نقش‌ها و مسئولیت‌های تیم SOC و مرکز عملیات امنیت – بخش اول

یک مرکز عملیات امنیت (SOC) به طور پیوسته به نظارت و تجزیه و تحلیل رویه‌های امنیتی یک سازمان پرداخته، با نقض‌های امنیتی مقابله نموده و و فعالانه مخاطرات امنیتی را ایزوله کرده و حذف می‌نماید. در این مطلب، به بررسی نقش‌ها و مسئولیت­‌های تیم SOC و مرکز عملیات امنینت خواهیم پرداخت.

ماهیت مرکز عملیات امنیت (SOC) در حال ساخت چیست؟ چه نوع قابلیت‌هایی نیاز دارد؟ نقش‌ها و مسئولیت‌ها چگونه در آن واگذار می‌شوند؟ برای اثربخش کردن SOC، باید در مورد چگونگی به کار گرفتن عناصر فنی، ساختار سازمانی و بهترین راهکارها آگاهی کسب نمود.

موارد مورد بررسی در ادامه این مطلب عبارتند از:

  • اهمیت یک مرکز عملیات امنیت اثربخش
  • مسئولیت‌های اصلی یک تیم SOC
  • نقش‌ها و مسئولیت‌های مرکز عملیات امنیت
  • بهترین راهکارها برای ساخت یک تیم SOC

اهمیت یک مرکز عملیات امنیت اثربخش

هدف تیم SOC، شناسایی، تجزیه و تحلیل و انجام اقدام متقابل نسبت به تهدیدهای امنیت سایبری، با استفاده از مجموعه‌­ای از فرآیندها و راهکار­های فنی قابل اعتماد است. کارکنان SOC عموما شامل مدیران، تحلیل‌گران امنیت و مهندسانی است که برای شناسایی سریع مشکلات امنیتی با تیم‌­های پاسخ‌گویی به وقایع سازمانی همکاری می­‌کنند.

یک مرکز SOC، فعالیت‌ها در سرورها، نقاط پایانی، شبکه­­­ها، برنامه­‌ها، پایگاه‌های داده، وب­سایت­‌ها و دیگر سیستم­‌های فنی را ردیابی و بررسی می­‌کند. اعضای تیم SOC یک لایه حیاتی از تجزیه و تحلیل­‌های لازم برای یافتن هرگونه فعالیت غیرعادی، که می­‌تواند نشان‌دهنده یک واقعه امنیتی باشد را ارائه می‌­کنند. در حالی که سیستم­‌های فناورانه مانند سیستم‌های پیشگیری از نفوذ یا فایروال‌­ها می‌توانند از وقوع حملات پایه جلوگیری کنند، پاسخ‌گویی به وقایع جدی نیازمند تخصص انسانی است.

مدیریت وقایع و امنیت اطلاعات[۱] (SIEM) راه­کاری است که با جمع‌­آوری داده­‌های امنیتی از تمام سازمان، شناسایی رویدادهای مرتبط با امنیت و قرار دادن آن‌ها در معرض توجه تیم SOC، به تحلیل‌گران SOC قدرت می­بخشد. یک راهکار SIEM مدرن برای کمک به شناسایی و برطرف نمودن هر چه سریع‌تر وقایع امنیتی، تمام اطلاعات مرتبط را در مقابل متخصصان امنیتی قرار می­دهد.

پنج مسئولیت اصلی یک تیم SOC

تیم SOC اطمینان حاصل می­‌کند که رویدادهای امنیتی ممکن به درستی شناسایی و تجزیه و تحلیل شده، مقابله با آن‌ها صورت گرفته، بررسی شده و اطلاع‌رسانی لازم در مورد آن‌ها صورت می‌گیرد.

  • پیاده‌سازی و مدیریت ابزارهای امنیتی

یک تیم SOC باید مجموعه‌­ای از محصولات فناورانه در اختیار داشته باشد که قابلیت مشاهده نسبت به محیط امنیتی سازمان را فراهم می‌کنند. SOC نیازمند تعیین یک تیم امنیتی ماهر است که قادر به انتخاب و به‌کارگیری ابزارهای مناسب با توجه به اهداف باشند. این تیم باید طرح‌های پیشنهادی[۲] (RFPهای) ارائه‌دهندگان را ارزیابی کرده، نیازمندی‌های یکپارچه‌سازی سیستم را در نظر گرفته، راه‌اندازی و نمونه‌های نمایشی از راهکار ایجاد کرده و تعامل‌پذیری آن‌ها با زیرساخت‌ موجود را ارزیابی کند.

ابزارهای امنیتی پایه شامل فایروال‌­ها، فناوری‌های تشخیص و پیش‌گیری از نفوذ، ابزارهای مدیریت تهدید و آسیب‌­پذیری، ابزارهای پیش‌گیری از فقدان داده، فناوری‌های فیلترسازی، راه­کار­های بازرسی ترافیک، فناوری گزارش‌دهی، و  پلتفرم‌های آمار، تجزیه و تحلیل داده‌ها است. SOC علاوه بر این موارد می­تواند به ابزارهای بازرسی امنیتی تجاری که پشتیبانی‌کننده از تحقیقات پاسخ‌گویی به وقایع هستند نیز دسترسی داشته باشد.

مهم‌تر از تمام موارد فوق، یک راهکار SIEM می‌­تواند به تجمیع وقایع امنیتی و ایجاد هشدار به تحلیل‌گران برای انجام تحقیقات کمک کند. ابزارهای SIEM نسل بعد شامل قابلیت­‌های جدیدی مثل “تحلیل رفتار کاربران و موجودیت‌­­ها”[۳] (UEBA) و “هماهنگ­‌سازی، خودکارسازی و پاسخ‌گویی در امنیت”[۴] (SOAR) هستند که می­تواند تحلیل‌گران را در صرفه‌جویی در زمان و همچنین شناسایی تهدیدهایی که ابزارهای سنتی قادر به شناسایی آن‌ها نیستند، کمک کند.

  • بررسی، محدودسازی و جلوگیری از فعالیتهای مشکوک

با کمک ابزارهای نظارت بر امنیت، تیم SOC به جستجوی فعالیت‌های مشکوک در شبکه‌ها و سیستم­های IT می‌­پردازد. به طور معمول، این کار با دریافت و تحلیل هشدارها از SIEM که می­تواند شامل نشانه­‌های به مخاطره افتادگی بوده و هوش تهدید مرتبط با آن صورت می‌گیرد. تیم SOC، هشدارها را اولویت‌بندی کرده، دامنه تهدید را دریافته و به آن­ پاسخ می­‌دهد.

شاید برای سازمان­‌ها مقدور نباشد که به­‌طور کامل مانع ورود تهدیدات به شبکه خود شوند­، اما می­‌توانند جلوی گسترش و پخش شدن آن‌ها را بگیرند. در صورت به مخاطره افتادن یک سیستم شبکه، SOC باید میزبان‌های آلوده را شناسایی کرده و از اثرگذاری آن‌ها بر سایر قسمت‌های شبکه جلوگیری کند. SOC م‌ی­تواند از کنترل­‌های موجود روی سوییچ‌­ها، روترها و شبکه­­ محلی مجازی (VLAN) بدین منظور استفاده کند.

SOC باید به همبسته‌سازی و اعتبارسنجی هشدارها بپردازد. کارکنان SOC می‌­توانند به این وقایع در محیط شبکه کسب‌وکار معنا بخشیده و به صورت بلادرنگ فعالیت­‌های پاسخ‌گویی را با کارکنان کلیدی هماهنگ کنند.

  • کاهش زمان از کار افتادگی[۵] و اطمینان از پایداری کسب­وکار

کسب ­وکارها باید اطمینان حاصل کنند که سیستم­‌ها و شبکه­‌های آن‌ها با کمترین زمان از کار افتادگی اجرا می‌شوند. در گذشته این امکان وجود داشت که یک سرور ایمیل آلوده به ویروس را برای پاک‌سازی به طور موقت از کار انداخت؛ اما در محیط‌های امروز، کسب‌وکارها قادر به تحمل از کار افتادگی زیرساخت‌های حیاتی مانند ایمیل نیستند.

در صورت وقوع یک نقض امنیتی، SOC می­تواند به طور پیش‌نگرانه، سهامداران کسب­‌وکار را از وقایع امنیتی مهم مطلع سازد. با انجام این کار و در صورت امکان، قبل از اینکه وقایع امنیتی زیرساخت­های کلیدی کسب ­وکار را تحت تاثیر قرار دهند، مخاطرات برطرف می‌شوند؛ در صورت تحت تاثیر قرار گرفتن سیستم‌های حیاتی، برای اطمینان از استمرار کسب‌‌وکار، باید سیستم‌های جایگزین موجود بوده و مورد استفاده قرار گیرد.

  • استراتژی امنیتی

SOCها به‌­طور ایده‌­آل به عنوان مراکز سرویس به اشتراک گذاشته شده عمل می‌کنند و ارزش خود را در اختیار سهامداران کسب‌وکارها قرار داده و به آ­ن­ها در دستیابی به اهداف خود کمک می­‌کنند. SOCها سازمان­‌های میان‌-وظیفه‌ای[۶] هستند که عملیات­‌هاای انجام شده توسط واحدهای مختلف را متمرکز می­‌کنند.

برای اطمینان از پاسخ‌گویی، نظارت بر ارتباطات و هدایت تعاملات توسط افراد از گروه‌هایی مانند IT، IR، HR، حقوقی و انطباقی و …، سازمان‌ها باید مدل عملیات و حکمرانی SOC را تعریف کنند. اختیارات مشخص می‌تواند از ابهامات در زمان اقدامات حیاتی اضطراری مانند قطع اتصال یا از کار افتادگی کامل سیستم بکاهد.

  • حسابرسی و پشتیبانی از انطباقپذیری

به طور معمول، یک SOC مسئول حسابرسی سیستم­‌ها برای برآورده‌سازی نیازمندی­‌های انطباقی مراجع شرکتی، صنعتی و دولتی مانند SB 1386، HIPAA و Sarbanes-Oxley است. دسترسی کارا به اطلاعات تهدید، مراحل اصلاحیه[۷] و داده‌های کنترل دسترسی و هویت از ضروریات انطباق‌پذیری هستند.

در گذشته، سازمان‌­ها از مستندات موجود برای ساخت مستندات جدید برای یک حسابرسی استفاده می­‌کردند. این فرآیند زمان‌بر بوده و ممکن بود با خطا مواجه شود. در صورت مدیریت صحیح توسط تیم­های امنیتی، SOCهای مدرن از ابزارهای امنیتی مثل SIEM استفاده می­کنند که داده‌­های امنیتی را از تمام سازمان جمع­‌آوری کرده و گزارش‌­ها و حسابرسی­‌های انطباق‌پذیری را تولید می­‌کند.

[۱] Security information and event management

[۲] Request for proposal (RFP)

[۳] User and entity behavior analytics

[۴] Security orchestration,  automation and response

[۵] Downtime

[۶] Cross-functional

[۷] Patch level

ایمیل خود را وارد کنید و عضو خبرنامه شوید.

محصولات شرکت

سامانه مدیریت یکپارچه تهدیدات
سامانه مرورگر امن (RBI)
سامانه مدیریت وقایع و امنیت اطلاعات

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.