چک‌لیست برون‌سپاری SOC

هدف عملیات‌­های امنیت سایبری، محافظت از وبسایت‌­ها، داده‌­ها، پایگاه‌های داده و کانال‌­های ارتباطی است. یک مرکز عملیات امنیت[۱] (SOC) علاوه بر این موارد، باید از فرایندهای کسب‌وکارهای یک سازمان نیز محافظت کند. یک SOC داخلی، کنترل کامل نظارت بر حوادث امنیتی را در اختیار سازمان قرار داده و در نتیجه آن، سازمان می­‌تواند عملیات­‌های امنیتی را متناسب با نیازهای گروه‌ها و تیم‌­های مختلف تنظیم کند. ایجاد یک SOC داخلی و دستیابی به مزایای ذکر شده هزینه­‌بر است؛ با توجه به این موضوع، تعداد روزافزونی از سازمان­‌ها تمایل به واگذاری عملیات امنیتی خود به “ارائه‌دهندگان خدمات امنیت مدیریت شده”[۲] (MSSPها) هستند.

تصمیم‌گیری در مورد ایجاد یک SOC داخی یا برون‌سپاری SOC از تصمیمات بسیار مهم و حیاتی برای موفقیت کسب‌وکارها به شمار می‌رود.

برای ایجاد و مدیریت عملیات­‌های امنیتی سایبری، دو گزینه پیش روی سازمان‌ها قرار دارد: به صورت درونی یا برون‌سپاری به شخص ثالث. با توجه به این مساله، انتخاب بین یک SOC داخلی یا استفاده از خدمات SOC ارائه‌شده توسط MSSPها از تصمیمات بسیار مهم و حیاتی برای موفقیت کسب‌وکارها است.

گزارش‌های به دست آمده از صنعت بیان‌گر این هستند که بیش از نیمی از سازمان­‌ها از خدمات مشورتی برون‌سپاری شده امنیت IT استفاده می‌کنند.

شکل ۱. درصد سازمان‌هایی که مابین سال‌های ۲۰۱۴ تا ۲۰۱۷ سرویس‌های امنیتی مختلف بخش IT خود را برون‌سپاری کرده‌اند (منبع:  Statista)

این سازمان­‌ها، که بیشتر متکی بر عملیات‌های امنیت سایبری مدیریت شده داخلی هستند، از شرکت‌های امنیتی در مورد چگونگی ایجاد و مدیریت لایه‌های دفاعی امنیت سایبری مشاوره دریافت می‌کنند.

در سوی مقابل، ۳۸ تا ۴۹ درصد از سازمان‌­ها سرویس­‌های امنیت IT مربوط به شناسایی و نظارت بر تهدیدات، پاسخ‌گویی به وقایع، هوش تهدید و رفع مخاطرات امنیتی را برون‌سپاری می­‌کنند. به جرات می‌توان گفت که بیشتر این سازمان­‌ها تمام خدمات ارائه شده توسط یک SOC را به اشخاص ثالث برون‌سپاری می­‌کنند.

بررسی‌های انجام شده بیان‌گر این است که پیچیدگی‌های روزافزون تهدیدهای سایبری در سالیان گذشته، منجر به تمایل سازمان‌ها به برون‌سپاری یک و یا تعداد بیشتری از عملیات­‌های امنیتی خود شده است. انتخاب استراتژیک بین یک SOC داخلی یا یک SOC برون‌سپاری شده نیازمند در نظر گرفتن عوامل زیادی است. انتخاب صحیح می‌تواند اثرات بسیار مهمی داشته باشد چرا که به عنوان مثال، نفوذ یک کد مخرب به سیستم‌های یک کسب‌وکار می­تواند تمام کسب‌وکار را نابود سازد. بنابراین، زمانی که یک سازمان تصمیم به برون‌سپاری عملیات‌­های امنیت IT خود می‌گیرد، مدیران سطح بالای سازمان باید به طور کامل، تمام مزایا و زیان‌های حاصل را ارزیابی کنند.

مزایای برون‌سپاری SOC

با توجه به هزینه، راه‌اندازی و نگهداری یک مرکز SOC پیچیده، برای اکثریت قریب به اتفاق شرکت‌­های با اندازه کوچک و متوسط غیر ممکن است. این مساله در مورد یافتن نیروهای مستعد جهت ایجاد و اجرای یک SOC، مطابق با نیازمند­ی­‌های روزافزون امنیت IT، نیز صادق است. کنار آمدن با تمایلات معمولا متضاد تیم­‌ها و گروه‌ها در ساختار سازمان نیز چالش مهم دیگری است که پیش روی این سازمان­‌ها قرار دارد.

• دستیابی سریع به مهارت­‌های امنیت سایبری

انتخاب یک SOC بیرونی از طریق یک فرایند مناقصه، که به واسطه آن سازمان قادر به انتخاب ارائه‌دهنده‌ای با بهترین قیمت پیشنهادی بوده و به مجموعه‌ای از کارشناسان خبره امنیت سایبری دسترسی خواهد یافت، این مشکلات را حل می­‌کند.

یک MSSP، با انجام یک حسابرسی امنیت سایبری مستقل، شکاف­‌های امنیتی را شناسایی کرده و منافع تمام ذی‌نفعان را به طور متعادل در نظر می‌گیرد.

مزیت اصلی به‌کارگیری کارشناسان امنیت سایبری بیرونی این است که با انجام این انتخاب، متخصصانی مجرب در زمینه ایمن‌سازی محیط­‌های مشابه که به پایگاه داده­‌های تحقیقاتی و نظارتی در زمینه تهدیدات سایبری نیز دسترسی دارند، سریعا در دسترس خواهند بود.

• سهولت اجرا و مقیاس‌پذیری

با توجه به اینکه عملیات­‌های امنیت امروزی با زیرساخت‌­های IT پیچیده و تهدیدهای سایبری پیشرفته سروکار دارند، انتخاب یک SOC داخلی هزینه­‌بر بوده و پیاده‌سازی آن دشوار خواهد بود. یک SOC هم باید از محیط داخلی سازمان دفاع کند و هم از مکان‌ها و دستگاه­‌های موبایلی که از راه دور به شبکه متصل هستند که مورد دوم، با توجه به تعداد در حال افزایش کارکنان دورکار، چالش‌های زیادی را به همراه دارد.

مقیاس‌پذیری یکی دیگر از مشکلات SOCهای داخلی است، چرا که سازمان‌­ها باید به طور مداوم به گسترش و به‌روزرسانی ابزارهای نرم­‌افزاری و سخت‌­افزاری لازم برای پشتیبانی از سطح قابل قبولی از امنیت سایبری سرمایه‌گذاری کنند؛ به همین دلیل است که در صورت انعقاد قرارداد SOC بیرونی، بازگشت سرمایه[۳] بیشتری برای سازمان وجود خواهد داشت.

• خدمات بدون وقفه و تضمینی

تهدیدهای سایبری و خرابکاران، بدون وقفه وجود داشته و به طور شبانه‌روزی و با استفاده از ابزارهای مخرب خودکار، در جستجوی آسیب­‌پذیری­‌های شبکه هستند. با توجه به الزامی بودن پاسخ‌گویی سریع­ برای قرنطینه کردن یک تهدید و جلوگیری از گسترش آن در سطح شبکه، حفظ تمام وقت عملیات­‌های امنیت سایبری به نیروهای امنیتی بیشتری نیاز دارد.

یک MSSP با اجرای تمام وقت و بدون وقفه SOC و با پایبند بودن به یک توافق‌نامه سطح خدمات[۴]، که دامنه و نحوه ارائه خدمات را مشخص می‌کند، موجب آرامش خاطر سازمان‌ها خواهد شد. توافق‌نامه سطح خدمات همچنین موجب اطمینان سازمان‌ها از دستیابی به تمام به‌­روزرسانی­‌های نرم‌­افزاری و اصلاحیه­‌های موردنیاز به محض ارائه و همچنین آماده و در اختیار بودن اقدامات متقابل علیه تهدیدات جدید می‌شود.

• دسترسی به هوش تهدید

تهدیدهای سایبری سریع­تر از ابزارهایی که برای مقابله با آن‌ها ایجاد می‌شوند، در حال تکامل هستند. با توجه به این مساله، یک SOC پیشرفته باید هم قادر به ارائه دفاع سایبری پیش‌نگر و هم هوش تهدید باشد، که شامل تحقیق و محافظت در مقابل تهدیدهای ناشناخته است.

پشتیبانی از یک گروه هوش تهدید که قادر به یافتن و شناسایی موثر انواع کدهای مخرب جدید باشد، تنها از عهده شرکت‌های تخصصی در زمینه خدمات امنیت سایبری برمی‌آید. با انتخاب یک راهکار SOC بیرونی، سازمان به یک تیم هوش تهدید دسترسی پیدا می­‌کند که علاوه بر تحقیقات و تجربیات داخل سازمانی، به پایگاه‌های داده تهدید به­‌روز و ابزارهای موردنیاز برای مبادله اطلاعات مابین اعضای جامعه جهانی متخصصان امنیت سایبری دسترسی دارد.

• صرفه‌جویی در هزینه­‌های کلی امنیت سایبری

تهیه و تقبل سرمایه اولیه موردنیاز برای ساخت یک SOC و همچنین هزینه­‌های آتی آن برای سازمان‌­های معمولی دشوار است. برآوردها نشان‌دهنده این است که هزینه اداره یک SOC موثر به صورت داخلی برای یک کسب‌وکار، دو برابر هزینه برون‌سپاری عملیات­‌های امنیت سایبری است. یک MSSP می‌تواند از صرفه‌جویی ناشی از مقیاس سود ببرد که در نتیجه آن، هزینه‌های عملیاتی سازمان‌هایی که از خدمات آن‌ها استفاده می‌کنند، کاهش می‌یابد.

علاوه‌براین، باید توجه شود که هزینه‌­های برون‌سپاری فعالیت­‌های SOC به عنوان “هزینه­‌های جاری یا عملیاتی”[۵] (OPEX) حساب می­‌شود و نه “هزینه‌­های سرمایه‌ای”[۶] (CAPEX)، که در نتیجه، تامین بودجه آن آسان­‌تر است.

چک‌لیست برون‌سپاری SOC

چک‌لیست زیر به منظور کمک به سازمان­‌ها جهت اتخاذ تصمیمات امنیتی هوشمندانه و به عنوان یک راهنما برای یافتن یک SOC مدیریت شده ایجاد شده است:

• نظارت بر تهدید بلادرنگ

نظارت بر تهدید بلادرنگ به معنای نظارت مستمر و تمام وقت با تمرکز بر خدمات تشخیص تهدید و بازرسی امنیت سایبری برای تمامی حوادث امنیتی است. نرخ هشدارهای کاذب در ابزارهای SIEM به شدت زیاد است که در نتیجه این مساله، جداسازی هشدارهای کاذب و انجام بازرسی امنیت سایبری متناسب بر روی هشدارهای امنیتی واقعی و مهم، برای تیم‌های امنیتی که از تعداد کافی نیروی امنیتی برخوردار نیستند، دشوار می‌­شود. برای دستیابی به آرامش خاطر مداوم، باید اطمینان حاصل شود که ارائه‌دهنده SOC قادر به شناسایی فعالیت­‌های تهدید­آمیز در تمام ساعات شبانه‌روز باشد.

• پیچیدگی

موسسه گارتنر اخیرا یک بازار امنیت سایبری پررونق را شناسایی کرده که به عنوان “تشخیص و پاسخ‌گویی مدیریت شده”[۷] (MDR) شناخته می­‌شود.

همانطور که قبلا نیز بیان شد، عنصر “تشخیص” برای شناسایی تهدیدها حیاتی است؛ با این حال، یک SOC باید “پاسخ‌گویی به وقایع”[۸]  را نیز ارائه کند. در این زمینه، سازمان‌ها به همکارانی نیاز دارند که اثربخشی، دقت، قاطعیت و سرعت پاسخ‌گویی به وقایع را افزایش دهند. باید توجه شود که در صورت عدم تامین شبانه‌روزی پاسخ‌گویی به وقایع، دیگر با یک SOC سروکار نداریم.

• شکار تهدید پیش‌نگر

شناسایی تاکتیک­‌های هک بسیار پیشرفته، شدیدا دشوار است و روز به روز نیز بر دشواری آن افزوده می‌شود. این بدین معنی است که پیکربندی­‌های شبکه باید به‌­طور مداوم و با توجه به جدیدترین و هوشمندانه‌ترین تهدیدهای سایبری تنظیم شوند. بنابراین، مسئولیت یادگیری توپولوژی شبکه منحصر‌به‌فرد مشتریان و شکار تهدیدهایی که با احتمال زیاد توسط روش­‌های سنتی قابل شناسایی نیستند، بر عهده اپراتورهای امنیتی است. این به معنای استفاده از منابع هوش تهدید مرتبط، به­‌کارگیری روش‌های یادگیری ماشینی و تجزیه و تحلیل رفتار کاربران، و انجام هرکار ممکنی در جستجوی حوادث امنیتی واقعی اثرگذار بر مشتریان است.

• مشاوره راهبردی

با نظارت بر شبکه و شکار تهدیدهای جدید، مهندسان امنیت اختصاص‌یافته به سازمان درک عمیقی از توپولوژی شبکه و محل دارایی‌های حیاتی سازمان، که باید با یک استراتژی امنیتی چند لایه مورد محافظت قرار گیرند، به‌­دست می­‌آورند. از آن‌جا که از یک SOC داخلی کمتر از این انتظار نمی­‌رود، این مهم را باید از یک SOC خارجی نیز تقاضا نمود. در صورت استفاده از یک SOC بیرونی، علاوه بر تکنولوژی مقیاس‌پذیر مبتنی بر Cloud، فرآیندهای پاسخ به وقایع مشخص و واضح، و افراد (مهندسان امنیت) آموزش دیده، مشتریان را قادر می‌سازد تا از وضعیت کلی امنیتی خود اطلاع کسب نمایند. این امر در دراز مدت به یک سازمان در مدیریت موثرتر مخاطرات تجاری کمک می‌کند.

• مدیریت انطباق

از یک SOC انتظار می‌­رود که حداکثر پیروی از قواعد انطباقی اعم از HIPAA، HITECH، PCI DSS، FFIEC، GLBA یا هر استاندارد دیگری که باید به آن پایبند بود، را داشته باشد. این به معنای ارائه الگوهایی برای کنترل­‌های امنیتی موردنیاز و توصیه شده، و مبنا قرار دادن ارزیابی­های آسیب­پذیری بر میزان پایبندی سازمان­ها به استانداردهای نظارتی است. ضرر و زیان‌های وارده به سازمان‌ها در زمینه امنیت سایبری تنها از سمت هکرها ایجاد نشده و با توجه به افزایش سریع مجازات‌های سنگین عدم انطباق با قواعد نظارتی، باید از مدیریت تمام مخاطرات توسط ارائه‌دهنده SOC اطمینان حاصل شود.

• قیمت‌گذاری قابل پیش‌بینی

قیمت­‌گذاری سرویس SOC بیرونی نباید بر اساس تعداد دستگاه­‌های تحت نظارت یا مقدار داده‌های Log تولید شده، متغیر باشد. یک ارائه‌دهنده SOC باید بر اساس تعداد کاربران و سنسورها، نه میزان داده‌های Log و یا تعداد نقاط پایانی و سرورهای تحت نظارت، یک مدل قیمت‌گذاری ثابت پیشنهاد دهد. مدل قیمت‌گذاری قابل پیش­بینی مخصوصا برای کسب‌وکارهای با اندازه کوچک و متوسط، که ممکن است در صورت وجود نوسان زیاد در هزینه­‌های خدمات مدیریت شده با مشکل مواجه شوند، از اهمیت زیادی برخوردار است.

[۱] Security Operations Center

[۲] Managed Security Service Provider

[۳] Return of Investment

[۴] Service Level Agreement

[۵] Operating expenses

[۶] Capital expenses

[۷] Managed detection and response

[۸] Incident response