برسی انواع مدل‌های مرکزعملیات امنیت (SOC)، مزایا و معایب هرکدام

جهت مانیتورینگ مداوم و پاسخ به تهدیدات، سازمان‌ها معمولاً به سراغ مرکز عملیات امنیت یا SOC می‌روند که پیشگیری، شناسایی و پاسخ به حوادث امنیت سایبری را به‌صورت متمرکز و تجمیع‌شده فراهم می‌نمایند.

بنا به گفته‌ی موسسه‌ی Gartner، پنج مدل متفاوت برای ساخت و حفظ یک SOC وجود دارد. برخی از این مدل‌ها فقط به سازمان‌های خیلی بزرگ قابل‌اعمال هستند، درحالی‌که مدل‌های دیگر برای تمام سازمان‌ها کارآمد می‌باشند.

بررسی ۵ مدل مختلف مرکز عملیات امنیت (SOC)

در این مقاله تفاوت بین ۵ مدل مختلف مرکز عملیات امنیت (SOC) شرح داده می‌شود. مدل‌ها براساس هزینه، مزایا و معایب سنجیده شده و اصولی ارائه می‌گردد که به کاربر کمک می‌کند بهترین انتخاب را انجام داده و جایگزین‌هایی را برای سازمان‌هایی فراهم کند که نیازمند گزینه‌هایی مقرون‌به‌صرفه‌تر هستند.

مدل‌های مختلف مرکز عملیات امنیت (SOC): SOC مجازی

SOC مجازی چیست؟

یک SOC مجازی یا VSOC در یک مکان اختصاصی قرار ندارد و همچنین دارای زیرساخت اختصاصی نیست. این مدل از SOC یک پورتال مبتنی بر وب است که روی تکنولوژی‌های امنیتی غیرمتمرکز ساخته شده که به تیم‌های خارج از سایت اجازه می‌دهد رخدادها را مانیتور کرده و به تهدیدات پاسخ دهند.

مزایای SOC مجازی

این SOC صرفه‌جویی قابل‌توجهی را در زمینه‌ی سخت‌افزار On-Premises و زیرساخت‌های دیگر برای کاربران دارد و وقتی حادثه‌ای رخ دهد، می‌توان روی فعالیت تیم‌های مجازی حساب کرد.

معایب SOC مجازی

 VSOC تا حد زیادی یک رویکرد واکنشی است. احتمال اینکه تکنولوژی‌ها و فرایندهای غیرمتمرکز شکاف‌هایی امنیتی باقی بگذارند بسیار زیاد است که باعث می‌شود شناسایی و پاسخ به تهدید کارآمدی کمتری داشته باشد. ازآنجایی‌که VSOC معمولاً با پرسنل نیمه‌وقت از مکان‌های دور کار می‌کند، نمی‌توان روی یک تیم ۲۴ ساعته، مختص به امنیت حساب باز کرد.

رویکردهای جایگزین

می‌توان از طریق خودکارسازی، تکنولوژی‌ SIEM و تجزیه‌و‌تحلیل، VSOC را بهبود بخشید.

برخی از سازمان‌ها نیز تصمیم می‌گیرند که VSOC خود را برون‌سپاری کنند. بااینکه این کار قابلیت‌های امنیتی و دسترسی به منابع تخصصی را افزایش می‌دهد، قابلیت دید داخلی در محیط را کاهش می‌دهد و وقتی که حادثه‌ای تشدید شود، ممکن است منجر به طولانی‌تر شدن پاسخ‌ها گردد.

مدل‌های مختلف مرکز علیات امنیت (SOC): SOC/NOC چندمنظوره

SOC/NOC چندمنظوره چیست؟

این مدل که ترکیب SOC با یک مرکز عملیات شبکه یا NOC است، دارای یک تیم، مرکز و زیرساخت اختصاصی است. یک SOC/NOC چندمنظوره از عملکردهای امنیتی فراتر می‌رود و شامل عملیات IT، تطبیق‌پذیری و مدیریت ریسک است.

مزایای SOC/NOC

مزیت اصلی این مدل کاهش هزینه‌ها است، زیرا پرسنل را تجمیع کرده و هزینه‌های تأسیساتی را به حداقل می‌رساند. بهترین کارایی این مدل برای سازمان‌های کوچک‌تر با ریسک پایین و سازمان‌هایی است که دارای مسئولیت‌های امنیتی مشترک در تیم‌های مختلف هستند.

معایب SOC/NOC

SOC/NOC چندمنظوره دارای تأکید کمتری روی امنیت است. با اینکه تیم چند‌منظوره کارهای امنیتی اصلی را انجام می‌دهد، تقسیم توجه به نیازهای امنیتی، IT و شبکه‌ی متفاوت منجر به تضعیف دفاع‌های امنیتی خواهد شد.

به‌علاوه، یک تیم چندمنظوره باید مجموعه مهارت‌های وسیع‌تری داشته باشد تا بتواند به مجموعه‌ی گسترده‌ای از مشکلات بپردازد. این یعنی احتمالاً تخصص امنیتی عمیقی نخواهند داشت و این امر یکی از معایب بزرگ است، زیرا دفاع در برابر تهدیدات پیچیده و رو به تکامل امروز نیازمند دانش پیشرفته و به‌روز از بهترین راهکارهای امنیتی است.

مدل‌های مختلف مرکز علیات امنیت (SOC): SOC با مدیریت مشترک

SOC با مدیریت مشترک چیست؟

در SOC با مدیریت مشترک، راهکارهای مانیتورینگ On-Site افزایش پیدا می‌کنند، درحالی‌که ممکن است برخی از مسئولیت‌ها به کارمندان خارجی واگذار شوند.

دلیل کلیدی برای انتخاب این مدل محدودیت منابع و بودجه است.  نقطه‌ضعف این مدل از دست رفتن کنترل و عدم شخصی‌سازی خدمات و مسئولیت‌ها است. باید تعادل مناسبی بین کنترل داخلی و آنچه برون‌سپاری می‌گردد پیدا شود، زیرا کارآمدی این مدل به آن دو انتخاب وابسته است.

مزایای SOC با مدیریت مشترک 

SOC با مدیریت مشترک انعطاف بیشتری را ارائه می‌دهد، زیرا می‌توان برخی از تکنولوژی‌ها‌ مثل ابزار مدیریت رخداد و اطلاعات امنیت یا SIEM را به‌صورت On-Premises یا در Cloud پیاده‌سازی کرد. همچنین می‌توان تصمیم گرفت که چه نوع تیم داخلی بهترین تناسب را با نیازهای سازمان دارد. وقتی این مدل به‌خوبی مدیریت شود، مزایای بسیار خوبی را ارائه داده می‌تواند نتایج خوبی داشته باشد.

معایب SOC با مدیریت مشترک

یک SOC با مدیریت مشترک توسط ارائه‌کنندگان خدمات امنیتی مدیریت‌شده یا MSSPها ارائه می‌گردد که تخصص اصلی آن‌ها عملیات امنیت است اما ممکن است لازم باشد برای سخت‌افزار اضافی سرمایه‌گذاری شود..

مدل‌های مختلف مرکز علیات امنیت (SOC): SOC اختصاصی

SOC اختصاصی چیست؟

 SOC اختصاصی یک SOC متمرکز با زیرساخت، تیم و فرایندهای اختصاصی است که کاملاً روی امنیت متمرکز است. بزرگی یک SOC اختصاصی بستگی به بزرگی سازمان، ریسک‌ها و نیازهای امنیتی دارد.‌

معمولاً یک SOC اختصاصی برای مانیتورینگ و عملیات ۲۴ ساعته، حداقل پنج تا هشت متخصص داخلی در سطوح مختلف دارد. داشتن یک SOC اختصاصی برای سازمان‌های جهانی که در مکان‌های مختلف داده‌های خصوصی دارند و باید با قوانین و سیاست‌های امنیتی سازگار باشند، ضروری است.

مزایای SOC اختصاصی

یک SOC اختصاصی مالکیت کاملی را از تکنولوژی‌ها و فرایندها ارائه می‌دهد. تیم داخلی همچنین دارای بهترین توانایی برای مانیتور کردن محیط است و بهترین قابلیت دید را برای داشتن تصویر کاملی از چشم‌انداز تهدید و امنیت خواهد داشت.

معایب SOC اختصاصی

این مدل نیازمند یک سرمایه‌گذاری بزرگ است که باعث می‌شود در بودجه‌ی بسیاری از سازمان‌ها نگنجد. بهترین کاربرد این مدل در سازمان‌های بزرگ و آژانس‌های دولتی با زیرساخت IT گسترده می‌باشد که دائماً تحت حمله هستند، زیرا این سازمان‌ها معمولاً منابع لازم را برای ساخت و حفظ این SOC دارند.

مدل‌های مختلف مرکز علیات امنیت (SOC): Command SOC

Command SOC چیست؟ 

یک Command SOC دارای چندین SOC توزیع‌شده در چندین مکان است که معمولاً در نقاط مختلف جهان قرار دارند. سازمان‌هایی که از این مدل استفاده می‌کنند شامل شرکت‌های Global 2000، ارائه‌دهندگان مخابرات بزرگ و آژانس‌های دفاعی هستند. Command SOC معمولاً SOCهای دیگر را کنترل می‌کند و همچنین جرم‌شناسی و دیگر فرایندهای بازیابی را انجام می‌دهد.

مزایای Command SOC

Command SOC توسط تیم بزرگی از متخصصان امنیتی و یک تیم تحقیقاتی امنیتی با توانایی‌های شکار تهدید مدیریت‌ می‌شود.

معایب Command SOC

این مدل بیشتر روی مدیریت هوش تهدیدات و آگاهی موقعیتی متمرکز است تا روی عملیات امنیتی روزمره.

انتخاب بهترین SOC برای سازمان

می‌توان یک SOC را به‌عنوان بخشی از یک استراتژی جامع پیاده‌سازی کرد تا از سازمان‌های بزرگ و کوچک در مقابل تهدیدات پیشرفته حفاظت گردد.  اما هیچ راهکاری وجود ندارد که مناسب تمام سازمان‌ها باشد و تعادل کاملی را بین هزینه و کارآمدی فراهم کند.

برای برخی از کسب‌و‌کارها، بودجه‌های امنیتی محدود و کمبود تخصص داخلی، موانعی را در پیاده‌سازی برنامه‌ای کارآمد و دارای حفاظت کافی ایجاد می‌کند. برای حل این مشکل، سازمان‌ها باید انتخاب یک SOC از ارائه‌دهندگان عملیات امنیت مدیریت‌شده یا MSSP را مد نظر قرار دهند.

امنیت مدیریت‌شده یک مدل برون‌سپاری است که قابلیت‌های IT داخلی یا تیم امنیتی را گسترش می‌دهد. این مدل شامل یک راهکار شناسایی و پاسخ مدیریت‌شده یا MDR می‌باشد که مشکل تشخیص بهترین روش یا تکنولوژی‌ برای شناسایی و پاسخ به تهدید را از بین می‌برد.

یک مدل عملیات امنیتی مدیریت‌شده با مانیتورینگ، شناسایی و پاسخ مداوم به تهدیدات ابزار امنیتی کنونی شبکه را تکمیل می‌کند. این مدل همچنین شامل دیگر راهکارهای عملیات امنیتی است که به ارزیابی و حذف آسیب‌پذیری و کاهش ریسک سایبری کمک می‌کند.

ایمیل خود را وارد کنید و عضو خبرنامه شوید.

محصولات شرکت

سامانه مدیریت یکپارچه تهدیدات
سامانه مرورگر امن (RBI)
سامانه مدیریت وقایع و امنیت اطلاعات

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.