Telegram-plane Instagram Linkedin
Phone

Telegram-plane Instagram Linkedin
Phone
Menu

تفاوت‌های کلیدی و عملکردی SOC و CSIRT

ساخت یک سازمان امنیتی کارآمد نیازمند ترکیبی از افراد، فرایندها و تکنولوژی‌های مناسب است و راه‌های مختلف بسیاری وجود دارند که با استفاده از آن‌ها می‌توان تیم و استراتژی امنیتی خود را ترتیب داد.

دو نوع تیم که معمولاً نام‌شان شنیده می‌شود، مراکز عملیات امنیت یا SOCها و تیم‌های پاسخ به رخداد یا CSIRTها هستند. اینکه کدام تیم برای سازمان شما مناسب است به چند عامل بستگی دارد. بیایید تفاوت‌های بین ساختار هر نوع از تیم و نحوه‌ی تصمیم‌گیری در مورد اینکه کدام تیم برای سازمان شما مناسب است را بررسی نماییم.

مرکز عملیات امنیت یا SOC چیست

یک مرکز عملیات امنیت (SOC)، نقش‌های لازم برای حفاظت از امنیت اطلاعات در سازمان را متمرکز کرده و شامل پیشگیری، شناسایی، مدیریت و پاسخ به رخداد، گزارش‌گیری، نظارت، ریسک و تطبیق‌پذیری و هر چیزی است که مربوط به مدیریت و دفاع از امنیت اطلاعات در سازمان باشد.

SOCها معمولاً دارای الزامات نظارتی هستند (مثل PCI DSS یا CESG GPG53) و روی افراد، فرایندها و تکنولوژی‌های مربوط به تمام این جوانب عملیاتی نظارت می‌کنند. در اکثر مواقع شرکت‌ها پیش از اینکه یک CSIRT جداگانه داشته باشند، یک SOC دارند یا اینکه عملکرد CSIRT در ابتدا تحت پوشش SOC انجام می‌پذیرد. گاهی اوقات نیز یک CSIRT پیش از ایجاد یک SOC رسمی وجود دارد.

هدف یک SOC این است که علاوه بر عملکردهای عملیاتی دیگر، روی امنیت شبکه، برنامه کاربردی، Cloud و کاربر نظارت کند.

مسئولیت‌های تیم SOC

  • اجرا بر طبق استراتژی کلی یک شرکت تحت پوشش رئیس امنیت
  • نظارت روی امنیت سیستم‌ها، برنامه‌های کاربردی و کاربران
  • یکپارچه‌سازی سیستم‌های امنیتی با دیگر ابزار عملیاتی
  • پیشگیری، شناسایی و پاسخ به تهدیدات امنیتی مستمر
  • نظارت، ریسک و تطبیق‌پذیری
  • ایجاد و مدیریت سیاست و فرایند

اگر هیچ CSIRT رسمی وجود نداشته باشد، SOC مسئول پاسخ به حوادث نیز خواهد بود. اگر یک تیم پاسخ به رخداد (CSIRT) وجود داشته باشد، SOC به CSIRT کمک می‌کند که تمام اطلاعات لازم را جمع‌آوری کرده و پاسخ کارآمدی به یک تهدید بدهد.

زمان مناسب برای ایجاد یک مرکز SOC

‌هرچند شاید سازمان‌های کوچک‌تر نیازمند یک SOC کامل نباشند، چندین عامل وجود دارد که نشان می‌دهد وقت ساختن SOC فرا رسیده است. در این مقاله هفت شاخص با جزئیات شرح داده می‌شود:

  • سازمان شما به مقادیر روزافزونی از داده‌های حساس رسیدگی می‌کند
  • چشم‌انداز تهدیدات شما نیازمند منابع امنیتی اختصاصی است
  • سازمان شما در حال رشد است
  • هیچ فرایند، روند یا مالکیتی استانداردی در مورد امنیت وجود ندارد
  • اندازه‌گیری ROI در مورد خرج‌های امنیتی دشوار است، زیرا امنیت بخشی از عملکرد دیگری می‌باشد (مثلاً IT)
  • به قابلیت‌های مانیتورینگ و پاسخ بهتری نیاز دارید
  • رشد شما بیشتر از خدمات ارائه شده توسط مرکز عملیات امنیت مدیریت‌شده یا MSSP سازمان شما بوده است

وقتی شرکتی احساس می‌کند تحت تأثیر یک یا چند مورد از شاخص‌های بالا قرار گرفته است، احتمالاً وقت این است که یک SOC را به کار بگیرد.

نقش‌های تیم SOC

یک SOC هر چیزی که نقشی در امنیت داشته باشد را زیر یک چتر متمرکز می‌کند. بسته به ترکیب کارمندان امنیتی در سازمان شما، این نقش‌ها می‌تواند شامل موارد زیر باشد:

  • تحلیلگران امنیت
  • مهندس‌های امنیت
  • معماران امنیت
  • روسا یا مدیران امنیت
  • رئیس امنیت (معاون یا افسر ارشد امنیت اطلاعات)

تمام این نقش‌ها احتمالاً تحت مدیریت یک معاون (VP) امنیت یا افسر ارشد امنیت اطلاعات (CISO) قرار می‌گیرد که روی استراتژی و اجرای SOC نظارت می‌نماید. ممکن است مدیریت در سطح بالا درگیر عملیات‌های روزمره‌ی SOC نباشد، زیرا این افراد معمولاً با بخش‌های دیگر (مثلاً IT، محصول و توسعه) همکاری می‌کنند، اما نقشی کلیدی در سازمان دارند.

بیشتر بخوانید: تیم واکنش به رخداد (CSIRT): نقش‌ها و مسئولیت‌ها

تیم پاسخ به رخداد یا CSIRT چیست

یک تیم‌ پاسخ به رخداد یا CSIRT (که گاهی اوقات CERT یا CIRT نیز نامیده می‌شود)، یک عملکرد متمرکز برای مدیریت حوادث امنیت اطلاعات و پاسخ به آن‌ها در یک سازمان است. ممکن است این عملکرد تحت پوشش یک SOC قرار گیرد و یا ممکن است سازمان امنیتی اصلی محسوب گردد؛ این امر بستگی دارد به ساختار شرکت شما و نیازهای امنیتی آن. همچنین ممکن است در سازمان‌های بزرگ‌تر، CSIRT به‌عنوان یک تیم مجزا عمل کند.

چیزی که یک CSIRT را به‌طور خاص از یک SOC متفاوت می‌کند این است که CSIRT معمولاً اجتماعی از نقش‌های مختلف در یک سازمان است که درگیر انواع مختلفی از عملکردهای پاسخ به حادثه می‌باشند.  هرچند بدیهی است که پاسخ‌دهندگان به رخداد در صدر فرایند پاسخ به حادثه قرار دارند، عملکردهای دیگر شامل ارتباطات عمومی یا PR، بازاریابی، پشتیبانی از مشتری و مدیریت معمولاً با یک CSIRT همکاری می‌کنند اما به آن دپارتمان گزارش نمی‌دهند.

هدف نهایی یک CSIRT این است که آسیب ناشی از یک حادثه را به حداقل رسانده و آن را کنترل کنند و به همین دلیل است که بسیاری از عملکردهای دیگر نیز ممکن است تا حدودی درگیر این فرایند شوند. نه‌تنها باید به خود تهدید پاسخ داده شود، بلکه همچنین باید با مشتریان، هیئت مدیره و عموم مردم در مورد حادثه گفتگو کرد. اگر یک عامل داخلی مخرب موجب رخ دادن حادثه شده باشد، باید اقدامات انضباطی یا شاید قانونی در مورد کارمندان مقصر انجام گردد.

مسئولیت‌های تیم CSIRT

  • پیشگیری، شناسایی و پاسخ به تهدیدات امنیتی مستمر
  • رتبه‌بندی و بالا بردن سطح اهمیت هشدارها و وظایف
  • بررسی، تجزیه‌وتحلیل و انجام جرم‌شناسی عمیق روی حوادث
  • توسعه‌ی برنامه‌های ارتباطی (برای ارتباطات عمومی، مشتریان، اعضای هیئت مدیره و غیره)
  • هماهنگ‌سازی و اجرای استراتژی‌های پاسخ
  • حفظ منبعی از داده‌های Log مربوط به رخدادها برای ارجاعات آینده و همچنین برای تطبیق‌پذیری یا اهداف قانونی

 

زمان مناسب برای ایجاد یک تیم CSIRT

CSIRT می‌تواند یک سازمان رسمی یا غیررسمی باشد و این بستگی به نیازهای منحصربه‌فرد سازمان شما دارد. اگر به‌طور منظم با تهدیدات مواجه نمی‌شوید، ممکن است CSIRT فقط در زمان نیاز تشکیل شود. اما اگر در صنعت پرریسکی هستید (مثلاً دولت، سلامت، بخش مالی) که پاسخ به تهدیدات بخشی منظم و حیاتی از استراتژی کسب‌و‌کار شما است، ممکن است به یک CSIRT تمام‌وقت نیاز داشته باشید.

همچنین ممکن است CSIRT در طول زمان تکامل پیدا کند. هرچند ممکن است این سازمان به‌عنوان یک تیم غیررسمی شروع به کار کند که افرادش در زمان نیاز کنار هم جمع می‌شوند، اگر نیازهای پاسخ به حادثه ایجاب کنند، ممکن است تبدیل شود به یک عملکرد تمام‌وقت.

نقش‌های CSIRT

  • تحلیلگران امنیتی
  • رسیدگی‌کنندگان به رخداد و حادثه
  • ادمین‌های شبکه و سیستم
  • مدیریت امنیت
  • مدیران سطح بالا (مثلاً مدیر ارشد فناوری اطلاعات، مدیر ارشد امنیت اطلاعات، مدیر ارشد تکنولوژی، مدیر ارشد تحقیقات)

همکاران CSIRT

  • منابع انسانی
  • ارتباطات عمومی
  • بازاریابی
  • پشتیبانی از مشتری
  • تیم‌های محصول و مهندسی
  • و غیره

تعریف مسیر امنیتی مناسب برای سازمان

فارغ از اینکه چه نوع تیمی برای سازمان شما لازم است، باید اطمینان حاصل کنید که نقش‌های به وضوح تعریف شده‌اند، فرایندها کارآمد هستند و می‌توان آن‌ها را خودکارسازی کرد و تکنولوژی‌های مناسبی مورد استفاده قرار گرفته‌اند تا تیم شما بتواند کار خود را بهتر و سریع‌تر انجام دهد.

در صورت تمایل به کسب اطلاعات بیشتر، درخواست دمو یا مشاوره، نسبت به تکمیل فرم مورد نظر اقدام فرمایید.

درخواست دمو و مشاوره

دموی محصولات

مایلید در جلسه دمو ما، از نزدیک با محصولات مورد نیاز خود آشنا شوید؟

درخواست دمو

مشاوره

مایلید در جلسه مشاوره ما، بهینه‌ترین راهکار مورد نیاز خود را انتخاب نمایید؟ 

درخواست مشاوره

لیست قیمت

مایلید آخرین و به‌روزترین قیمت محصولات یا خدمات مورد نیاز خود را داشته باشید؟

درخواست قیمت
اشتراک گذاری این مطلب
مطالب مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

درباره شرکت

محصولات

خدمات

مقالات و منابع

تماس با ما

Telegram-plane Instagram Linkedin Eaparat

Info@apk-group.net

۴۲۲۷۳ - ۰۲۱

۳۶۲۹۰۹۹۰ - ۰۳۵

تهران - بلوار كشاورز، خيابان شهيد نادري پائين‌تر از خيابان ايتاليا، پلاك ۲ واحد ۵۰۵

یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان

تمامی حقوق وبسایت متعلق به شرکت امن پردازان کویر است.

Start typing to see posts you are looking for.
درخواست دمو
درخواست مشاوره
درخواست قیمت

برای آگاهی از آخرین مطالب، اخبار آسیب‌پذیری و رویدادهای تخصصی، آدرس ایمیل و شماره موبایل خود را وارد نمایید.

دانلود کاتالوگ