بررسی تفاوت‌های NOC و SOC، کدام را انتخاب کنیم؟

کسب‌وکارهایی که به دنبال ارتقای امنیت شبکه خود هستند، به طور معمول یا به یک مرکز عملیات شبکه[۱] (NOC) و یا یه یک مرکز عملیات امنیت[۲] (SOC) رجوع می‌کنند. با این حال، علی‌رغم مشابه به نظر رسیدن این دو گزینه، استفاده از تفاوت‌های موجود برای انتخاب مورد مناسب‌تر می‌­تواند امری کاملا دشوار باشد. با توجه به این مهم، در ادامه این مطلب به بررسی تفاوت­‌های NOC و SOC پرداخته تا انتخاب گزینه مناسب‌تر توسط سازمان‌ها راحت‌تر و آگاهانه‌تر صورت گیرد.

مرکز عملیات شبکه یا NOC چیست؟

مراکز عملیات شبکه یا NOCها تیم‌های IT شخص ثالثی هستند که به طور جامع خدمات حفاظت از شبکه را ارائه می­‌کنند. NOCها به طور معمول برای مدیریت کارای امنیت شبکه مشتریان توسط ارائه‌دهندگان خدمات مدیریت شده[۳] (MSPها) به کار گرفته شده یا درون یک MSP تجمیع می‌شوند.

مراکز عملیات شبکه از طریق پیاده‌سازی لایه­‌هایی مختلف از نرم­‌افزارها و سخت­‌افزارهای امنیتی و نظارت بر آن­ها با استفاده از یک راهکار “مدیریت و نظارت از راه دور”[۴] (RMM)، اقداماتی پیش‌نگرانه را برای مدیریت امنیت شبکه مشتریان در پیش می‌گیرند.

مراکز عملیات شبکه می­‌توانند علاوه بر رسیدگی به مشکلات سطح پایین شبکه مانند بازنشانی گذرواژه‌ها، به مشکلات پیچیده­‌تر مانند “بازیابی از فاجعه”[۵] و “نقض‌­های سایبری”[۶] نیز رسیدگی کنند.

NOCها به طور معمول مشکلات شبکه را بدون دخیل نمودن کاربران نهایی حل می­‌کنند. در صورت درست کار کردن یک NOC،  کاربران نهایی نباید متوجه مشکلاتی مانند زمان‌های از کارافتادگی طولانی مدت، بدافزار یا عملکرد ضعیف شبکه شوند.

مرکز عملیات امنیت (SOC) چیست؟

مرکز عملیات امنیت کانونی متمرکز است جهت نظارت بر شبکه یک کسب‌وکار، دستگاه­‌های وابسته به آن و هر محل دیگری که ممکن است داده­‌های شرکت به صورت برخط در آن‌جا ذخیره شوند.

داده­‌های شرکت می­‌تواند شامل هر نوع داده‌ای، از اطلاعات مالی و دارایی‌های فکری تا اطلاعات کارکنان و … باشد. هدف اصلی یک SOC جلوگیری از حوادث امنیت سایبری و پاسخ به آن‌ها است. حوادث امنیت سایبری دامنه گسترده‌ای داشته و از نفوذ بدافزار تا حملات باج­‌افزار را شامل می­‌شود.

SOCها تهدیدهای شبکه را از طریق نظارت پیش‌نگرانه شناسایی می­‌کنند. به طور معمول، SOCها توسط یک مدیر SOC یا یک “مدیر ارشد امنیت اطلاعات”[۷] که به هماهنگ‌سازی تلاش­‌ها و اقدامات امنیتی می‌پردازد، هدایت می‌شوند. مراکز عملیات امنیت می‌توانند به صورت درون-سازمانی ایجاد شده یا از طریق قرارداد با یک شرکت امنیت سایبری شخص ثالث به کار گرفته شوند.

SOC و NOC چه تفاوت‌هایی دارند؟

مرکز عملیات امنیت (SOC) و مرکز عملیات شبکه (NOC) دو اصطلاح هستند که به طور معمول با یکدیگر اشتباه گرفته می­‌شوند.

اگرچه هم SOCها و هم NOCها با ارائه‌دهندگان خدمات مدیریت شده برای رفع مشکلات مربوط به IT کار می­‌کنند، اما SOC از نظر قابلیت­‌های ارائه شده تخصصی­‌تر از NOC است.

هدف اصلی یک مرکز عملیات امنیت، ایمن­‌سازی شبکه مشتری بوده و بدین منظور تیم تخصصی SOC تمام منابع خود را صرف نظارت و مدیریت تهدیدها می­‌کند.

یک مرکز عملیات شبکه دارای اهدافی فراتر از امنیت شبکه است. به عنوان مثال، یک NOC ممکن است به وظایف متنوعی، از اطمینان از “زمان در حال فعالیت بودن”[۸] و پشتیبان‌گیری مداوم از داده‌ها گرفته تا مدیریت ارتقاء سخت­‌افزارها، بپردازد.

این موارد و اهداف به طور معمول در توافق‌نامه­‌های سطح خدمات[۹] (SLAها) که NOCها با مشتریان امضا می­‌کنند، بیان می‌شوند تا از تحقق مداوم آن‌ها اطمینان حاصل شود.

SOC یا NOC، کدام را انتخاب کنیم؟

برای انتخاب گزینه مناسب یک کسب‌وکار، می‌توان از معیارهای زیر استفاده کرد:

نیاز به پشتیبانی از خدمات شبکه کامل‌تر

برای کسب‌وکارهایی که به پشتیبانی خدمات شبکه جامع‌تر و کامل‌تری نیاز دارند، انتخاب NOC مناسب‌تر است.

قابلیت‌های یک مرکز عملیات شبکه می­‌تواند از نظارت بر تهدیدهای سایبری فراتر رفته و شامل پروژه­‌های کلی‌تر نگهداری و سلامت شبکه شود. این مراکز می­‌توانند در ارتقای زیرساخت شبکه موجود، به‌کارگیری اقداماتی ابتکاری برای حداقل‌سازی زمان­‌های از کار افتادگی شبکه و … کمک کنند.

در اختیار داشتن محدود یا عدم در اختیار داشتن بخش IT داخلی

در صورتی که یک کسب‌وکار دارای این شرایط باشد، می‌تواند هر یک از دو گزینه NOC و SOC را انتخاب نماید.

یک کسب‌وکار که فاقد کارکنان کاملا اختصاصی بخش IT بوده یا دارای تعداد نیروی بسیار محدودی در این بخش باشد، احتمالا مدیریت شبکه خود را به یک کارمند دیگر با دانش محدود در زمینه IT مانند یک مدیر بخش منابع انسانی یا یک منشی واگذار می‌کند.

واگذاری امنیت شبکه به یک کارمند فاقد تخصص در زمینه IT، امنیت شبکه را در معرض خطر قرار می‌دهد. با برون‌سپاری وظایف نظارت و مدیریت بر زیرساخت امنیت سایبری به یک NOC یا SOC، این مسئولیت از دوش کارمندان داخلی برداشته شده و محافظت بهتری از شبکه صورت می‌گیرد.

وخامت عواقب ازکارافتادگی شبکه برای کسب‌وکار

کسب وکارهایی که دایر بودن شبکه را اولویت اصلی خود می‌دانند بهتر است NOC را انتخاب کنند.

برخلاف SOCها که غالبا بر جلوگیری و خنثی‌سازی تهدیدهای سایبری تمرکز دارند، NOCها می­توانند در پروژه­‌های مدیریت شبکه کلی‌تر، مانند کارآمدی شبکه، کمک‌کننده باشند.

کسب‌وکارهایی مانند فروشگاه‌های خرده فروشی آنلاین و شرکت­‌های حقوقی به این معروف هستند که خارج از ساعات کاری معمول و مرسوم (شنبه تا چهارشنبه از ساعت ۸ تا ۱۷) فعالیت می­‌کنند.

در مورد این کسب‌وکارها، NOCها می‌توانند با اتخاذ اقدامات پیش‌نگرانه زمان‌های از کارافتادگی را به حداقل برسانند، که این مساله می‌تواند در روزهای حساس به ویژه حراج‌هایی مانند حراجمعه یا “جمعه سیاه” مفید باشد. از کار افتادگی در زمان­‌های حساس، می‌تواند هزینه‌های بسیار زیاد و همچنین کاهش بهره­‌وری را برای کسب‌وکارها در پی داشته باشد.

نکته دیگری که باید بدان توجه کرد این است که هکرها نیز می­‌دانند که همه امکان انجام پشتیبانی تمام وقت را ندارند. در نتیجه ممکن است به سوءاستفاده از شبکه در زمان­‌هایی که کمترین حفاظت از آن صورت می‌گیرد، بیاندیشند. بنابراین، حتی اگر از کار افتادگی گاه‌وبی­‌گاه نیز برای یک کسب‌وکار ضرر خاصی را در پی نداشته باشد، پشتیبانی تمام وقت مساله‌ای بسیار مهم است.

نگهداری امنیت شبکه در سطح “مراقبت بالا”[۱۰] به صورت ۲۴ ساعته و تمام وقت، کارآمدی شبکه را به حداکثر رسانده و باعث دور نگه داشته شدن هکرها می‌شود.

نیاز بخش IT داخلی به کمک

کسب‌وکارهایی که بخش‌های IT داخلی آن‌ها پرمشغله بوده و در انجام امور خود مستأصل هستند، می­‌توانند از هر یک از دو گزینه NOC یا SOC استفاده کنند.

وظایف زیادی بر عهده بخش‌های IT داخلی سازمان‌ها قرار دارد. با توجه به این مساله، برون‌سپاری برخی از پروژه­‌های سازمان به شرکت‌های شخص ثالث می­تواند اقدامی سودمند برای کسب‌وکارها باشد.

نظارت بر شبکه وظیفه‌ای بسیار مهم برای اطمینان از امنیت و سلامت شبکه است، اما لزومی به تحت فشار کاری قرار دادن منابع بخش IT داخلی سازمان بدین منظور وجود ندارد؛ به‌ویژه زمانی که پروژه­های مهم و نیازمند تکمیل دیگری نیز وجود دارند.

در این سناریو، در حالی که هم NOC و هم SOC می­‌توانند با هر یک از کارکنان IT داخلی کار کنند، با این حال عملکرد آن‌ها کمی متفاوت است. با توجه به این‌که تمرکز یک SOC به طور ویژه بر امنیت است، وظیفه اصلی آن کمک به کارکنان امنیت داخلی در نظارت بر تهدیدهای شبکه و رفع آن­هاست.

یک NOC می­‌تواند به طور گسترده‌­تری به کمک به بخش IT داخلی سازمان بپردازد. مراکز عملیات شبکه می­‌‍تواند علاوه بر پاسخ‌گویی به درخواست­‌های پشتیبانی کارکنان میدانی، در پیاده‌سازی پروژه­‌هایی مانند ارتقا­ء زیرساخت‌ها نیز کمک کنند.

با واگذاری امکان مدیریت برخی پروژه­‌های مربوط به شبکه به یک NOC یا SOC، بخش IT داخلی سازمان قادر به تکمیل پروژه‌های دیگری مانند ارتقاء شبکه یا استقرار بهتر آن برای انجام این مهم در آینده خواهد بود.

نیاز به کمک امنیتی

در صورتی که یک کسب‌وکار در معرض خطر بوده یا برای نظارت و رفع تهدیدهای سایبری مانند باج‌­افزار به کمک نیاز داشته باشد، SOC می­‌تواند انتخاب بهتری باشد.

با توجه به تمرکز SOCها بر روی امنیت، آن­ها قادر به پاسخ‌گویی به هر تهدیدی هستند.

به عنوان مثال، SOCها Log‌های مربوط به فعالیت‌ها و ارتباطات را در تمام شرکت جمع­‌آوری، حفظ و بررسی می­‌کنند. همچنین، جهت اطمینان از انطباق با مقررات محرمانگی‌هایی مانند HIPPA، آن­ها قادر به حسابرسی منظم سیستم­‌های خود هستند.

یک  NOCنیز قادر به انجام برخی از این امور است اما، SOCها را می­توان به شکل بهتری برای مدیریت امور تخصصی در حوزه امنیت تجهیز کرد.

[۱] Network operations center

[۲] Security operations center

[۳] Managed service provider

[۴] Remote monitoring and management

[۵] Disaster recovery

[۶] Cyber breach

[۷] Chief Information Security Officer

[۸] Uptime

[۹] Service level agreement

[۱۰] High alert