تعریف شبکه عملیات امنیتی SOC
مرکز عملیات امنیتی (SOC) , سازمانی مرکزی است متشکل از متخصصین IT است, که بر اطلاعات امنیتی موسسات و سازمانها نظارت دارند و آنها را مورد تجزیه و تحلیل قرار می دهند. هدف تیم SOC , تشخیص ریسک های امنیتی, تحلیل و پاسخ به رویدادهای امنیتی- سایبری است که در آن مجموعه ای از راهکارهای اینترنتی و مجموعه تخصصی از مراحل بکار گرفته می شود. مرکز عملیات امنیتی(SOC) معمولا شامل متخصصین و مهندسین درکنار مدیرانی است که عملیات امنیتی را زیر نظر دارند. کارکنان مرکز SOC , برای اطمینان از موارد امنیتی, با گروه پاسخگوی وقایع سازمانی ارتباط تنگاتنگ دارند. این کارکنان بهمراه گروه سازمانی, به محض مشاهده مشکل سریعا دست به کار می شوند.
مرکز عملیات امنیتی (SOC), بر فعالیت شبکه ها, سرورها, موارد حیاتی, اطلاعات رایانه ای, نرم افزارها, وبسایت ها و در موارد خاص سیستم هایی که به فعالیت های مغایر با امنیت سازمان مشغولند, نظارت دارند و عملکرد آنها را مورد تجزیه و تحلیل قرار می دهند. SOC مسئول است تا از وقایع امنیتی بالقوه مطمئن شده و آنها را بدرستی شناسایی و تحلیل کند.
شبکه عملیات امنیتی( SOC) چطور کار میکند؟
گروه SOC , بیشتر از آنکه به رونق و پیشرفت استراتژی امنیتی اهمیت دهند, روی طرح های امنیتی و نحوه درست اجرای آن ها, تمرکز می کنند. این گروه مسئول تشکیلات عملیاتی حاضر و امنیت اطلاعاتی می باشد. کارکنان این مجموعه, در وهله اول از تحلیل گران امنیتی تشکیل شده است که در مشارکت با هم کار می کنند تا عوامل مخرب امنیت سایبری را شناسایی و در مقابل آسیب های احتمالی آنها, امنیت سازمان را حفظ کنند.
مهارتهای کسی که در تیم SOC کار میکند باید شامل تحلیلگری قانونی, رمزیابی و مهندسی خطرات ویروسی و کاوش در وقایع باشد. اولین قدم در ایجاد و راه اندازی یک تیم SOC , شرح روشنی از یک استراتژی است که برآوردی از اهداف دپارتمان های مختلف که حول یک محور متمرکز هستند, بررسی اطلاعات ورودی و حفظ اهداف مدیران سازمان ها را شامل می شود. به محض پیشرفت این استراتژی, زیربنایی جهت حفظ این استراتژی بنا می شود.
این زیر ساخت در شبکه SOC , میتواند شامل فایروال, IPS\IDS , حل خطا های شناسایی, جستجو در اطلاعات امنیتی و همچنین سیستم مدیریت رویدادها (SIEM) , باشد.
این تکنولوژی باید قابلیت این را داشته باشد که اطلاعات را از طریق خطاهای اطلاعاتی, انتقال اطلاعات, بسته های جمع آوری شده, گزارش رویداد و دیگر فعالیت های اطلاعاتی ارزیابی شده توسط تیم SOC , جمع آوری کرده و آنها را به هم مرتبط سازد.
مرکز عملیات امنیتی همچنین به نظارت شبکه ها می پردازد تا از وجود نواقص با خبر شود و اطلاعات حیاتی که به نوعی به ایمنی سازمانها, موسسات و دولت ها مربوط می شود, را حفظ کند.
اجرای شبکه عملیات امنیتی( SOC)
بسیاری از مدیران امنیتی این سازمان, بیشترتمرکز خود را روی المان های انسانی قرار میدهند تا المانهای تکنولوژی. زیرا انها ترجیح می دهند تهدید ها را بصورت مستقیم ارزیابی کرده و کاهش دهند تا به اسکریپت ها تکیه کنند.
عملیات SOC مکررا تهدیدهای موجود و شناخته شده را مدیریت می کند, در همان زمان به شناسایی خطرهای قریب الوقوع می پردازند. آنها همچنین در راستای نیاز مشتریان و شرکت ها فعالیت می کنند و متناسب با سطح خطر ایجاد شده, برای حفاظتشان وارد عمل می شوند.
در حالیکه سیستم های اینترنتی مثل فایروال یا IPS می توانند از خطرهای احتمالی پایه ای و سطحی جلوگیری کنند, خطرهای بزرگ تر به تحلیل گری یک انسان نیازمند است. برای اینکه بهترین نتیجه را گرفته باشیم, تیم SOC باید با جدیدترین و به روزترین تهدیدهای اینترنتی آشنا بوده و این اطلاعات را در حفظ امنیت سازمان بکار بندند.
طراحی یک SOC بر اساس نیازها و اهداف کلی آن بوجود می آید. در حالیکه SIEM در مرکزSOC قرار دارد تا بتواند اطلاعات امنیتی را تحلیل و جمع آوری کند, ابزار و پلتفرم های گسترده می توانند برای محیط حائز اهمیت باشند. عواملی مانند پهنای باند شبکه, توانایی پاسخگویی وقایع (بصورت اتوماتیک یا دستی) و تواناییهای تحلیلی, نقاط توجه و تمرکز اصلی سازمان است. قدم اول در طراحی یک SOC , بررسی و آنالیز مراحل امنیتی موجود است.
این کار در شروع, یک تصویر درستی از واقعیت را در اختیار سازمان قرار می دهد. این برنامه ریزی باید شامل انتخاب مکان, منابع موردنیاز, بودجه و آموزش باشد. هرچند این برنامه ها می تواند به محض ترقی اهداف تیم SOC تغییر کند. البته غیر ممکن است که از قبل بتوان چیزی را دقیق پیش بینی کرد و برای آن اماده بود.
آنها که فکر میکنند هر رویداد ممکنی را پوشش داده اند, در واقع به وسیله عواملی مانند خطرات جدید یا زیر ساختی که به درستی محافظت نشده, تهدید می شوند. پس فکر نکنید که همه چیز به درستی طراحی و آماده شده است. همیشه فضایی برای پیشرفت وجود دارد. و تهدیدها همیشه شکل تازه ای به خود میگیرند. آنچه مهم است این است که شما نیز با تغییرات همگام شوید و در طراحی و برنامه ریزی و ساخت یک SOC , منعطف باشید.
قسمت بعدی برنامه ریزی و طراحی, شرح وظایف مخصوص برای تیم امنیتی SOC است. این کار شامل شناسایی تهدیدهای بیرونی, نظارت سازمانهای تایید شده, بررسی تهدید های داخلی, مدیریت رویدادها وغیره می شود. همچنین به شرح چگونگی جمع آوری اطلاعات, نهادینه کردن آنها, خلاصه کردن اطلاعات, تحلیل آنها و پیش بینی برای تاثیر بهتر می پردازد. گروه های مختلفی که به این داده ها دسترسی دارند باید ویژگی های خاصی داشته باشند که در طول طراحی SOC , به آنها توجه میشود.
انواع مختلف SOC
- SOC مجازی: از نظر جغرافیایی پراکنده هستند و زیر نظر یک سیستم مدیریتی قرار دارند.
- SOC\NOC ترکیبی : یک گروه و امکانات در نظر گرفته شده تا نظارت امنیتی و شبکه ای بینشان تقسیم شود.
- SOC اختصاصی: مجموعه ای از امکانات درون سازمانی هستند.
- SOC جهانی: به نظارت منطقه ی وسیعی شامل SOCهای منطقه ای دیگر است, میپردازد.