- خانه
- محصولات و خدمات
- امنیت نقاط پایانیامنیت نقاط پایانی پیشرفتهامنیت دادهامنیت زیر ساخت شبکهمدیریت فناوری اطلاعاتحفاظت الکترونیکامنیت نقاط پایانی
امنیت نقاط پایانی (Endpoint Protection Platform)
(آنتی ویروس سازمانی پادویش بیس) Padvish Base
(آنتی ویروس سازمانی پادویش کورپوریت) Padvish Corporate
Kaspersky Small Office Security
Kaspersky Endpoint Security Select
Kaspersky Endpoint Security Advanced
Kaspersky Total Security for Business
Kaspersky Endpoint Security Cloud
Kaspersky Endpoint Security Cloud Plus
Kaspersky Hybrid Cloud Security
(ضد باجگیر سازمانی پادویش) Padvish Anticrypto
Kaspersky Security for Storage
امنیت نقاط پایانی پیشرفتهمرکز کشف و پاسخ نقاط پایانی (Endpoint Detection & Response)مرکز کشف و پاسخ مدیریت شده (Managed Detection & Response)مرکز کشف و پاسخ پیشرفته (eXtended Detection & Response)امنیت دادهامنیت زیر ساخت شبکهفایروال و مدیریت یکپارچه تهدیدات (Firewall & UTM)
APK GATE Unified Threat Management
مدیریت وقایع و امنیت اطلاعات (SIEM)
مدیریت فناوری اطلاعات(Asset Management) مدیریت داراییها
(مدیریت داراییهای پادویش) Padvish AM
(Support Management) مدیریت پشتیبانی
jsjحفاظت الکترونیک
- دانلود
- مقالات
- دعوت به همکاری
- درباره ما
- تماس با ما
- فروش آنلاین
- سفارش آنتی ویروس سازمانی
بستن
مرکز عملیات امنیت (SOC) چیست و چه اهدافی دارد؟
فهرست مطالب
Security Operations Center چیست؟
مرکز عملیات امنیت یا به اختصار SOC یک مرکز فرماندهی برای تیم فناوری اطلاعات می باشد که متشکل از متخصصینی در زمینه امنیت اطلاعات میباشد که وظیفه مانیتورینگ ، آنالیز و محافظت از یک سازمان در برابر حملات سایبری را دارند. تیم SOC نظارت دائم بر ترافیک اینترنت، شبکه، رایانه های رومیزی، سرورها و سایر نقاط پایانی، دیتابیس ها، نرم افزارها و سایر سیستم ها دارد تا کوچک ترین نشانه از رخنه های امنیتی را به سرعت تشخیص دهد. کارکنان این مرکز با تیم ها و دپارتمانهای دیگر تعامل دارند؛ نیروهای آن متخصصان خبرهای در زمینه IT و امنیت سایبری هستند.
برای تشکل تیم SOC، سازمان بایستی استراتژی امنیت سایبری خود را هماهنگ با اهداف و چالش های فعلی خود طراحی کند. مدیران دپارتمان ارزیابی ریسکی که تمرکز آن بروی تدوام مأموریت و اهدافی که باید برآورد شوند و همچنین زیر ساخت، ابزارها و مهارتهای کارکنان مورد نیاز به برای دستیابی به آن اهداف را ارائه میدهند. این تیم نقش کلیدی در کاهش بیش از پیش خسارت وارده احتمالی به دلایل نشت و سرقت اطلاعات دارد چون نه تنها سرعت واکنش به نفوذ را افزایش میدهند بلکه باعث ارتقای فرآیند تشخیص و جلوگیری از هک نیز میشوند.
مرکز عملیات امنیت چکار میکند؟
استراتژی فراگیر SOC ،مربوط به مدیریت تهدیدات میشود که شامل جمعآوری داده و آنالیز آن برای شناسایی فعالیتهای مشکوک است تا وضعیت امنیتی سازمان به مرور زمان بهبود یابد. دادهای خام مربوط به امنیت توسط تیم SOC مانیتور میشود، این دادهها از فایروالها، سیستمهای تشخیص و جلوگیری از نفوذ، SIEM و … جمعآوری میشود. در صورتی که دادههای غیرعادی یا نشانههای از نفوذ تشخیص داده شود هشدارهای لازم برای اعضای تیم تولید میشود و اعضا مطابق استراتژی وظایف خود را در برابر آن هشدارها ایفا میکنند.
وطایف تیم SOC شامل موارد زیر است:
شناسایی و مدیریت دارایی: به طور کلی هدف آن آگاهی یافتن در خصوص تمامی ابزارها، نرم افزارها و سخت افزارهای مورد استفاده در سازمان است. همچنین اطمینان حاصل نمودن از کارکرد صحیح داراییهای IT و به روزرسانی منظم آنها نظارت نمایند.
نظارت دائم بر رفتار سیستمها: مانیتورینگ 7/24 بر تمامی سیستمها و سامانهها قادر میسازد تا وزن مساوی روی اقدامات واکنشی و پیشگیرانه بگذارند در این صورت هرگونه بینظمی و فعالیت مشکوک فورا شناسایی میشود. مدلهای رفتاری با استفاده از دادههای جمعآوری شده تعلیم میبینند تا بتوانند در تشخیص فعالیتهای مشکوک از فعالیتهای عادی کاربران به متخصصان کمک کند و در کاهش تشخیصات اشتباه تاثیر مثبت بگذارند.
جمعآوری گزارشات: نگهداری و جمع آوری گزارشات برای تیم SOC بسیار مهم است چون به آنها امکان بررسی رخدادهای گذشته و آنالیز آنها را میدهد و در صورتی که نفوذ به درون سازمان به وقوع پیوسته باشد امکان انجام فارنزیک و یافتن منشاء تهدید کاربردی باشد.
رتبه بندی شدت هشدارها: با توجه به حجم عظیم گزارشات و هشدارها نیاز به رتبه بندی آنها میباشد تا هشدارها با شدت بالا و خطرناک اولویت بیشتری در بررسی داشته باشند.
توسعه و ارتقاء محافظت: تیمها بایستی نسبت به طراحی نقشه واکنش به حوادث اقدام نمایند تا از سیستم ها در برابر حملات قدیمی و جدید محافظت نمایند.
بهبود حادثه: در صورتی که تیم SOC نتواند به موقع تهدیدات را دفع نمایند و مهاجمان بتوانند به سازمان خسارت وارد نمایند، این تیم وظیفه دارد از پیش روی بیشتر مهاجمان با تنظیم دوباره و آپدیت سیستمها و بازگردانی فایلهای پشتیبان کمترین وقفه را اجرای ماموریت سازمان به وجود بیاورند و در کاهش خسارت وارده به دلیل حمله تاثیر گذار باشند.
حفظ انطباق: اعضای تیم SOC بایستی استانداردها و قوانین سازمان را دنبال کنند که در نهایت باعث تحقق اهداف سازمان میشود. لازم است که یکی از اعضای تیم مسئولیت هماهنگی و آموزش این انطباق را بر عهده داشته باشد.
اعضای تیم SOC
تیمهای SOC متشکل از افرادی هستند که هر کدام نقش خاصی در انجام عملیات امنیت دارد. عناوین و وظایف اعضای تیم در ادامه شرح داده شده است:
مدیر SOC: یکی از اعضای تیم است که در اصل وظیفه مدیریت عملیات روزانه تیمها را به عهده دارد. همچنین وظیفه هماهنگی و برقراری ارتباط با مدیران اجرایی سازمان بر عهده مدیر تیم می باشد.
واکنشگر حوادث: در صورتی که حمله موفقیت آمیزی انجام شود وظیفه اتخاذ تضمیمات و واکنش به حملات را دارد.
محقق فارنزیک: وظیفه آن شناسایی منشاء اصلی تهدیدات و مکان یابی منبع تمامی حملات و جمع آوری شواهد موجود در رابطه با حملات است.
هماهنگ کننده انطباق: همونطور که اشاره شد یکی از وظایف تیم حفظ انطباق با سازمان است، لذا نیاز به نقشی میباشد که عملیات و کارکرد اعضای تیم را با سایر بخشهای سازمان و خط مشی سازمان را رعایت نمایند.
آنالیزگر امنیتی: وظیفه متخصص امنیت بررسی و مدیریت هشدارهای امنیتی بر اساس شدت یا ضرورت آن است و نقاط آسیب پذیر شبکه را مورد ارزیابی قرار میدهد. آنالیزگر تیم بایستی دارای دانش برنامه نویسی، تواناییهای مدیریت سیستم و امنیتی باشد.
شکارچی تهدیدات: بررسی اطلاعاتی که توسط SOC جمع آوری شده با هدف شناسایی تهدیدات ناشناخته. تست نفوذ نیز میتواند بخشی از روتین کاری شکارچی تهدیدات باشد.
مهندس امنیتی: نقش آن توسعه و طراحی سیستم یا ابزارهای مورد نیاز برای شناسایی تهدیدات و مدیریت آسیب پذیری های تاثیر گذارتر میباشد.
انواع مرکز عملیات امنیت
SOC اختصاصی: در این نوع تیم در سازمان بهره بردار تشکیل میشود و از امکانات و مزایای درون سازمان بهره برداری میشود.
SOC توزیع شده یا مدیریت مشترک: در این مدل اعضای تیم به صورت تمام وقت و یا پاره وقت که در سازمان مستقر میباشد با همکاری یک شرکت MSSP مرکز عملیات امنیت را تشکل میدهند.
مرکز عملیات امنیت مدیریت شده: این مدل تمامی سرویسهای مورد نیاز SOC توسط MSSP به سازمان ارائه میگردد. راهکارهای MDR از این نوع میباشند. از آن جایی که در راهکارهای MDR تیم SOC نیاز به برقراری ارتباط به سازمان بهره بردار دارد. استفاده از راهکارهای MDR بومی برای سازمانهای ایرانی بهتر است. پادویش در نسخه MDR چنین خدماتی را ارائه میدهد.
SOC مجازی: در راه اندازی چنین مرکزی از هیچ یک از امکانات درون سازمان بهره برداری نمیشود و تمام توسط شرکتهای ارائه دهنده خدمات پیاده سازی میشود. در چنین مدلی هیچ عضوی در درون سازمان توسط شرکت ارائه دهنده مستقر نمیشود.
ابزارهای مورد نیاز تیم SOC
این تیم نیاز به ابزارهایی جهت جمع آوری گزارشات، مدیریت آنها و اتخاذ تصمیمات آنی دارند. تعدادی از ابزارهایی که در چنین تیمی لازم و ضروری هستند به شرح ذیل میباشد:
IDS/IPS: سیستم تشخیص و جلوگیری از نفوذ گزارشات بسیار مفیدی در خصوص منبع حملات برای تیم جمع آوری میکند و در جلوگیری از حملات بسیار تاثیرگذار است.
Vulnerability Scanners: با توجه به اینکه بیشتر حملات با سوء استفاده از آسیب پذیریها انجام میشود؛ مجهز بودن به چنین سیستمی جهت پایش جدیدترین آسیب پذیریها و مدیریت آنها بسیار ضروری است.
Firewall و UTM: فایروال جهت محدود سازی ترافیک ورودی و خروجی و بهره برداری از UTM جهت پایش محتوای ترافیک در کشف تهدیدا ناشناخته مورد استفاده قرار میگیرد.
Endpoint Detection and Response: چنین راهکاری در شناسایی و شکار تهدیدات، فارنزیک و یافتن منشاء تهدیدات و اتخاذ واکنش مناسب تهدیدات بسیار کاربری و واجب است.
Sys logger: جمع آوری لاگها علاوه بر کمک به شناسایی تهدیدات، داده های کافی برای رجوع و شناسایی نقاط آسیب پذیر را میدهد. از آنجایی که این گزارشات بر اساس زمان میباشد در شناسایی منشاء تهدید و نحوه حرکت مهاجمان در سازمان اطلاعات کاملی را ارائه میدهد و در جلوگیری از حملات آینده کاربرد دارد.
Access Management: مدیریت دسترسی به سامانهها و سیستمها علاوه بر کنترل کاربران گزارشات ارزشمندی در خصوص افشای اکانت کاربران میدهد و به سرعت میتوان اکانتهای لو رفته را بلاک و از پیشروی مهاجمان جلوگیری کرد.
نتیجه گیری
در این مقاله، ما از ضرورت تشکل چنین تیمی در سازمان صحبت کردیم اما نکته ای نباید از آن غافل شد جمع آوری افراد خبره و متخصص در زمینه امنیت سایبری است. در صورتی که سازمان تمایل به تشکیل این تیم با استفاده از امکانات و نیروی انسانی خود داشته باشد، نیاز به آموزش و افزایش دانش تیم دارد، که در اصل پر هزینهترین قسمت تشکیل تیم است. همچنین باید به این نکته نیز توجه داشت که استفاده از نیروی انسانی درون سازمانی با توجه به تجربه کم و محدود به سازمان، در برخی سناریوها میتواند به ضرر امنیت آن سازمان تمام شود. البته ایجاد هماهنگی این تیم با سازمان بسیار راحتتر از، انطباق تیم برون سازمانی است و با توجه به آن که هماهنگی بین تیم و سازمان از نکات مهم SOC است نمیتوان از آن غافل شد.
تیم SOC نه تنها در جلوگیری از حملات و شناسایی تهدیدات نقش مؤثری دارد بلکه در صورت وقوع هرگونه تهدیدات، توانایی کاهش خسارت وارده را خواهد داشت و سازمان سریعتر خواهد توانست اثرات منفی تهدیدات را خنثی نموده و به ماموریت خود ادامه دهد.
0 دیدگاه