نقش‌ها و مسئولیت‌های تیم SOC و مرکز عملیات امنیت – بخش دوم

گفتیم که یک مرکز عملیات امنیت، به طور پیوسته به نظارت و تجزیه و تحلیل رویه‌های امنیتی یک سازمان پرداخته، با نقض‌های امنیتی مقابله نموده و و فعالانه مخاطرات امنیتی را ایزوله کرده و حذف می‌نماید. سپس در قسمت اول این مطلب به بررسی اهمیت یک مرکز عملیات امنیت اثربخش و مسئولیت‌های اصلی یک تیم SOC پرداختیم. در این قسمت به موارد زیر خواهیم پرداخت:

  • نقش‌ها و مسئولیت‌های مرکز عملیات امنیت
  • بهترین راهکارها برای ساخت یک تیم SOC

نقش‌ها و مسئولیت­های مرکز عملیات امنیت

  • تحلیل­گر امنیت[۱]– اولین پاسخ­‌دهنده به وقایع است. این پاسخ عموما در سه مرحله صورت می‌گیرد: تشخیص تهدید، بررسی تهدید و پاسخ به­ موقع. تحلیل­‌گران امنیت باید اطمینان حاصل کنند که آموزش صحیح وجود داشته و کارکنان قادر به پیاده‌سازی رویه‌ها و سیاست­‌ها هستند. این کارکنان با کارکنان بخش IT داخلی و مدیران کسب‌وکار برای تبادل اطلاعات درباره محدودیت‌های امنیتی و فرایند مستندسازی همکاری می‌کنند.
  • مهندس/معمار امنیت[۲]– نگهداری و پیشنهاد ابزارهای تجزیه و تحلیل و نظارت را بر عهده دارد. این کارکنان یک معماری امنیتی ایجاد کرده و و با توسعه‌دهندگان جهت اطمینان از اینکه این معماری بخشی از چرخه توسعه است، همکاری می‌کنند. یک مهندس امنیت می‌­تواند متخصص نرم‌­افزار یا سخت­‌افزار باشد که در طراحی سیستم­‌های اطلاعاتی به طور ویژه به جنبه‌های امنیت توجه می­‌کند. این کارکنان ابزارها و راه­‌حل­‌هایی را جهت جلوگیری از حملات و پاسخ‌دهی موثر به آن‌ها برای سازمان­‌ها توسعه می‌دهند. مهندسین امنیت همچنین رویه‌ها، نیازمندی­‌ها و پروتکل­‌ها را مستند می­‌کنند.
  • مدیر SOC[۳]– تیم عملیات امنیت را مدیریت کرده و به CISO گزارش می­‌دهد. این کارکنان به نظارت بر تیم امنیتی پرداخته، راهنمایی‌های فنی ارائه کرده و فعالیت­‌های مالی را مدیریت می­‌کنند. مدیر SOC بر فعالیت‌های تیم SOC، از جمله استخدام، آموزش و ارزیابی کارکنان، سرپرستی می‌کند. از دیگر مسئولیت­‌های مدیران SOC می‌توان به ایجاد فرآیندها، ارزیابی گزارش­‌های حوادث، و توسعه و پیاده‌سازی طرح­‌های ارتباط در زمان بحران[۴] است. این کارکنان گزارش‌­های انطباقی را ایجاد کرده، فرآیند حسابرسی را پشتیبانی کرده، کارایی SOC را اندازه‌گیری کرده و عملیات‌های امنیت را به رهبران کسب‌وکار گزارش می­دهند.
  • CISO– که عملیات‌های امنیت سازمان را تعریف می­‌کند. این کارکنان مشکلات امنیتی را به مدیریت مخابره کرده و بر فعالیت‌های انطباق‌پذیری نظارت می‌کنند. CISO حرف آخر را درباره سیاست­‌ها، استراتژی و رویه­‌های مرتبط با امنیت سایبری سازمان می­‌زند. همچنین، این کاربران نقشی مرکزی در مدیریت مخاطرات و انطباق‌پذیری و پیاده‌سازی سیاست­‌ها به‌­منظور دستیابی به نیازهای امنیتی مشخص دارند.

سلسله مراتب سه سطحی تحلیل‌گران SOC

یک مرکز عملیات امنیت به طور معمول تحلیل­‌گران را به سه یا چهار سطح تخصیص می‌دهد:

  • تحلیلگر امنیتی پشتیبان سطح ۱[۵] – هشدارهای روزانه را دریافت و بررسی می­‌کند. این تحلیل‌گران جدیدترین هشدارهای SIEM را برای بررسی ارتباط و فوریت آن‌ها مرور کرده، با اولویت‌بندی از در حال رخ دادن یک حادثه امنیتی واقعی اطمینان حاصل کرده و ابزارهای نظارت بر امنیت را بررسی و پیکربندی می­‌کند.
  • تحلیلگر امنیت پشتیبان سطح ۲[۶] – به حوادث امنیت واقعی رسیدگی می­‌کند. این تحلیل‌گران، حوادث شناسایی شده توسط تحلیل­گران سطح ۱ را ارزیابی کرده، از هوش تهدید مانند قوانین به­‌روز شده و نشانه‌های نفوذ[۷] (IOCها) برای شناسایی دقیق سیستم­‌های آسیب‌دیده دامنه حمله استفاده نموده، فرآیندهای در حال اجرا و پیکربندی سیستم‌­های آسیب­ دیده را تجزیه و تحلیل کرده، تجزیه و تحلیل‌های عمیق و دقیق هوش تهدید را برای یافتن عامل، نوع حمله، و داده‌­ها و سیستم­‌های تحت تاثیر قرار گرفته انجام داده، و یک استراتژی برای محدودسازی حمله و بازیابی از آن ایجاد و پیاده­‌سازی می­‌کنند.
  • تحلیلگر امنیت سطح ۳[۸]– باتجربه‌تر از یک تحلیل­‌گر سطح ۲ است. این تحلیل‌گران با حوادث حیاتی سروکار داشته، ارزیابی‌های آسیب‌­پذیری و تست‌های نفوذ را جهت ارزیابی مقاومت سازمان و مشخص کردن نواحی ضعف و نیازمند توجه انجام داده، هشدارها، هوش تهدید و داده­‌های امنیتی را مرور کرده، و تهدیدهای وارد شده به شبکه، شکاف‌های امنیتی و آسیب‌پذیری‌های در حال حاضر ناشناخته را شناسایی می­‌کنند.
  • مدیر پاسخگویی به حادثه[۹]– به مدیریت و اولویت‌بندی اقدامات در هنگام جداسازی، تجزیه و تحلیل و محدودسازی یک حادثه می‌پردازد. این کارکنان، همچنین هرگونه نیازمندی خاص حوادث خیلی شدید را هم به سهام‌داران داخلی و هم سهام‌داران خارجی مخابره می‌کنند.

بهترین راهکارها برای ساخت یک تیم SOC موفق

تیم عملیات امنیت با چالش‌­های زیادی روبروست- ممکن است بیش از حد از اعضای آن کار کشیده شود، کمبود نیرو داشته باشد و توجه کمی از مدیران بالادستی دریافت ­کند. بهترین راهکارهای عملیات امنیت می­تواند ابزارهای موردنیاز شرکت‌­ها برای محافظت از خود را به آ‌‌‌‌ن‌ها داده و محیط کاری بهتری را برای تیم‌­های SOC فراهم کند.

  • مراکز عملیات امنیت کارا از خودکارسازی امنیت استفاده می­‌کنند.

با استفاده همزمان از تحلیل­‌گران امنیت خبره و خودکارسازی امنیت، سازمان­‌ها قادر به تجزیه و تحلیل رویدادهای امنیتی بیشتری بوده، حوادث بیشتری را شناسایی کرده و به طور موثرتر در مقابل آن حوادث از خود محافظت ‌می‌کنند.

  • مراکز عملیات امنیت کارا از فناوری موثر استفاده میکنند.

توانایی­‌های SOC به قابلیت­‌های فناورانه آن بستگی دارد. فناوری باید داده‌ها را جمع‌­آوری و تجمیع کرده، مانع تهدید­ها شده و به محض وقوع تهدیدها، اقدام به پاسخ‌دهی کند. یک تیم که به ابزارها و منابع داده­‌ای مجهز باشد که مثبت‌های کاذب[۱۰] را به مقداری کمینه کاهش می­‌دهد، می­تواند زمان موردنیاز تحلیل­‌گران برای واکاوی حوادث امنیت واقعی را بیشینه نماید.

  • مراکز عملیات امنیت کارا از هوش تهدید به روز استفاده میکنند

داده­‌های هوش تهدید از منابع داخلی سازمان در کنار اطلاعات حاصل از منابع بیرونی، بینش موردنیاز نسبت به آسیب­‌پذیری­‌ها و تهدیدها را در اختیار تیم SOC قرار می‌دهد. به‌­روزرسانی­‌های Signatureها، منابع خبری، گزارش­‌های حوادث، هشدارهای آسیب‌پذیری، و خلاصه‌های ارائه شده در مورد تهدیدها از جمله منابع بیرونی هوش سایبری هستند. کارکنان SOC می‌­توانند از ابزارهای نظارتی SOC که هوش تهدید یکپارچه را فراهم می­‌کنند، استفاده کنند.

  • افراد و مسئولیت‌­ها در مراکز عملیات امنیت کارا

سازمان­‌ها اغلب مسئولیت­‌های مدیریتی را با شرکت‌­های زیرمجموعه یا با سازمان­‌ها و واحدهای تجاری همکار به اشتراک می­‌گذارند. با توجه به این موضوع، باید استانداردهای خط‌ مشی امنیت سازمانی به منظور تعریف مسئولیت­‌ها در رابطه با وظایف و مسئولیت ارائه پاسخ مورد استفاده قرار گیرد. یک سازمان همچنین می­تواند نقش هر واحد یا آژانس تجاری را در رابطه با SOC تعریف کند.

  • مراکز عملیات امنیت کارا از محیط[۱۱] دفاع میکنند

یکی از مسئولیت‌های کلیدی یک تیم SOC دفاع از محیط است؛ اما تحلیل‌گران باید چه اطلاعاتی را و از چه محل‌هایی در این راستا جمع‌­آوری کنند؟

بدین منظور، تیم SOC می­تواند تمام داده­‌های ورودی، از جمله موارد زیر، را در نظر بگیرد:

  • اطلاعات شبکه، مانند URLها، Hashها و جزئیات اتصال
  • نظارت بر نقاط پایانی، اطلاعات آسیب‌­پذیری به دست آمده از اسکنرهای آسیب­پذیری، هوش امنیت، سیستم­‌های تشخیص و پیشگیری از نفوذ
  • سیستم‌­های عامل
  • اطلاعات توپولوژی
  • آنتی­ویروس‌ها و فایروال‌های External-facing

[۱] Security analyst

[۲] Security Engineer/ Architect

[۳] SOC manager

[۴] Crisis communication plan

[۵] Tier 1 Support Security Analyst

[۶] Tier 2 Support Security Analyst

[۷] Indicator of compromise

[۸] Tier 3 Security Analyst

[۹] Incident Response Manager

[۱۰] False positive

[۱۱] Perimeter

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Start typing to see posts you are looking for.

برای آگاهی از آخرین مطالب، اخبار آسیب‌پذیری و رویدادهای تخصصی، آدرس ایمیل و شماره موبایل خود را وارد نمایید.

دانلود کاتالوگ