ساخت یک سازمان امنیتی کارآمد نیازمند ترکیبی از افراد، فرایندها و تکنولوژیهای مناسب است و راههای مختلف بسیاری وجود دارند که با استفاده از آنها میتوان تیم و استراتژی امنیتی خود را ترتیب داد.
دو نوع تیم که معمولاً نامشان شنیده میشود، مراکز عملیات امنیت یا SOCها و تیمهای پاسخ به رخداد یا CSIRTها هستند. اینکه کدام تیم برای سازمان شما مناسب است به چند عامل بستگی دارد. بیایید تفاوتهای بین ساختار هر نوع از تیم و نحوهی تصمیمگیری در مورد اینکه کدام تیم برای سازمان شما مناسب است را بررسی نماییم.
مرکز عملیات امنیت یا SOC چیست
یک مرکز عملیات امنیت (SOC)، نقشهای لازم برای حفاظت از امنیت اطلاعات در سازمان را متمرکز کرده و شامل پیشگیری، شناسایی، مدیریت و پاسخ به رخداد، گزارشگیری، نظارت، ریسک و تطبیقپذیری و هر چیزی است که مربوط به مدیریت و دفاع از امنیت اطلاعات در سازمان باشد.
SOCها معمولاً دارای الزامات نظارتی هستند (مثل PCI DSS یا CESG GPG53) و روی افراد، فرایندها و تکنولوژیهای مربوط به تمام این جوانب عملیاتی نظارت میکنند. در اکثر مواقع شرکتها پیش از اینکه یک CSIRT جداگانه داشته باشند، یک SOC دارند یا اینکه عملکرد CSIRT در ابتدا تحت پوشش SOC انجام میپذیرد. گاهی اوقات نیز یک CSIRT پیش از ایجاد یک SOC رسمی وجود دارد.
هدف یک SOC این است که علاوه بر عملکردهای عملیاتی دیگر، روی امنیت شبکه، برنامه کاربردی، Cloud و کاربر نظارت کند.
مسئولیتهای تیم SOC
- اجرا بر طبق استراتژی کلی یک شرکت تحت پوشش رئیس امنیت
- نظارت روی امنیت سیستمها، برنامههای کاربردی و کاربران
- یکپارچهسازی سیستمهای امنیتی با دیگر ابزار عملیاتی
- پیشگیری، شناسایی و پاسخ به تهدیدات امنیتی مستمر
- نظارت، ریسک و تطبیقپذیری
- ایجاد و مدیریت سیاست و فرایند
اگر هیچ CSIRT رسمی وجود نداشته باشد، SOC مسئول پاسخ به حوادث نیز خواهد بود. اگر یک تیم پاسخ به رخداد (CSIRT) وجود داشته باشد، SOC به CSIRT کمک میکند که تمام اطلاعات لازم را جمعآوری کرده و پاسخ کارآمدی به یک تهدید بدهد.
زمان مناسب برای ایجاد یک مرکز SOC
هرچند شاید سازمانهای کوچکتر نیازمند یک SOC کامل نباشند، چندین عامل وجود دارد که نشان میدهد وقت ساختن SOC فرا رسیده است. در این مقاله هفت شاخص با جزئیات شرح داده میشود:
- سازمان شما به مقادیر روزافزونی از دادههای حساس رسیدگی میکند
- چشمانداز تهدیدات شما نیازمند منابع امنیتی اختصاصی است
- سازمان شما در حال رشد است
- هیچ فرایند، روند یا مالکیتی استانداردی در مورد امنیت وجود ندارد
- اندازهگیری ROI در مورد خرجهای امنیتی دشوار است، زیرا امنیت بخشی از عملکرد دیگری میباشد (مثلاً IT)
- به قابلیتهای مانیتورینگ و پاسخ بهتری نیاز دارید
- رشد شما بیشتر از خدمات ارائه شده توسط مرکز عملیات امنیت مدیریتشده یا MSSP سازمان شما بوده است
وقتی شرکتی احساس میکند تحت تأثیر یک یا چند مورد از شاخصهای بالا قرار گرفته است، احتمالاً وقت این است که یک SOC را به کار بگیرد.
نقشهای تیم SOC
یک SOC هر چیزی که نقشی در امنیت داشته باشد را زیر یک چتر متمرکز میکند. بسته به ترکیب کارمندان امنیتی در سازمان شما، این نقشها میتواند شامل موارد زیر باشد:
- تحلیلگران امنیت
- مهندسهای امنیت
- معماران امنیت
- روسا یا مدیران امنیت
- رئیس امنیت (معاون یا افسر ارشد امنیت اطلاعات)
تمام این نقشها احتمالاً تحت مدیریت یک معاون (VP) امنیت یا افسر ارشد امنیت اطلاعات (CISO) قرار میگیرد که روی استراتژی و اجرای SOC نظارت مینماید. ممکن است مدیریت در سطح بالا درگیر عملیاتهای روزمرهی SOC نباشد، زیرا این افراد معمولاً با بخشهای دیگر (مثلاً IT، محصول و توسعه) همکاری میکنند، اما نقشی کلیدی در سازمان دارند.
بیشتر بخوانید: تیم واکنش به رخداد (CSIRT): نقشها و مسئولیتها
تیم پاسخ به رخداد یا CSIRT چیست
یک تیم پاسخ به رخداد یا CSIRT (که گاهی اوقات CERT یا CIRT نیز نامیده میشود)، یک عملکرد متمرکز برای مدیریت حوادث امنیت اطلاعات و پاسخ به آنها در یک سازمان است. ممکن است این عملکرد تحت پوشش یک SOC قرار گیرد و یا ممکن است سازمان امنیتی اصلی محسوب گردد؛ این امر بستگی دارد به ساختار شرکت شما و نیازهای امنیتی آن. همچنین ممکن است در سازمانهای بزرگتر، CSIRT بهعنوان یک تیم مجزا عمل کند.
چیزی که یک CSIRT را بهطور خاص از یک SOC متفاوت میکند این است که CSIRT معمولاً اجتماعی از نقشهای مختلف در یک سازمان است که درگیر انواع مختلفی از عملکردهای پاسخ به حادثه میباشند. هرچند بدیهی است که پاسخدهندگان به رخداد در صدر فرایند پاسخ به حادثه قرار دارند، عملکردهای دیگر شامل ارتباطات عمومی یا PR، بازاریابی، پشتیبانی از مشتری و مدیریت معمولاً با یک CSIRT همکاری میکنند اما به آن دپارتمان گزارش نمیدهند.
هدف نهایی یک CSIRT این است که آسیب ناشی از یک حادثه را به حداقل رسانده و آن را کنترل کنند و به همین دلیل است که بسیاری از عملکردهای دیگر نیز ممکن است تا حدودی درگیر این فرایند شوند. نهتنها باید به خود تهدید پاسخ داده شود، بلکه همچنین باید با مشتریان، هیئت مدیره و عموم مردم در مورد حادثه گفتگو کرد. اگر یک عامل داخلی مخرب موجب رخ دادن حادثه شده باشد، باید اقدامات انضباطی یا شاید قانونی در مورد کارمندان مقصر انجام گردد.
مسئولیتهای تیم CSIRT
- پیشگیری، شناسایی و پاسخ به تهدیدات امنیتی مستمر
- رتبهبندی و بالا بردن سطح اهمیت هشدارها و وظایف
- بررسی، تجزیهوتحلیل و انجام جرمشناسی عمیق روی حوادث
- توسعهی برنامههای ارتباطی (برای ارتباطات عمومی، مشتریان، اعضای هیئت مدیره و غیره)
- هماهنگسازی و اجرای استراتژیهای پاسخ
- حفظ منبعی از دادههای Log مربوط به رخدادها برای ارجاعات آینده و همچنین برای تطبیقپذیری یا اهداف قانونی
زمان مناسب برای ایجاد یک تیم CSIRT
CSIRT میتواند یک سازمان رسمی یا غیررسمی باشد و این بستگی به نیازهای منحصربهفرد سازمان شما دارد. اگر بهطور منظم با تهدیدات مواجه نمیشوید، ممکن است CSIRT فقط در زمان نیاز تشکیل شود. اما اگر در صنعت پرریسکی هستید (مثلاً دولت، سلامت، بخش مالی) که پاسخ به تهدیدات بخشی منظم و حیاتی از استراتژی کسبوکار شما است، ممکن است به یک CSIRT تماموقت نیاز داشته باشید.
همچنین ممکن است CSIRT در طول زمان تکامل پیدا کند. هرچند ممکن است این سازمان بهعنوان یک تیم غیررسمی شروع به کار کند که افرادش در زمان نیاز کنار هم جمع میشوند، اگر نیازهای پاسخ به حادثه ایجاب کنند، ممکن است تبدیل شود به یک عملکرد تماموقت.
نقشهای CSIRT
- تحلیلگران امنیتی
- رسیدگیکنندگان به رخداد و حادثه
- ادمینهای شبکه و سیستم
- مدیریت امنیت
- مدیران سطح بالا (مثلاً مدیر ارشد فناوری اطلاعات، مدیر ارشد امنیت اطلاعات، مدیر ارشد تکنولوژی، مدیر ارشد تحقیقات)
همکاران CSIRT
- منابع انسانی
- ارتباطات عمومی
- بازاریابی
- پشتیبانی از مشتری
- تیمهای محصول و مهندسی
- و غیره
تعریف مسیر امنیتی مناسب برای سازمان
فارغ از اینکه چه نوع تیمی برای سازمان شما لازم است، باید اطمینان حاصل کنید که نقشهای به وضوح تعریف شدهاند، فرایندها کارآمد هستند و میتوان آنها را خودکارسازی کرد و تکنولوژیهای مناسبی مورد استفاده قرار گرفتهاند تا تیم شما بتواند کار خود را بهتر و سریعتر انجام دهد.
در صورت تمایل به کسب اطلاعات بیشتر، درخواست دمو یا مشاوره، نسبت به تکمیل فرم مورد نظر اقدام فرمایید.