لوگوی ارتباط افزار افق
بستن

مرکز عملیات امنیت (SOC) چیست و چه اهدافی دارد؟

مرکز عملیات امنیت SOC

فهرست مطالب

Security Operations Center چیست؟

مرکز عملیات امنیت یا به اختصار SOC یک مرکز فرماندهی برای تیم فناوری اطلاعات می باشد که متشکل از متخصصینی در زمینه امنیت اطلاعات می‌باشد که وظیفه مانیتورینگ ، آنالیز و محافظت از یک سازمان در برابر حملات سایبری را دارند. تیم SOC نظارت دائم بر ترافیک اینترنت، شبکه، رایانه های رومیزی، سرورها و سایر نقاط پایانی، دیتابیس ها، نرم افزارها و سایر سیستم ها دارد تا کوچک ترین نشانه از رخنه های امنیتی را به سرعت تشخیص دهد. کارکنان این مرکز با تیم ها و دپارتمان‌های دیگر تعامل دارند؛ نیروهای آن متخصصان خبره‌ای در زمینه IT و امنیت سایبری هستند.

برای تشکل تیم SOC، سازمان بایستی استراتژی امنیت سایبری خود را هماهنگ با اهداف و چالش های فعلی خود طراحی کند. مدیران دپارتمان ارزیابی ریسکی که تمرکز آن بروی تدوام مأموریت و اهدافی که باید برآورد شوند و همچنین زیر ساخت، ابزارها و مهارت‌های کارکنان  مورد نیاز به برای دستیابی به آن اهداف را ارائه می‌دهند. این تیم نقش کلیدی در کاهش بیش از پیش خسارت وارده احتمالی به دلایل نشت و سرقت اطلاعات دارد چون نه تنها سرعت واکنش به نفوذ را افزایش می‌دهند بلکه باعث ارتقای فرآیند تشخیص و جلوگیری از هک نیز می‌شوند.

مرکز عملیات امنیت چکار می‌کند؟

استراتژی فراگیر SOC ،مربوط به مدیریت تهدیدات می‌شود که شامل جمع‌آوری داده و آنالیز آن برای شناسایی فعالیت‌های مشکوک است تا وضعیت امنیتی سازمان به مرور زمان بهبود یابد. دادهای خام مربوط به امنیت توسط تیم SOC مانیتور می‌شود، این داده‌ها از فایروال‌ها، سیستم‌های تشخیص و جلوگیری از نفوذ، SIEM و … جمع‌آوری می‌شود. در صورتی که داده‌های غیرعادی یا نشانه‌های از نفوذ تشخیص داده شود هشدارهای لازم برای اعضای تیم تولید می‌شود و اعضا مطابق استراتژی وظایف خود را در برابر آن هشدارها ایفا می‌کنند.

وطایف تیم SOC شامل موارد زیر است:

شناسایی و مدیریت دارایی: به طور کلی هدف آن آگاهی یافتن در خصوص تمامی ابزارها، نرم افزارها و سخت افزارهای مورد استفاده در سازمان است. همچنین اطمینان حاصل نمودن از کارکرد صحیح دارایی‌های IT و به روزرسانی منظم آن‌ها نظارت نمایند.

نظارت دائم بر رفتار سیستم‌ها: مانیتورینگ 7/24 بر تمامی سیستم‌ها و سامانه‌ها قادر می‌سازد تا وزن مساوی روی اقدامات واکنشی و پیشگیرانه بگذارند در این صورت هرگونه بی‌نظمی و فعالیت مشکوک فورا شناسایی می‌شود. مدل‌های رفتاری با استفاده از داده‌های جمع‌آوری شده تعلیم می‌بینند تا بتوانند در تشخیص فعالیت‌های مشکوک از فعالیت‌های عادی کاربران به متخصصان کمک کند و در کاهش تشخیصات اشتباه تاثیر مثبت بگذارند.

جمع‌آوری گزارشات: نگهداری و جمع آوری گزارشات برای تیم SOC بسیار مهم است چون به آنها امکان بررسی رخدادهای گذشته و آنالیز آنها را میدهد و در صورتی که نفوذ به درون سازمان به وقوع پیوسته باشد امکان انجام فارنزیک و یافتن منشاء تهدید کاربردی باشد.

رتبه بندی شدت هشدارها: با توجه به حجم عظیم گزارشات و هشدارها نیاز به رتبه بندی آنها می‌باشد تا هشدارها با شدت بالا و خطرناک اولویت بیشتری در بررسی داشته باشند.

توسعه و ارتقاء محافظت: تیم‌ها بایستی نسبت به طراحی نقشه واکنش به حوادث اقدام نمایند تا از سیستم ها در برابر حملات قدیمی و جدید محافظت نمایند.

بهبود حادثه: در صورتی که تیم SOC نتواند به موقع تهدیدات را دفع نمایند و مهاجمان بتوانند به سازمان خسارت وارد نمایند، این تیم وظیفه دارد از پیش روی بیشتر مهاجمان با تنظیم دوباره و آپدیت سیستم‌ها و بازگردانی فایل‌های پشتیبان کمترین وقفه را اجرای ماموریت سازمان به وجود بیاورند و در کاهش خسارت وارده به دلیل حمله تاثیر گذار باشند.

حفظ انطباق: اعضای تیم SOC بایستی استانداردها و قوانین سازمان را دنبال کنند که در نهایت باعث تحقق اهداف سازمان می‌شود. لازم است که یکی از اعضای تیم مسئولیت هماهنگی و آموزش این انطباق را بر عهده داشته باشد.

وظایف SOC

اعضای تیم SOC

تیم‌های SOC  متشکل از افرادی هستند که هر کدام نقش خاصی در انجام عملیات امنیت دارد. عناوین و وظایف اعضای تیم در ادامه شرح داده شده است:

مدیر SOC: یکی از اعضای تیم است که در اصل وظیفه مدیریت عملیات روزانه تیم‌ها را به عهده دارد. همچنین وظیفه هماهنگی و برقراری ارتباط با مدیران اجرایی سازمان بر عهده مدیر تیم می باشد.

واکنشگر حوادث: در صورتی که حمله موفقیت آمیزی انجام شود وظیفه اتخاذ تضمیمات و واکنش به حملات را دارد.

محقق فارنزیک: وظیفه آن شناسایی منشاء اصلی تهدیدات و مکان یابی منبع تمامی حملات و جمع آوری شواهد موجود در رابطه با حملات است.

هماهنگ کننده انطباق: همونطور که اشاره شد یکی از وظایف تیم حفظ انطباق با سازمان است، لذا نیاز به نقشی می‌باشد که عملیات و کارکرد اعضای تیم را با سایر بخش‌های سازمان و خط مشی سازمان را رعایت نمایند.

آنالیزگر امنیتی: وظیفه متخصص امنیت بررسی و مدیریت هشدارهای امنیتی بر اساس شدت یا ضرورت آن است و نقاط آسیب پذیر شبکه را مورد ارزیابی قرار میدهد. آنالیزگر تیم بایستی دارای دانش برنامه نویسی، توانایی‌های مدیریت سیستم و امنیتی باشد.

شکارچی تهدیدات: بررسی اطلاعاتی که توسط SOC جمع آوری شده با هدف شناسایی تهدیدات ناشناخته. تست نفوذ نیز می‌تواند بخشی از روتین کاری شکارچی تهدیدات باشد.

مهندس امنیتی: نقش آن توسعه و طراحی سیستم یا ابزارهای مورد نیاز برای شناسایی تهدیدات و مدیریت آسیب پذیری های تاثیر گذارتر می‌باشد.

وظایف تیم SOC

انواع مرکز عملیات امنیت

SOC اختصاصی: در این نوع تیم در سازمان بهره بردار تشکیل می‌شود و از امکانات و مزایای درون سازمان بهره برداری می‌شود.

SOC توزیع شده یا مدیریت مشترک: در این مدل اعضای تیم به صورت تمام وقت و یا پاره وقت که در سازمان مستقر می‌باشد با همکاری یک شرکت MSSP مرکز عملیات امنیت را تشکل می‌دهند.

مرکز عملیات امنیت مدیریت شده: این مدل تمامی سرویس‌های مورد نیاز SOC توسط MSSP به سازمان ارائه می‌گردد.  راهکارهای MDR از این نوع می‌باشند. از آن جایی که در راهکارهای MDR تیم SOC نیاز به برقراری ارتباط به سازمان بهره بردار دارد. استفاده از راهکارهای MDR بومی برای سازمان‌های ایرانی بهتر است. پادویش در نسخه MDR چنین خدماتی را ارائه می‌دهد.

SOC مجازی: در راه اندازی چنین مرکزی از هیچ یک از امکانات درون سازمان بهره برداری نمی‌شود و تمام توسط شرکت‌های ارائه دهنده خدمات پیاده سازی می‌شود. در چنین مدلی هیچ عضوی در درون سازمان توسط شرکت ارائه دهنده مستقر نمی‌شود.

ابزارهای مورد نیاز تیم SOC

این تیم نیاز به ابزارهایی جهت جمع آوری گزارشات، مدیریت آنها و اتخاذ تصمیمات آنی دارند. تعدادی از ابزارهایی که در چنین تیمی لازم و ضروری هستند به شرح ذیل می‌باشد:

IDS/IPS: سیستم تشخیص و جلوگیری از نفوذ گزارشات بسیار مفیدی در خصوص منبع حملات برای تیم جمع آوری می‌کند و در جلوگیری از حملات بسیار تاثیرگذار است.

Vulnerability Scanners: با توجه به اینکه بیشتر حملات با سوء استفاده از آسیب پذیری‌ها انجام می‌شود؛ مجهز بودن به چنین سیستمی جهت پایش جدیدترین آسیب پذیری‌ها و مدیریت آن‌ها بسیار ضروری است.

Firewall و UTM: فایروال جهت محدود سازی ترافیک ورودی و خروجی و بهره برداری از UTM جهت پایش محتوای ترافیک در کشف تهدیدا ناشناخته مورد استفاده قرار می‌گیرد.

Endpoint Detection and Response: چنین راهکاری در شناسایی و شکار تهدیدات، فارنزیک و یافتن منشاء تهدیدات و اتخاذ واکنش مناسب تهدیدات بسیار کاربری و واجب است.

Sys logger: جمع آوری لاگ‌ها علاوه بر کمک به شناسایی تهدیدات، داده های کافی برای رجوع و شناسایی نقاط آسیب پذیر را می‌دهد. از آنجایی که این گزارشات بر اساس زمان می‌باشد در شناسایی منشاء تهدید و نحوه حرکت مهاجمان در سازمان اطلاعات کاملی را ارائه می‌دهد و در جلوگیری از حملات آینده کاربرد دارد.

Access Management: مدیریت دسترسی به سامانه‌ها و سیستم‌ها علاوه بر کنترل کاربران گزارشات ارزشمندی در خصوص افشای اکانت کاربران می‌دهد و به سرعت می‌توان اکانت‌های لو رفته را بلاک و از پیشروی مهاجمان جلوگیری کرد.

نتیجه گیری

در این مقاله، ما از ضرورت تشکل چنین تیمی در سازمان صحبت کردیم اما نکته ای نباید از آن غافل شد جمع آوری افراد خبره و متخصص در زمینه امنیت سایبری است. در صورتی که سازمان تمایل به تشکیل این تیم با استفاده از امکانات و نیروی انسانی خود داشته باشد، نیاز به آموزش و افزایش دانش تیم دارد، که در اصل پر هزینه‌ترین قسمت تشکیل تیم است. همچنین باید به این نکته نیز توجه داشت که استفاده از نیروی انسانی درون سازمانی با توجه به تجربه کم و محدود به سازمان، در برخی سناریوها می‌تواند به ضرر امنیت آن سازمان تمام شود. البته ایجاد هماهنگی این تیم با سازمان بسیار راحتتر از، انطباق تیم برون سازمانی است و با توجه به آن که هماهنگی بین تیم و سازمان از نکات مهم SOC است نمی‌توان از آن غافل شد.

تیم SOC نه تنها در جلوگیری از حملات و شناسایی تهدیدات نقش مؤثری دارد بلکه در صورت وقوع هرگونه تهدیدات، توانایی کاهش خسارت وارده را خواهد داشت و سازمان سریعتر خواهد توانست اثرات منفی تهدیدات را خنثی نموده و به ماموریت خود ادامه دهد.

0 دیدگاه

دیدگاهتان را بنویسید

Avatar placeholder

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *