر شواهد دیجیتال[۱۶]: وظیفهی یک تحلیلگر شواهد دیجیتال انجام تحقیقاتی کامل و عمیق درباره فعالیتهای کاربران، شبکهها و سیستمها. شناسایی سیستمهای به مخاطره افتاده است و هدف از انجام این تحقیقات تعیین وقوع یا عدم وقوع نشت یا سرقت دادههای حساس است.
کارشناس پاسخ به وقایع[۱۷]: کارشناس پاسخ به وقایع یک متخصص امنیت اطلاعات است که دادهها و سیستمهای تحت تاثیر قرار گرفته از وقوع یک تهدید امنیتی را شناسایی کرده و در ادامه، اقدامات متقابل لازم برای خنثیسازی تهدید یا بهبود بهمخاطرهافتادگیهای تایید شده را هدایت میکند. کارشناسان پاسخ به وقایع به طور معمول به صورت مستقر در محل کار میکنند، مگر اینکه اقدامات متقابل خودکارسازی شده باشند.
تحلیلگر امنیت[۱۸]: تحلیلگران امنیت در یک سازمان به طور مداوم بر دادههای Log، فعالیتهای شبکه و کنترلهای امنیتی موجود برای شناسایی آسیبپذیریهای بالقوه در وضعیت امنیتی آن سازمان نظارت میکنند. وجود تحلیلگر امنیت برای موفقیت یک استراتژی تشخیص و پاسخگویی به تهدیدات، الزامی است.
[۱] Security Operation Center
[۲] Advanced Persistent Threat
[۳] Distributed Denial of Service
[۴] Indicator of Compromise
[۵] SOC-as-a-Service
[۶] Network Operation Center
[۷] Managed Service Providers
[۸] Service-Level Agreement
[۹] Pay per user
[۱۰] Managed Security Service Providers
[۱۱] Managed Detection and Response
[۱۲] Security Information and Event Management
[۱۳] Next-Gen Firewall
[۱۴] Web App Firewall
[۱۵] Endpoint Detection and Response
[۱۶] Forensics analyst
[۱۷] Incident responder
[۱۸] Security analyst