SOC مخفف چیست؟
SOC مخفف Security Operations Cente به معنای مرکز عملیات امنیتی می باشد، SOC یک مرکز فرماندهی می باشد که گروهی از متخصصان فناوری اطلاعات (IT) با تخصص در امنیت اطلاعات (InfoSec) در آن حضور دارد و از سازمان در برابر حملات سایبری به شیوه نظارت و تجزیه و تحلیل محافظت میکنند.
شاید بصورت تئوری یک سازمان بتواند از خود بطور موثر محافظت کند ولی در عمل حفاظت کامل در برابر حملات سایبری امری پیچیده و تخصصی است. داشتن یک SOC اختصاصی مزایایی متعددی از جمله نظارت مستمر شبکه، دید متمرکز، کاهش هزینههای امنیت سایبری و همکاری بهتر را برای سازمان فراهم میکند.
در مرکز عملیات امنیتی، ترافیک اینترنت، شبکهها، دسکتاپها، سرورها، دستگاههای نقطه پایانی، پایگاههای اطلاعاتی، برنامهها و دیگر سامانهها به طور مداوم و شبانه روزی برای شناسایی نشانههای یک حادثه امنیتی بررسی میشوند. کارکنان مرکز عملیات امنیتی با کارمندان شبکه، مدیران ارشد سازمان و سایر ذینفعان در ارتباط هستند. علاوه بر این، با ارائهدهندگان خدمات شخص ثالث و به ویژه زنجیره تامین در تعامل هستند تا هکرها موفق نشوند از طریق کانالهای خارجی به شبکه سازمانی نفوذ کنند. مراکز عملیات امنیتی به صورت شبانهروزی کار میکنند و کارمندان این واحد به صورت شیفتی در آن حضور دارند تا بتوانند به شکل مستمر فعالیتها را ثبت کنند تا هکرها موفق به اجرای حملههای سایبری نشوند.
چرا مراکز عملیات امنیتی پدید آمدند؟
تا قبل از پیدایش چنین مراکزی، سازمانها مجبور بودند استراتژی امنیت سایبری خود را همسو با اهداف و مشکلات تجاری فعلی تعریف کنند. به بیان دقیقتر، هر زمان تغییری در خطمشیهای تجاری به وجود میآمد، استراتژیهای امنیتی باید از ابتدا تدوین میشدند. این استراتژی مدیریتی در گذر زمان ناکارآمدی خود را نشان داد، به طوری که شرکتها به این نتیجهگیری کلی رسیدند که باید راهکار جامعتری برای شناسایی تهدیدات و مقابله با حملههای سایبری اتخاذ کنند. اینگونه بود که مرکز عملیات امنیت و در ادامه مرکز عملیات شبکه به دنیای فناوری اطلاعات وارد شدند. یکی از وظایف مهم مدیر یا کارمندان ارشد این بخش، ارزیابی مخاطرهها (ریسک) و طبقهبندی آنها است. این ارزیابی باید به صورتی انجام شود که نشان دهد، مخاطره روی کدامیک از داراییهای سازمان تاثیرگذار است و در ادامه اطلاعاتی در ارتباط با اهدافی که هکرها ممکن است به دنبال دستیابی به آنها باشند ارائه دهد. همانگونه که مشاهده میکنید برای انجام اینکار، کارمندان بخش مرکز عملیات امنیت باید مهارتهای سطح بالایی داشته باشند. با این مقدمه به سراغ این مفهوم میرویم که اساسا مرکز عملیات امنیتی چیست؟
مرکز عملیات امنیتی چیست؟
در سادهترین تعریف، مرکز عملیات امنیتی به دپارتمانی اشاره دارد که وظیفه بررسی رخدادها و حوادث سایبری و امنیتی را بر عهده دارد. مرکز مذکور به منظور شناسایی و واکنش سریع به حملههای امنیتی پیادهسازی میشود که از طریق داشبوردی مرکزی، تمامی اتفاقاتی که در شبکه سازمان در جریان است را در معرض دید متخصصان قرار میدهد.
مرکز عملیات امنیتی برای آنکه توانایی مقابله زودهنگام با حملههای سایبری را داشته باشد باید به پهنای باند کافی دسترسی داشته باشد تا بتواند تحلیلها را به سرعت انجام دهد و به شکل بلادرنگ موارد مشکوک را شناسایی کرده و تحلیل کند. همانگونه که اشاره کردیم، پس از شناسایی موارد مشکوک، کارمندان این بخش باید به اولویتبندی مخاطرات بپردازند و سطح مخاطرهپذیری هر دارایی و بردارهای حملهای که پیرامون آن قرار دارد را شناسایی کنند. به طور کلی، مراکز عملیات امنیتی توانایی ارائه راهحلهای دقیقی هماهنگ با هر رویداد را دارند. راهحلهایی که قابلیت اجرایی دارند.
مرکز عملیات شبکه و مرکز عملیات امنیت مفاهیم یکسانی هستند؟
متاسفانه، برخی از کارشناسان تازه وارد به دنیای امنیت بر این باور هستند که مرکز عملیات امنیتی و مرکز عملیات شبکه مفاهیم یکسانی هستند، در شرایطی که اینگونه نیست. مرکز عملیات شبکه (NOC) با هدف نظارت بر ترافیک و عملکرد شبکه پیادهسازی میشود. به طوری که هر زمان احساس کرد عملکرد شبکه با مشکل روبرو شده یا کارمندان بخشهایی مثل فروش و بازاریابی به پهنای باند کافی دسترسی ندارند، مشکل آنها را برطرف کند. در نقطه مقابل، مرکز عملیات امنیتی وظیفه بررسی اتفاقات امنیتی، موارد مشکوک به نفوذ، مقابله با مخاطرهها و وصله کردن آسیبپذیریها را بر عهده دارد. به بیان سادهتر، مرکز مذکور به منظور محافظت از داراییهای حساس سازمانی پیادهسازی میشود.
یک مرکز عملیات امنیتی چه ویژگیهایی دارد؟
مراکز عملیات امنیتی ویژگیهای مشترکی دارند که از مهمترین آنها به موارد زیر باید اشاره کرد:
- تشخیص زودهنگام رویدادهای امنیتی.
- پاسخگویی سریع به موارد مشکوک به نفوذ یا حملههای سایبری.
- ارزیابی دقیق وصلههای امنیتی که قرار است در شبکه اعمال شود. به ویژه بهروزرسانیهایی که قرار است روی سختافزار سوییچها یا روترها نصب شوند.
- شناسایی و حذف آثار بر جای مانده از یک حمله امنیتی.
- بررسی وضعیت امنیتی شبکه به لحاظ میزان مصرف ترافیک با هدف شناسایی ترافیکهای غیر عادی.
- تحلیل و ارزیابی ریسکهای تاثیرگذار روی داراییهای تحت شبکه، به ویژه داراییهایی که از طریق شبکههای غیرقابل اعتمادی مثل اینترنت در دسترس همه کاربران قرار دارند.
- محافظت از زیرساختها و پایگاههای داده که اطلاعات حساس مشتریان و کارمندان را نگهداری میکند.
- ارزیابی وضعیت امنیتی شبکههای مورد استفاده توسط زنجیره تامین.
- پیادهسازی یک استراتژی امنیتی درست به منظور وصله کردن زودهنگام نرمافزارها.
- آمادهسازی چکلیستهای امنیتی برای تجهیزات مختلف به ویژه سرورها.
مراکز عملیات امنیت را باید بخش جداییناپذیر صنعت امنیت سایبری توصیف کنیم که از طریق به حداقل رساندن نقضهای احتمالی دادهها به سازمانها کمک میکنند به دلیل حملههای سایبری، مجبور به پرداخت جریمههای سنگین نشوند.
تقریبا تمامی سازمانهای بزرگ مجهز به مراکز عملیات امنیتی داخلی هستند. در اینجا نکته مهمی وجود دارد که باید به آن اشاره کنیم. شرکتهایی که کارکنان یا منابعی کافی برای پیادهسازی این واحد را ندارند، ممکن است برخی یا تمام مسئولیتهای مرکز عملیات امنیتی را به یک ارائهدهنده خدمات مدیریت شده (MSP) سرنام Managed Dervice Provider، ارائهدهندگان خدمات ابرمحور یا یک مرکز عملیات امنیت مجازی برونسپاری کنند.
آمارها نشان میدهند که مراکز عملیات امنیت نقش مهمی در کاهش نفوذ به صنایع مختلفی مثل مراقبتهای بهداشتی، آموزشی، مالی، تجارت الکترونیک، دولتی، نظامی و صنایع پیشرفته دارند.
یک مرکز عملیات امنیتی چه کاری انجام میدهد؟
در پاراگرافهای قبل تا حدودی به مجموعه اقداماتی که مرکز عملیات امنیت انجام میدهد، اشاره کردیم. اکنون قصد داریم به شکل مشروحتری به تشریح آنها بپردازیم. استراتژی کلی یک مرکز عملیات امنیتی حول محور مدیریت تهدید میچرخد که شامل جمعآوری دادهها و تجزیه و تحلیل دادهها برای شناسایی فعالیتهای مشکوک به منظور ایمنسازی کل زیرساختهای ارتباطی سازمان است.
دادههای خام که توسط تیمهای مرکز عملیات امنیتی رصد و تحلیل میشوند از تجهیزات مختلفی مثل فایروالها، اطلاعات تهدید، سیستمهای پیشگیری و تشخیص نفوذ (IPSes/IDS)، ابزارهای کاوشگر فعالیتهای شبکه و سیستمهای مدیریت رویداد (SIEM) سرنام Security Information and Event Management جمعآوری میشوند. هنگامی که فرآیند تحلیل اطلاعات انجام شد، در صورت لزوم، هشدارهایی برای کارمندان مربوطه مبنی بر غیرعادی بودن برخی از فعالیتها ارسال میشود.
کارمندان مرکز عملیات امنیتی چه مسئولیتهایی دارند؟
از مسئولیتهای مهم کارمندان یک مرکز SOC به موارد زیر باید اشاره کرد:
کشف و مدیریت داراییها: این فرآیند مستلزم کسب آگاهی دقیق در ارتباط با عملکرد تمامی ابزارها، نرمافزارها، سختافزارها و فناوریهای مورد استفاده در سازمان است. آگاهی در ارتباط با ملزومات فوق کمک میکند تا کارشناسان امنیتی مطمئن شوند که تجهیزات زیرساختی به درستی کار میکنند و به طور منظم وصله و بهروز میشوند.
پایش رفتاری مستمر: این مهارت اشاره به بررسی همه سیستمها در 24 ساعت شبانهروز دارد و باعث میشود هرگونه بی نظمی در فعالیتهای شبکه به سرعت شناسایی شود. مهارت فوق به کارمندان SOC کمک میکند توازنی میان اقدامات واکنشی و پیشگیرانه برقرار کنند. همانگونه که میدانید اگر در شرایط عادی سطح مراقبتهای امنیتی را بیش از اندازه افزایش دهید، عملکرد کارمندان را با اختلال روبرو میکنید و عملکرد شبکه به واسطه ارزیابیهای بدون دلیل کم میشود. کارمندان این بخش باید توانایی تشخیص الگوی رفتاری سیستمها را داشته باشند تا بتوانند به درستی اقدام به جمعآوری دادههایی کنند که اشاره به فعالیتهای مشکوک دارند. تنها در این صورت است که تعداد هشدارهای مثبت کاذب کم میشود.
حفظ گزارشهای فعالیت: این مهارت به کارمندان SOC کمک میکند تا اقداماتی که ممکن است منجر به بروز نقضهای امنیتی شدهاند را به درستی شناسایی کنند و مانع از آن شوند در آینده هکرها از همان آسیبپذیری قبلی برای نفوذ به زیرساخت سازمان استفاده کنند.
رتبهبندی شدت هشدارها: یکی از مهارتهای کلیدی که کارمندان شاغل در این واحد باید داشته باشند، توانایی رتبهبندی شدت هشدارها است. رتبهبندی کمک میکند تا فوریترین هشدارها مورد بررسی قرار گیرند. تیمها باید به طور مرتب تهدیدات امنیت سایبری را از نظر آسیب احتمالی رتبهبندی کنند.
توسعه و تکامل دفاعی: کارمندان واحد SOC برای آنکه آمادگی مقابله با هرگونه مخاطرهای را داشته باشند باید یک طرح واکنش به حادثه (IRP) برای دفاع از سیستمها در برابر حملات جدید و قدیمی آماده کنند. همچنین، باید برنامه را در صورت لزوم هنگام به دست آوردن اطلاعات جدید بهروزرسانی کنند. بازیابی حادثه، سازمان را قادر میسازد تا دادههای مشکوک به حمله سایبری را در زمان کوتاهی بازیابی کنند. این مسئله شامل پیکربندی مجدد، بهروزرسانی یا پشتیبانگیری از سیستمها میشود.
حفظ انطباق برای اطمینان از اینکه اعضای تیم SOC و شرکت از استانداردهای نظارتی و سازمانی در هنگام اجرای طرحهای تجاری پیروی میکنند، رمز موفقیت این بخش است. به همین دلیل، در بیشتر موارد، یکی از اعضای تیم بر آموزش و اجرای خطمشیهای انطباق نظارت میکند.
علاوه بر این، کارمندان این بخش به مجموعه مهارتهای پیشرفتهتری مثل مهندسی معکوس، تجزیه و تحلیل، جرمشناسی دیجیتالی، ارزیابی از راه دور شبکه و تحلیل عملکرد بدافزارها نیاز دارند.
چگونه یک تیم SOC موفق را آماده کنیم؟
هنگامی که قصد راهاندازی مرکز فوق را دارید قادر به استخدام افراد مختلفی هستید که در شاخههای مختلف امنیت سایبری تخصص داشته باشند. به طور معمول، یک مرکز عملیات امنیتی متشکل از متخصصان زیر است:
مدیر SOC: کارمندی است که مسئولیت مدیریت عملیات روزمره SOC و تیم امنیت سایبری را بر عهده دارد. همچنین، یکی از وظایف این مدیر، برقراری ارتباط با کارکنان اجرایی سازمان است.
مسئول واکنش به حادثه: این فرد باید حملات یا نقضهایی که بر زیرساخت ارتباطی سازمان تاثیرگذار بودهاند را شناسایی کند و راهکارهای موثر برای کاهش و حذف تهدیدها به مرحله اجرا در آورد.
جرمشناس دیجیتالی: این فرد مسئول شناسایی علت اصلی و یافتن منبع حملات و جمعآوری شواهد قابل استناد به محاکم است.
حسابرس/ممیز: اطمینان حاصل میکند که تمام فرآیندهای SOC و اقدامات کارکنان مطابق با خطمشیهای سازمان و قوانین حاکم بر کشور است.
تحلیلگر امنیتی SOC: هشدارهای امنیتی را بر مبنای شدت فوریت یا سطح آنها بررسی و سازماندهی میکند و ارزیابیهای منظمی در ارتباط با آسیبپذیریها انجام میدهد. تحلیلگر شاغل در این مرکز باید مهارتهایی در ارتباط با زبانهای برنامهنویسی، مدیریت سیستم و اتخاذ بهترین شیوههای امنیتی داشته باشد.
شکارچی تهدید: این فرد مسئولیت جمعآوری دادههایی را دارد که برای شناسایی تهدیدات مفید هستند. تست نفوذ نیز ممکن است بخشی از برنامه روزانه شکارچی تهدید باشد. به بیان دقیقتر، این فرد را باید هکر کلاه سفید توصیف کنیم.
مهندس امنیت: سیستمها یا ابزارهایی را توسعه داده و طراحی میکند که برای اجرای موثر تشخیص نفوذ و مدیریت آسیبپذیریها قابل استفاده هستند.
مراکز عملیات امنیتی به چند گروه تقسیم میشوند؟
هنگامی که قصد راهاندازی چنین مرکزی را دارید، تنها نباید به فکر عناوین شغلی باشید که قرار است در این بخش کار کنند، بلکه باید در ارتباط با نوع مرکزی که قصد پیادهسازی آنرا دارید، تصمیمگیری کنید. امروزه مدلهای مختلفی از مرکز عملیات امنیتی در سازمانها پیادهسازی میشوند که از مهمترین آنها به موارد زیر باید اشاره کرد:
مرکز عملیات امنیت اختصاصی یا خودگردان (/self-managed SOC Dedicated): این مدل اشاره به اتاق یا فضایی درون سازمان دارد که متشکل از کارکنان داخلی است.
مرکز عملیات امنیت توزیع شده (Distributed SOC): این مدل مرکز عملیات امنیت متشکل از اعضای تیم نیمه اختصاصی تمام وقت یا پاره وقت است که ممکن است برخی از آنها دورکار باشند. همچنین، گاهی اوقات یک ارائهدهنده خدمات امنیتی مدیریت شده شخص ثالث (MSSP) مسئولیت مدیریت این بخش را بر عهده میگیرد، اما همیشه اینگونه نیست.
مرکز عملیات امنیت مدیریت شده (Managed SOC): این مدل متشکل از ارائهدهندگان خدمات اینترنتی (MSSP) است که تمام خدمات SOC را به یک سازمان ارائه میکنند. به بیان دقیقتر، سازمان از وجود شرکت ثالثی استفاده میکند تا وظایف مربوطه را انجام دهند.
مرکز عملیات امنیت کنترلی (Command SOC): این مدل بینشهای اطلاعاتی در ارتباط با تهدیدات را آماده کرده و در اختیار دیگر مراکز عملیات امنیتی اختصاصی قرار میدهد. لازم به توضیح است که این مرکز در عملیات یا فرآیندهای امنیتی واقعی نقش فعال ندارند و تنها، اطلاعات موردنیاز را در اختیار دپارتمانهای مربوطه قرار میدهد.
مرکز فیوژن (Fusion center): این مدل بر تمامی تاسیسات یا راهحلهای امنیتی ارائه شده توسط بخشهایی مثل شبکه و همچنین عملکرد دیگر مراکز عملیات امنیتی و فناوری اطلاعات نظارت میکند. مراکز فیوژن به عنوان SOCهای پیشرفته در نظر گرفته میشوند و با سایر تیمهای سازمانی مثل عملیات فناوری اطلاعات (IT operations)، دوآپس (DevOps) و توسعه محصول (product development) تعامل دارند.
SOC چند منظوره: این مدل دارای یک مرکز اختصاصی و کارکنان داخلی است، اما نقشها و مسئولیتهای آن به سایر حوزههای حیاتی مدیریت فناوری اطلاعات، مثل مراکز عملیات شبکه (NOCs) گسترش مییابد.
SOC مجازی: این مدل دارای امکانات اختصاصی در محل نیست. یک SOC مجازی میتواند به طور کامل توسط سازمان ثالثی مدیریت شده و در قالب سرویس در اختیار متقاضیان قرار گیرد. یک SOC سازمانی معمولا توسط کارکنان سازمان یا ترکیبی از کارمندان درون و برون سازمانی مدیریت میشود. این مراکز ماهیتی ابرمحور دارند. یک SOC مجازی کاملا مدیریت شده، به عنوان مرکز عملیات امنیت برونسپاری شده و به شکل مرکز عملیات امنیت در قالب سرویس (SOCaaS) شناخته میشود.
SOCAaS: این مدل مبتنی بر اشتراک یا مبتنی بر نرمافزار است و برخی یا همه عملکردهای مرکز عملیات امنیت را از طریق یک ارائهدهنده خدمات ابری در اختیار شرکتها قرار میدهد.