تصمیمگیری درباره ایجاد یک SOC داخلی یا انتخاب یک MSSP برای رفع نگرانیها در مورد امنیت اطلاعات میتواند برای شرکتهایی که به دنبال بهبود وضعیت امنیتی خود هستند، فرآیندی دشوار و زمانبر باشد. در این مطلب مزایا و معایب انتخاب هر یک از این دو گزینه را بررسی خواهیم کرد.
در ادامه به بررسی انتخاب SOC یا یک MSSP، خواهیم پرداخت.
سوالات:
– نیازمندیهای یک سازمان برای ساخت یک SOC چه هستند؟
– چه سازمانهایی باید از MSSP استفاده کنند؟
– مزایای ساخت SOC چیست؟
– مزایای استفاده از سرویسهای MSSP چیست؟
– ساخت یک SOC بهتر است یا استفاده از سرویسهای یک MSSP ؟
– هزینه ساخت یک SOC شامل چه مواردی میشود؟
– استفاده از سرویسهای یک MSSP چه هزینههایی را در بر دارد؟
– تفاوتهای SOC و MSSP چه هستند؟
تصمیمگیری درباره ایجاد یک SOC داخلی یا انتخاب یک MSSP برای رفع نگرانیها در مورد امنیت اطلاعات میتواند برای شرکتهایی که به دنبال بهبود وضعیت امنیتی خود هستند، فرآیندی دشوار و زمانبر باشد. در این مطلب مزایا و معایب انتخاب هر یک از این دو گزینه را بررسی خواهیم کرد.
ایجاد یک SOC:
یک SOC (Security Operation center) مجموعهای متمرکز است که در سطح فنی با رخدادهای امنیتی در یک سازمان سر و کار دارد. به طور معمول یک SOC از مجموعهای از ابزارها، فرایندها و کارکنان تشکیل شده که فعالیت این واحدها متمرکز بر کشف، ارزیابی و بررسی حوادث امنیتی است. برای تخمین قطعات کلیدی مورد نیاز در ساخت یک SOC، لازم است درک کافی در مورد بخشهای اصلی سازنده آن وجود داشته باشد. مثالی از عملیاتهای سهگانه امنیتی یک SOC در شکل زیر آورده شده است:
در سطحی بالا، عملیات سهگانه امنیتی از اجزا زیر تشکیل شده است:
- افراد: کارکنانی که به فعالیت در زمینه رخدادهای امنیتی میپردازند، مانند تحلیلگران SOC و پاسخدهندگان به رویدادهای امنیتی.
- فرایندها: به کارکنان کمک میکنند تا به طور کارا در مورد رخدادهای امنیتی تحقیق کرده و اطمینان از انجام موفق همه کارها، در زمان مناسب، را ایجاد میکنند.
- تکنولوژیها: قابلیت رویت (visibility) شبکه و ابزارهای مناسب برای نظارت و شناسایی علائم خرابکارانه را در اختیار کارکنان قرار میدهند.
با توجه به اینکه ساخت یک SOC میتواند هزینه زیادی داشته باشد، ضروری است قبل از آغاز کار میزان بودجهای که از طرف سازمان برای این هدف در اختیار است، مشخص شود. یک بودجه امنیتی خوب باید حداقل ۵ درصد کل بودجه IT سازمان باشد. در ادامه باید یک نقشهراه با مراحل ساختاریافته که قصد انجام آنها در دورههای سه ماهه (یا هر مدت مناسب دیگری) وجود دارد، تهیه شود .به عنوان مثال، یک مرحله میتواند بهبود قابلیت رویت شبکه و افزایش توانایی تحلیل در راستای کشف فعالیتهای خرابکارانه با پیادهسازی یک SIEM مانند APK SIEM باشد که این مرحله به شکلگیری هسته SOC از منظر تکنولوژی کمک میکند. یک مرحله دیگر میتواند ایجاد مجموعهای از Use Case ها و کتابهای آموزشی جهت کمک به تحلیلگران جهت شناسایی و پاسخ به فعالیتهای مخرب باشد. تهیه این نقشهراه به شناسایی و اولویتبندی قسمتهای کلیدی برای پیادهسازی کمک میکند. مراحل در نظر گرفته شده باید بر ایجاد یا تکمیل تیمهای تشکیلدهنده SOC مانند تیمهای نظارت و کشف (Monitoring And Detection)، جرمیابی (Forensics)، جلوگیری از از دست دادن داده (Loss Data Prevention) و هوش تهدید (Threat Intelligence) متمرکز باشند.
در ادامه برخی از مزایای یک SOC در مقایسه با یک MSSP ذکر شده است:
SOC | MSSP |
قابلیت شخصیسازی SIEM. | شخصیسازی محدود، هر چند ممکن است برخی از ارائهدهندگان قابلیت مدیریت SIEM را در اختیار قرار دهند. |
ذخیره Logها به صورت محلی. | Logها ممکن است به صورت محلی ذخیره نشده و مشتریان ممکن است به Console Analyst دسترسی نداشته باشند. |
کارکنان اختصاصی. | کارکنان مسئول نظارت بر چندین شبکه هستند. |
درصورتی که SOC به طور مناسب پیادهسازی و تحلیلگران SOC به خوبی آموزش دیده باشند ، تا حد زیادی زمان مورد نیاز برای رسیدگی به مشکلات امنیتی را کاهش میدهد، اما یک معیار کلیدی برای ارزیابی یک SOC زمان رفع مشکلات امنیتی است که در آغاز ساخت، این زمان زیاد بوده و در طول زمان با بهبود SOC کاهش خواهد یافت.
در صورت وجود امکانات زیر ساخت یک SOC میتواند گزینه مناسبی برای یک سازمان باشد:
- فرایندها و سیاستهای عملیاتی مناسب: تحلیلگران محتوای مستند شده را بررسی کرده و تایید کنند که مراحل در نظر گرفته شده فاقد اشتباه هستند.
- بودجه مناسب: حداقل ۵ درصد از کل بودجه IT سازمان در اختیار باشد.
- تحلیلگران SOC و پاسخدهندگان به وقایع امنیتی به خوبی آموزش دیده:دورههای آموزشی داخلی جهت توسعه مجموعه مهارتهای تحلیلگران برگزار شده یا بودجهای مازاد برای در دسترس قرار دادن آموزشهای مورد نیاز از خارج از سازمان (مثلا موسسه SANS) موجود باشد.
- قابلیت رهبری فنی، مدیریت SOC: توانایی دنبال کردن مراحل مشخص شده در نقشهراه به دست آمده وجود داشته باشد.
انتخاب یک MSSP:
سازمان ها با برون سپاری مدیریت امنیت به یک MSSP (Managed Security Service Provider) که صرفا بر تامین امنیت و کاهش خطرات ساختارIT، متمرکز است تضمین مضاعفی دارند که محیطشان امن باشد.MSSP ها به خاطر اینکه مشتریان متعددی دارند به آن ها این امکان را می دهند که دید بیشتری نسبت به تهدیدات یک سازمان داشته باشند و نیز اجازه می دهند که تهدیدات را همبسته سازی کنند ، همچنین به خاطر وجود مشتریانشان فرایندهای ثابتی برای مانیتور کردن و مدیریت امنیت رخداد ها دارند.
انتخاب یک MSSP یک تصمیم سخت برای هر کسی است. MSSP میتواند باعث تقویت SOC شود اما در سازمان های بزرگ هرگز جایگزینی برای واحد امنیت داخلی نیست. قبل از انتخاب یک MSSP، بهتر است ابتدا نیازهای سازمان شناسایی شود. مثالهایی از دلایل ترغیب سازمانها به انتخاب یک MSSP برای پشتیبانی عملیات امنیت عبارت است از:
- تیم امنیت اطلاعات سازمان نیروی کمی داشته و به کمک برای Monitoring شبکه نیاز دارد.
- سازمان نیاز به پیادهسازی محیطی ۲۴×۷×۳۶۵ داشته باشد.
- سازمان از عهده ساخت یک SOC بر نیاید.
در هنگام انتخاب یک MSSP، لیست کردن نیازهای سازمان برای کسب آگاهی در مورد مناسبترین سرویس MSSP رویکردی مناسب است. نمونههایی از سرویسهایی که توسط MSSP ها ارائه میشود را در ادامه خواهید دید:
- نظارت: هشدار و مشاوره در مورد رخدادهای امنیتی.
- نظارت و مدیریت: نظارت بر logها با قابلیت تغییر در محیط مشتری.
- مدیریت محصول: قابلیت تغییر در دستگاههای امنیتی مانند فایروال.
تهیه لیستی از سوالات برای ارسال به یک MSSP شروع خوبی برای کمک به آنها برای درک نیازهای سازمان است. در ادامه، ممکن است MSSP فرمهای خود را برای کسب اطلاعات بیشتر و دقیقتر در مورد شبکه سازمان (سختافزارها، حجم log ها و …) به شما ارسال کند. پس از تحلیل مناسب از نیازمندیهای شما، سرویسهای مناسبی که نیازمندیهای شما را برآورده سازد از طرف MSSP به شما پیشنهاد خواهد شد. هزینه هر سرویس بسته به تعداد دستگاه و حجم logهای مورد نیاز به نظارت و مدیریت متغیر خواهد بود. مثالی از هزینههای پیادهسازی و نگهداری مداوم یک SIEM در مقابل هزینه انتخاب یک MSSP در جدول زیر آورده شده است:
هزینههای آغازین (راهاندازی) به ریال |
|||
ریز هزینه | SIEM | MSSP | درصد صرفهجویی |
پلتفرم SIEM (شامل ذخیرهسازی دادهها) | ۶۰% | شامل شده | |
هزینه نیروی کار مورد نیاز برای پیادهسازی SIEM | ۲۵% | شامل شده | |
کامپیوترها و نرم افزارهای مورد نیاز برای نیروهای جدید | ۱۰% | شامل شده | |
آموزش ابتدایی SIEM | ۵% | شامل شده | |
هزینههای MSSP | ۰ | ۲۵% | |
کل هزینه اولیه | ۱۰۰% | ۲۵% | ۷۵% |
همانطور که جدول بالا نشان میدهد، هزینه اولیه استفاده از سرویسهای یک MSSP بسیارکمتر میباشد و هزینه های راه اندازی(License) و نگهداری صرفه جویی خواهد شد.
در ادامه، برخی از مزیتهای یک MSSP در مقایسه با یک SOC آورده شده است:
مزایای MSSP نسبت به SOC
شاخص | MSSP | SOC |
نیروی انسانی | دسترسی به تخصص امنیت و هوشمندی لازم جهت تحلیل تهدیدات. | به سختی میتوان تحلیلگر SOC با کیفیت یافته و استخدام کرد. |
پشتیبانی | وجود SOCهای ۲۴×۷×۳۶۵ آماده برای شناسایی و هشدار دادن درباره تهدیدهای امنیتی بالقوه. | پیادهسازی یک محیط SOC 24×۷×۳۶۵ با قابلیت فعالیت مناسب بسیار سخت است. |
هزینه | هزینه کمتر نسبت به ساخت یک SOC داخلی. | به سرمایه اولیه بیشتری نیاز دارد. |
سخن پایانی:
تصمیمگیری درباره ساخت یک SOC داخلی، استفاده از سرویسهای ارائه شده توسط یک MSSP و یا استفاده همزمان از هر دو رویکرد مسالهای چالشی برای هر سازمانی است. اما، صحبت درباره این موضوع در سازمان بدین معنی است که شما قصد بهبود برنامه امنیتی سازمان خود را دارید که خود قدمی مثبت در این راستا است. قبل از تصمیمگیری در مورد این مساله، لازم است سازمانها از بودجه، تخصص، وضعیت امنیت و … خود اطلاع داشته باشند. به نظر متخصصان، از آنجا که استفاده از سرویسهای یک MSSP سریعترین بازدهی را نسبت به هزینه صرف شده خواهد داشت، برای اغلب سازمانها بهتر است از سرویسهای یک MSSP استفاده کنند. ساخت یک SOC یک سرمایهگذاری بلند مدت است که مزیتهای مهمی را در درازمدت برای سازمانها خواهد داشت. اما، با توجه به شناخت سریعتر و کمهزینهتر میزان سلامت شبکه در صورت انتخاب یک MSSP، این گزینه برای اغلب سازمانها عملیاتیتر است. پس از انتخاب یک MSSP، هر ساله باید اهداف بازنویسی شده تا مطمئن شد که هنوز استفاده از یک MSSP گزینه خوبی برای سازمان است. در غیر این صورت، باید شروع به برنامهریزی جهت ساخت یک SOC نمایید. امید است این مطلب برای سازمانهایی که در حال تصمیمگیری برای ساخت یک SOC یا استفاده از خدمات یک MSSP هستند، مفید واقع شود.