نقش‌ها و وظایف افراد تیم SOC

مرکز عملیات امنیت[۱] (SOC) بستری است که سرویس‌های کشف و پاسخ‌گویی را در مقابل حوادث امنیتی فراهم می‌آورد. در مرکز عملیات امنیت، از تجهیزات سخت‌افزاری و نرم‌ا‌فزاری جهت نظارت، پایش، تجزیه و تحلیل و انجام عکس‎‌العمل‎‌های مناسب، و از مکانیزم‌ها و فرآیندهای مناسب و بهینه به منظور کاهش زمان پاسخ‌گویی و انجام اقدامات امنیتی مناسب و سریع استفاده می‌شود. افراد و کارکنان، که تحت عنوان تیم SOC شناخته می‌شوند، دیگر عنصر کلیدی مرکز عملیات امنیت هستند که نقشی بسیار مهم داشته و مسئول اجرای صحیح فرآیندها و روال‌های امنیتی هستند. متاسفانه اغلب تیم‌های SOC همواره با کمبود نیرو، زمان، دید یا اطمینان کافی درباره وقایع در حال وقوع، مواجه هستند. به همین دلیل، سازمان‌دهی موثر تیم SOC از اهمیت زیادی برخوردار است. با توجه به این مساله، در ایجاد یک تیم SOC باید به دنبال این بود که با در اختیار داشتن مجموعه مهارت‌های موردنیاز و با استفاده از حداقل منابع، بتوان دید موردنیاز نسبت به تهدیدهای فعال و در حال ظهور را به دست آورد. در ادامه این مطلب و برای دستیابی به این مهم، ساختار سازمانی پیش‌­بینی شده برای تیم SOC در سازمان‌های کوچک و متوسط و همچنین سازمان‌های بزرگ ارائه می‌شود.

ساختار سازمانی تیم SOC در سازمان‌های کوچک و متوسط

تیم استاندارد SOC در این‌گونه سازمان‌ها، همانطور که در شکل زیر نیز نمایش داده شده، از چهار سطح تشکیل شده و کارشناسان

هر یک از این سطوح، وظایف و مسئولیت‌های متفاوتی را بر عهده دارند که در ادامه به بررسی آن‌ها پرداخته خواهد شد.

نقشها و وظایف افراد تیم SOC

  • سطح ۱ – کارشناس تحلیل امنیت. وظایف و مسئولیت‌های این کارشناسان عبارت است از:
    • مرور آخرین هشدارهای ایجاد شده در SIEM و تعیین میزان اهمیت و فوریت آن‌ها
    • ایجاد تیکت جدید برای هشدارهایی که نشان‌دهنده یک رویداد امنیتی در شبکه بوده و نیارمند تحلیل بیشتر توسط کارشناسان سطح ۲ هستند
    • انجام اسکن آسیب­‌پذیری و بررسی گزارش­‌های ارزیابی آسیب‌­پذیری در سیستم
    • مدیریت و پیکربندی ابزارهای کنترل امنیت مانند IDS، قواعد همبسته‌­سازی و غیره
  • سطح ۲ – کارشناس پاسخ به رویدادها. وظایف و مسئولیت‌های این کارشناسان عبارت است از:
    • مرور تیکت‌­های ایجاد شده توسط کارشناسان سطح ۱
    • به‌کارگیری هوش تهدید[۲] به‌روز (نشانه‌های تهدید و به مخاطره‌افتادگی (IOCها)، قواعد به‌روز شده و …) جهت شناسایی سیستم‌های تحت تاثیر قرار گرفته و دامنه حمله
    • بررسی و جمع‌آوری داده‌­هایی مانند پیکربندی‌­ها، فرآیندهای در حال اجرا و… از دارایی­‌های موجود در سیستم‌های تحت‌تاثیر قرار‌گرفته برای بررسی‌های بیشتر
    • تعیین و جهت‌دهی اقدامات بازیابی و اصلاحی
  • سطح ۳ – کارشناس تحلیل امنیت پیشرفته. وظایف و مسئولیت‌های این کارشناسان عبارت است از:
    • مرور داده‌های فرایندهای ارزیابی آسیب­‌پذیری و کشف دارایی
    • استفاده از به‌روزترین ابزارهای تشخیص تهدید برای شناسایی تهدیداتی که مخفیانه و بدون کشف وارد سیستم شده­‌اند
    • انجام تست نفوذ بر روی سیستم­‌های تولیدی برای ارزیابی مقاومت و شناسایی بخش‌­های آسیب‌­پذیر جهت بهبود
    • توصیه نحوه بهینه‌سازی ابزارهای کنترل امنیت با توجه به جدیدترین یافته­‌های مباحث شکار و مبارزه با تهدیدات امنیتی
  • سطح ۴ – مدیر SOC. وظایف و مسئولیت‌های مدیران SOC عبارت است از:
    • نظارت بر فعالیت‌های تیم SOC
    • استخدام، آموزش و ارزیابی کارکنان
    • مرور گزارش­‌های هشدارها و رویدادها
    • توسعه و اجرای برنامه ارتباط با مدیران و دیگر ذی‌نفعان در مواقع بحرانی
    • اجرای گزارش‌های انطباقی و پشتیبانی از فرایند حسابرسی
    • بررسی بهره‌­وری تیم SOC و ارائه ارزش ایجاد شده به مدیران

ساختار سازمانی تیم SOC در سازمان‌های بزرگ

به دلیل طیف گسترده فعالیت­‌های بالقوه تیم SOC در یک سازمان خیلی بزرگ، نقش‌­های جدیدی در ساختار سازمانی SOC پیش‌­بینی شده و برای این‌گونه مجموعه‌ها اضافه شده که در ادامه وظایف و مسئولیت‌های هر یک توضیح داده شده است:

  • پژوهشگر هوشمندی امنیت سایبری. وظایف و مسئولیت‌های این دسته از پژوهشگران عبارت است از:
    • بررسی موارد بسیار مهم در بحث هوشمندی امنیت سایبری
    • تحلیل فعالیت‌­­های شبکه و رفتار مهاجمین
  • پژوهشگر ارزیابی آسیب‌­پذیری­‌ها. وظایف و مسئولیت‌های این دسته از پژوهشگران عبارت است از:
    • اسکن شبکه و آسیب­‌پذیری‌­ها
    • بررسی دقیق موارد کشف شده
  • پژوهشگر تست نفوذپذیری. وظایف و مسئولیت‌های این دسته از پژوهشگران عبارت است از:
    • انجام تست نفوذ
    • ارزیابی محصولات
    • مشاوره امنیتی
  • پژوهشگر مهندسی ابزار SIEM. وظایف و مسئولیت‌های این دسته از پژوهشگران عبارت است از:
    • بررسی ابزار SIEM از جنبه­‌های مختلف
    • تلاش در راستای بهبود عملکرد سیستم

سخن پایانی

شرکت امن‌پردازان کویر (APK) از شرکت‌های پیشگام کشور در حوزه‌ی ارائه خدمات امنیت سایبری به سازمان‌ها و شرکت‌ها، با در اختیار داشتن مجموعه‌ای از حرفه‌ای‌ترین مهندسان امنیت سایبری، آماده ارائه خدمات در قالب مشاوره، نظارت و راه‌اندازی مراکز SOC در شرکت‌ها و سازمان‌ها است. جهت کسب اطلاعات بیشتر در این زمینه می‌توانید با شماره ۰۲۱۴۲۲۳۸ تماس حاصل نمایید.

[۱] Security operations center

[۲] Threat intelligence

عضویت در خبرنامه

Start typing to see posts you are looking for.

برای آگاهی از آخرین مطالب، اخبار آسیب‌پذیری و رویدادهای تخصصی، آدرس ایمیل و شماره موبایل خود را وارد نمایید.

دانلود کاتالوگ