چالش‌های ساخت مرکز SOC

تیم‌های امنیتی در زمان ساخت مرکز SOC با چندین چالش رایج روبرو هستند:

• دید محدود:  مرکز SOC متمرکز همیشه به همه سیستم‌های سازمانی مثل نقاط پایانی، داده‌های رمزگذاری‌شده یا سیستم‌های کنترل‌شده توسط اشخاص ثالث، دسترسی ندارد.
• نویز سفید: مرکز SOC حجم زیادی از داده‌ها را دریافت می‌کند که بسیاری از آن‌ها از نظر امنیتی کم اهمیت هستند. سیستم مدیریت وقایع و امنیت اطلاعات (SIEM) و سایر ابزارهای مورداستفاده در مرکز SOC، با فیلترکردن این نویزها توسط یادگیری ماشین و تجزیه‌وتحلیل پیشرفته، می‌توانند عملکرد بهتری داشته باشند.
• موارد مثبت کاذب و هشدارهای خسته‌کننده: سیستم‌های مرکز عملیات امنیت (SOC) تعداد زیادی هشدار تولید می‌کنند که بسیاری از آن‌ها رخدادهای امنیتی واقعی نیستند. موارد مثبت کاذب می‌تواند زمان زیادی از وقت تحلیلگران امنیتی را به خود اختصاص دهد و تشخیص هشدارهای واقعی را دشوار کند.

هر سه این چالش‌ها توسط مجموعه‌ای از ابزارهای امنیتی بررسی می‌شوند که بخش مرکزی آن، سامانه مدیریت وقایع و امنیت اطلاعات (SIEM) است و عملکرد SOC های مدرن را تقویت می کند.

مرکز SOC و مدیریت وقایع و امنیت اطلاعات (SIEM)

SIEM فناوری پایه مرکز SOC است که تجهیزات، لاگ‌های برنامه‌های کاربردی و رویدادها را از ابزارهای امنیتی کل سازمان جمع‌آوری می‌کند. همچنین به منظور شناسایی رویدادهای مستعد ایجاد رخداد امنیتی، هشدار به کارکنان مرکز SOC و تهیه اطلاعات متنی برای کمک به تحقیقات، از مدل‌های آماری و همبستگی استفاده می‌کند. SIEM به عنوان یک کنسول واحد (single pane of glass) عمل می‌کند و امکان نظارت بر سیستم‌های سازمانی را به SOC می‌دهد.

چند نمونه مهم از فرایندهای مرکز SOC که توسط SIEM تسهیل شده‌اند

بررسی بدافزار

SIEM به کارکنان امنیتی کمک می‌کند تا داده‌های مرتبط با بدافزار شناسایی‌شده در سازمان را جمع‌آوری کرده،  و با مرتبط کردن آن‌ها را با هوش تهدیدات، سیستم‌ها و داده‌های تحت تأثیر را شناسایی کنند. SIEMهای نسل بعد قابلیت‌های هماهنگ‌سازی امنیتی و ساخت جدول‌های زمانی رخداد را فراهم می‌کنند و حتی می‌توانند به‌طور خودکار بدافزار را در Sandbox هوش تهدیدات شناسایی کنند.

پیشگیری و تشخیص فیشینگ

ابزار SIEM می‌تواند از همبستگی‌ها و آنالیز رفتاری برای تشخیص کاربری که روی پیوند فیشینگ ارسال شده از طریق ایمیل یا ابزارهای دیگر، کلیک کرده است، استفاده کند. هنگامی که یک هشدار مطرح می‌شود، تحلیلگران به منظور شناسایی دامنه حمله می‌توانند الگوهای مشابه را در کل سازمان و در طول جدول زمانی جستجو کنند.

تحقیق منابع انسانی

هنگامی که یک کارمند، مشکوک به دخالت مستقیم در یک رخداد امنیتی است، SIEM می‌تواند با جمع‌آوری تمام داده‌های مربوط به تعامل کارمند با سیستم‌های IT، در مدت زمان طولانی، به شناسایی کارمند خاطی کمک کند. SIEM می‌تواند ناهنجاری‌هایی مانند ورود به سیستم‌های شرکت در ساعات غیرمعمول، افزایش سطح دسترسی یا جابجایی مقادیر زیاد داده را کشف کند.

کاهش ریسک کارکنان سابق شرکت

طبق یک مطالعه، ۸۹ درصد از کارمندانی که شغل خود را ترک می‌کنند، حداقل به برخی از سیستم‌های شرکت دسترسی دارند و از آن اطلاعات اعتباری برای ورود به سیستم استفاده می‌کنند. SIEM می‌تواند تشخیص دهد که کدام سیستم‌ها دارای اطلاعات اعتباری استفاده نشده هستند، کدام کارمندان سابق شرکت به سیستم‌ها دسترسی دارند و کدام داده‌های حساس تحت تأثیر قرار می‌گیرند.

یک مدل پایه تیم پاسخ به رخداد و نحوه کمک SIEM

با وجود اینکه مراکز SOC در حال تغییر و تحول هستند و نقش‌های دیگری را نیز بر عهده می‌گیرند، فعالیت اصلی آن‌ها شناسایی و پاسخ به رخداد است. مرکز SOC واحدی است که انتظار می‌رود حملات سایبری علیه سازمان را شناسایی و مهار کند و این حملات را کاهش دهد. افرادی که مسئول پاسخگویی به رخداد هستند، تحلیلگران سطح ۱، سطح ۲ و سطح ۳ هستند و نرم افزاری که آن‌ها در درجه اول به آن تکیه می‌کنند، سیستم مدیریت وقایع و امنیت اطلاعات (SIEM) است.

سطح ۱ (TIER1) : طبقه‌بندی رویداد

تحلیلگران سطح ۱ فعالیت کاربران، رویدادهای شبکه و هشدارهای ابزارهای امنیتی را به منظور شناسایی رویدادهای مهم زیر نظر دارند.

تولید هشدار و تیکت

SIEM سنتی

SIEM داده‌های امنیتی را از سیستم‌های سازمانی و ابزارهای امنیتی جمع‌آوری می‌کند، آن‌ها را با سایر رویدادها یا داده‌های تهدید مرتبط می‌کند و هشدارهایی را برای رویدادهای مشکوک یا غیرعادی تولید می‌کند.

SIEM نسل بعدی

SIEMهای نسل بعد از یادگیری ماشین و آنالیز رفتاری به منظور کاهش موارد مثبت کاذب و هشدارهای خسته‌کننده استفاده می‌کنند. همچنین رخدادهای پیچیده‌ای که به سختی قابل تشخیص هستند مانند حرکت‌های جانبی، تهدیدات داخلی و استخراج داده را کشف می کنند.

سطح ۲ (TIER2) : اولویت‌بندی و بررسی

تحلیلگران سطح۱ در مرکز SOC مهم‌ترین هشدارها را اولویت‌بندی، انتخاب و به‌طور دقیق‌تر بررسی می‌کنند و رخدادهای امنیتی واقعی را به تحلیلگران سطح ۲ منتقل می‌کنند.

جستجو و کاوش داده‌ها

SIEM سنتی

SIEM می‌تواند به تحلیلگران سطح ۱ و ۲ کمک کند تا داده‌های امنیتی را جستجو و فیلتر کنند، برش بدهند و به قطعات کوچکتر تقسیم کنند و آن‌ها را شبیه‌سازی کنند. تحلیلگران به راحتی می‌توانند برای درک بهتر رخداد، داده‌های مربوطه را جمع آوری و با یکدیگر مقایسه کنند.

SIEM نسل بعدی

SIEMهای نسل بعد مبتنی بر فناوری دریاچه داده هستند که به سازمان‌ها اجازه می دهند تا داده‌های نامحدود را با هزینه کم ذخیره کنند. آن‌ها همچنین از یادگیری ماشین و تجزیه‌وتحلیل رفتار کاربر و موجودیت‌ (UEBA) استفاده می‌کنند تا به راحتی رویدادهای پرخطر را شناسایی و آن‌ها را در اختیار تحلیلگران قرار دهند.

سطح ۳ (TIER3) : مهار و بازیابی

هنگامی که یک رخداد امنیتی شناسایی شد، کار برای جمع‌آوری داده‌های بیشتر، شناسایی منبع حمله، مهار آن، بازیابی داده‌ها و بازیابی عملیات سیستم ادامه می‌یابد.

محتوای متنی رخدادها و تنظیم امنیتی

SIEM سنتی

هنگامی که یک رخداد امنیتی واقعی شناسایی می‌شود، SIEM یک سری اطلاعات متنی در مورد رخداد فراهم می‌کند. به عنوان مثال مشخص می‌کند کدام سیستم‌ها با همان IP یا همان اطلاعات اعتباری به سیستم دسترسی داشته‌اند.

SIEM نسل بعدی

SIEMهای نسل بعد قابلیت‌های هماهنگ‌سازی، خودکارسازی و پاسخ‌گویی امنیتی یا فناوری SOAR را ارائه می‌دهند. آن‌ها با سایر سیستم‌های امنیتی ادغام شده و می‌توانند به طور خودکار اقدامات مهار را انجام دهند. به عنوان مثال، یک ایمیل آلوده به بدافزار را قرنطینه، بدافزار را در Sandbox هوش تهدیدات دانلود و آزمایش می‌کنند.

سطح ۴ (TIER4) : اصلاح و کاهش آسیب‌پذیری‌های امنیتی

کارکنان مرکز SOC برای شناسایی شکاف‌های امنیتی مرتبط با حمله و جلوگیری از حملات بعدی تلاش می‌کنند.

گزارش‌گیری و داشبورد

SIEM سنتی

اصلاح و کاهش آسیب‌پذیری‌های امنیتی یک فعالیت مداوم است و نیاز به مشاهده وضعیت و فعالیت سیستم‌های IT و امنیتی مهم دارد. SIEMها با دید بین سازمانی خود می‌توانند این چشم‌انداز را فراهم کنند.

SIEM نسل بعدی

SIEMهای نسل بعدی از قابلیت‌های یادگیری ماشین و علم داده به منظور ایجاد خطوط مبنای هوشمند برای گروهی از کاربران و تجهیزات استفاده می‌کنند. این کار امکان تشخیص سریع‎‌تر و دقیق‌تر سیستم‌های ناامن یا فعالیت‌های مشکوک را فراهم می‌کند.

سطح ۵ (TIER5) : ارزیابی و ممیزی

کارکنان مرکز SOC مراحل حمله و جلوگیری از وقوع مجدد آن را ارزیابی کرده و داده‌های فارنزیک را جمع‌آوری می‌کنند، همچنین نتیجه‌گیری و توصیه‌های نهایی را انجام داده و ممیزی و مستندات را ارائه می‌دهند.

گزارش انطباق

یکی از وظایف اصلی SIEM تهیه گزارش و ممیزی برای الزامات و استانداردهای نظارتی مانند PCI DSS، HIPAA و SOX، هم به‌صورت مدوام و هم بعد از وقوع یک رخداد یا نقض امنیتی است.

نگاهی کلی به ابزارها و فناوری‌های مرکز SOC

علاوه بر SIEM، ابزارهای بسیار زیادی در مرکز SOC استفاده می‌شوند:

• سیستم‌های حاکمیت، مدیریت ریسک و انطباق (GRC)
• ابزارهای تست نفوذپذیری و پایشگرهای آسیب‌پذیری
• سیستم‌های تشخیص نفوذ (IDS)، سیستم‌های پیشگیری از نفوذ (IPS)، و سیستم‌های پیشگیری از نفوذ بی‌سیم
• فایروال‌ها و فایروال‌های نسل بعد (NGFW) که می‌توانند به عنوان یک IPS عمل کنند.
• سیستم‌های مدیریت لاگ که معمولا به عنوان بخشی از SIEM هستند.
• پایگاه‌های داده و هوش تهدیدات سایبری

تفاوت فناوری در مرکر SOC سنتی و SOC نسل بعدی

مراکز SOC پیشرفته از ابزارهای نسل بعدی، به ویژه SIEMهای نسل بعدی، استفاده می‌کنند که یادگیری ماشین و آنالیز رفتاری پیشرفته، قابلیت‌های شکار تهدیدات (Threat Hunting) و پاسخ خودکار داخلی را ارائه می‌دهند. فناوری مرکز عملیات امنیتی مدرن به تیم SOC اجازه می‌دهد تا تهدیدات را به‌سرعت و به‌صورت کارآمد کشف و با آن‌ها مقابله کند.

ابزارهای سنتی

• مدیریت وقایع و امنیت اطلاعات (SIEM)
• سیستم‌های حاکمیت، مدیریت ریسک و انطباق (GRC).
• ابزارهای تست نفوذ و پایشگرهای آسیب‌پذیری
• سیستم‌های تشخیص نفوذ (IDS)، سیستم‌های پیشگیری از نفوذ (IPS)، و سیستم‌های جلوگیری از نفوذ بی‌سیم
• فایروال‌ها، فایروال‌های نسل بعد (NGFW) که می‌توانند به عنوان یک IPS عمل کنند و فایروال‌ برنامه‌های تحت وب (WAF)
• سیستم‌های مدیریت لاگ که معمولا به عنوان بخشی از SIEM هستند.
• پایگاه‌های داده و هوش تهدیدات سایبری

ابزارهای نسل بعدی

• SIEM های نسل بعد که بر روی پلت‌فرم داده‌های بزرگ ساخته شده‌اند و شامل یادگیری ماشین و آنالیز رفتاری پیشرفته، شکار تهدید، پاسخ به رخداد داخلی و خودکارسازی مرکز SOC می‌شوند.
• ابزارهای تجزیه‌وتحلیل ترافیک شبکه (NTA) و نظارت بر عملکرد برنامه (APM)
• شناسایی و پاسخ‌دهی تهدیدات نقاط پایانی(EDR) که به شناسایی و کاهش فعالیت‌های مشکوک در میزبان و دستگاه‌های کاربر کمک می‌کند.
• تجزیه‌وتحلیل رفتار کاربر و موجودیت‌ (UEBA)، که از یادگیری ماشین برای شناسایی الگوهای رفتاری مشکوک استفاده می‌کند.

دلایل پیاده‌سازی و استفاده از مرکز SOC نسل بعدی

• SIEM نسل بعدی به کاهش هشدارهای خسته‌کننده کمک می‌کند و به تحلیلگران اجازه می‌دهد بر روی هشدارهای مهم تمرکز کنند. قابلیت‌های جدید تجزیه‌وتحلیل همراه با گستره وسیعی از داده‌های امنیتی، به SIEMهای نسل بعدی اجازه می‌دهد تا حوادثی را کشف کنند که هیچ ابزار امنیتی دیگری نمی‌تواند آن‌ها را مشاهده کند.
• NTA پیاده‌سازی آسانی دارد و در تشخیص رفتارهای غیرعادی شبکه عملکرد خوبی دارد. NTA زمانی مفید است که مرکز SOC به ترافیک تحت بررسی دسترسی داشته باشد و علاقه‌مند به بررسی حرکت‌های جانبی مهاجمانی باشد که از قبل در محیط وجود دارند.
• UEBA از تکنیک‌های یادگیری ماشین و علم داده برای شناسایی افراد مخرب داخلی و کسانی که کنترل‌های امنیتی را دور می‌زنند، استفاده می‌کند. با استفاده از UEBA شناسایی آسیب‌پذیری‌های حساب‌های کاربری، چه توسط مهاجمان خارجی و چه توسط افراد داخلی، بسیار آسان‌ خواهد شد.
• EDR حفاظتی قوی در برابر به خطر افتادن ایستگاه‌های کاری یا سرورها ارائه می‌دهد و به مدیریت نیروی کار سیار کمک می‌کند. همچنین داده‌های موردنیاز برای انجام تحقیقات تاریخی و ردیابی علل ریشه‌ای را فراهم می‌کند.

سه ابزار ضروری در مرکز SOC

علاوه بر SIEM، چند ابزار ضروری دیگر در مراکز عملیات امنیت مدرن وجود دارند.

فایروال‌ها، فایروال‌های نسل بعد (NFGW) و فایروال‌های برنامه‌های تحت وب (WAF)

فایروال‌ها بخش مهمی از امنیت سایبری هستند. دو فناوری جدید فایروال در حال تکمیل و جایگزینی با فایروال سنتی هستند:

• NGFW با ارائه پیشگیری و تشخیص نفوذ با قابلیت‌های بازرسی بسته عمیق، فایروال را توسعه می‌دهد. NGFWها می‌توانند با استفاده از تکنیک‌هایی مانند فیلتر URL، آنالیز رفتاری و فیلتر موقعیت جغرافیایی، تهدیدات را در لبه شبکه مسدود کنند. آن‌ها از یک پروکسی معکوس برای پایان دادن به اتصالات (Connection) و بررسی محتوا قبل از رسیدن به وب‌سرور استفاده می‌کنند.
• WAF که در مقابل برنامه‌های کاربردی وب مستقر می‌شود، ترافیک را بررسی کرده و الگوهای ترافیکی را که ممکن است نشان‌دهنده فعالیت‌های مخرب باشد، شناسایی می‌کند. یک WAF می‌تواند حملات را شناسایی کرده و در عین حال موارد مثبت کاذب را با یادگیری URL‌ها، پارامترها و ورودی‌های کاربر قابل‌قبول شناسایی می‌کند. WAF از داده‌های مذکور برای شناسایی ترافیک یا ورودی‌هایی استفاده می‌کند که از حالت نرمال منحرف می‌شوند.

این فناوری‌ها در مرکز SOC مدرن برای کاهش حمله به وب‌سایت‌ها و برنامه‌های کاربردی تحت وب و جمع‌آوری داده‌های با کیفیت بالاتر در مورد ترافیک قانونی و مخربی که به ویژگی‌های حیاتی وب ضربه می‌زنند، استفاده می‌شوند.

شناسایی و پاسخ‌دهی تهدیدات نقطه پایانی (EDR)

EDR دسته جدیدی از ابزارها است که به تیم‌های SOC کمک می‌کند تا به حملات به نقاط پایانی مانند ایستگاه‌های کاری کاربر (User Workstation)، تلفن‌های همراه، سرورها یا دستگاه‌های اینترنت اشیا (IoT) پاسخ دهند. این ابزارها براساس این فرض ساخته شده‌اند که حملات رخ خواهند داد و مرکز SOC معمولا بر آن‌چه در یک نقطه پایانی راه‌دور اتفاق می‌افتد، دید و کنترل بسیار محدودی دارد.  EDRها در نقاط پایانی مستقر می‌شوند، داده‌های فوری و دقیق در مورد فعالیت‌های مخرب را ارائه می‌دهند و امکان کنترل راه‌دور نقاط پایانی به منظور انجام اقدامات کاهشی فوری را برای تیم‌های SOC فراهم می‌کنند.

برای مثال، مرکز SOC می‌تواند از EDR برای شناسایی ۵۰ نقطه پایانی آلوده به باج‌افزار، جداسازی آن‌ها از شبکه، پاک کردن و تصویربرداری مجدد از ماشین‌ها استفاده کند. همه این‌ کارها می‌تواند در عرض چند ثانیه و به منظور شناسایی حملات در زمان وقوع، جلوگیری از گسترش و ریشه‌کن کردن حملات انجام شود.

ابزارهای نظارت در مرکز SOC

نظارت، عملکرد کلیدی ابزارهای مورداستفاده در مرکز SOC است. مرکز SOC مسئول نظارت بر سیستم‌های IT و حساب‌های کاربری در سطح سازمانی و همچنین نظارت بر خود ابزارهای امنیتی است به عنوان مثال، اطمینان از نصب و به‌روزرسانی آنتی‌ویروس در تمام سیستم‌های سازمانی. SIEM ابزار اصلی هماهنگ‌سازی نظارت درمرکز SOC است. سازمان‌ها از بسیاری از ابزارهای نظارتی اختصاصی مانند نظارت بر شبکه و نظارت بر عملکرد برنامه (APM) استفاده می‌کنند. با این حال، تنها SIEM با دید بین سازمانی خود از IT و داده‌های امنیتی، می‌تواند یک راه‌حل نظارت کامل ارائه دهد.

با کدام ابزار باید شروع کرد؟

این مراحل پذیرش ابزار توسط شرکت پژوهشی و مشاوره‌ای گارتنر پیشنهاد شده است.

• SOC Greenfield ← فقط SIEM
• مرکز SOC تثبیت‌شده← افزودن Sandbox خودکار اطلاعات تهدید، NTA و EDR.
• گرایش به جلو ← اضافه کردن UEBA و یک پلتفرم کامل هوش تهدیدات داخلی که به عنوان بخشی از SIEM نسل بعدی ارائه شده است.

در این مقاله نشان دادیم که چگونه SIEM یک فناوری پایه مرکز SOC است و چگونه SIEMهای نسل بعد، که شامل قابلیت‌های جدیدی مانند آنالیز رفتاری، یادگیری ماشین و خودکارسازی مرکز SOC هستند، فرصت‌های جدیدی را برای تحلیلگران امنیتی ایجاد می‌کنند.

تأثیر SIEM نسل بعدی بر مرکز SOC

راه‌کارهای SIEM نسل بعد می‌توانند تأثیر قابل‌توجهی بر مرکز SOC شما داشته باشند:

• کاهش هشدارهای خسته‌کننده: از طریق تجزیه‌وتحلیل رفتار کاربر و موجودیت‌ (UEBA) که فراتر از قوانین همبستگی است، به کاهش موارد مثبت کاذب و کشف تهدیدهای پنهان کمک می‌کند.
• بهبود MTTD: به تحلیلگران برای کشف سریعتر حوادث و جمع‌آوری تمام داده‌های مرتبط کمک می‌کند.
• بهبود MTTR: ادغام با سیستم‌های امنیتی و استفاده از فناوری هماهنگ‌سازی، خودکارسازی و پاسخ‌گویی امنیتی (SOAR).
• فعال کردن شکار تهدید: اعطای دسترسی سریع و آسان به تحلیلگران و کاوش قدرتمند در حجم نامحدود داده‌های امنیتی.