یک مرکز عملیات امنیت (SOC) چگونه کار میکند.
یک مرکز عملیات امنیتی ، مرکزی است که از طریق آن ، پایش، تشخیص، پاسخ و تحلیل تهدیدات سایبری در یک سازمان صورت می گیرد .SOC به طور مداوم همه چیز از ترافیک اینترنت گرفته تا ترافیک شبکه داخلی، کامپیوترها ، سرورها، End Point ها، IoT، پایگاه های داده، اپلیکیشن ها و غیره را تحت نظر دارد.
اعضای تیم SOC از فن آوری برای جمع آوری داده استفاده می کنند، نقاط پایانی آسیب پذیری ها را تحت نظر می گیرند و با محافظت از داده های حساس، از رعایت مقررات اطمینان حاصل می کنند.
کار SOC با یک استراتژی امنیتی کاربردی و همسو با اهداف کسب وکار آغاز می شود.
راه اندازی یک مرکز عملیات موفق بصورت Best Practice
از آنجا که چشم انداز تهدید همواره در حال تکامل و گسترش است، نقش SOC در یک سازمان حیاتی است SOC. اگر می خواهد به وظیفه خود در حفاظت از دارایی های شرکت در برابر حملات سایبری دست پیدا کند، باید به خوبی سازمان دهی شده و موثر باشد. در اینجا به معرفی ۷ روش برتر برای راه اندازی یک SOC موفق می پردازیم.
1- تشکیل تیم مناسب
تیم مناسب باید شامل افرادی با مجموعه مهارت های متنوع باشد تا از شکاف مهارتی جلوگیری شود. یک تیم SOC خوب باید مهارت های زیر را دارا باشد.
* نظارت سیستمی و اطلاعاتی ( System and intelligence monitoring)
* مدیریت هشدار (Alert management)
* تحلیل واقعه (Incident analysis)
* واکنش حادثه (Incident response)
* شکار تهدید (Threat hunting)
* تشخیص نفوذ (Intrusion detection)
نه تنها اعضای تیم باید از همان ابتدا ماهر و آموزش دیده باشند، بلکه به روز ماندن نیز نیازمند بودجه بندی برای آموزش مداوم کارمندان است. همچنین تیم باید یک رهبر قوی داشته باشد که بتواند تصویر بزرگ را ببیند و همه را در جریان کار قرار دهد – به خصوص زمانی که با یک تهدید فعال مواجه می شود.
2- انطباق استراتژی با اهداف کسب وکار
وضعیت امنیت سایبری و اهداف کسب وکار یک سازمان همیشه باید در یک راستا باشد. این بدان معنی است که باید برای ذینفعان کسب وکار روشن باشد که چرا سرمایه گذاری در SOC از نظر ارزش ایجادشده توسط تیم SOC مهم است.
تطبیق استراتژی SOC با اهداف کسب وکار با بررسی وضعیت فعلی هر یک از شرکت ها آغاز می شود. این نوع ارزیابی ریسک ، فرصتی برای فهرست برداری از دارایی های موجود و شناسایی شکاف ها یا آسیب پذیری های بالقوه فراهم می کند.
همچنین ایده خوبی است که مجموعه ای روشن از فرایندها و رویه ها را برای کمک به هدایت تیم SOC توسعه دهیم، اگرچه این فرایندها باید شامل فضایی برای بازتاب و بهینه سازی مداوم برای ماندن در صدر مسیر شناسایی خطرات در حال ظهور باشند.
3- بهترین ابزارها را انتخاب کنید
دریای عظیمی از ابزارها و محصولات امنیتی وجود دارد که از نظر کیفیت، قیمت و قابلیت هم کاری بسیار متفاوت هستند. به یاد داشته باشید که بهترین ابزارها تنها در صورتی بهترین محافظت را ارائه می دهند که با استفاده از آن ها شما قادر به حفظ دید و کنترل در تمام بخش ها باشید. به همین دلیل، ضروری است پیش از خرید، به طور کامل تحقیق کنید که کدام ابزار نیازهای تیم شما را برآورده می کند.
ابزارهای رایج عبارتند از:
* سیستم های حفاظتی اندپوینت (Endpoint protection systems)
* فایروال ها و نرم افزارهای آنتی ویروس (Firewalls and antivirus software)
* امنیت هوشمند اپلیکیشن ها (Intelligent automated application security)
* ابزارهای مدیریت اطلاعات و رویداد امنیتی (SIEM)
* کشف دارایی و سیستم های نظارتی (Asset discovery and monitoring systems)
* ابزارهای نظارت بر داده ها ( Data monitoring tools)
* ابزارهای هوش تهدید (Threat intelligence tools)
* رده بندی امنیتی (Security ratings)
* راهکارهای نظارت بر انطباق (Compliance monitoring solutions)
قابلیت هم کاری بالا در میان ابزارهای انتخابی شما، پوشش دهی بهتر را تضمین می کند و احتمال از دست دادن یک رخنه یا عدم توانایی واکنش سریع را کاهش می دهد. بودجه های SOC معمولا بدون محدودیت نیستند، بنابراین هزینه کردن برای ابزارهای لازم باید به روشی هوشمندانه انجام شود که قابلیت هم کاری، عملکرد، و اثبات آینده را بهینه کند.
4- به کار انداختن قابلیت End – to – End
تیم SOC برای ارائه بهترین حفاظت ممکن، نیاز به دید کامل به مدیریت ریسک سایبری، سیستم ها و داده های بلادرنگ در سراسر شرکت دارد. اگر مدیران بالا دستی از نظارت تیم SOC بر دارایی های خاص جلوگیری کنند، یا با جداسازی آن از بقیه عملیات های امنیتی، نظارت را سخت تر کنند، از دست دادن یک تهدید فعال آسان تر می شود و خنثی کردن به موقع آن چالش برانگیزتر می شود.
تیم SOC تنها می تواند از چیزی که می بیند محافظت کند. در یک چشم انداز تهدید که در آن یک دستگاه تنها چیزی است که برای به خطر انداختن امنیت شبکه لازم است، عدم دیده شدن می تواند عواقب شدیدی داشته باشد. این تیم باید بتواند تمام دارایی های دیجیتال را به صورت متمرکز شناسایی کند و بتواند تمام داده ها و نظارت را در تجزیه و تحلیل خود وارد کند.
5- نظارت مستمر بر شبکه
رخنه های امنیتی می توانند در هر زمانی اتفاق بیفتند و دائما تکامل پیدا کنند. به منظور پیشی گرفتن از تهدیدها، سازمان ها باید به طور مداوم شبکه های خود را تحت نظر داشته باشند. نظارت مستمر تشخیص و واکنش سریع را ممکن می سازد، اطلاعات بلادرنگ در مورد فرایندهای بحرانی فراهم می کند، و از مدیریت ریسک پشتیبانی می کند.
اغلب این کار با ابزارهای خودکار انجام می شود که در هر زمان که فعالیت مشکوکی وجود داشته باشد، هشدارهای امنیتی ارائه می دهند. برای مثال سیستم های هشدار اولیه با فعال کردن واکنش سریع، خطر حملات را کاهش می دهند. نرم افزار نظارت پیوسته همچنین می تواند داده ها را برای تحلیل گران جمع آوری کند، که آن ها می توانند از آن برای مطالعه مشکلات و بهبود حفاظت از شبکه در آینده استفاده کنند. همچنین بینش هایی در مورد رفتار کاربر فراهم می کند که می تواند به تیم ها در تعیین تاثیر تغییرات و ارتقاها کمک کند.
6- ایمن سازی و پچ آسیب پذیری ها
برای جلوگیری از سواستفاده، تیم SOC به راهکاری برای استقرار به روزرسانی ها و وصله های امنیتی منظم نیاز دارد. اگر آسیب پذیری ها در اسرع وقت پس از کشف پچ نشوند، شبکه را برای سرقت داده ها، نصب بدافزار و انواع آسیب های احتمالی دیگر باز می گذارد.
پچ کردن به ترمیم باگ ها در زمان کشف آن ها کمک می کند و بخش مهمی از عملکرد صحیح SOC است. پچ ها باید براساس ریسک شبکه اولویت بندی شوند و به سرعت به گونه ای گسترش یابند که دید کاملی نسبت به آسیب پذیری های شناسایی شده و آدرس هر پچ فراهم کنند.
7- مقابله با تهدیدات
درون SOC باید یک تیم واکنش به حادثه وجود داشته باشد که برای فعال شدن در اولین نشانه تهدید آماده باشد. این تیم باید یک برنامه عملیاتی برای نحوه رسیدگی به هر حادثه ای که پیش می آید، داشته باشد. تیم های واکنش به حوادث ممکن است نیاز به هم کاری با افراد در سراسر سازمان و هماهنگی با تیم های حقوقی و روابط عمومی در صورت حمله داشته باشند. واکنش رویداد یک تلاش فعالانه است که برای موفقیت هر SOC حیاتی است.