مرکز عملیات امنیتی SOC چیست؟

soc چیست
دسته بندی: مقالات برچسب ها :

SOC چیست؟

SOC مخفف Security Operations Cente به معنای مرکز عملیات امنیتی می باشد، SOC یک مرکز فرماندهی می باشد که گروهی از متخصصان فناوری اطلاعات (IT) با تخصص در امنیت اطلاعات (InfoSec) در آن حضور دارد و از سازمان در برابر حملات سایبری به شیوه نظارت و تجزیه و تحلیل محافظت می‌کنند.

شاید بصورت تئوری یک سازمان بتواند از خود بطور موثر محافظت کند ولی در عمل حفاظت کامل در برابر حملات سایبری امری پیچیده و تخصصی است. داشتن یک SOC اختصاصی مزایایی متعددی از جمله نظارت مستمر شبکه، دید متمرکز، کاهش هزینه‌های امنیت سایبری و همکاری بهتر را برای سازمان فراهم می‌کند.

در مرکز عملیات امنیتی، ترافیک اینترنت، شبکه‌ها، دسکتاپ‌ها، سرورها، دستگاه‌های نقطه پایانی، پایگاه‌های اطلاعاتی، برنامه‌ها و دیگر سامانه‌ها به ‌طور مداوم و شبانه روزی برای شناسایی نشانه‌های یک حادثه امنیتی بررسی می‌شوند. کارکنان مرکز عملیات امنیتی با کارمندان شبکه، مدیران ارشد سازمان و سایر ذینفعان در ارتباط هستند. علاوه بر این، با ارائه‌دهندگان خدمات شخص ثالث و به ویژه زنجیره تامین در تعامل هستند تا هکرها موفق نشوند از طریق کانال‌های خارجی به شبکه سازمانی نفوذ کنند. مراکز عملیات امنیتی به صورت شبانه‌روزی کار می‌کنند و کارمندان این واحد به صورت شیفتی در آن حضور دارند تا بتوانند به شکل مستمر فعالیت‌ها را ثبت کنند تا هکرها موفق به اجرای حمله‌های سایبری نشوند.

چرا مراکز عملیات امنیتی پدید آمدند؟

تا قبل از پیدایش چنین مراکزی، سازمان‌ها مجبور بودند استراتژی امنیت سایبری خود را همسو با اهداف و مشکلات تجاری فعلی تعریف کنند. به بیان دقیق‌تر، هر زمان تغییری در خط‌مشی‌های تجاری به وجود می‌آمد، استراتژی‌های امنیتی باید از ابتدا تدوین می‌شدند. این استراتژی مدیریتی در گذر زمان ناکارآمدی خود را نشان داد، به طوری که شرکت‌ها به این نتیجه‌گیری کلی رسیدند که باید راهکار جامع‌تری برای شناسایی تهدیدات و مقابله با حمله‌های سایبری اتخاذ کنند. این‌گونه بود که مرکز عملیات امنیت و در ادامه مرکز عملیات شبکه به دنیای فناوری اطلاعات وارد شدند. یکی از وظایف مهم مدیر یا کارمندان ارشد این بخش، ارزیابی مخاطره‌ها (ریسک) و طبقه‌بندی آن‌ها است. این ارزیابی باید به صورتی انجام شود که نشان دهد، مخاطره روی کدامیک از دارایی‌های سازمان تاثیرگذار است و در ادامه اطلاعاتی در ارتباط با اهدافی که هکرها ممکن است به دنبال دستیابی به آن‌ها باشند ارائه دهد. همان‌گونه که مشاهده می‌کنید برای انجام این‌کار، کارمندان بخش مرکز عملیات امنیت باید مهارت‌های سطح بالایی داشته باشند. با این مقدمه به سراغ این مفهوم می‌رویم که اساسا مرکز عملیات امنیتی چیست؟

مرکز عملیات امنیتی چیست؟

در ساده‌ترین تعریف، مرکز عملیات امنیتی به دپارتمانی اشاره دارد که وظیفه بررسی رخدادها و حوادث سایبری و امنیتی را بر عهده دارد. مرکز مذکور به منظور شناسایی و واکنش سریع به حمله‌های امنیتی پیاده‌سازی می‌شود که از طریق داشبوردی مرکزی، تمامی اتفاقاتی که در شبکه سازمان در جریان است را در معرض دید متخصصان قرار می‌دهد.

مرکز عملیات امنیتی برای آن‌که توانایی مقابله زودهنگام با حمله‌های سایبری را داشته باشد باید به پهنای باند کافی دسترسی داشته باشد تا بتواند تحلیل‌ها را به سرعت انجام دهد و به شکل بلادرنگ موارد مشکوک را شناسایی کرده و تحلیل کند. همان‌گونه که اشاره کردیم، پس از شناسایی موارد مشکوک، کارمندان این بخش باید به اولویت‌بندی مخاطرات بپردازند و سطح مخاطره‌پذیری هر دارایی و بردارهای حمله‌ای که پیرامون آن قرار دارد را شناسایی کنند. به طور کلی، مراکز عملیات امنیتی توانایی ارائه راه‌حل‌های دقیقی هماهنگ با هر رویداد را دارند. راه‌حل‌هایی که قابلیت اجرایی دارند.

مرکز عملیات شبکه و مرکز عملیات امنیت مفاهیم یکسانی هستند؟

متاسفانه، برخی از کارشناسان تازه وارد به دنیای امنیت بر این باور هستند که مرکز عملیات امنیتی و مرکز عملیات شبکه مفاهیم یکسانی هستند، در شرایطی که این‌گونه نیست. مرکز عملیات شبکه (NOC) با هدف نظارت بر ترافیک و عملکرد شبکه پیاده‌سازی می‌‌شود. به طوری که هر زمان احساس کرد عملکرد شبکه با مشکل روبرو شده یا کارمندان بخش‌هایی مثل فروش و بازاریابی به پهنای باند کافی دسترسی ندارند، مشکل آن‌ها را برطرف کند. در نقطه مقابل، مرکز عملیات امنیتی وظیفه بررسی اتفاقات امنیتی، موارد مشکوک به نفوذ، مقابله با مخاطره‌ها و وصله کردن آسیب‌پذیری‌ها را بر عهده دارد. به بیان ساده‌تر، مرکز مذکور به منظور محافظت از دارایی‌های حساس سازمانی پیاده‌سازی می‌شود.

یک مرکز عملیات امنیتی چه ویژگی‌هایی دارد؟

مراکز عملیات امنیتی ویژگی‌های مشترکی دارند که از مهم‌ترین آن‌ها به موارد زیر باید اشاره کرد:

  • تشخیص زودهنگام رویدادهای امنیتی.
  • پاسخ‌گویی سریع به موارد مشکوک به نفوذ یا حمله‌های سایبری.
  • ارزیابی دقیق وصله‌های امنیتی که قرار است در شبکه اعمال شود. به ویژه به‌روزرسانی‌هایی که قرار است روی سخت‌افزار سوییچ‌ها یا روترها نصب شوند.
  • شناسایی و حذف آثار بر جای مانده از یک حمله امنیتی.
  • بررسی وضعیت امنیتی شبکه به لحاظ میزان مصرف ترافیک با هدف شناسایی ترافیک‌های غیر عادی.
  • تحلیل و ارزیابی ریسک‌های تاثیرگذار روی دارایی‌های تحت شبکه، به ویژه دارایی‌هایی که از طریق شبکه‌های غیرقابل اعتمادی مثل اینترنت در دسترس همه کاربران قرار دارند.
  • محافظت از زیرساخت‌ها و پایگاه‌های داده که اطلاعات حساس مشتریان و کارمندان را نگه‌داری می‌کند.
  • ارزیابی وضعیت امنیتی شبکه‌های مورد استفاده توسط زنجیره تامین.
  • پیاده‌سازی یک استراتژی امنیتی درست به منظور وصله‌ کردن زودهنگام نرم‌افزارها.
  • آماده‌سازی چک‌لیست‌های امنیتی برای تجهیزات مختلف به ویژه سرورها.

مراکز عملیات امنیت را باید بخش جدایی‌ناپذیر صنعت امنیت سایبری توصیف کنیم که از طریق به حداقل رساندن نقض‌های احتمالی داده‌ها به سازمان‌ها کمک می‌کنند به دلیل حمله‌های سایبری، مجبور به پرداخت جریمه‌های سنگین نشوند.

تقریبا تمامی سازمان‌های بزرگ مجهز به مراکز عملیات امنیتی داخلی هستند. در این‌جا نکته مهمی وجود دارد که باید به آن اشاره کنیم. شرکت‌هایی که کارکنان یا منابعی کافی برای پیاده‌سازی این واحد را ندارند، ممکن است برخی یا تمام مسئولیت‌های مرکز عملیات امنیتی را به یک ارائه‌دهنده خدمات مدیریت شده (MSP) سرنام Managed Dervice Provider، ارائه‌دهندگان خدمات ابرمحور یا یک مرکز عملیات امنیت مجازی برون‌سپاری کنند.

آمارها نشان می‌دهند که مراکز عملیات امنیت نقش مهمی در کاهش نفوذ به صنایع مختلفی مثل مراقبت‌های بهداشتی، آموزشی، مالی، تجارت الکترونیک، دولتی، نظامی و صنایع پیشرفته دارند.

یک مرکز عملیات امنیتی چه کاری انجام می‌دهد؟

در پاراگراف‌های قبل تا حدودی به مجموعه اقداماتی که مرکز عملیات امنیت انجام می‌دهد، اشاره کردیم. اکنون قصد داریم به شکل مشروح‌تری به تشریح آن‌ها بپردازیم. استراتژی کلی یک مرکز عملیات امنیتی حول محور مدیریت تهدید می‌چرخد که شامل جمع‌آوری داده‌ها و تجزیه و تحلیل داده‌ها برای شناسایی فعالیت‌های مشکوک به منظور ایمن‌سازی کل زیرساخت‌های ارتباطی سازمان است.

داده‌های خام که توسط تیم‌های مرکز عملیات امنیتی رصد و تحلیل می‌شوند از تجهیزات مختلفی مثل فایروال‌ها، اطلاعات تهدید، سیستم‌های پیشگیری و تشخیص نفوذ (IPSes/IDS)، ابزارهای کاوشگر فعالیت‌های شبکه و سیستم‌های مدیریت رویداد (SIEM) سرنام Security Information and Event Management  جمع‌آوری می‌شوند. هنگامی که فرآیند تحلیل اطلاعات انجام شد، در صورت لزوم، هشدارهایی برای کارمندان مربوطه مبنی بر غیرعادی بودن برخی از فعالیت‌ها ارسال می‌شود.

کارمندان مرکز عملیات امنیتی چه مسئولیت‌هایی دارند؟

از مسئولیت‌های مهم کارمندان یک مرکز SOC به موارد زیر باید اشاره کرد:

مراکز عملیات امنیتی

کشف و مدیریت دارایی‌ها: این فرآیند مستلزم کسب آگاهی دقیق در ارتباط با عملکرد تمامی ابزارها، نرم‌افزارها، سخت‌افزارها و فناوری‌های مورد استفاده در سازمان است. آگاهی در ارتباط با ملزومات فوق کمک می‌کند تا کارشناسان امنیتی مطمئن شوند که تجهیزات زیرساختی به درستی کار می‌کنند و به طور منظم وصله و به‌روز می‌شوند.

پایش رفتاری مستمر: این مهارت اشاره به بررسی همه سیستم‌ها در 24 ساعت شبانه‌روز دارد و باعث می‌شود هرگونه بی نظمی در فعالیت‌های شبکه به سرعت شناسایی شود. مهارت فوق به کارمندان SOC کمک می‌کند توازنی میان اقدامات واکنشی و پیشگیرانه برقرار کنند. همان‌گونه که می‌دانید اگر در شرایط عادی سطح مراقبت‌های امنیتی را بیش از اندازه افزایش دهید، عملکرد کارمندان را با اختلال روبرو می‌کنید و عملکرد شبکه به واسطه ارزیابی‌های بدون دلیل کم می‌شود. کارمندان این بخش باید توانایی تشخیص الگوی رفتاری سیستم‌ها را داشته باشند تا بتوانند به درستی اقدام به جمع‌آوری داده‌هایی کنند که اشاره به فعالیت‌های مشکوک دارند. تنها در این صورت است که تعداد هشدارهای مثبت کاذب کم می‌شود.

حفظ گزارش‌های فعالیت: این مهارت به کارمندان SOC کمک می‌کند تا اقداماتی که ممکن است منجر به بروز نقض‌های امنیتی شده‌اند را به درستی شناسایی کنند و مانع از آن شوند در آینده هکرها از همان آسیب‌پذیری قبلی برای نفوذ به زیرساخت سازمان استفاده کنند.

رتبه‌بندی شدت هشدارها: یکی از مهارت‌های کلیدی که کارمندان شاغل در این واحد باید داشته باشند، توانایی رتبه‌بندی شدت هشدارها است. رتبه‌بندی کمک می‌کند تا فوری‌ترین هشدارها مورد بررسی قرار گیرند. تیم‌ها باید به طور مرتب تهدیدات امنیت سایبری را از نظر آسیب احتمالی رتبه‌بندی کنند.

توسعه و تکامل دفاعی: کارمندان واحد SOC برای آن‌که آمادگی مقابله با هرگونه مخاطره‌ای را داشته باشند باید یک طرح واکنش به حادثه (IRP) برای دفاع از سیستم‌ها در برابر حملات جدید و قدیمی آماده کنند. همچنین، باید برنامه را در صورت لزوم هنگام به دست آوردن اطلاعات جدید به‌روزرسانی کنند. بازیابی حادثه، سازمان را قادر می‌سازد تا داده‌های مشکوک به حمله سایبری را در زمان کوتاهی بازیابی کنند. این مسئله شامل پیکربندی مجدد، به‌روز‌رسانی یا پشتیبان‌گیری از سیستم‌ها می‌شود.

حفظ انطباق برای اطمینان از این‌که اعضای تیم SOC و شرکت از استانداردهای نظارتی و سازمانی در هنگام اجرای طرح‌های تجاری پیروی می‌کنند، رمز موفقیت این بخش است. به همین دلیل، در بیشتر موارد، یکی از اعضای تیم بر آموزش و اجرای خط‌مشی‌های انطباق نظارت می‌کند.

علاوه بر این، کارمندان این بخش به مجموعه مهارت‌های پیشرفته‌تری مثل مهندسی معکوس، تجزیه و تحلیل، جرم‌شناسی دیجیتالی، ارزیابی از راه دور شبکه و تحلیل عملکرد بدافزارها نیاز دارند.

چگونه یک تیم SOC موفق را آماده کنیم؟

هنگامی که قصد راه‌اندازی مرکز فوق را دارید قادر به استخدام افراد مختلفی هستید که در شاخه‌های مختلف امنیت سایبری تخصص داشته باشند. به طور معمول، یک مرکز عملیات امنیتی متشکل از متخصصان زیر است:

مدیر SOC: کارمندی است که مسئولیت مدیریت عملیات روزمره SOC و تیم امنیت سایبری را بر عهده دارد. همچنین، یکی از وظایف این مدیر، برقراری ارتباط با کارکنان اجرایی سازمان است.

مسئول واکنش‌ به حادثه: این فرد باید حملات یا نقض‌هایی که بر زیرساخت ارتباطی سازمان تاثیرگذار بوده‌‌اند را شناسایی کند و راهکارهای موثر برای کاهش و حذف تهدیدها به مرحله اجرا در آورد.

جرم‌شناس دیجیتالی: این فرد مسئول شناسایی علت اصلی و یافتن منبع حملات و جمع‌آوری شواهد قابل استناد به محاکم است.

حسابرس/ممیز: اطمینان حاصل می‌کند که تمام فرآیندهای SOC و اقدامات کارکنان مطابق با خط‌مشی‌های سازمان و قوانین حاکم بر کشور است.

تحلیلگر امنیتی SOC: هشدارهای امنیتی را بر مبنای شدت فوریت یا سطح آن‌ها بررسی و سازمان‌دهی می‌کند و ارزیابی‌های منظمی در ارتباط با آسیب‌پذیری‌ها انجام می‌دهد. تحلیل‌گر شاغل در این مرکز باید مهارت‌هایی در ارتباط با زبان‌های برنامه‌نویسی، مدیریت سیستم و اتخاذ بهترین شیوه‌های امنیتی داشته باشد.

شکارچی تهدید: این فرد مسئولیت جمع‌آوری داده‌هایی را دارد که برای شناسایی تهدیدات مفید هستند. تست نفوذ نیز ممکن است بخشی از برنامه روزانه شکارچی تهدید باشد. به بیان دقیق‌تر، این فرد را باید هکر کلاه سفید توصیف کنیم.

مهندس امنیت: سیستم‌ها یا ابزارهایی را توسعه داده و طراحی می‌کند که برای اجرای موثر تشخیص نفوذ و مدیریت آسیب‌پذیری‌ها قابل استفاده هستند.

مراکز عملیات امنیتی به چند گروه تقسیم می‌شوند؟

هنگامی که قصد راه‌اندازی چنین مرکزی را دارید، تنها نباید به فکر عناوین شغلی باشید که قرار است در این بخش کار کنند، بلکه باید در ارتباط با نوع مرکزی که قصد پیاده‌سازی آن‌را دارید، تصمیم‌گیری کنید. امروزه مدل‌های مختلفی از مرکز عملیات امنیتی در سازمان‌ها پیاده‌سازی می‌شوند که از مهم‌ترین آن‌ها به موارد زیر باید اشاره کرد:

مرکز عملیات امنیت اختصاصی یا خودگردان (/self-managed SOC  Dedicated): این مدل اشاره به اتاق یا فضایی درون سازمان دارد که متشکل از کارکنان داخلی است.

مرکز عملیات امنیت توزیع شده (Distributed SOC): این مدل مرکز عملیات امنیت متشکل از اعضای تیم نیمه اختصاصی تمام وقت یا پاره وقت است که ممکن است برخی از آن‌ها دورکار باشند. همچنین، گاهی اوقات یک ارائه‌دهنده خدمات امنیتی مدیریت شده شخص ثالث (MSSP) مسئولیت مدیریت این بخش را بر عهده می‌گیرد، اما همیشه این‌گونه نیست.

مرکز عملیات امنیت مدیریت شده (Managed SOC): این مدل متشکل از ارائه‌دهندگان خدمات اینترنتی (MSSP) است که تمام خدمات SOC را به یک سازمان ارائه می‌کنند. به بیان دقیق‌تر، سازمان از وجود شرکت ثالثی استفاده می‌کند تا وظایف مربوطه را انجام دهند.

مرکز عملیات امنیت کنترلی (Command SOC): این مدل بینش‌های اطلاعاتی در ارتباط با تهدیدات را آماده کرده و در اختیار دیگر مراکز عملیات امنیتی اختصاصی قرار می‌دهد. لازم به توضیح است که این مرکز در عملیات یا فرآیندهای امنیتی واقعی نقش فعال ندارند و تنها، اطلاعات موردنیاز را در اختیار دپارتمان‌های مربوطه قرار می‌دهد.

مرکز فیوژن (Fusion center): این مدل بر تمامی تاسیسات یا راه‌حل‌های امنیتی ارائه شده توسط بخش‌هایی مثل شبکه و همچنین عملکرد دیگر مراکز عملیات امنیتی و فناوری اطلاعات نظارت می‌کند. مراکز فیوژن به عنوان SOCهای پیشرفته در نظر گرفته می‌شوند و با سایر تیم‌های سازمانی مثل عملیات فناوری اطلاعات (IT operations)، دوآپس (DevOps) و توسعه محصول (product development) تعامل دارند.

SOC چند منظوره: این مدل دارای یک مرکز اختصاصی و کارکنان داخلی است، اما نقش‌ها و مسئولیت‌های آن به سایر حوزه‌های حیاتی مدیریت فناوری اطلاعات، مثل مراکز عملیات شبکه (NOCs) گسترش می‌یابد.

SOC مجازی: این مدل دارای امکانات اختصاصی در محل نیست. یک SOC مجازی می‌تواند به طور کامل توسط سازمان ثالثی مدیریت شده و در قالب سرویس در اختیار متقاضیان قرار گیرد. یک SOC سازمانی معمولا توسط کارکنان سازمان یا ترکیبی از کارمندان درون و برون سازمانی مدیریت می‌شود. این مراکز ماهیتی ابرمحور دارند. یک SOC مجازی کاملا مدیریت شده، به عنوان مرکز عملیات امنیت برون‌سپاری شده و به شکل مرکز عملیات امنیت در قالب سرویس (SOCaaS) شناخته می‌شود.

SOCAaS: این مدل مبتنی بر اشتراک یا مبتنی بر نرم‌افزار است و برخی یا همه عملکردهای مرکز عملیات امنیت را از طریق یک ارائه‌دهنده خدمات ابری در اختیار شرکت‌ها قرار می‌دهد.