یک مرکز عملیات امنیت (SOC) به طور پیوسته به نظارت و تجزیه و تحلیل رویههای امنیتی یک سازمان پرداخته، با نقضهای امنیتی مقابله نموده و و فعالانه مخاطرات امنیتی را ایزوله کرده و حذف مینماید. در این مطلب، به بررسی نقشها و مسئولیتهای تیم SOC و مرکز عملیات امنینت خواهیم پرداخت.
ماهیت مرکز عملیات امنیت (SOC) در حال ساخت چیست؟ چه نوع قابلیتهایی نیاز دارد؟ نقشها و مسئولیتها چگونه در آن واگذار میشوند؟ برای اثربخش کردن SOC، باید در مورد چگونگی به کار گرفتن عناصر فنی، ساختار سازمانی و بهترین راهکارها آگاهی کسب نمود.
موارد مورد بررسی در ادامه این مطلب عبارتند از:
- اهمیت یک مرکز عملیات امنیت اثربخش
- مسئولیتهای اصلی یک تیم SOC
- نقشها و مسئولیتهای مرکز عملیات امنیت
- بهترین راهکارها برای ساخت یک تیم SOC
اهمیت یک مرکز عملیات امنیت اثربخش
هدف تیم SOC، شناسایی، تجزیه و تحلیل و انجام اقدام متقابل نسبت به تهدیدهای امنیت سایبری، با استفاده از مجموعهای از فرآیندها و راهکارهای فنی قابل اعتماد است. کارکنان SOC عموما شامل مدیران، تحلیلگران امنیت و مهندسانی است که برای شناسایی سریع مشکلات امنیتی با تیمهای پاسخگویی به وقایع سازمانی همکاری میکنند.
یک مرکز SOC، فعالیتها در سرورها، نقاط پایانی، شبکهها، برنامهها، پایگاههای داده، وبسایتها و دیگر سیستمهای فنی را ردیابی و بررسی میکند. اعضای تیم SOC یک لایه حیاتی از تجزیه و تحلیلهای لازم برای یافتن هرگونه فعالیت غیرعادی، که میتواند نشاندهنده یک واقعه امنیتی باشد را ارائه میکنند. در حالی که سیستمهای فناورانه مانند سیستمهای پیشگیری از نفوذ یا فایروالها میتوانند از وقوع حملات پایه جلوگیری کنند، پاسخگویی به وقایع جدی نیازمند تخصص انسانی است.
مدیریت وقایع و امنیت اطلاعات[۱] (SIEM) راهکاری است که با جمعآوری دادههای امنیتی از تمام سازمان، شناسایی رویدادهای مرتبط با امنیت و قرار دادن آنها در معرض توجه تیم SOC، به تحلیلگران SOC قدرت میبخشد. یک راهکار SIEM مدرن برای کمک به شناسایی و برطرف نمودن هر چه سریعتر وقایع امنیتی، تمام اطلاعات مرتبط را در مقابل متخصصان امنیتی قرار میدهد.
پنج مسئولیت اصلی یک تیم SOC
تیم SOC اطمینان حاصل میکند که رویدادهای امنیتی ممکن به درستی شناسایی و تجزیه و تحلیل شده، مقابله با آنها صورت گرفته، بررسی شده و اطلاعرسانی لازم در مورد آنها صورت میگیرد.
- پیادهسازی و مدیریت ابزارهای امنیتی
یک تیم SOC باید مجموعهای از محصولات فناورانه در اختیار داشته باشد که قابلیت مشاهده نسبت به محیط امنیتی سازمان را فراهم میکنند. SOC نیازمند تعیین یک تیم امنیتی ماهر است که قادر به انتخاب و بهکارگیری ابزارهای مناسب با توجه به اهداف باشند. این تیم باید طرحهای پیشنهادی[۲] (RFPهای) ارائهدهندگان را ارزیابی کرده، نیازمندیهای یکپارچهسازی سیستم را در نظر گرفته، راهاندازی و نمونههای نمایشی از راهکار ایجاد کرده و تعاملپذیری آنها با زیرساخت موجود را ارزیابی کند.
ابزارهای امنیتی پایه شامل فایروالها، فناوریهای تشخیص و پیشگیری از نفوذ، ابزارهای مدیریت تهدید و آسیبپذیری، ابزارهای پیشگیری از فقدان داده، فناوریهای فیلترسازی، راهکارهای بازرسی ترافیک، فناوری گزارشدهی، و پلتفرمهای آمار، تجزیه و تحلیل دادهها است. SOC علاوه بر این موارد میتواند به ابزارهای بازرسی امنیتی تجاری که پشتیبانیکننده از تحقیقات پاسخگویی به وقایع هستند نیز دسترسی داشته باشد.
مهمتر از تمام موارد فوق، یک راهکار SIEM میتواند به تجمیع وقایع امنیتی و ایجاد هشدار به تحلیلگران برای انجام تحقیقات کمک کند. ابزارهای SIEM نسل بعد شامل قابلیتهای جدیدی مثل “تحلیل رفتار کاربران و موجودیتها”[۳] (UEBA) و “هماهنگسازی، خودکارسازی و پاسخگویی در امنیت”[۴] (SOAR) هستند که میتواند تحلیلگران را در صرفهجویی در زمان و همچنین شناسایی تهدیدهایی که ابزارهای سنتی قادر به شناسایی آنها نیستند، کمک کند.
- بررسی، محدودسازی و جلوگیری از فعالیتهای مشکوک
با کمک ابزارهای نظارت بر امنیت، تیم SOC به جستجوی فعالیتهای مشکوک در شبکهها و سیستمهای IT میپردازد. به طور معمول، این کار با دریافت و تحلیل هشدارها از SIEM که میتواند شامل نشانههای به مخاطره افتادگی بوده و هوش تهدید مرتبط با آن صورت میگیرد. تیم SOC، هشدارها را اولویتبندی کرده، دامنه تهدید را دریافته و به آن پاسخ میدهد.
شاید برای سازمانها مقدور نباشد که بهطور کامل مانع ورود تهدیدات به شبکه خود شوند، اما میتوانند جلوی گسترش و پخش شدن آنها را بگیرند. در صورت به مخاطره افتادن یک سیستم شبکه، SOC باید میزبانهای آلوده را شناسایی کرده و از اثرگذاری آنها بر سایر قسمتهای شبکه جلوگیری کند. SOC میتواند از کنترلهای موجود روی سوییچها، روترها و شبکه محلی مجازی (VLAN) بدین منظور استفاده کند.
SOC باید به همبستهسازی و اعتبارسنجی هشدارها بپردازد. کارکنان SOC میتوانند به این وقایع در محیط شبکه کسبوکار معنا بخشیده و به صورت بلادرنگ فعالیتهای پاسخگویی را با کارکنان کلیدی هماهنگ کنند.
- کاهش زمان از کار افتادگی[۵] و اطمینان از پایداری کسبوکار
کسب وکارها باید اطمینان حاصل کنند که سیستمها و شبکههای آنها با کمترین زمان از کار افتادگی اجرا میشوند. در گذشته این امکان وجود داشت که یک سرور ایمیل آلوده به ویروس را برای پاکسازی به طور موقت از کار انداخت؛ اما در محیطهای امروز، کسبوکارها قادر به تحمل از کار افتادگی زیرساختهای حیاتی مانند ایمیل نیستند.
در صورت وقوع یک نقض امنیتی، SOC میتواند به طور پیشنگرانه، سهامداران کسبوکار را از وقایع امنیتی مهم مطلع سازد. با انجام این کار و در صورت امکان، قبل از اینکه وقایع امنیتی زیرساختهای کلیدی کسب وکار را تحت تاثیر قرار دهند، مخاطرات برطرف میشوند؛ در صورت تحت تاثیر قرار گرفتن سیستمهای حیاتی، برای اطمینان از استمرار کسبوکار، باید سیستمهای جایگزین موجود بوده و مورد استفاده قرار گیرد.
- استراتژی امنیتی
SOCها بهطور ایدهآل به عنوان مراکز سرویس به اشتراک گذاشته شده عمل میکنند و ارزش خود را در اختیار سهامداران کسبوکارها قرار داده و به آنها در دستیابی به اهداف خود کمک میکنند. SOCها سازمانهای میان-وظیفهای[۶] هستند که عملیاتهاای انجام شده توسط واحدهای مختلف را متمرکز میکنند.
برای اطمینان از پاسخگویی، نظارت بر ارتباطات و هدایت تعاملات توسط افراد از گروههایی مانند IT، IR، HR، حقوقی و انطباقی و …، سازمانها باید مدل عملیات و حکمرانی SOC را تعریف کنند. اختیارات مشخص میتواند از ابهامات در زمان اقدامات حیاتی اضطراری مانند قطع اتصال یا از کار افتادگی کامل سیستم بکاهد.
- حسابرسی و پشتیبانی از انطباقپذیری
به طور معمول، یک SOC مسئول حسابرسی سیستمها برای برآوردهسازی نیازمندیهای انطباقی مراجع شرکتی، صنعتی و دولتی مانند SB 1386، HIPAA و Sarbanes-Oxley است. دسترسی کارا به اطلاعات تهدید، مراحل اصلاحیه[۷] و دادههای کنترل دسترسی و هویت از ضروریات انطباقپذیری هستند.
در گذشته، سازمانها از مستندات موجود برای ساخت مستندات جدید برای یک حسابرسی استفاده میکردند. این فرآیند زمانبر بوده و ممکن بود با خطا مواجه شود. در صورت مدیریت صحیح توسط تیمهای امنیتی، SOCهای مدرن از ابزارهای امنیتی مثل SIEM استفاده میکنند که دادههای امنیتی را از تمام سازمان جمعآوری کرده و گزارشها و حسابرسیهای انطباقپذیری را تولید میکند.
[۱] Security information and event management
[۲] Request for proposal (RFP)
[۳] User and entity behavior analytics
[۴] Security orchestration, automation and response
[۵] Downtime
[۶] Cross-functional
[۷] Patch level