مرکز عملیات امنیت[۱] (SOC) بستری است که سرویسهای کشف و پاسخگویی را در مقابل حوادث امنیتی فراهم میآورد. در مرکز عملیات امنیت، از تجهیزات سختافزاری و نرمافزاری جهت نظارت، پایش، تجزیه و تحلیل و انجام عکسالعملهای مناسب، و از مکانیزمها و فرآیندهای مناسب و بهینه به منظور کاهش زمان پاسخگویی و انجام اقدامات امنیتی مناسب و سریع استفاده میشود. افراد و کارکنان، که تحت عنوان تیم SOC شناخته میشوند، دیگر عنصر کلیدی مرکز عملیات امنیت هستند که نقشی بسیار مهم داشته و مسئول اجرای صحیح فرآیندها و روالهای امنیتی هستند. متاسفانه اغلب تیمهای SOC همواره با کمبود نیرو، زمان، دید یا اطمینان کافی درباره وقایع در حال وقوع، مواجه هستند. به همین دلیل، سازماندهی موثر تیم SOC از اهمیت زیادی برخوردار است. با توجه به این مساله، در ایجاد یک تیم SOC باید به دنبال این بود که با در اختیار داشتن مجموعه مهارتهای موردنیاز و با استفاده از حداقل منابع، بتوان دید موردنیاز نسبت به تهدیدهای فعال و در حال ظهور را به دست آورد. در ادامه این مطلب و برای دستیابی به این مهم، ساختار سازمانی پیشبینی شده برای تیم SOC در سازمانهای کوچک و متوسط و همچنین سازمانهای بزرگ ارائه میشود.
ساختار سازمانی تیم SOC در سازمانهای کوچک و متوسط
تیم استاندارد SOC در اینگونه سازمانها، همانطور که در شکل زیر نیز نمایش داده شده، از چهار سطح تشکیل شده و کارشناسان
هر یک از این سطوح، وظایف و مسئولیتهای متفاوتی را بر عهده دارند که در ادامه به بررسی آنها پرداخته خواهد شد.
- سطح ۱ – کارشناس تحلیل امنیت. وظایف و مسئولیتهای این کارشناسان عبارت است از:
- مرور آخرین هشدارهای ایجاد شده در SIEM و تعیین میزان اهمیت و فوریت آنها
- ایجاد تیکت جدید برای هشدارهایی که نشاندهنده یک رویداد امنیتی در شبکه بوده و نیارمند تحلیل بیشتر توسط کارشناسان سطح ۲ هستند
- انجام اسکن آسیبپذیری و بررسی گزارشهای ارزیابی آسیبپذیری در سیستم
- مدیریت و پیکربندی ابزارهای کنترل امنیت مانند IDS، قواعد همبستهسازی و غیره
- سطح ۲ – کارشناس پاسخ به رویدادها. وظایف و مسئولیتهای این کارشناسان عبارت است از:
- مرور تیکتهای ایجاد شده توسط کارشناسان سطح ۱
- بهکارگیری هوش تهدید[۲] بهروز (نشانههای تهدید و به مخاطرهافتادگی (IOCها)، قواعد بهروز شده و …) جهت شناسایی سیستمهای تحت تاثیر قرار گرفته و دامنه حمله
- بررسی و جمعآوری دادههایی مانند پیکربندیها، فرآیندهای در حال اجرا و… از داراییهای موجود در سیستمهای تحتتاثیر قرارگرفته برای بررسیهای بیشتر
- تعیین و جهتدهی اقدامات بازیابی و اصلاحی
- سطح ۳ – کارشناس تحلیل امنیت پیشرفته. وظایف و مسئولیتهای این کارشناسان عبارت است از:
- مرور دادههای فرایندهای ارزیابی آسیبپذیری و کشف دارایی
- استفاده از بهروزترین ابزارهای تشخیص تهدید برای شناسایی تهدیداتی که مخفیانه و بدون کشف وارد سیستم شدهاند
- انجام تست نفوذ بر روی سیستمهای تولیدی برای ارزیابی مقاومت و شناسایی بخشهای آسیبپذیر جهت بهبود
- توصیه نحوه بهینهسازی ابزارهای کنترل امنیت با توجه به جدیدترین یافتههای مباحث شکار و مبارزه با تهدیدات امنیتی
- سطح ۴ – مدیر SOC. وظایف و مسئولیتهای مدیران SOC عبارت است از:
- نظارت بر فعالیتهای تیم SOC
- استخدام، آموزش و ارزیابی کارکنان
- مرور گزارشهای هشدارها و رویدادها
- توسعه و اجرای برنامه ارتباط با مدیران و دیگر ذینفعان در مواقع بحرانی
- اجرای گزارشهای انطباقی و پشتیبانی از فرایند حسابرسی
- بررسی بهرهوری تیم SOC و ارائه ارزش ایجاد شده به مدیران
ساختار سازمانی تیم SOC در سازمانهای بزرگ
به دلیل طیف گسترده فعالیتهای بالقوه تیم SOC در یک سازمان خیلی بزرگ، نقشهای جدیدی در ساختار سازمانی SOC پیشبینی شده و برای اینگونه مجموعهها اضافه شده که در ادامه وظایف و مسئولیتهای هر یک توضیح داده شده است:
- پژوهشگر هوشمندی امنیت سایبری. وظایف و مسئولیتهای این دسته از پژوهشگران عبارت است از:
- بررسی موارد بسیار مهم در بحث هوشمندی امنیت سایبری
- تحلیل فعالیتهای شبکه و رفتار مهاجمین
- پژوهشگر ارزیابی آسیبپذیریها. وظایف و مسئولیتهای این دسته از پژوهشگران عبارت است از:
- اسکن شبکه و آسیبپذیریها
- بررسی دقیق موارد کشف شده
- پژوهشگر تست نفوذپذیری. وظایف و مسئولیتهای این دسته از پژوهشگران عبارت است از:
- انجام تست نفوذ
- ارزیابی محصولات
- مشاوره امنیتی
- پژوهشگر مهندسی ابزار SIEM. وظایف و مسئولیتهای این دسته از پژوهشگران عبارت است از:
- بررسی ابزار SIEM از جنبههای مختلف
- تلاش در راستای بهبود عملکرد سیستم
سخن پایانی
شرکت امنپردازان کویر (APK) از شرکتهای پیشگام کشور در حوزهی ارائه خدمات امنیت سایبری به سازمانها و شرکتها، با در اختیار داشتن مجموعهای از حرفهایترین مهندسان امنیت سایبری، آماده ارائه خدمات در قالب مشاوره، نظارت و راهاندازی مراکز SOC در شرکتها و سازمانها است. جهت کسب اطلاعات بیشتر در این زمینه میتوانید با شماره ۰۲۱۴۲۲۳۸ تماس حاصل نمایید.
[۱] Security operations center
[۲] Threat intelligence