جهت مانیتورینگ مداوم و پاسخ به تهدیدات، سازمانها معمولاً به سراغ مرکز عملیات امنیت یا SOC میروند که پیشگیری، شناسایی و پاسخ به حوادث امنیت سایبری را بهصورت متمرکز و تجمیعشده فراهم مینمایند.
بنا به گفتهی موسسهی Gartner، پنج مدل متفاوت برای ساخت و حفظ یک SOC وجود دارد. برخی از این مدلها فقط به سازمانهای خیلی بزرگ قابلاعمال هستند، درحالیکه مدلهای دیگر برای تمام سازمانها کارآمد میباشند.
بررسی ۵ مدل مختلف مرکز عملیات امنیت (SOC)
در این مقاله تفاوت بین ۵ مدل مختلف مرکز عملیات امنیت (SOC) شرح داده میشود. مدلها براساس هزینه، مزایا و معایب سنجیده شده و اصولی ارائه میگردد که به کاربر کمک میکند بهترین انتخاب را انجام داده و جایگزینهایی را برای سازمانهایی فراهم کند که نیازمند گزینههایی مقرونبهصرفهتر هستند.
مدلهای مختلف مرکز عملیات امنیت (SOC): SOC مجازی
SOC مجازی چیست؟
یک SOC مجازی یا VSOC در یک مکان اختصاصی قرار ندارد و همچنین دارای زیرساخت اختصاصی نیست. این مدل از SOC یک پورتال مبتنی بر وب است که روی تکنولوژیهای امنیتی غیرمتمرکز ساخته شده که به تیمهای خارج از سایت اجازه میدهد رخدادها را مانیتور کرده و به تهدیدات پاسخ دهند.
مزایای SOC مجازی
این SOC صرفهجویی قابلتوجهی را در زمینهی سختافزار On-Premises و زیرساختهای دیگر برای کاربران دارد و وقتی حادثهای رخ دهد، میتوان روی فعالیت تیمهای مجازی حساب کرد.
معایب SOC مجازی
VSOC تا حد زیادی یک رویکرد واکنشی است. احتمال اینکه تکنولوژیها و فرایندهای غیرمتمرکز شکافهایی امنیتی باقی بگذارند بسیار زیاد است که باعث میشود شناسایی و پاسخ به تهدید کارآمدی کمتری داشته باشد. ازآنجاییکه VSOC معمولاً با پرسنل نیمهوقت از مکانهای دور کار میکند، نمیتوان روی یک تیم ۲۴ ساعته، مختص به امنیت حساب باز کرد.
رویکردهای جایگزین
میتوان از طریق خودکارسازی، تکنولوژی SIEM و تجزیهوتحلیل، VSOC را بهبود بخشید.
برخی از سازمانها نیز تصمیم میگیرند که VSOC خود را برونسپاری کنند. بااینکه این کار قابلیتهای امنیتی و دسترسی به منابع تخصصی را افزایش میدهد، قابلیت دید داخلی در محیط را کاهش میدهد و وقتی که حادثهای تشدید شود، ممکن است منجر به طولانیتر شدن پاسخها گردد.
مدلهای مختلف مرکز علیات امنیت (SOC): SOC/NOC چندمنظوره
SOC/NOC چندمنظوره چیست؟
این مدل که ترکیب SOC با یک مرکز عملیات شبکه یا NOC است، دارای یک تیم، مرکز و زیرساخت اختصاصی است. یک SOC/NOC چندمنظوره از عملکردهای امنیتی فراتر میرود و شامل عملیات IT، تطبیقپذیری و مدیریت ریسک است.
مزایای SOC/NOC
مزیت اصلی این مدل کاهش هزینهها است، زیرا پرسنل را تجمیع کرده و هزینههای تأسیساتی را به حداقل میرساند. بهترین کارایی این مدل برای سازمانهای کوچکتر با ریسک پایین و سازمانهایی است که دارای مسئولیتهای امنیتی مشترک در تیمهای مختلف هستند.
معایب SOC/NOC
SOC/NOC چندمنظوره دارای تأکید کمتری روی امنیت است. با اینکه تیم چندمنظوره کارهای امنیتی اصلی را انجام میدهد، تقسیم توجه به نیازهای امنیتی، IT و شبکهی متفاوت منجر به تضعیف دفاعهای امنیتی خواهد شد.
بهعلاوه، یک تیم چندمنظوره باید مجموعه مهارتهای وسیعتری داشته باشد تا بتواند به مجموعهی گستردهای از مشکلات بپردازد. این یعنی احتمالاً تخصص امنیتی عمیقی نخواهند داشت و این امر یکی از معایب بزرگ است، زیرا دفاع در برابر تهدیدات پیچیده و رو به تکامل امروز نیازمند دانش پیشرفته و بهروز از بهترین راهکارهای امنیتی است.
مدلهای مختلف مرکز علیات امنیت (SOC): SOC با مدیریت مشترک
SOC با مدیریت مشترک چیست؟
در SOC با مدیریت مشترک، راهکارهای مانیتورینگ On-Site افزایش پیدا میکنند، درحالیکه ممکن است برخی از مسئولیتها به کارمندان خارجی واگذار شوند.
دلیل کلیدی برای انتخاب این مدل محدودیت منابع و بودجه است. نقطهضعف این مدل از دست رفتن کنترل و عدم شخصیسازی خدمات و مسئولیتها است. باید تعادل مناسبی بین کنترل داخلی و آنچه برونسپاری میگردد پیدا شود، زیرا کارآمدی این مدل به آن دو انتخاب وابسته است.
مزایای SOC با مدیریت مشترک
SOC با مدیریت مشترک انعطاف بیشتری را ارائه میدهد، زیرا میتوان برخی از تکنولوژیها مثل ابزار مدیریت رخداد و اطلاعات امنیت یا SIEM را بهصورت On-Premises یا در Cloud پیادهسازی کرد. همچنین میتوان تصمیم گرفت که چه نوع تیم داخلی بهترین تناسب را با نیازهای سازمان دارد. وقتی این مدل بهخوبی مدیریت شود، مزایای بسیار خوبی را ارائه داده میتواند نتایج خوبی داشته باشد.
معایب SOC با مدیریت مشترک
یک SOC با مدیریت مشترک توسط ارائهکنندگان خدمات امنیتی مدیریتشده یا MSSPها ارائه میگردد که تخصص اصلی آنها عملیات امنیت است اما ممکن است لازم باشد برای سختافزار اضافی سرمایهگذاری شود..
مدلهای مختلف مرکز علیات امنیت (SOC): SOC اختصاصی
SOC اختصاصی چیست؟
SOC اختصاصی یک SOC متمرکز با زیرساخت، تیم و فرایندهای اختصاصی است که کاملاً روی امنیت متمرکز است. بزرگی یک SOC اختصاصی بستگی به بزرگی سازمان، ریسکها و نیازهای امنیتی دارد.
معمولاً یک SOC اختصاصی برای مانیتورینگ و عملیات ۲۴ ساعته، حداقل پنج تا هشت متخصص داخلی در سطوح مختلف دارد. داشتن یک SOC اختصاصی برای سازمانهای جهانی که در مکانهای مختلف دادههای خصوصی دارند و باید با قوانین و سیاستهای امنیتی سازگار باشند، ضروری است.
مزایای SOC اختصاصی
یک SOC اختصاصی مالکیت کاملی را از تکنولوژیها و فرایندها ارائه میدهد. تیم داخلی همچنین دارای بهترین توانایی برای مانیتور کردن محیط است و بهترین قابلیت دید را برای داشتن تصویر کاملی از چشمانداز تهدید و امنیت خواهد داشت.
معایب SOC اختصاصی
این مدل نیازمند یک سرمایهگذاری بزرگ است که باعث میشود در بودجهی بسیاری از سازمانها نگنجد. بهترین کاربرد این مدل در سازمانهای بزرگ و آژانسهای دولتی با زیرساخت IT گسترده میباشد که دائماً تحت حمله هستند، زیرا این سازمانها معمولاً منابع لازم را برای ساخت و حفظ این SOC دارند.
مدلهای مختلف مرکز علیات امنیت (SOC): Command SOC
Command SOC چیست؟
یک Command SOC دارای چندین SOC توزیعشده در چندین مکان است که معمولاً در نقاط مختلف جهان قرار دارند. سازمانهایی که از این مدل استفاده میکنند شامل شرکتهای Global 2000، ارائهدهندگان مخابرات بزرگ و آژانسهای دفاعی هستند. Command SOC معمولاً SOCهای دیگر را کنترل میکند و همچنین جرمشناسی و دیگر فرایندهای بازیابی را انجام میدهد.
مزایای Command SOC
Command SOC توسط تیم بزرگی از متخصصان امنیتی و یک تیم تحقیقاتی امنیتی با تواناییهای شکار تهدید مدیریت میشود.
معایب Command SOC
این مدل بیشتر روی مدیریت هوش تهدیدات و آگاهی موقعیتی متمرکز است تا روی عملیات امنیتی روزمره.
انتخاب بهترین SOC برای سازمان
میتوان یک SOC را بهعنوان بخشی از یک استراتژی جامع پیادهسازی کرد تا از سازمانهای بزرگ و کوچک در مقابل تهدیدات پیشرفته حفاظت گردد. اما هیچ راهکاری وجود ندارد که مناسب تمام سازمانها باشد و تعادل کاملی را بین هزینه و کارآمدی فراهم کند.
برای برخی از کسبوکارها، بودجههای امنیتی محدود و کمبود تخصص داخلی، موانعی را در پیادهسازی برنامهای کارآمد و دارای حفاظت کافی ایجاد میکند. برای حل این مشکل، سازمانها باید انتخاب یک SOC از ارائهدهندگان عملیات امنیت مدیریتشده یا MSSP را مد نظر قرار دهند.
امنیت مدیریتشده یک مدل برونسپاری است که قابلیتهای IT داخلی یا تیم امنیتی را گسترش میدهد. این مدل شامل یک راهکار شناسایی و پاسخ مدیریتشده یا MDR میباشد که مشکل تشخیص بهترین روش یا تکنولوژی برای شناسایی و پاسخ به تهدید را از بین میبرد.
یک مدل عملیات امنیتی مدیریتشده با مانیتورینگ، شناسایی و پاسخ مداوم به تهدیدات ابزار امنیتی کنونی شبکه را تکمیل میکند. این مدل همچنین شامل دیگر راهکارهای عملیات امنیتی است که به ارزیابی و حذف آسیبپذیری و کاهش ریسک سایبری کمک میکند.