چالشهای ساخت مرکز SOC
تیمهای امنیتی در زمان ساخت مرکز SOC با چندین چالش رایج روبرو هستند:
- دید محدود: مرکز SOC متمرکز همیشه به همه سیستمهای سازمانی مثل نقاط پایانی، دادههای رمزگذاریشده یا سیستمهای کنترلشده توسط اشخاص ثالث، دسترسی ندارد.
- نویز سفید: مرکز SOC حجم زیادی از دادهها را دریافت میکند که بسیاری از آنها از نظر امنیتی کم اهمیت هستند. سیستم مدیریت وقایع و امنیت اطلاعات (SIEM) و سایر ابزارهای مورداستفاده در مرکز SOC، با فیلترکردن این نویزها توسط یادگیری ماشین و تجزیهوتحلیل پیشرفته، میتوانند عملکرد بهتری داشته باشند.
- موارد مثبت کاذب و هشدارهای خستهکننده: سیستمهای مرکز عملیات امنیت (SOC) تعداد زیادی هشدار تولید میکنند که بسیاری از آنها رخدادهای امنیتی واقعی نیستند. موارد مثبت کاذب میتواند زمان زیادی از وقت تحلیلگران امنیتی را به خود اختصاص دهد و تشخیص هشدارهای واقعی را دشوار کند.
هر سه این چالشها توسط مجموعهای از ابزارهای امنیتی بررسی میشوند که بخش مرکزی آن، سامانه مدیریت وقایع و امنیت اطلاعات (SIEM) است و عملکرد SOC های مدرن را تقویت می کند.
مرکز SOC و مدیریت وقایع و امنیت اطلاعات (SIEM)
SIEM فناوری پایه مرکز SOC است که تجهیزات، لاگهای برنامههای کاربردی و رویدادها را از ابزارهای امنیتی کل سازمان جمعآوری میکند. همچنین به منظور شناسایی رویدادهای مستعد ایجاد رخداد امنیتی، هشدار به کارکنان مرکز SOC و تهیه اطلاعات متنی برای کمک به تحقیقات، از مدلهای آماری و همبستگی استفاده میکند. SIEM به عنوان یک کنسول واحد (single pane of glass) عمل میکند و امکان نظارت بر سیستمهای سازمانی را به SOC میدهد.
چند نمونه مهم از فرایندهای مرکز SOC که توسط SIEM تسهیل شدهاند
بررسی بدافزار
SIEM به کارکنان امنیتی کمک میکند تا دادههای مرتبط با بدافزار شناساییشده در سازمان را جمعآوری کرده، و با مرتبط کردن آنها را با هوش تهدیدات، سیستمها و دادههای تحت تأثیر را شناسایی کنند. SIEMهای نسل بعد قابلیتهای هماهنگسازی امنیتی و ساخت جدولهای زمانی رخداد را فراهم میکنند و حتی میتوانند بهطور خودکار بدافزار را در Sandbox هوش تهدیدات شناسایی کنند.
پیشگیری و تشخیص فیشینگ
ابزار SIEM میتواند از همبستگیها و آنالیز رفتاری برای تشخیص کاربری که روی پیوند فیشینگ ارسال شده از طریق ایمیل یا ابزارهای دیگر، کلیک کرده است، استفاده کند. هنگامی که یک هشدار مطرح میشود، تحلیلگران به منظور شناسایی دامنه حمله میتوانند الگوهای مشابه را در کل سازمان و در طول جدول زمانی جستجو کنند.
تحقیق منابع انسانی
هنگامی که یک کارمند، مشکوک به دخالت مستقیم در یک رخداد امنیتی است، SIEM میتواند با جمعآوری تمام دادههای مربوط به تعامل کارمند با سیستمهای IT، در مدت زمان طولانی، به شناسایی کارمند خاطی کمک کند. SIEM میتواند ناهنجاریهایی مانند ورود به سیستمهای شرکت در ساعات غیرمعمول، افزایش سطح دسترسی یا جابجایی مقادیر زیاد داده را کشف کند.
کاهش ریسک کارکنان سابق شرکت
طبق یک مطالعه، ۸۹ درصد از کارمندانی که شغل خود را ترک میکنند، حداقل به برخی از سیستمهای شرکت دسترسی دارند و از آن اطلاعات اعتباری برای ورود به سیستم استفاده میکنند. SIEM میتواند تشخیص دهد که کدام سیستمها دارای اطلاعات اعتباری استفاده نشده هستند، کدام کارمندان سابق شرکت به سیستمها دسترسی دارند و کدام دادههای حساس تحت تأثیر قرار میگیرند.
یک مدل پایه تیم پاسخ به رخداد و نحوه کمک SIEM
با وجود اینکه مراکز SOC در حال تغییر و تحول هستند و نقشهای دیگری را نیز بر عهده میگیرند، فعالیت اصلی آنها شناسایی و پاسخ به رخداد است. مرکز SOC واحدی است که انتظار میرود حملات سایبری علیه سازمان را شناسایی و مهار کند و این حملات را کاهش دهد. افرادی که مسئول پاسخگویی به رخداد هستند، تحلیلگران سطح ۱، سطح ۲ و سطح ۳ هستند و نرم افزاری که آنها در درجه اول به آن تکیه میکنند، سیستم مدیریت وقایع و امنیت اطلاعات (SIEM) است.
سطح ۱ (TIER1) : طبقهبندی رویداد
تحلیلگران سطح ۱ فعالیت کاربران، رویدادهای شبکه و هشدارهای ابزارهای امنیتی را به منظور شناسایی رویدادهای مهم زیر نظر دارند.
تولید هشدار و تیکت
SIEM سنتی
SIEM دادههای امنیتی را از سیستمهای سازمانی و ابزارهای امنیتی جمعآوری میکند، آنها را با سایر رویدادها یا دادههای تهدید مرتبط میکند و هشدارهایی را برای رویدادهای مشکوک یا غیرعادی تولید میکند.
SIEM نسل بعدی
SIEMهای نسل بعد از یادگیری ماشین و آنالیز رفتاری به منظور کاهش موارد مثبت کاذب و هشدارهای خستهکننده استفاده میکنند. همچنین رخدادهای پیچیدهای که به سختی قابل تشخیص هستند مانند حرکتهای جانبی، تهدیدات داخلی و استخراج داده را کشف می کنند.
سطح ۲ (TIER2) : اولویتبندی و بررسی
تحلیلگران سطح۱ در مرکز SOC مهمترین هشدارها را اولویتبندی، انتخاب و بهطور دقیقتر بررسی میکنند و رخدادهای امنیتی واقعی را به تحلیلگران سطح ۲ منتقل میکنند.
جستجو و کاوش دادهها
SIEM سنتی
SIEM میتواند به تحلیلگران سطح ۱ و ۲ کمک کند تا دادههای امنیتی را جستجو و فیلتر کنند، برش بدهند و به قطعات کوچکتر تقسیم کنند و آنها را شبیهسازی کنند. تحلیلگران به راحتی میتوانند برای درک بهتر رخداد، دادههای مربوطه را جمع آوری و با یکدیگر مقایسه کنند.
SIEM نسل بعدی
SIEMهای نسل بعد مبتنی بر فناوری دریاچه داده هستند که به سازمانها اجازه می دهند تا دادههای نامحدود را با هزینه کم ذخیره کنند. آنها همچنین از یادگیری ماشین و تجزیهوتحلیل رفتار کاربر و موجودیت (UEBA) استفاده میکنند تا به راحتی رویدادهای پرخطر را شناسایی و آنها را در اختیار تحلیلگران قرار دهند.
سطح ۳ (TIER3) : مهار و بازیابی
هنگامی که یک رخداد امنیتی شناسایی شد، کار برای جمعآوری دادههای بیشتر، شناسایی منبع حمله، مهار آن، بازیابی دادهها و بازیابی عملیات سیستم ادامه مییابد.
محتوای متنی رخدادها و تنظیم امنیتی
SIEM سنتی
هنگامی که یک رخداد امنیتی واقعی شناسایی میشود، SIEM یک سری اطلاعات متنی در مورد رخداد فراهم میکند. به عنوان مثال مشخص میکند کدام سیستمها با همان IP یا همان اطلاعات اعتباری به سیستم دسترسی داشتهاند.
SIEM نسل بعدی
SIEMهای نسل بعد قابلیتهای هماهنگسازی، خودکارسازی و پاسخگویی امنیتی یا فناوری SOAR را ارائه میدهند. آنها با سایر سیستمهای امنیتی ادغام شده و میتوانند به طور خودکار اقدامات مهار را انجام دهند. به عنوان مثال، یک ایمیل آلوده به بدافزار را قرنطینه، بدافزار را در Sandbox هوش تهدیدات دانلود و آزمایش میکنند.
سطح ۴ (TIER4) : اصلاح و کاهش آسیبپذیریهای امنیتی
کارکنان مرکز SOC برای شناسایی شکافهای امنیتی مرتبط با حمله و جلوگیری از حملات بعدی تلاش میکنند.
گزارشگیری و داشبورد
SIEM سنتی
اصلاح و کاهش آسیبپذیریهای امنیتی یک فعالیت مداوم است و نیاز به مشاهده وضعیت و فعالیت سیستمهای IT و امنیتی مهم دارد. SIEMها با دید بین سازمانی خود میتوانند این چشمانداز را فراهم کنند.
SIEM نسل بعدی
SIEMهای نسل بعدی از قابلیتهای یادگیری ماشین و علم داده به منظور ایجاد خطوط مبنای هوشمند برای گروهی از کاربران و تجهیزات استفاده میکنند. این کار امکان تشخیص سریعتر و دقیقتر سیستمهای ناامن یا فعالیتهای مشکوک را فراهم میکند.
سطح ۵ (TIER5) : ارزیابی و ممیزی
کارکنان مرکز SOC مراحل حمله و جلوگیری از وقوع مجدد آن را ارزیابی کرده و دادههای فارنزیک را جمعآوری میکنند، همچنین نتیجهگیری و توصیههای نهایی را انجام داده و ممیزی و مستندات را ارائه میدهند.
گزارش انطباق
یکی از وظایف اصلی SIEM تهیه گزارش و ممیزی برای الزامات و استانداردهای نظارتی مانند PCI DSS، HIPAA و SOX، هم بهصورت مدوام و هم بعد از وقوع یک رخداد یا نقض امنیتی است.
نگاهی کلی به ابزارها و فناوریهای مرکز SOC
علاوه بر SIEM، ابزارهای بسیار زیادی در مرکز SOC استفاده میشوند:
- سیستمهای حاکمیت، مدیریت ریسک و انطباق (GRC)
- ابزارهای تست نفوذپذیری و پایشگرهای آسیبپذیری
- سیستمهای تشخیص نفوذ (IDS)، سیستمهای پیشگیری از نفوذ (IPS)، و سیستمهای پیشگیری از نفوذ بیسیم
- فایروالها و فایروالهای نسل بعد (NGFW) که میتوانند به عنوان یک IPS عمل کنند.
- سیستمهای مدیریت لاگ که معمولا به عنوان بخشی از SIEM هستند.
- پایگاههای داده و هوش تهدیدات سایبری
تفاوت فناوری در مرکر SOC سنتی و SOC نسل بعدی
مراکز SOC پیشرفته از ابزارهای نسل بعدی، به ویژه SIEMهای نسل بعدی، استفاده میکنند که یادگیری ماشین و آنالیز رفتاری پیشرفته، قابلیتهای شکار تهدیدات (Threat Hunting) و پاسخ خودکار داخلی را ارائه میدهند. فناوری مرکز عملیات امنیتی مدرن به تیم SOC اجازه میدهد تا تهدیدات را بهسرعت و بهصورت کارآمد کشف و با آنها مقابله کند.
ابزارهای سنتی
- مدیریت وقایع و امنیت اطلاعات (SIEM)
- سیستمهای حاکمیت، مدیریت ریسک و انطباق (GRC).
- ابزارهای تست نفوذ و پایشگرهای آسیبپذیری
- سیستمهای تشخیص نفوذ (IDS)، سیستمهای پیشگیری از نفوذ (IPS)، و سیستمهای جلوگیری از نفوذ بیسیم
- فایروالها، فایروالهای نسل بعد (NGFW) که میتوانند به عنوان یک IPS عمل کنند و فایروال برنامههای تحت وب (WAF)
- سیستمهای مدیریت لاگ که معمولا به عنوان بخشی از SIEM هستند.
- پایگاههای داده و هوش تهدیدات سایبری
ابزارهای نسل بعدی
- SIEM های نسل بعد که بر روی پلتفرم دادههای بزرگ ساخته شدهاند و شامل یادگیری ماشین و آنالیز رفتاری پیشرفته، شکار تهدید، پاسخ به رخداد داخلی و خودکارسازی مرکز SOC میشوند.
- ابزارهای تجزیهوتحلیل ترافیک شبکه (NTA) و نظارت بر عملکرد برنامه (APM)
- شناسایی و پاسخدهی تهدیدات نقاط پایانی(EDR) که به شناسایی و کاهش فعالیتهای مشکوک در میزبان و دستگاههای کاربر کمک میکند.
- تجزیهوتحلیل رفتار کاربر و موجودیت (UEBA)، که از یادگیری ماشین برای شناسایی الگوهای رفتاری مشکوک استفاده میکند.
دلایل پیادهسازی و استفاده از مرکز SOC نسل بعدی
- SIEM نسل بعدی به کاهش هشدارهای خستهکننده کمک میکند و به تحلیلگران اجازه میدهد بر روی هشدارهای مهم تمرکز کنند. قابلیتهای جدید تجزیهوتحلیل همراه با گستره وسیعی از دادههای امنیتی، به SIEMهای نسل بعدی اجازه میدهد تا حوادثی را کشف کنند که هیچ ابزار امنیتی دیگری نمیتواند آنها را مشاهده کند.
- NTA پیادهسازی آسانی دارد و در تشخیص رفتارهای غیرعادی شبکه عملکرد خوبی دارد. NTA زمانی مفید است که مرکز SOC به ترافیک تحت بررسی دسترسی داشته باشد و علاقهمند به بررسی حرکتهای جانبی مهاجمانی باشد که از قبل در محیط وجود دارند.
- UEBA از تکنیکهای یادگیری ماشین و علم داده برای شناسایی افراد مخرب داخلی و کسانی که کنترلهای امنیتی را دور میزنند، استفاده میکند. با استفاده از UEBA شناسایی آسیبپذیریهای حسابهای کاربری، چه توسط مهاجمان خارجی و چه توسط افراد داخلی، بسیار آسان خواهد شد.
- EDR حفاظتی قوی در برابر به خطر افتادن ایستگاههای کاری یا سرورها ارائه میدهد و به مدیریت نیروی کار سیار کمک میکند. همچنین دادههای موردنیاز برای انجام تحقیقات تاریخی و ردیابی علل ریشهای را فراهم میکند.
سه ابزار ضروری در مرکز SOC
علاوه بر SIEM، چند ابزار ضروری دیگر در مراکز عملیات امنیت مدرن وجود دارند.
فایروالها، فایروالهای نسل بعد (NFGW) و فایروالهای برنامههای تحت وب (WAF)
فایروالها بخش مهمی از امنیت سایبری هستند. دو فناوری جدید فایروال در حال تکمیل و جایگزینی با فایروال سنتی هستند:
- NGFW با ارائه پیشگیری و تشخیص نفوذ با قابلیتهای بازرسی بسته عمیق، فایروال را توسعه میدهد. NGFWها میتوانند با استفاده از تکنیکهایی مانند فیلتر URL، آنالیز رفتاری و فیلتر موقعیت جغرافیایی، تهدیدات را در لبه شبکه مسدود کنند. آنها از یک پروکسی معکوس برای پایان دادن به اتصالات (Connection) و بررسی محتوا قبل از رسیدن به وبسرور استفاده میکنند.
- WAF که در مقابل برنامههای کاربردی وب مستقر میشود، ترافیک را بررسی کرده و الگوهای ترافیکی را که ممکن است نشاندهنده فعالیتهای مخرب باشد، شناسایی میکند. یک WAF میتواند حملات را شناسایی کرده و در عین حال موارد مثبت کاذب را با یادگیری URLها، پارامترها و ورودیهای کاربر قابلقبول شناسایی میکند. WAF از دادههای مذکور برای شناسایی ترافیک یا ورودیهایی استفاده میکند که از حالت نرمال منحرف میشوند.
این فناوریها در مرکز SOC مدرن برای کاهش حمله به وبسایتها و برنامههای کاربردی تحت وب و جمعآوری دادههای با کیفیت بالاتر در مورد ترافیک قانونی و مخربی که به ویژگیهای حیاتی وب ضربه میزنند، استفاده میشوند.
شناسایی و پاسخدهی تهدیدات نقطه پایانی (EDR)
EDR دسته جدیدی از ابزارها است که به تیمهای SOC کمک میکند تا به حملات به نقاط پایانی مانند ایستگاههای کاری کاربر (User Workstation)، تلفنهای همراه، سرورها یا دستگاههای اینترنت اشیا (IoT) پاسخ دهند. این ابزارها براساس این فرض ساخته شدهاند که حملات رخ خواهند داد و مرکز SOC معمولا بر آنچه در یک نقطه پایانی راهدور اتفاق میافتد، دید و کنترل بسیار محدودی دارد. EDRها در نقاط پایانی مستقر میشوند، دادههای فوری و دقیق در مورد فعالیتهای مخرب را ارائه میدهند و امکان کنترل راهدور نقاط پایانی به منظور انجام اقدامات کاهشی فوری را برای تیمهای SOC فراهم میکنند.
برای مثال، مرکز SOC میتواند از EDR برای شناسایی ۵۰ نقطه پایانی آلوده به باجافزار، جداسازی آنها از شبکه، پاک کردن و تصویربرداری مجدد از ماشینها استفاده کند. همه این کارها میتواند در عرض چند ثانیه و به منظور شناسایی حملات در زمان وقوع، جلوگیری از گسترش و ریشهکن کردن حملات انجام شود.
ابزارهای نظارت در مرکز SOC
نظارت، عملکرد کلیدی ابزارهای مورداستفاده در مرکز SOC است. مرکز SOC مسئول نظارت بر سیستمهای IT و حسابهای کاربری در سطح سازمانی و همچنین نظارت بر خود ابزارهای امنیتی است به عنوان مثال، اطمینان از نصب و بهروزرسانی آنتیویروس در تمام سیستمهای سازمانی. SIEM ابزار اصلی هماهنگسازی نظارت درمرکز SOC است. سازمانها از بسیاری از ابزارهای نظارتی اختصاصی مانند نظارت بر شبکه و نظارت بر عملکرد برنامه (APM) استفاده میکنند. با این حال، تنها SIEM با دید بین سازمانی خود از IT و دادههای امنیتی، میتواند یک راهحل نظارت کامل ارائه دهد.
با کدام ابزار باید شروع کرد؟
این مراحل پذیرش ابزار توسط شرکت پژوهشی و مشاورهای گارتنر پیشنهاد شده است.
- SOC Greenfield ← فقط SIEM
- مرکز SOC تثبیتشده← افزودن Sandbox خودکار اطلاعات تهدید، NTA و EDR.
- گرایش به جلو ← اضافه کردن UEBA و یک پلتفرم کامل هوش تهدیدات داخلی که به عنوان بخشی از SIEM نسل بعدی ارائه شده است.
در این مقاله نشان دادیم که چگونه SIEM یک فناوری پایه مرکز SOC است و چگونه SIEMهای نسل بعد، که شامل قابلیتهای جدیدی مانند آنالیز رفتاری، یادگیری ماشین و خودکارسازی مرکز SOC هستند، فرصتهای جدیدی را برای تحلیلگران امنیتی ایجاد میکنند.
تأثیر SIEM نسل بعدی بر مرکز SOC
راهکارهای SIEM نسل بعد میتوانند تأثیر قابلتوجهی بر مرکز SOC شما داشته باشند:
- کاهش هشدارهای خستهکننده: از طریق تجزیهوتحلیل رفتار کاربر و موجودیت (UEBA) که فراتر از قوانین همبستگی است، به کاهش موارد مثبت کاذب و کشف تهدیدهای پنهان کمک میکند.
- بهبود MTTD: به تحلیلگران برای کشف سریعتر حوادث و جمعآوری تمام دادههای مرتبط کمک میکند.
- بهبود MTTR: ادغام با سیستمهای امنیتی و استفاده از فناوری هماهنگسازی، خودکارسازی و پاسخگویی امنیتی (SOAR).
- فعال کردن شکار تهدید: اعطای دسترسی سریع و آسان به تحلیلگران و کاوش قدرتمند در حجم نامحدود دادههای امنیتی.