هدف عملیاتهای امنیت سایبری، محافظت از وبسایتها، دادهها، پایگاههای داده و کانالهای ارتباطی است. یک مرکز عملیات امنیت[۱] (SOC) علاوه بر این موارد، باید از فرایندهای کسبوکارهای یک سازمان نیز محافظت کند. یک SOC داخلی، کنترل کامل نظارت بر حوادث امنیتی را در اختیار سازمان قرار داده و در نتیجه آن، سازمان میتواند عملیاتهای امنیتی را متناسب با نیازهای گروهها و تیمهای مختلف تنظیم کند. ایجاد یک SOC داخلی و دستیابی به مزایای ذکر شده هزینهبر است؛ با توجه به این موضوع، تعداد روزافزونی از سازمانها تمایل به واگذاری عملیات امنیتی خود به “ارائهدهندگان خدمات امنیت مدیریت شده”[۲] (MSSPها) هستند.
تصمیمگیری در مورد ایجاد یک SOC داخی یا برونسپاری SOC از تصمیمات بسیار مهم و حیاتی برای موفقیت کسبوکارها به شمار میرود.
برای ایجاد و مدیریت عملیاتهای امنیتی سایبری، دو گزینه پیش روی سازمانها قرار دارد: به صورت درونی یا برونسپاری به شخص ثالث. با توجه به این مساله، انتخاب بین یک SOC داخلی یا استفاده از خدمات SOC ارائهشده توسط MSSPها از تصمیمات بسیار مهم و حیاتی برای موفقیت کسبوکارها است.
گزارشهای به دست آمده از صنعت بیانگر این هستند که بیش از نیمی از سازمانها از خدمات مشورتی برونسپاری شده امنیت IT استفاده میکنند.
شکل ۱. درصد سازمانهایی که مابین سالهای ۲۰۱۴ تا ۲۰۱۷ سرویسهای امنیتی مختلف بخش IT خود را برونسپاری کردهاند (منبع: Statista)
این سازمانها، که بیشتر متکی بر عملیاتهای امنیت سایبری مدیریت شده داخلی هستند، از شرکتهای امنیتی در مورد چگونگی ایجاد و مدیریت لایههای دفاعی امنیت سایبری مشاوره دریافت میکنند.
در سوی مقابل، ۳۸ تا ۴۹ درصد از سازمانها سرویسهای امنیت IT مربوط به شناسایی و نظارت بر تهدیدات، پاسخگویی به وقایع، هوش تهدید و رفع مخاطرات امنیتی را برونسپاری میکنند. به جرات میتوان گفت که بیشتر این سازمانها تمام خدمات ارائه شده توسط یک SOC را به اشخاص ثالث برونسپاری میکنند.
بررسیهای انجام شده بیانگر این است که پیچیدگیهای روزافزون تهدیدهای سایبری در سالیان گذشته، منجر به تمایل سازمانها به برونسپاری یک و یا تعداد بیشتری از عملیاتهای امنیتی خود شده است. انتخاب استراتژیک بین یک SOC داخلی یا یک SOC برونسپاری شده نیازمند در نظر گرفتن عوامل زیادی است. انتخاب صحیح میتواند اثرات بسیار مهمی داشته باشد چرا که به عنوان مثال، نفوذ یک کد مخرب به سیستمهای یک کسبوکار میتواند تمام کسبوکار را نابود سازد. بنابراین، زمانی که یک سازمان تصمیم به برونسپاری عملیاتهای امنیت IT خود میگیرد، مدیران سطح بالای سازمان باید به طور کامل، تمام مزایا و زیانهای حاصل را ارزیابی کنند.
مزایای برونسپاری SOC
با توجه به هزینه، راهاندازی و نگهداری یک مرکز SOC پیچیده، برای اکثریت قریب به اتفاق شرکتهای با اندازه کوچک و متوسط غیر ممکن است. این مساله در مورد یافتن نیروهای مستعد جهت ایجاد و اجرای یک SOC، مطابق با نیازمندیهای روزافزون امنیت IT، نیز صادق است. کنار آمدن با تمایلات معمولا متضاد تیمها و گروهها در ساختار سازمان نیز چالش مهم دیگری است که پیش روی این سازمانها قرار دارد.
- دستیابی سریع به مهارتهای امنیت سایبری
انتخاب یک SOC بیرونی از طریق یک فرایند مناقصه، که به واسطه آن سازمان قادر به انتخاب ارائهدهندهای با بهترین قیمت پیشنهادی بوده و به مجموعهای از کارشناسان خبره امنیت سایبری دسترسی خواهد یافت، این مشکلات را حل میکند.
یک MSSP، با انجام یک حسابرسی امنیت سایبری مستقل، شکافهای امنیتی را شناسایی کرده و منافع تمام ذینفعان را به طور متعادل در نظر میگیرد.
مزیت اصلی بهکارگیری کارشناسان امنیت سایبری بیرونی این است که با انجام این انتخاب، متخصصانی مجرب در زمینه ایمنسازی محیطهای مشابه که به پایگاه دادههای تحقیقاتی و نظارتی در زمینه تهدیدات سایبری نیز دسترسی دارند، سریعا در دسترس خواهند بود.
- سهولت اجرا و مقیاسپذیری
با توجه به اینکه عملیاتهای امنیت امروزی با زیرساختهای IT پیچیده و تهدیدهای سایبری پیشرفته سروکار دارند، انتخاب یک SOC داخلی هزینهبر بوده و پیادهسازی آن دشوار خواهد بود. یک SOC هم باید از محیط داخلی سازمان دفاع کند و هم از مکانها و دستگاههای موبایلی که از راه دور به شبکه متصل هستند که مورد دوم، با توجه به تعداد در حال افزایش کارکنان دورکار، چالشهای زیادی را به همراه دارد.
مقیاسپذیری یکی دیگر از مشکلات SOCهای داخلی است، چرا که سازمانها باید به طور مداوم به گسترش و بهروزرسانی ابزارهای نرمافزاری و سختافزاری لازم برای پشتیبانی از سطح قابل قبولی از امنیت سایبری سرمایهگذاری کنند؛ به همین دلیل است که در صورت انعقاد قرارداد SOC بیرونی، بازگشت سرمایه[۳] بیشتری برای سازمان وجود خواهد داشت.
- خدمات بدون وقفه و تضمینی
تهدیدهای سایبری و خرابکاران، بدون وقفه وجود داشته و به طور شبانهروزی و با استفاده از ابزارهای مخرب خودکار، در جستجوی آسیبپذیریهای شبکه هستند. با توجه به الزامی بودن پاسخگویی سریع برای قرنطینه کردن یک تهدید و جلوگیری از گسترش آن در سطح شبکه، حفظ تمام وقت عملیاتهای امنیت سایبری به نیروهای امنیتی بیشتری نیاز دارد.
یک MSSP با اجرای تمام وقت و بدون وقفه SOC و با پایبند بودن به یک توافقنامه سطح خدمات[۴]، که دامنه و نحوه ارائه خدمات را مشخص میکند، موجب آرامش خاطر سازمانها خواهد شد. توافقنامه سطح خدمات همچنین موجب اطمینان سازمانها از دستیابی به تمام بهروزرسانیهای نرمافزاری و اصلاحیههای موردنیاز به محض ارائه و همچنین آماده و در اختیار بودن اقدامات متقابل علیه تهدیدات جدید میشود.
- دسترسی به هوش تهدید
تهدیدهای سایبری سریعتر از ابزارهایی که برای مقابله با آنها ایجاد میشوند، در حال تکامل هستند. با توجه به این مساله، یک SOC پیشرفته باید هم قادر به ارائه دفاع سایبری پیشنگر و هم هوش تهدید باشد، که شامل تحقیق و محافظت در مقابل تهدیدهای ناشناخته است.
پشتیبانی از یک گروه هوش تهدید که قادر به یافتن و شناسایی موثر انواع کدهای مخرب جدید باشد، تنها از عهده شرکتهای تخصصی در زمینه خدمات امنیت سایبری برمیآید. با انتخاب یک راهکار SOC بیرونی، سازمان به یک تیم هوش تهدید دسترسی پیدا میکند که علاوه بر تحقیقات و تجربیات داخل سازمانی، به پایگاههای داده تهدید بهروز و ابزارهای موردنیاز برای مبادله اطلاعات مابین اعضای جامعه جهانی متخصصان امنیت سایبری دسترسی دارد.
- صرفهجویی در هزینههای کلی امنیت سایبری
تهیه و تقبل سرمایه اولیه موردنیاز برای ساخت یک SOC و همچنین هزینههای آتی آن برای سازمانهای معمولی دشوار است. برآوردها نشاندهنده این است که هزینه اداره یک SOC موثر به صورت داخلی برای یک کسبوکار، دو برابر هزینه برونسپاری عملیاتهای امنیت سایبری است. یک MSSP میتواند از صرفهجویی ناشی از مقیاس سود ببرد که در نتیجه آن، هزینههای عملیاتی سازمانهایی که از خدمات آنها استفاده میکنند، کاهش مییابد.
علاوهبراین، باید توجه شود که هزینههای برونسپاری فعالیتهای SOC به عنوان “هزینههای جاری یا عملیاتی”[۵] (OPEX) حساب میشود و نه “هزینههای سرمایهای”[۶] (CAPEX)، که در نتیجه، تامین بودجه آن آسانتر است.
چکلیست برونسپاری SOC
چکلیست زیر به منظور کمک به سازمانها جهت اتخاذ تصمیمات امنیتی هوشمندانه و به عنوان یک راهنما برای یافتن یک SOC مدیریت شده ایجاد شده است:
- نظارت بر تهدید بلادرنگ
نظارت بر تهدید بلادرنگ به معنای نظارت مستمر و تمام وقت با تمرکز بر خدمات تشخیص تهدید و بازرسی امنیت سایبری برای تمامی حوادث امنیتی است. نرخ هشدارهای کاذب در ابزارهای SIEM به شدت زیاد است که در نتیجه این مساله، جداسازی هشدارهای کاذب و انجام بازرسی امنیت سایبری متناسب بر روی هشدارهای امنیتی واقعی و مهم، برای تیمهای امنیتی که از تعداد کافی نیروی امنیتی برخوردار نیستند، دشوار میشود. برای دستیابی به آرامش خاطر مداوم، باید اطمینان حاصل شود که ارائهدهنده SOC قادر به شناسایی فعالیتهای تهدیدآمیز در تمام ساعات شبانهروز باشد.
- پیچیدگی
موسسه گارتنر اخیرا یک بازار امنیت سایبری پررونق را شناسایی کرده که به عنوان “تشخیص و پاسخگویی مدیریت شده”[۷] (MDR) شناخته میشود.
همانطور که قبلا نیز بیان شد، عنصر “تشخیص” برای شناسایی تهدیدها حیاتی است؛ با این حال، یک SOC باید “پاسخگویی به وقایع”[۸] را نیز ارائه کند. در این زمینه، سازمانها به همکارانی نیاز دارند که اثربخشی، دقت، قاطعیت و سرعت پاسخگویی به وقایع را افزایش دهند. باید توجه شود که در صورت عدم تامین شبانهروزی پاسخگویی به وقایع، دیگر با یک SOC سروکار نداریم.
- شکار تهدید پیشنگر
شناسایی تاکتیکهای هک بسیار پیشرفته، شدیدا دشوار است و روز به روز نیز بر دشواری آن افزوده میشود. این بدین معنی است که پیکربندیهای شبکه باید بهطور مداوم و با توجه به جدیدترین و هوشمندانهترین تهدیدهای سایبری تنظیم شوند. بنابراین، مسئولیت یادگیری توپولوژی شبکه منحصربهفرد مشتریان و شکار تهدیدهایی که با احتمال زیاد توسط روشهای سنتی قابل شناسایی نیستند، بر عهده اپراتورهای امنیتی است. این به معنای استفاده از منابع هوش تهدید مرتبط، بهکارگیری روشهای یادگیری ماشینی و تجزیه و تحلیل رفتار کاربران، و انجام هرکار ممکنی در جستجوی حوادث امنیتی واقعی اثرگذار بر مشتریان است.
- مشاوره راهبردی
با نظارت بر شبکه و شکار تهدیدهای جدید، مهندسان امنیت اختصاصیافته به سازمان درک عمیقی از توپولوژی شبکه و محل داراییهای حیاتی سازمان، که باید با یک استراتژی امنیتی چند لایه مورد محافظت قرار گیرند، بهدست میآورند. از آنجا که از یک SOC داخلی کمتر از این انتظار نمیرود، این مهم را باید از یک SOC خارجی نیز تقاضا نمود. در صورت استفاده از یک SOC بیرونی، علاوه بر تکنولوژی مقیاسپذیر مبتنی بر Cloud، فرآیندهای پاسخ به وقایع مشخص و واضح، و افراد (مهندسان امنیت) آموزش دیده، مشتریان را قادر میسازد تا از وضعیت کلی امنیتی خود اطلاع کسب نمایند. این امر در دراز مدت به یک سازمان در مدیریت موثرتر مخاطرات تجاری کمک میکند.
- مدیریت انطباق
از یک SOC انتظار میرود که حداکثر پیروی از قواعد انطباقی اعم از HIPAA، HITECH، PCI DSS، FFIEC، GLBA یا هر استاندارد دیگری که باید به آن پایبند بود، را داشته باشد. این به معنای ارائه الگوهایی برای کنترلهای امنیتی موردنیاز و توصیه شده، و مبنا قرار دادن ارزیابیهای آسیبپذیری بر میزان پایبندی سازمانها به استانداردهای نظارتی است. ضرر و زیانهای وارده به سازمانها در زمینه امنیت سایبری تنها از سمت هکرها ایجاد نشده و با توجه به افزایش سریع مجازاتهای سنگین عدم انطباق با قواعد نظارتی، باید از مدیریت تمام مخاطرات توسط ارائهدهنده SOC اطمینان حاصل شود.
- قیمتگذاری قابل پیشبینی
قیمتگذاری سرویس SOC بیرونی نباید بر اساس تعداد دستگاههای تحت نظارت یا مقدار دادههای Log تولید شده، متغیر باشد. یک ارائهدهنده SOC باید بر اساس تعداد کاربران و سنسورها، نه میزان دادههای Log و یا تعداد نقاط پایانی و سرورهای تحت نظارت، یک مدل قیمتگذاری ثابت پیشنهاد دهد. مدل قیمتگذاری قابل پیشبینی مخصوصا برای کسبوکارهای با اندازه کوچک و متوسط، که ممکن است در صورت وجود نوسان زیاد در هزینههای خدمات مدیریت شده با مشکل مواجه شوند، از اهمیت زیادی برخوردار است.
[۱] Security Operations Center
[۲] Managed Security Service Provider
[۳] Return of Investment
[۴] Service Level Agreement
[۵] Operating expenses
[۶] Capital expenses
[۷] Managed detection and response
[۸] Incident response