ساخت یک مرکز SOC یا Security Operation Center سطح بالا کار سادهای نیست و حفظ و نگهداری آن حتی دشوارتر از مرحله ساخت است. در ادامه چهار اقدام سودمند برای مرکز عملیات امنیت مطرح میگردد که لازم است همهی سازمانها برای داشتن یک مرکز عملیات امنیت کارآمد، به این افدامات توجه ویژهای داشته باشند.
۱. شروع با استراتژی واضح
اولین قدم در ایجاد یک مرکز عملیات امنیت یا SOC، تعریف یک استراتژی واضح است که با اهداف کسبوکار سازمان همخوانی داشته باشد. این فرایند باید شامل یک ارزیابی در سطح سازمانی باشد که در طول آن تیم بتواند داراییها و منابع موجود را ثبت کرده و همچنین شکافها یا آسیبپذیریهای بالقوه را نماید که ممکن است مورد سوءاستفادهی مهاجمین قرار گیرد، در کسبوکار شناسایی نماید.
یکی دیگر از جوانب کلیدی در برنامهریزی استراتژیک، ایجاد مجموعهای واضح و جامع از فرایندهایی است که در تمام حوزههای عملیات شامل مانیتورینگ، شناسایی، پاسخ و گزارشگیری به تیم SOC کمک میکند.
با توجه به افزایش پیچیدگی چشمانداز تهدیدات، احتمالاً لازم است که سازمانها دائماً استراتژی و فرایندهای خود را مرور و بروزرسانی کنند تا ریسکهای جدید و درحال ظهور نیز مورد توجه قرار گیرند. همچنین سازمانها باید از بهترین عملیات امنیت و راهکارها آگاه گردند تا بتوانند سلامت و عملکرد کلی کسبوکار را حفظ نمایند.
۲. ایجاد قابلیت دید در سطح سازمانی
مرکز SOC تنها میتواند از داراییهای شناختهشده حفاظت کند. در همین حال هر دستگاهی میتواند امنیت شبکه را نقض نماید. درنتیجه حیاتی است که مرکز SOC تمام داراییهای دیجیتال (ازجمله شبکهها، دیتابیسها، دستگاهها، Endpointها، وبسایتها و ذخایر اطلاعات) را شناسایی نموده و Logهای دادهی آنها را در یک قابلیت مانیتورینگ و تجزیهوتحلیل واحد به کار گیرد. همچنین مهم است که استفاده از خدمات Third-Party و جریان ترافیک بین داراییها به یکدیگر مرتبط (Map) شوند، زیرا ممکن است تهدیداتی از این فعالیتها ایجاد گردد.
ایجاد این قابلیت دید End-to-End نه تنها بهطور مجزا از هر دارایی حفاظت میکند، بلکه همچنین نمای کاملی از رفتار و فعالیت عادی را برای سازمان ایجاد مینماید. این امر باعث میشود که تکنولوژیها و ابزار امنیتی راحتتر بتوانند ریسکها را شناسایی و اولویتبندی کرده و اقداماتی را برای رفع آنها در آینده پیشنهاد دهند.
۳. ایجاد پشته[۱] تکنولوژی
مرکز SOC یک دارایی واحد نیست، بلکه ترکیبی است از افراد، فرایندها و تکنولوژیهایی که با همکاری یکدیگر از سازمان حفاظت و دفاع میکنند. از جنبهی تکنولوژی، اجزای حیاتی زیادی وجود دارند که باعث استحکام یک مرکز SOC میشوند. این اجزا شامل موارد زیر است:
- سیستم مدیریت وقایع و امنیت اطلاعات یا SIEM که دادهها را از شبکه و دستگاهها جمعآوری کرده و آنها را تجمیع و همبسته میکند
- سیستمهای مانیتورینگ و ارزیابی دیجیتال که رفتارها یا فعالیت ناهنجار را شناسایی میکنند
- ابزارهای پیشگیری مثل فایروالها یا نرمافزار آنتیویروس
- ابزارهای شناسایی تهدید که با استفاده از هوش مصنوعی یا AI و یادگیری ماشینی یا ML فعالیتهای مشکوک را شناسایی میکنند.
- قابلیتهای پاسخ به تهدید که از خودکارسازی هوشمند استفاده میکنند تا بهطور خودکار به تهدیدات امنیتی سطح پایین و حوادث روتین پاسخ دهند
به دلیل طبیعت پیشرفتهی چشمانداز تهدید و همچنین پیچیدگی عملیات کسبوکار جهانی، سازمانها باید از آخرین تکنولوژیهای دیجیتال بهره ببرند تا یک قدم جلوتر از مهاجمین سایبری قرار بگیرند. راهکارهای امنیتی مبتنی بر Cloud نسل جدید دارای نقش مهمی هستند، زیرا به سازمانها اجازه میدهند که بهسرعت ابزار را پیادهسازی کرده و از قابلیت بروزرسانی و تطبیق با تهدیدات جدید پشتیبانی کنند.
۴. ترکیب خودکارسازی هوشمند و منابع انسانی برای پاسخ به تهدیدات
اکثر مراکز SOC بالغ برای مدیریت امنیت از ترکیبی از خودکارسازی هوش تهدید و نظارت انسانی استفاده میکنند. معمولاً ابزار مانیتورینگ و شناسایی تهدید، خط مقدم دفاع را فراهم میکنند، ریسکها را شناسایی کرده و آنها را اولویتبندی مینمایند. میتوان از طریق خودکارسازی به تهدیداتی که نسبتاً سطح پایین هستند پاسخ داد، درحالیکه ریسکهای پیشرفتهتر نیازمند مداخلهی انسانی هستند. سازمانها با ترکیب متخصصان امنیتی ماهر و راهکارهای دارای هوش مصنوعی، نه تنها از امنیت شبکه و داراییهای خود اطمینان حاصل میکنند، بلکه این کار را با صرف کمترین زمان و تلاش ممکن انجام میدهند.
پیشرفت در تکنولوژی بیشازپیش دقت ابزار شناسایی و توانایی آنها در ارزیابی هر ریسک را افزایش میدهد. بهعلاوه مثل هر ابزار AI و ML، ابزارهایی که در امنیت سایبری مورد استفاده قرار میگیرند در طول زمان بهبود پیدا کرده و از دادههای بیشتری بهره میبرند تا با درک بهتر از فعالیتهای Baseline، ناهنجاریها را شناسایی نمایند. پیشرفتهترین سیستمهای خودکارسازی از تجزیهوتحلیل رفتاری استفاده میکنند تا به این ابزار تفاوت بین عملیات روزمرهی عادی و تهدیدات واقعی را نشان داده و وقت انسانها را برای تمرکز روی کارهای با اولویت بالاتر آزاد کنند.
منبع:
https://www.crowdstrike.com/cybersecurity-101/security-operations-center-soc/best-practices
[۱] Stack