Telegram-plane Instagram Linkedin
Phone download-file

Telegram-plane Instagram Linkedin
Phone download-file
Menu

نقش‌ها و مسئولیت‌های تیم SOC و مرکز عملیات امنیت – بخش دوم

گفتیم که یک مرکز عملیات امنیت، به طور پیوسته به نظارت و تجزیه و تحلیل رویه‌های امنیتی یک سازمان پرداخته، با نقض‌های امنیتی مقابله نموده و و فعالانه مخاطرات امنیتی را ایزوله کرده و حذف می‌نماید. سپس در قسمت اول این مطلب به بررسی اهمیت یک مرکز عملیات امنیت اثربخش و مسئولیت‌های اصلی یک تیم SOC پرداختیم. در این قسمت به موارد زیر خواهیم پرداخت:

  • نقش‌ها و مسئولیت‌های مرکز عملیات امنیت
  • بهترین راهکارها برای ساخت یک تیم SOC

نقش‌ها و مسئولیت­های مرکز عملیات امنیت

  • تحلیل­گر امنیت[۱]– اولین پاسخ­‌دهنده به وقایع است. این پاسخ عموما در سه مرحله صورت می‌گیرد: تشخیص تهدید، بررسی تهدید و پاسخ به­ موقع. تحلیل­‌گران امنیت باید اطمینان حاصل کنند که آموزش صحیح وجود داشته و کارکنان قادر به پیاده‌سازی رویه‌ها و سیاست­‌ها هستند. این کارکنان با کارکنان بخش IT داخلی و مدیران کسب‌وکار برای تبادل اطلاعات درباره محدودیت‌های امنیتی و فرایند مستندسازی همکاری می‌کنند.
  • مهندس/معمار امنیت[۲]– نگهداری و پیشنهاد ابزارهای تجزیه و تحلیل و نظارت را بر عهده دارد. این کارکنان یک معماری امنیتی ایجاد کرده و و با توسعه‌دهندگان جهت اطمینان از اینکه این معماری بخشی از چرخه توسعه است، همکاری می‌کنند. یک مهندس امنیت می‌­تواند متخصص نرم‌­افزار یا سخت­‌افزار باشد که در طراحی سیستم­‌های اطلاعاتی به طور ویژه به جنبه‌های امنیت توجه می­‌کند. این کارکنان ابزارها و راه­‌حل­‌هایی را جهت جلوگیری از حملات و پاسخ‌دهی موثر به آن‌ها برای سازمان­‌ها توسعه می‌دهند. مهندسین امنیت همچنین رویه‌ها، نیازمندی­‌ها و پروتکل­‌ها را مستند می­‌کنند.
  • مدیر SOC[۳]– تیم عملیات امنیت را مدیریت کرده و به CISO گزارش می­‌دهد. این کارکنان به نظارت بر تیم امنیتی پرداخته، راهنمایی‌های فنی ارائه کرده و فعالیت­‌های مالی را مدیریت می­‌کنند. مدیر SOC بر فعالیت‌های تیم SOC، از جمله استخدام، آموزش و ارزیابی کارکنان، سرپرستی می‌کند. از دیگر مسئولیت­‌های مدیران SOC می‌توان به ایجاد فرآیندها، ارزیابی گزارش­‌های حوادث، و توسعه و پیاده‌سازی طرح­‌های ارتباط در زمان بحران[۴] است. این کارکنان گزارش‌­های انطباقی را ایجاد کرده، فرآیند حسابرسی را پشتیبانی کرده، کارایی SOC را اندازه‌گیری کرده و عملیات‌های امنیت را به رهبران کسب‌وکار گزارش می­دهند.
  • CISO– که عملیات‌های امنیت سازمان را تعریف می­‌کند. این کارکنان مشکلات امنیتی را به مدیریت مخابره کرده و بر فعالیت‌های انطباق‌پذیری نظارت می‌کنند. CISO حرف آخر را درباره سیاست­‌ها، استراتژی و رویه­‌های مرتبط با امنیت سایبری سازمان می­‌زند. همچنین، این کاربران نقشی مرکزی در مدیریت مخاطرات و انطباق‌پذیری و پیاده‌سازی سیاست­‌ها به‌­منظور دستیابی به نیازهای امنیتی مشخص دارند.

سلسله مراتب سه سطحی تحلیل‌گران SOC

یک مرکز عملیات امنیت به طور معمول تحلیل­‌گران را به سه یا چهار سطح تخصیص می‌دهد:

  • تحلیلگر امنیتی پشتیبان سطح ۱[۵] – هشدارهای روزانه را دریافت و بررسی می­‌کند. این تحلیل‌گران جدیدترین هشدارهای SIEM را برای بررسی ارتباط و فوریت آن‌ها مرور کرده، با اولویت‌بندی از در حال رخ دادن یک حادثه امنیتی واقعی اطمینان حاصل کرده و ابزارهای نظارت بر امنیت را بررسی و پیکربندی می­‌کند.
  • تحلیلگر امنیت پشتیبان سطح ۲[۶] – به حوادث امنیت واقعی رسیدگی می­‌کند. این تحلیل‌گران، حوادث شناسایی شده توسط تحلیل­گران سطح ۱ را ارزیابی کرده، از هوش تهدید مانند قوانین به­‌روز شده و نشانه‌های نفوذ[۷] (IOCها) برای شناسایی دقیق سیستم­‌های آسیب‌دیده دامنه حمله استفاده نموده، فرآیندهای در حال اجرا و پیکربندی سیستم‌­های آسیب­ دیده را تجزیه و تحلیل کرده، تجزیه و تحلیل‌های عمیق و دقیق هوش تهدید را برای یافتن عامل، نوع حمله، و داده‌­ها و سیستم­‌های تحت تاثیر قرار گرفته انجام داده، و یک استراتژی برای محدودسازی حمله و بازیابی از آن ایجاد و پیاده­‌سازی می­‌کنند.
  • تحلیلگر امنیت سطح ۳[۸]– باتجربه‌تر از یک تحلیل­‌گر سطح ۲ است. این تحلیل‌گران با حوادث حیاتی سروکار داشته، ارزیابی‌های آسیب‌­پذیری و تست‌های نفوذ را جهت ارزیابی مقاومت سازمان و مشخص کردن نواحی ضعف و نیازمند توجه انجام داده، هشدارها، هوش تهدید و داده­‌های امنیتی را مرور کرده، و تهدیدهای وارد شده به شبکه، شکاف‌های امنیتی و آسیب‌پذیری‌های در حال حاضر ناشناخته را شناسایی می­‌کنند.
  • مدیر پاسخگویی به حادثه[۹]– به مدیریت و اولویت‌بندی اقدامات در هنگام جداسازی، تجزیه و تحلیل و محدودسازی یک حادثه می‌پردازد. این کارکنان، همچنین هرگونه نیازمندی خاص حوادث خیلی شدید را هم به سهام‌داران داخلی و هم سهام‌داران خارجی مخابره می‌کنند.

بهترین راهکارها برای ساخت یک تیم SOC موفق

تیم عملیات امنیت با چالش‌­های زیادی روبروست- ممکن است بیش از حد از اعضای آن کار کشیده شود، کمبود نیرو داشته باشد و توجه کمی از مدیران بالادستی دریافت ­کند. بهترین راهکارهای عملیات امنیت می­تواند ابزارهای موردنیاز شرکت‌­ها برای محافظت از خود را به آ‌‌‌‌ن‌ها داده و محیط کاری بهتری را برای تیم‌­های SOC فراهم کند.

  • مراکز عملیات امنیت کارا از خودکارسازی امنیت استفاده می­‌کنند.

با استفاده همزمان از تحلیل­‌گران امنیت خبره و خودکارسازی امنیت، سازمان­‌ها قادر به تجزیه و تحلیل رویدادهای امنیتی بیشتری بوده، حوادث بیشتری را شناسایی کرده و به طور موثرتر در مقابل آن حوادث از خود محافظت ‌می‌کنند.

  • مراکز عملیات امنیت کارا از فناوری موثر استفاده میکنند.

توانایی­‌های SOC به قابلیت­‌های فناورانه آن بستگی دارد. فناوری باید داده‌ها را جمع‌­آوری و تجمیع کرده، مانع تهدید­ها شده و به محض وقوع تهدیدها، اقدام به پاسخ‌دهی کند. یک تیم که به ابزارها و منابع داده­‌ای مجهز باشد که مثبت‌های کاذب[۱۰] را به مقداری کمینه کاهش می­‌دهد، می­تواند زمان موردنیاز تحلیل­‌گران برای واکاوی حوادث امنیت واقعی را بیشینه نماید.

  • مراکز عملیات امنیت کارا از هوش تهدید به روز استفاده میکنند

داده­‌های هوش تهدید از منابع داخلی سازمان در کنار اطلاعات حاصل از منابع بیرونی، بینش موردنیاز نسبت به آسیب­‌پذیری­‌ها و تهدیدها را در اختیار تیم SOC قرار می‌دهد. به‌­روزرسانی­‌های Signatureها، منابع خبری، گزارش­‌های حوادث، هشدارهای آسیب‌پذیری، و خلاصه‌های ارائه شده در مورد تهدیدها از جمله منابع بیرونی هوش سایبری هستند. کارکنان SOC می‌­توانند از ابزارهای نظارتی SOC که هوش تهدید یکپارچه را فراهم می­‌کنند، استفاده کنند.

  • افراد و مسئولیت‌­ها در مراکز عملیات امنیت کارا

سازمان­‌ها اغلب مسئولیت­‌های مدیریتی را با شرکت‌­های زیرمجموعه یا با سازمان­‌ها و واحدهای تجاری همکار به اشتراک می­‌گذارند. با توجه به این موضوع، باید استانداردهای خط‌ مشی امنیت سازمانی به منظور تعریف مسئولیت­‌ها در رابطه با وظایف و مسئولیت ارائه پاسخ مورد استفاده قرار گیرد. یک سازمان همچنین می­تواند نقش هر واحد یا آژانس تجاری را در رابطه با SOC تعریف کند.

  • مراکز عملیات امنیت کارا از محیط[۱۱] دفاع میکنند

یکی از مسئولیت‌های کلیدی یک تیم SOC دفاع از محیط است؛ اما تحلیل‌گران باید چه اطلاعاتی را و از چه محل‌هایی در این راستا جمع‌­آوری کنند؟

بدین منظور، تیم SOC می­تواند تمام داده­‌های ورودی، از جمله موارد زیر، را در نظر بگیرد:

  • اطلاعات شبکه، مانند URLها، Hashها و جزئیات اتصال
  • نظارت بر نقاط پایانی، اطلاعات آسیب‌­پذیری به دست آمده از اسکنرهای آسیب­پذیری، هوش امنیت، سیستم­‌های تشخیص و پیشگیری از نفوذ
  • سیستم‌­های عامل
  • اطلاعات توپولوژی
  • آنتی­ویروس‌ها و فایروال‌های External-facing

[۱] Security analyst

[۲] Security Engineer/ Architect

[۳] SOC manager

[۴] Crisis communication plan

[۵] Tier 1 Support Security Analyst

[۶] Tier 2 Support Security Analyst

[۷] Indicator of compromise

[۸] Tier 3 Security Analyst

[۹] Incident Response Manager

[۱۰] False positive

[۱۱] Perimeter

اشتراک گذاری این مطلب
مطالب مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

درباره شرکت

محصولات

خدمات

مقالات و منابع

تماس با ما
Telegram-plane Instagram Linkedin Eaparat

Info@apk-group.net

۴۲۲۷۳ - ۰۲۱

۳۶۲۹۰۹۹۰ - ۰۳۵

تهران - بلوار كشاورز، خيابان شهيد نادري پائين‌تر از خيابان ايتاليا، پلاك ۲ واحد ۵۰۵

یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان

تمامی حقوق وبسایت متعلق به شرکت امن‌پردازان کویر (APK) است.

Start typing to see posts you are looking for.
درخواست دمو
درخواست مشاوره
درخواست قیمت

برای آگاهی از آخرین مطالب، اخبار آسیب‌پذیری و رویدادهای تخصصی، آدرس ایمیل و شماره موبایل خود را وارد نمایید.

دانلود کاتالوگ