ساختار SOC چگونه است
افراد – People
هیچ تکنولوژی به خودی خود فعالیت انجام نمیدهد. مراکز SOC نیازمند تیمهای فنی با توانایی و تخصص در زمینه امنیت سایبری میباشند. در شکل زیر نقشها و مختصر وظایف افراد را نمایش میدهد. نقشها و مسئولیتها افراد تیم SOC وابسته به شرایط هر سازمان متفاوت میباشد.
SIEM Engineer
کارشناس خبره ای که مسولیت نصب، کانفیگ، به روز رسانی، نگه داری و بهبود سامانه SIEM را برعهده دارد.
Incident Handler
کارشناسی که وظیفه برطرف کردن رخدادهای امنیتی به صورت حضور در محل حادثه یا از راه دور برعهده دارد.
Threat Intelligence Researcher
متخصصی که وظیفه جستجو وشناسایی و جمع آوری Threat Feedها را برعهده دارد و سپس موارد شناسایی شده به منظور اعمال در محصول SIEM به کارشناس SIEM Engineer انتقال می دهد.
متخصصی که به صورت عمیق و موشکافانه حملات صورت گرفته به سازمان را به منظور مشخص نمودن علت اصلی جرائم سایبری و جمع آوری شواهد مورد نیاز برای ارائه دادگاه جمعآوری مینماید.
کارشناسانی که به صورت Proactive سعی در شناسایی حفره های و نقطه نفوذها در شبکه، سیستم ها و کانفیگها دارند.
Security Analyst
کارشناسی که در خط مقدم تیم SOC است و مدام Alertها را در سامانه SIEM مانیتور میکند و نسبت به رخدادهای امنیتی تحلیلهای پایه انجام میدهد.
Senior Security Analyst
متخصص ارشد تحلیل رخدادهای امنیتی که به صورت عمیق به بررسی و تجزیه و تحلیل حوادث امنیتی میپردازد.
Threat Hunter
کارشناس ارشدی که شناسایی رفتارهای مشکوک شناسایی نشده و انتشار داده نشده را برعهده دارد.
Security Architecture
متخصصینی که مسول بازبینی طرح و زیرساخت امنیت شبکه هستند.
SOC Leader
کارشناس ارشدی که با تمام افراد تیم در حال تعامل بوده و وظیفه طراحی، پیادهسازی، بهینهسازی و مستندسازی فرآیند های مرکز عملیات امنیت (SOC) را برعهده دارد.
فرآیند – Process
برای اطمینان از اینکه مرکز SOC دارای رفتار بهینه است و تهدیدات سایبری را بیدرنگ شناسایی میکند نیاز به استفاده از یکسری فرآیندها دارد. این فرآیندها عبارتند از:
- Incident Handling
- Security Training
- Threat Hunting and Investigation
- Trouble ticketing
- Update of Threat Detection
- Update of Threat Feeds
- Healthy Check
- Technical Check
تکنولوژی – Technology
تیم SOC از طیف متنوعی از ابزارهای پشرفته مانند ابزارهای ذکر شده در بخش Threat Detection و Investigation استفاده میکند. فناوری اصلی مورد استفاده در SOC، ابزار APKSIEM است. باتوجه به اینکه این سامانه وظیفه ذخیرهسازی تمامی Eventهایی را برعهده دارد که در محیط شبکه سازمان تولید شده، این امکان را برای کارشناسان SOC فراهم میکند تا هر تهدیدی علیه سازمان را شناسایی و تجزیه و تحلیل کنند.
Threat Detection
کارشناسان SOC، با استفاده از ابزارها و تکنیک های مختلف موجود در SIEM بومی APKSIEM، با دریافت Eventهای تولیدی از بخش قبل، به صورت مداوم فعالیتهایی را برای شناسایی تهدیدات سایبری علیه سازمان انجام میدهد. خروجی این مجموعه Alertها یا هشدارها هستند. این بخش شامل موارد زیر است
- Correlation Rule
- Data Visualization
- Machine Learning
- UEBA
- Threat Intelligence
- HIDS & NIDS
Investigation
کارشناسان تیم SOC در صورت رصد Alert در SIEM ایرانی APKSIEM سازمان، با استفاده از ابزارهای Online و Offline سعی در ارزیابی تهدید، تحلیل منشأ، دامنه هشدار و میزان تاثیر آن برروی تجارت سازمان دارند. در صورتی که بعد از Investigation ، کارشناسان اطمینان خاطر حاصل کنند که Alert صادر شده گزارشدهنده یک رفتار مخرب در شبکه است سریعا Ticket مربوطه را به Incident تبدیل و برای پاسخدهی به تیم پاسخدهی به رویدادهای امنیتی یا CSIRT ارسال میکنند. ابزارهای مورد استفاده در این بخش عبارتند از:
- MISP
- Cuckoo Sandbox
- VirusTotal
- OTX AlienVault
- SpamHouse
انواع مدلهای مرکز عملیات امنیت
SOC مجازی: یک SOC مجازی یا VSOC در یک مکان اختصاصی قرار ندارد و همچنین دارای زیرساخت اختصاصی نیست. این مدل از SOC یک پورتال مبتنی بر وب است که روی تکنولوژیهای امنیتی غیرمتمرکز ساخته شده که به تیمهای خارج از سایت اجازه میدهد رخدادها را مانیتور کرده و به تهدیدات پاسخ دهند
SOC/NOC چندمنظوره: این مدل که ترکیب SOC با یک مرکز عملیات شبکه یا NOC است، دارای یک تیم، مرکز و زیرساخت اختصاصی است. یک SOC/NOC چندمنظوره از عملکردهای امنیتی فراتر میرود و شامل عملیات IT، تطبیقپذیری و مدیریت ریسک است.
SOC با مدیریت مشترک: در SOC با مدیریت مشترک، راهکارهای مانیتورینگ On-Site افزایش پیدا میکنند، درحالیکه ممکن است برخی از مسئولیتها به کارمندان خارجی واگذار شوند
SOC اختصاصی: SOC اختصاصی یک SOC متمرکز با زیرساخت، تیم و فرایندهای اختصاصی است که کاملاً روی امنیت متمرکز است. بزرگی یک SOC اختصاصی بستگی به بزرگی سازمان، ریسکها و نیازهای امنیتی دارد
چگونه بهترین مدل مرکز عملیات امنیت (SOC) برای سازمان را انتخاب کنیم
میتوان یک SOC را بهعنوان بخشی از یک استراتژی جامع پیادهسازی کرد تا از سازمانهای بزرگ و کوچک در مقابل تهدیدات پیشرفته حفاظت گردد. اما هیچ راهکاری وجود ندارد که مناسب تمام سازمانها باشد و تعادل کاملی را بین هزینه و کارآمدی فراهم کند.
برای برخی از کسبوکارها، بودجههای امنیتی محدود و کمبود تخصص داخلی، موانعی را در راهاندازی SOC کارآمد و دارای حفاظت کافی ایجاد میکند. برای حل این مشکل، سازمانها باید انتخاب به برونسپاری SOC فکر کرده و از ارائهدهندگان عملیات امنیت مدیریتشده یا MSSP را مد نظر قرار دهند.