Telegram-plane Instagram Linkedin Eaparat
Book Phone

Telegram-plane Instagram Linkedin Eaparat
Book Phone
منو

نقش‌ها و مسئولیت‌های تیم SOC و مرکز عملیات امنیت – بخش دوم

گفتیم که یک مرکز عملیات امنیت، به طور پیوسته به نظارت و تجزیه و تحلیل رویه‌های امنیتی یک سازمان پرداخته، با نقض‌های امنیتی مقابله نموده و و فعالانه مخاطرات امنیتی را ایزوله کرده و حذف می‌نماید. سپس در قسمت اول این مطلب به بررسی اهمیت یک مرکز عملیات امنیت اثربخش و مسئولیت‌های اصلی یک تیم SOC پرداختیم. در این قسمت به موارد زیر خواهیم پرداخت:

  • نقش‌ها و مسئولیت‌های مرکز عملیات امنیت
  • بهترین راهکارها برای ساخت یک تیم SOC

نقش‌ها و مسئولیت­های مرکز عملیات امنیت

  • تحلیل­گر امنیت[1]– اولین پاسخ­‌دهنده به وقایع است. این پاسخ عموما در سه مرحله صورت می‌گیرد: تشخیص تهدید، بررسی تهدید و پاسخ به­ موقع. تحلیل­‌گران امنیت باید اطمینان حاصل کنند که آموزش صحیح وجود داشته و کارکنان قادر به پیاده‌سازی رویه‌ها و سیاست­‌ها هستند. این کارکنان با کارکنان بخش IT داخلی و مدیران کسب‌وکار برای تبادل اطلاعات درباره محدودیت‌های امنیتی و فرایند مستندسازی همکاری می‌کنند.
  • مهندس/معمار امنیت[2]– نگهداری و پیشنهاد ابزارهای تجزیه و تحلیل و نظارت را بر عهده دارد. این کارکنان یک معماری امنیتی ایجاد کرده و و با توسعه‌دهندگان جهت اطمینان از اینکه این معماری بخشی از چرخه توسعه است، همکاری می‌کنند. یک مهندس امنیت می‌­تواند متخصص نرم‌­افزار یا سخت­‌افزار باشد که در طراحی سیستم­‌های اطلاعاتی به طور ویژه به جنبه‌های امنیت توجه می­‌کند. این کارکنان ابزارها و راه­‌حل­‌هایی را جهت جلوگیری از حملات و پاسخ‌دهی موثر به آن‌ها برای سازمان­‌ها توسعه می‌دهند. مهندسین امنیت همچنین رویه‌ها، نیازمندی­‌ها و پروتکل­‌ها را مستند می­‌کنند.
  • مدیر SOC[3]– تیم عملیات امنیت را مدیریت کرده و به CISO گزارش می­‌دهد. این کارکنان به نظارت بر تیم امنیتی پرداخته، راهنمایی‌های فنی ارائه کرده و فعالیت­‌های مالی را مدیریت می­‌کنند. مدیر SOC بر فعالیت‌های تیم SOC، از جمله استخدام، آموزش و ارزیابی کارکنان، سرپرستی می‌کند. از دیگر مسئولیت­‌های مدیران SOC می‌توان به ایجاد فرآیندها، ارزیابی گزارش­‌های حوادث، و توسعه و پیاده‌سازی طرح­‌های ارتباط در زمان بحران[4] است. این کارکنان گزارش‌­های انطباقی را ایجاد کرده، فرآیند حسابرسی را پشتیبانی کرده، کارایی SOC را اندازه‌گیری کرده و عملیات‌های امنیت را به رهبران کسب‌وکار گزارش می­دهند.
  • CISO– که عملیات‌های امنیت سازمان را تعریف می­‌کند. این کارکنان مشکلات امنیتی را به مدیریت مخابره کرده و بر فعالیت‌های انطباق‌پذیری نظارت می‌کنند. CISO حرف آخر را درباره سیاست­‌ها، استراتژی و رویه­‌های مرتبط با امنیت سایبری سازمان می­‌زند. همچنین، این کاربران نقشی مرکزی در مدیریت مخاطرات و انطباق‌پذیری و پیاده‌سازی سیاست­‌ها به‌­منظور دستیابی به نیازهای امنیتی مشخص دارند.

سلسله مراتب سه سطحی تحلیل‌گران SOC

یک مرکز عملیات امنیت به طور معمول تحلیل­‌گران را به سه یا چهار سطح تخصیص می‌دهد:

  • تحلیلگر امنیتی پشتیبان سطح 1[5] – هشدارهای روزانه را دریافت و بررسی می­‌کند. این تحلیل‌گران جدیدترین هشدارهای SIEM را برای بررسی ارتباط و فوریت آن‌ها مرور کرده، با اولویت‌بندی از در حال رخ دادن یک حادثه امنیتی واقعی اطمینان حاصل کرده و ابزارهای نظارت بر امنیت را بررسی و پیکربندی می­‌کند.
  • تحلیلگر امنیت پشتیبان سطح 2[6] – به حوادث امنیت واقعی رسیدگی می­‌کند. این تحلیل‌گران، حوادث شناسایی شده توسط تحلیل­گران سطح 1 را ارزیابی کرده، از هوش تهدید مانند قوانین به­‌روز شده و نشانه‌های نفوذ[7] (IOCها) برای شناسایی دقیق سیستم­‌های آسیب‌دیده دامنه حمله استفاده نموده، فرآیندهای در حال اجرا و پیکربندی سیستم‌­های آسیب­ دیده را تجزیه و تحلیل کرده، تجزیه و تحلیل‌های عمیق و دقیق هوش تهدید را برای یافتن عامل، نوع حمله، و داده‌­ها و سیستم­‌های تحت تاثیر قرار گرفته انجام داده، و یک استراتژی برای محدودسازی حمله و بازیابی از آن ایجاد و پیاده­‌سازی می­‌کنند.
  • تحلیلگر امنیت سطح 3[8]– باتجربه‌تر از یک تحلیل­‌گر سطح 2 است. این تحلیل‌گران با حوادث حیاتی سروکار داشته، ارزیابی‌های آسیب‌­پذیری و تست‌های نفوذ را جهت ارزیابی مقاومت سازمان و مشخص کردن نواحی ضعف و نیازمند توجه انجام داده، هشدارها، هوش تهدید و داده­‌های امنیتی را مرور کرده، و تهدیدهای وارد شده به شبکه، شکاف‌های امنیتی و آسیب‌پذیری‌های در حال حاضر ناشناخته را شناسایی می­‌کنند.
  • مدیر پاسخگویی به حادثه[9]– به مدیریت و اولویت‌بندی اقدامات در هنگام جداسازی، تجزیه و تحلیل و محدودسازی یک حادثه می‌پردازد. این کارکنان، همچنین هرگونه نیازمندی خاص حوادث خیلی شدید را هم به سهام‌داران داخلی و هم سهام‌داران خارجی مخابره می‌کنند.

بهترین راهکارها برای ساخت یک تیم SOC موفق

تیم عملیات امنیت با چالش‌­های زیادی روبروست- ممکن است بیش از حد از اعضای آن کار کشیده شود، کمبود نیرو داشته باشد و توجه کمی از مدیران بالادستی دریافت ­کند. بهترین راهکارهای عملیات امنیت می­تواند ابزارهای موردنیاز شرکت‌­ها برای محافظت از خود را به آ‌‌‌‌ن‌ها داده و محیط کاری بهتری را برای تیم‌­های SOC فراهم کند.

  • مراکز عملیات امنیت کارا از خودکارسازی امنیت استفاده می­‌کنند.

با استفاده همزمان از تحلیل­‌گران امنیت خبره و خودکارسازی امنیت، سازمان­‌ها قادر به تجزیه و تحلیل رویدادهای امنیتی بیشتری بوده، حوادث بیشتری را شناسایی کرده و به طور موثرتر در مقابل آن حوادث از خود محافظت ‌می‌کنند.

  • مراکز عملیات امنیت کارا از فناوری موثر استفاده میکنند.

توانایی­‌های SOC به قابلیت­‌های فناورانه آن بستگی دارد. فناوری باید داده‌ها را جمع‌­آوری و تجمیع کرده، مانع تهدید­ها شده و به محض وقوع تهدیدها، اقدام به پاسخ‌دهی کند. یک تیم که به ابزارها و منابع داده­‌ای مجهز باشد که مثبت‌های کاذب[10] را به مقداری کمینه کاهش می­‌دهد، می­تواند زمان موردنیاز تحلیل­‌گران برای واکاوی حوادث امنیت واقعی را بیشینه نماید.

  • مراکز عملیات امنیت کارا از هوش تهدید به روز استفاده میکنند

داده­‌های هوش تهدید از منابع داخلی سازمان در کنار اطلاعات حاصل از منابع بیرونی، بینش موردنیاز نسبت به آسیب­‌پذیری­‌ها و تهدیدها را در اختیار تیم SOC قرار می‌دهد. به‌­روزرسانی­‌های Signatureها، منابع خبری، گزارش­‌های حوادث، هشدارهای آسیب‌پذیری، و خلاصه‌های ارائه شده در مورد تهدیدها از جمله منابع بیرونی هوش سایبری هستند. کارکنان SOC می‌­توانند از ابزارهای نظارتی SOC که هوش تهدید یکپارچه را فراهم می­‌کنند، استفاده کنند.

  • افراد و مسئولیت‌­ها در مراکز عملیات امنیت کارا

سازمان­‌ها اغلب مسئولیت­‌های مدیریتی را با شرکت‌­های زیرمجموعه یا با سازمان­‌ها و واحدهای تجاری همکار به اشتراک می­‌گذارند. با توجه به این موضوع، باید استانداردهای خط‌ مشی امنیت سازمانی به منظور تعریف مسئولیت­‌ها در رابطه با وظایف و مسئولیت ارائه پاسخ مورد استفاده قرار گیرد. یک سازمان همچنین می­تواند نقش هر واحد یا آژانس تجاری را در رابطه با SOC تعریف کند.

  • مراکز عملیات امنیت کارا از محیط[11] دفاع میکنند

یکی از مسئولیت‌های کلیدی یک تیم SOC دفاع از محیط است؛ اما تحلیل‌گران باید چه اطلاعاتی را و از چه محل‌هایی در این راستا جمع‌­آوری کنند؟

بدین منظور، تیم SOC می­تواند تمام داده­‌های ورودی، از جمله موارد زیر، را در نظر بگیرد:

  • اطلاعات شبکه، مانند URLها، Hashها و جزئیات اتصال
  • نظارت بر نقاط پایانی، اطلاعات آسیب‌­پذیری به دست آمده از اسکنرهای آسیب­پذیری، هوش امنیت، سیستم­‌های تشخیص و پیشگیری از نفوذ
  • سیستم‌­های عامل
  • اطلاعات توپولوژی
  • آنتی­ویروس‌ها و فایروال‌های External-facing

[1] Security analyst

[2] Security Engineer/ Architect

[3] SOC manager

[4] Crisis communication plan

[5] Tier 1 Support Security Analyst

[6] Tier 2 Support Security Analyst

[7] Indicator of compromise

[8] Tier 3 Security Analyst

[9] Incident Response Manager

[10] False positive

[11] Perimeter

اشتراک گذاری این مطلب
مطالب مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

درباره شرکت

محصولات

خدمات

مقالات و منابع

تماس با ما

Telegram-plane Instagram Linkedin Eaparat

Info@apk-group.net

۴۲۲۷۳ - ۰۲۱

۳۶۲۹۰۹۹۰ - ۰۳۵

تهران - بلوار كشاورز، خيابان شهيد نادري پائين‌تر از خيابان ايتاليا، پلاك ۲ واحد ۵۰۵

یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان

تمامی حقوق وبسایت متعلق به شرکت امن پردازان کویر میباشد.

درخواست دمو
درخواست مشاوره
درخواست قیمت