مرکز عملیات امنیت[۱] (SOC) بستری است که سرویسهای کشف و پاسخگویی را در مقابل حوادث امنیتی فراهم میآورد. به طور معمول،برای راهاندازی و پیادهسازی SOC چند فاز مورد نیاز است: برنامهریزی، طراحی، ساخت و اجرا. تحقق هر یک از این فازها، نیازمند در اختیار داشتن مجموعهای از مهارتهای مرتبط و مشارکت تعدادی موجودیت داخلی و حتی شاید خارجی است. نوع مشارکت موجودیتها میتواند از ایفای نقش فعال و ارائه سرویسهای واقعی تا پشتیبانی اجرایی و مالی باشد. برنامهریزی صحیح برای SOC، دید کافی و موردنیاز برای مدونسازی SOC قبل از استخدام نیروهای موردنیاز و تماس با ارائهدهندگان فناوری را ارائه میکند. اهمیت این مساله در این است که بسیاری از ارائهدهندگان فناوری، برای کسب سود بیشتر، با کمال میل حاضرند ابزارها و ماژولهای غیرضروری را به مشتریان بفروشند. هر یک از ۴ فاز ذکر شده به چندین فعالیت نیاز دارد که لازم است مطابق با نیازهای دقیق سازمان انجام شوند. در ادامه این مطلب، به جزئیات نخستین فاز، یعنی برنامهریزی پرداخته خواهد شد.
پیادهسازی SOC: فاز برنامهریزی
پیادهسازی SOC نیازمند یک برنامهریزی دقیق است. فاز برنامهریزی به تصمیمگیری درباره اهدافی که داشتن مرکز عملیات امنیت را توجیه میکند و مدونسازی آنها، و همچنین تهیه یک نقشه راه جهت بررسی پیشرفت حاصله در مقابل اهداف از پیش تعیین شده کمک میکند. قبل از انجام هر گونه برنامهریزی، باید همه موارد مورد استفاده SOC، ارزیابی شود تا تواناییهای فعلی موجود در زمینه افراد، فرآیندها و فناوری مشخص شود. این رویکرد اجازه میدهد تا بتوان خط مبنای محیط فعلی را با اهداف SOC موردنظر مقایسه کرده و میزان تلاش موردنیاز برای دستیابی به اهداف آتی را تعیین نمود.
روش ارزیابی، که در شکل ۱ نیز نشان داده شده، از گامهای زیر تشکیل شده است:
- شناسایی اهداف تجاری و فناوری اطلاعات: در ابتدا باید اهداف تجاری سازمان شناسایی شود. این کار توسعه SOC در آینده را در راستای اهداف سازمان پیش میبرد. اهداف فناوری اطلاعات نیازمندیهای دستیابی به اهداف تجاری هستند. این بدین معنی است که اهداف فناوری اطلاعات اقداماتی هستند که برای دستیابی به یک هدف تجاری باید انجام شوند. با توجه به این موضوع، پیادهسازی SOC موفقیت کسبوکار سازمان را در پی خواهد داشت.
- شناسایی قابلیتهایی که با توجه به اهداف SOC ارزیابی میشوند: پس از شناسایی اهداف تجاری و فناوری اطلاعات، میتوان اهداف فناوری اطلاعات را به فرایندهایی مجزا و قابل ارزیابی تقسیم نمود. یک فرایند فناوری اطلاعات میتواند از نیازمندیهایی مشخص برای افراد، فرایندها و فناوریها تشکیل شده باشد. این مولفهها باید هماهنگ عمل کنند تا فرایندهای فناوری اطلاعات همسو با اهداف فناوری اطلاعات باشند. در این گام، باید قابلیتهای مرتبط با مدل عملیات SOC نیز در کنار سرویسهای SOC در نظر گرفته شوند. وجود شکاف در قابلیتهای SOC میتواند به معنای نیازمندی برای آموزش، استخدام نیروهای مستعد جدید یا دستیابی به فناوری باشد.
- جمعآوری اطلاعات مرتبط با قابلیتهای افراد، فرایندها و فناوریها: پس از تعریف اهداف تجاری و فناوری اطلاعات و شناسایی قابلیتهای موجود SOC در زمینه فرایندهای فناوری اطلاعات، لازم است تا تمام این اطلاعات را جمعآوری کرده تا بتوان در آینده آنها را تجزیه و تحلیل نمود. اطلاعات موردنظر باید به شکلی سازمانیافته جمعآوری شود تا بتوان از آنها برای تولید نتایج برای گزارش ارزیابی نهایی استفاده کرد.
- تجزیه و تحلیل اطلاعات جمعآوری شده و اختصاص یک سطح بلوغ به قابلیتهای ارزیابی شده: پس از جمعآوری دادهها، باید میزان اثرگذاری آنها را تعیین نمود. برای انجام این کار، میتوان سطح بلوغ فرایندهای فناوری اطلاعات متناظر با یک هدف فناوری اطلاعات را محاسبه کرده و از میانگین آنها به عنوان سطح بلوغ هدف فناوری اطلاعات موردنظر استفاده کرد.
- ارائه یافتهها، بحث و گفتوگو پیرامون آنها و مدون ساختن نتایج: گام آخر فرایند ارزیابی قابلیتها، ایجاد یک گزارش نهایی است. گزارش نهایی باید تمام اهداف تجاری شناسایی شده را دربر داشته و نحوه ارتباط آنها با فرایندهای فناوری اطلاعاتی که SOC مسئول آنهاست را نشان دهد. فرایندهای فناوری اطلاعات باید دارای سطح بلوغ باشند تا اثرگذاری آنها به روشنی مشخص شده و وضعیت موجود SOC قابل درک باشد.
شکل ۱. روش ارزیابی.
دومین بخش از مرحله برنامهریزی در پیادهسازی SOC، توسعه استراتژی SOC است. مدونسازی این استراتژی و پیگیری پیشرفت آن، اقداماتی اساسی برای دستیابی به یک برنامه حکمرانی[۲] خوب است. استراتژی SOC بر اساس ارزیابی قابلیتها بوده و هدف آن مدونسازی جنبههای زیر است:
- “خلاصه اهداف و ارزشهای مرکز عملیات امنیت” [۳]: خلاصه اهداف و ارزشهای SOC، علاوه بر بخشی که SOC در نهایت به آن گزارش میدهد، باید همسو با چشمانداز و استراتژی تجاری سازمان نیز باشد. در زمان تعریف خلاصه اهداف و ارزشهای SOC موارد زیر باید صریحا تعریف شوند:
- قلمرو SOC
- نقشهای SOC
- بخش مسئول ساخت، بهرهبرداری و نگهداری از SOC
- قلمرو SOC: مستندسازی قلمرو SOC به سازمان کمک میکند تا بر آنچه SOC وظیفه انجام آن را دارد تمرکز کند. قلمرو باید سطح تلاش و منابع موردنیاز برای تکمیل پروژه را پیشبینی کند. اهمیت این مساله به دلیل وجود یکی از اشتباهات رایج در این زمینه این است که تنها هزینههای اولیه در بودجه در نظر گرفته شده و هزینههای اضافه موردنیاز برای نصب، نگهداری، ارتقا، پشتیبانی، تنظیم و … نادیده گرفته میشوند.
- “مدل عملیات“[۴] SOC: یک تصمیمگیری مهم که باید توسط تیم معماری SOC در فاز برنامهریزی انجام شود، تصمیمگیری در مورد توسعه داخلی قابلیتهای SOC، برونسپاری قابلیتها یا به کارگیری ترکیبی از هر دو رویکرد است.
- امکانات: به طور کلی SOC باید به گونهای طراحی شود که ضمن فراهمآوری یک محیط کار راحت، تسهیل همکاری موثر بین اعضای SOC را نیز به همراه داشته باشد. با توجه به اندازه SOC، خدمات ارائه شده و مدل عملیاتی، ممکن است ایجاد یک SOC اختصاصی ضروری باشد به نحوی که افراد تیم SOC و ابزارهای مختلف در آن قرار گیرند.
- سرویسهای SOC: توسعه یک استراتژی SOC باید منجر به تدوین یک سند مدون شود که بیانگر سرویسهای ارائه شده توسط SOC باشد. در این مرحله، انتظار نمیرود که جزئیات فنی نحوه ارائه سرویسها مشخص شود، بلکه تنها سرویسها و ارزشی که برای سازمان به همراه دارند، باید مشخص شود.
- نقشه راه قابلیتهای SOC: قابلیتها باید به طور پیوسته و با توجه به اهدافی قابل دستیابی، طبق یک جدول زمانی، بهبود یابند. اولین گام انجام ارزیابی قابلیتهای موجود، برای درک وضعیت فعلی SOC است. گام بعد برآورد چگونگی عملکرد SOC در آینده با شناسایی عملیاتهای فناوری اطلاعات است که با استفاده از رتبهبندی سطوح بلوغ میتوانند بهبود یابند. این گام با کمیسازی اهداف، ارزیابی هر ساله میزان پیشرفت قابلیتهای SOC را ممکن میسازد. اهداف سطح بلوغ جدید باید در یک نقشه راه که مورد توافق SOC و اسپانسرهای مرتبط است، مدون شوند.
سخن پایانی
همانطور که ذکر شد پیادهسازی SOC به طور معمول شامل ۴ فاز برنامهریزی، طراحی، ساخت و اجراست. در مطلب حاضر جزئیات نیازمند در نظر گرفته شدن در فاز برنامهریزی مورد بحث واقع شد. پس از تکمیل این فاز، باید فاز دوم یعنی طراحی SOC صورت گیردو سپس وارد فاز ساخت SOC خواهیم شد.
شرکت امنپردازان کویر (APK) از شرکتهای پیشگام کشور در حوزهی ارائه خدمات امنیت سایبری به سازمانها و شرکتها، با در اختیار داشتن مجموعهای از حرفهایترین مهندسان امنیت سایبری، آماده ارائه خدمات در زمینه پیادهسازی SOC در شرکتها و سازمانها است. جهت کسب اطلاعات بیشتر در این زمینه میتوانید با شماره ۰۲۱۴۲۲۳۸ تماس حاصل نمایید.
[۱] Security operation center
[۲] Governance
[۳] SOC mission statement
[۴] Model of operation