با اصطلاحات امنیتی مرتبط با مراکز عملیات امنیت (SOC)بیشتر آشنا شوید – بخش اول

با افزایش تسلط بر روی زبان امنیت اطلاعات، مدیران کسب‌و‌کارها می‌توانند تصمیمات مناسب‌تری برای بهبود فرهنگ امنیتی سازمان اتخاذ نمایند. واژه‌نامه‌ی زیر را می‌توان به عنوان یک آموزش مقدماتی برای تازه‌کاران در زمینه‌ی امنیت و همچنین یک راهنمای مرجع برای مدیرانی در نظر گرفت که قصد دارند خود و نیروهای زیرمجموعه‌ی خود را با اصطلاحات موجود در زمینه‌ی امنیت اطلاعات آشنا کنند. به بیان دقیق‌تر، این واژه‌نامه در بردارنده اصطلاحات امنیتی مرتبط با مراکز عملیات امنیت است چرا که یک SOC مولفه‌ای اساسی برای داشتن امنیت سایبری قدرتمند محسوب می شود.

اصطلاحات عمومی امنیت اطلاعات

APT: توانایی‌های نفوذگران برای ماندن طولانی مدت در شبکه را “تهدیدات مستمر پیشرفته” (APT) [۲]می‌گویند. بی‌تردید، مجرمان سایبری تلاشند بدون شناسایی شدن، تا حد امکان دسترسی خود را به شبکه حفظ کنند. این امر نیازمند اقدامات هک پیشرفته‌ای برای جلوگیری از شناسایی است که باعث دشوارتر شدن شناسایی APTها می‌شود.

DDoS: منع سرویس توزیع‌شده[۳] یا DDoS به حملاتی اطلاق می‌شود که طی آن، مهاجم با ارسال ترافیک از منابع و آدرس‌های IP مختلف (کامپیوترها، دستگاه‌های متصل به اینترنت و …) پهنای باند یک سرویس تحت وب را اشباع و آن را غیرقابل استفاده کند. هدف از انجام حملات DDoS می‌تواند باج‌خواهی برای پایان دادن به حمله یا استفاده از آن به عنوان یک عملیات انحرافی برای یک اقدام خرابکارانه‌ی دیگر باشد.

IoC: “نشانه‌ی نفوذ” یا به “نشانه مخاطره‌افتادگی”[۴] به هر نوع داده‌ای که نشان‌دهنده‌ی نفوذ به شبکه باشد، اطلاق می‌گردد. معمولا، IoCها از طریق تجزیه و تحلیل داده‌های Log کشف می‌شوند. امضا و آدرس IP متناظر با ویروس‌های شناخته شده، مقادیر Hash متناظر با بدافزارهای شناخته شده و URLها یا نام‌های دامنه‌ی متناظر با سرورهای فرماندهی و کنترل Botnetها، نمونه‌هایی از IoCها هستند.

SOC: مرکز عملیات امنیت ترکیبی است از متخصصان امنیت سایبری، فرایند‌های تشخیص تهدید و پاسخ‌گویی به وقایع و فناوری‌های امنیتی پشتیبانی‌کننده که عملیات امنیتی یک سازمان را تشکیل می‌دهند. به طور معمول، شرکت‌های بزرگ‌تر به صورت درون‌سازمانی اقدام به ساخت و مدیریت SOC می‌کنند اما شرکت‌های با اندازه‌ی کوچک تا متوسط ممکن است SOC خود را به یک ارائه‌دهنده‌ی “SOC به عنوان یک خدمت”[۵] برون‌سپاری کرده و به صورت شبانه‌روزی از خدمات تشخیص و پاسخ‌گویی به تهدیدات ارائه شده توسط آن‌ها استفاده نمایند.

NOC: مرکز عملیات شبکه[۶] یک مکان مرکزی است که در آن مدیریت و کنترل شبکه‌ها و یک سرور اصلی، که از نظر جغرافیایی در مکان‌هایی پراکنده قرار دارند، توسط مدیران شبکه صورت می‌گیرد. مهندسان NOC به مسائل مختلفی از جمله حملات DDoS، قطعی برق، خرابی شبکه و مسیریابی سیاه‌چاله‌ها رسیدگی می‌کنند.

MSP: “ارائه‌دهندگان خدمات مدیریت شده”[۷] (MSPها) شرکت‌هایی فعال در حوزه‌ی فناوری اطلاعات هستند که بر اساس یک اشتراک ماهانه، یک خدمت، نرم‌افزار یا فناوری را عرضه می‌کنند. جزئیات خدمات ارائه شده توسط این شرکت‌ها در موافقت‌نامه‌های سطح خدمات[۸] (SLAها) مشخص شده و آن‌ها مسئول انجام موارد مشخص در مدت تعیین شده در موافقت‌نامه هستند. برخلاف فناوری‌ها و خدماتی که تماما به صورت درون‌سازمانی یا مستقر در محل مدیریت می‌شوند، تعمیر و نگهداری مداوم خدمات مدیریت شده بر عهده‌ی MSP بوده و به طور معمول خارج از محل شرکت صورت می‌گیرد. معمولا MSPها خدمات موردنظر را با نرخ‌گذاری به صورت “پرداخت به ازای کاربر”[۹] و با قیمت تمام شده‌ کمتر و قابل‌پیش‌بینی‌تر ارائه می‌کنند.

MSSP: “ارائه‌دهندگان خدمات امنیتی مدیریت شده”[۱۰] نوعی MSP هستند که مدیریت، نظارت، تعمیر و نگهداری از خدمات امنیتی را در ازای یک هزینه‌ی ثابت ماهانه ارائه می‌کنند. خدمات یک MSSP می‌تواند شامل پیکر‌بندی و نظارت بر فایروال‌ها، ابزارهای تشخیص نفوذ، محصولات حفاظت از نقاط پایانی و دیگر محصولات امنیت سایبری باشد.

MDR: خدمات عرضه شده توسط ارائه‌دهندگان “تشخیص و پاسخ‌گویی مدیریت شده”[۱۱] بر توانایی‌های شناسایی تهدیدات، پاسخ‌گویی به حوادث و نظارت پیوسته متمرکز است. این خدمات توسط ارائه‌دهندگانی عرضه می‌شود که منطبق با مدل ارائه‌دهندگان خدمات امنیتی مدیریت شده‌ی سنتی نیستند.

ارائه‌دهندگان MDR به طور معمول از فناوری مبتنی بر ابر خود که شامل یک راه‌کار “مدیریت وقایع و امنیت اطلاعات”[۱۲] (SIEM) اختصاصی بوده و داده‌های Log را از ابزارهای امنیت سایبری موجود مشتریان (فایروال‌های نسل بعد[۱۳]، “فایروال‌های برنامه‌های تحت وب”[۱۴]، ابزارهای “تشخیص و پاسخ‌گویی در نقاط پایانی”[۱۵]، آنتی‌ویروس و …) دریافت می‌کند. علاوه بر فناوری، ارائه‌دهندگان MDR دربردارنده‌ی بهترین فرایندها و متخصصان امنیت سایبری برای شکار و اولویت‌بندی تهدیدات پیشرفته و توصیه اقدامات اصلاحی و پاسخ مناسب نیز می‌باشند.

افراد: نقش‌ها و مسئولیت‌ها

SOCها  مهندسین امنیتی که قادر به ایفای حداقل یکی از نقش‌های زیر باشند را به کار می‌گیرند  :

تحلیل‌گر شواهد دیجیتال[۱۶]: وظیفه‌ی یک تحلیل‌گر شواهد دیجیتال انجام تحقیقاتی کامل و عمیق درباره فعالیت‌های کاربران، شبکه‌ها و سیستم‌ها. شناسایی سیستم‌های به مخاطره افتاده است و هدف از انجام این تحقیقات تعیین وقوع یا عدم وقوع نشت یا سرقت داده‌های حساس است.

کارشناس پاسخ به وقایع[۱۷]: کارشناس پاسخ به وقایع یک متخصص امنیت اطلاعات است که داده‌ها و سیستم‌های تحت تاثیر قرار گرفته از وقوع یک تهدید امنیتی را شناسایی کرده و در ادامه، اقدامات متقابل لازم برای خنثی‌سازی تهدید یا بهبود به‌مخاطره‌افتادگی‌های تایید شده را هدایت می‌کند. کارشناسان پاسخ به وقایع به طور معمول به صورت مستقر در محل کار می‌کنند، مگر اینکه اقدامات متقابل خودکارسازی شده باشند.

تحلیل‌گر امنیت[۱۸]: تحلیل‌گران امنیت در یک سازمان به طور مداوم بر داده‌های Log، فعالیت‌های شبکه و کنترل‌های امنیتی موجود برای شناسایی آسیب‌پذیری‌های بالقوه در وضعیت امنیتی آن سازمان نظارت می‌کنند. وجود تحلیل‌گر امنیت برای موفقیت یک استراتژی تشخیص و پاسخ‌گویی به تهدیدات، الزامی است.

[۱] Security Operation Center

[۲] Advanced Persistent Threat

[۳] Distributed Denial of Service

[۴] Indicator of Compromise

[۵] SOC-as-a-Service

[۶] Network Operation Center

[۷] Managed Service Providers

[۸] Service-Level Agreement

[۹] Pay per user

[۱۰] Managed Security Service Providers

[۱۱] Managed Detection and Response

[۱۲] Security Information and Event Management

[۱۳] Next-Gen Firewall

[۱۴] Web App Firewall

[۱۵] Endpoint Detection and Response

[۱۶] Forensics analyst

[۱۷] Incident responder

[۱۸] Security analyst

ایمیل خود را وارد کنید و عضو خبرنامه شوید.

محصولات شرکت

سامانه مدیریت یکپارچه تهدیدات
سامانه مرورگر امن (RBI)
سامانه مدیریت وقایع و امنیت اطلاعات

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.