مرکز عملیات SOC:
معرفی مرکز عملیات SOC:
مرکز عملیات امنیتی (SOC) یک ساختارعملکرد امنیت سایبری متمرکز در یک سازمان است که از افراد، فرآیندها و فناوری برای پویش و شناسایی مداوم وضعیت امنیتی سازمان و نیز در عین جلوگیری از شناسایی پیکربندی، کشف، تجزیه و تحلیل و پاسخ به حوادث امنیت سایبری، استفاده می کند.
مرکز عملیات امنیتی SOC مانند مرکز فرماندهی عمل می کند و از هر جایی که این دارایی ها از طریق شبکه های اطلاعاتی، دستگاه ها، برنامه ها، اتوماسیون ها، انبار های اطلاعاتی و تمامی اعضای تحت شبکه ی سازمان حضور دارند تحت بررسی و مدیریت و برقراری امنیت آن را ایجاد می کند. با گسترش تهدیدات پیشرفته در حوزه ی سایبری و شبکه هموراه نیازمند آن هستیم تا با شناخت کامل پیکربندی انواع سخت افزارها و اتوماسیون سازمانی درک صحیحی از تهدیدات موجود و تهدیدات با قابلیت امکان رخداد را داشته باشیم که در ادامه ی این موضوع امکان مدیریت رخداد با ابزارهای مطرح در مرکز عملیات SOC را فراهم آوریم. اساساً ،SOC نقطه همبستگی برای هر رویدادی است که در سازمان کنترل می شود. برای هریک از این رویدادها ،SOC باید تصمیم بگیرد که چگونه بر اساس آنها مدیریت و عمل می شود.
لازم به ذکر است تمامی عملیات و مدیریت رخداد در مرکز عملیات امنیتی SOC وابسته به سیاست ها و اولویت های سازمان و نوع فعالیت مربوطه می باشد.
ساختمان مرکز عملیات SOC، ملیات امنیتی نیروی انسانی و ساختار سازمانی:
وظیفه یک تیم عملیات امنیتی و به طور مکرر یک مرکز عملیات امنیتی (SOC) نظارت، شناسایی، تحقیق و پاسخگویی به تخلفات سایبری شبانه روزی است. تیم های عملیات امنیتی وظیفه نظارت و محافظت از بسیاری از دارایی های سازمانی مانند مالکیت معنوی، داده های پرسنلی، سیستم های تجاری و بصورت کامل امنیت معیار ها و مولفه های سازمانی را دارند، تیم عملیات امنیتی SOC به عنوان مؤلفه اجرای چارچوب کلی امنیت سایبری یک سازمان می باشد. ، تیم های عملیات امنیتی به عنوان نقطه اصلی همکاری در تلاش های هماهنگ برای نظارت، ارزیابی و دفاع در برابر حملات سایبری عمل می کنند.
مرکز عملیات امنیتی SOC به طور معمول در یک معماری hub-and-spoke ساخته شده است، که در آن یک سیستم امنیتی اطلاعاتی و مدیریت رویداد (SIEM) یک سیستم جمع آوری رخداد ها که میتواند داده های مربوط به منابع امنیتی را با هم مرتبط نموده و با ایجاد همبستگی میان رخدادها قدرت تحلیل و ایجاد عملیات را فراهم می کند. بخش پاسخگویی این مدل می تواند انواع سیستم ها، مانند راه حل های ارزیابی آسیب پذیری، سیستم های مدیریت رخداد، ریسک و انطباق (GRC)، اسکنرهای برنامه و پایگاه داده، سیستم های پیشگیری از نفوذ (IPS)، تجزیه و تحلیل رفتار کاربر و نهاد (UEBA)، تشخیص نقطه پایان و اصلاح (EDR)، و سیستم عامل های اطلاعاتی تهدید (TIP) را در بر داشته باشد.
SOC معمولاً توسط یک مدیر مرکز عملیات امنیت SOC هدایت می شود و میتواند شامل ارزیابی کنندگانی چون پاسخگویان حادثه، تحلیلگران SOC (سطح 1 ، 2 و 3)، شکارچیان تهدید و مدیر های پاسخ دهنده حوادث باشد. مرکز عملیات SOC میتواند به CISO گزارش ارائه نموده، که به نوبه خود گزارش می دهد یا به CIO یا به طور مستقیم بهCEO.
تمامی تحلیلگران و پاسخگویان مرکز عملیات امنیتی SOC میتوانند کاربران و مدیران شبکه ی درون سازمان باشند.
10 عملکرد اصلی که توسط SOC انجام می شود:
1- از منابع موجود استفاده کنید
عملیات امنیت SOC مسئول دو نوع دارایی است - دستگاه های مختلف، فرایندها و برنامه های کاربردی برای حفاظت از آنها و ابزارهای دفاعی موجود برای کمک به تضمین این محافظت.
آنچه SOC محافظت می کند:
عملیات امنیت SOC نمی تواند از دستگاه ها و داده هایی که قابل مشاهده نیست، محافظت کند. با تشخیص تمامی سنسور ها احتمال شناسایی نقاط ضعف که در امنیت شبکه وجود دارد که می توان آنها را یافت و مورد سوء استفاده قرار داد. بنابراین هدف عملیات امنیت SOC این است که یک نمای کامل از منظر تهدیدکننده سازمان، شامل نه تنها انواع مختلفی از نقاط پایانی، سرورها و نرم افزارهای موجود در محل، بلکه خدمات شخص ثالث و ترافیک در بین این دارایی ها به دست آورد.
چگونه SOC محافظت می کند:
عملیات امنیت SOC همچنین باید درک کاملی از کلیه ابزارهای امنیت سایبری در دسترس و کلیه گردش کار در استفاده در SOC داشته باشد. این باعث افزایش چابکی می شود و به SOC اجازه می دهد تا با راندمان بالا کار کند.
2- آماده سازی و نگهداری پیشگیرانه
حتی مجهزترین و چابک ترین فرآیند های پاسخگویی برای جلوگیری از بروز مشکلات در وهله اول تطابقی ندارند. برای کمک به نگه داشتن مهاجمین در پشت درب های شبکه ی سازمان، عملیات امنیت SOC اقدامات پیشگیری را انجام می دهد که می تواند به دو دسته اصلی تقسیم شود.
• آماده سازی:
اعضای تیم باید از جدیدترین نوآوریهای امنیتی، آخرین روندهای جرایم سایبری و توسعه تهدیدهای جدید در افق آگاه باشند. این تحقیق می تواند به ایجاد نقشه راه امنیتی کمک کند که جهت پیشبرد اقدامات سایبری این شرکت فراهم شود و یک برنامه بازیابی فاجعه که به عنوان راهنمایی آماده در سناریوی بدترین حالت انجام خواهد شد.
• نگهداری پیشگیرانه:
این مرحله شامل کلیه اقدامات انجام شده برای دشوارتر کردن حملات موفقیت آمیز، از جمله نگهداری منظم و به روز رسانی سیستم های موجود است. به روز کردن خط مشی فایروال؛ آسیب پذیری وصله گیر؛ و لیست های سفید، لیست سیاه و ایمن سازی برنامه ها.
3- مانیتورینگ مداوم
ابزارهایی که توسط مرکز عملیات امنیت SOC استفاده می شود شبکه را 24/7 اسکن می کنند تا از ناهنجاری ها یا فعالیت های مشکوک را لیبل گذاری کند. نظارت بر شبکه بصورت شبانه روزی به مرکز عملیات امنیت SOC اجازه می دهد تا بلافاصله از ظهور تهدیدات مطلع شود و به آنها بهترین فرصت را برای جلوگیری یا کاهش آسیب ها دهد. ابزارهای مانیتورینگ می توانند شامل SIEM یا EDR باشند که پیشرفته ترین آنها می تواند از تجزیه و تحلیل رفتاری برای "آموزش" سیستمها استفاده کند که تفاوت بین عملکردهای روزمره و رفتارهای واقعی تهدید و مقدار تریاژ و آنالیزهایی که باید انجام شود توسط عوامل انسانی را به حداقل می رساند.
4- رتبه بندی و مدیریت هشدار
به هنگام که ابزارهای نظارت بر صدور هشدار مشغول هستند، وظیفه مرکز عملیات امنیت SOC است که از نزدیک به هر یک نگاه کند، از هرگونه مثبت کاذب صرفنظر کند و تعیین کند که هرگونه تهدید واقعی چقدر تهاجمی است و هدف آنها چیست. این امر به آنها امکان می دهد تا تهدیدهای نوظهور را به طرز مناسبی مرتب کرده و در مرحله اول با فوری ترین مسائل دست و پنجه نرم کنند.
5- پاسخ تهدید
این همان موضوع اصلی است که اکثر کاربران به هنگام فکر کردن به مرکز عملیات امنیت SOC به آن فکر می کنند. به محض تأیید یک حادثه ،SOC به عنوان اولین پاسخ دهنده عمل می کند، اقداماتی مانند خاموش کردن یا جدا کردن نقاط انتهایی، خاتمه فرآیندهای مضر (یا جلوگیری از اجرای آنها)، حذف پرونده ها و موارد دیگر. هدف این است که در حین تأثیر، به میزان لازم پاسخ دهیم.
6- بازیابی و اصلاح
در پی وقوع یک حادثه، مرکز عملیات امنیت SOC برای بازگرداندن سیستم ها و بازیابی اطلاعات گمشده یا به خطر انداخته کار خواهد کرد. این ممکن است شامل پاک کردن و راه اندازی مجدد نقاط انتهایی، تنظیم مجدد سیستم ها یا در صورت حملات باج افزار، استقرار پشتیبان های مناسب برای دور زدن باج افزار باشد. این مرحله شبکه را به حالت قبل از حادثه باز می گرداند.
7- مدیریت ورود به سیستم
مرکز عملیات امنیت SOC وظیفه جمع آوری، نگهداری و بررسی منظم سیاهه فعالیت های شبکه و ارتباطات برای کل سازمان را دارد. این داده ها به تعریف یک مبنای فعالیت شبکه "عادی" کمک می کند، می تواند وجود تهدیدات را آشکار سازد و در نتیجه یک حادثه می تواند برای اصلاح رول و یا قانونی مورد استفاده قرار گیرد. بسیاری از مرکز عملیات امنیت SOC ها از SIEM برای جمع آوری و همبستگی فیدهای داده ها از برنامه ها، فایروال ها، سیستم عامل ها و نقاط پایانی استفاده می کنند، که همگی پرونده های داخلی خود را تولید می کنند.
8- بررسی علت ریشه
در پی وقوع یک حادثه، مرکز عملیات امنیت SOC وظیفه دارد تا بفهمد دقیقاً چه اتفاقی افتاده است، چگونه و چرا. در طی این تحقیقات ،SOC از log ها و سایر اطلاعات برای ردیابی مشکل در منبع خود استفاده می کند، که به آنها کمک می کند تا از بروز مشکلات مشابه در آینده جلوگیری کنند.
9- پالایش امنیت و بهبود
در مجرمان سایبری دائماً ابزارها و تاکتیک های خود را اصلاح می کنند و برای اینکه در پیش روی آنها بمانید، مرکز عملیات امنیت SOC باید پیشرفت ها را بطور مستمر پیاده سازی کند. در طی این مرحله، برنامه های مشخص شده در نقشه راه امنیتی به مرحله اجرا درآمده است، اما این پالایش همچنین می تواند شامل شیوه های دستی مانند تیم سازی قرمز و تیم های ارغوانی باشد.
10- مدیریت انطباق
بسیاری از فرایندهای مرکز عملیات امنیت SOC توسط بهترین روشهای عملی هدایت می شوند.
بهینه سازی مدل عملیات امنیتی:
در حین برخورد با حوادث، بیشتر منابع مرکز عملیات امنیت SOC را انحصار می کند، رئیس ارشد امنیت اطلاعات (CISO- chief information security officer) مسئول بررسی تصویر بزرگتر از ریسک و انطباق است. برای ایجاد سیلوهای عملیاتی و داده از طریق توابع، یک استراتژی مؤثر نیاز به یک معماری امنیتی تطبیقی دارد که به سازمانها امکان می دهد عملیات امنیتی بهینه را تصویب کنند. این رویکرد از طریق ادغام، اتوماسیون و تنظیمات کارایی را افزایش می دهد و ضمن بهبود وضعیت مدیریت امنیت اطلاعات، میزان ساعت کاری لازم را کاهش می دهد.
الگوی بهینه سازی شده عملیات امنیتی نیازمند اتخاذ یک چارچوب امنیتی است که ادغام راه حل های امنیتی و تهدید هوش در فرآیندهای روزمره را آسان می کند. ابزارهای مرکز عملیات امنیت SOC مانند داشبورد متمرکز و عملی، به ادغام داده های تهدید در داشبورد و گزارش های نظارت بر امنیت، کمک می کنند تا عملیات و مدیریت را در زمینه تحولات و فعالیت ها تأیید کنند. تیم های مرکز عملیات امنیت SOC با پیوند مدیریت تهدید با سیستم های دیگر برای مدیریت ریسک و انطباق، می توانند وضعیت به طور کلی ریسک را بهتر مدیریت کنند. چنین تنظیماتی از دید مستمر در سیستم ها و دامنه ها پشتیبانی می کند و می تواند از هوش عملی استفاده کند تا دقت و انسجام بهتری در عملیات امنیتی داشته باشد. عملکردهای متمرکز بار اشتراک اطلاعات، حسابرسی و گزارش دهی دستی را در کل کاهش می دهد.
مدیریت عملیاتی تهدید باید با ارزیابی متفکرانه آغاز شود. علاوه بر دفاع، یک سازمان باید فرایندها و سیاست ها را ارزیابی کند. سازمان در کجا قوی است؟ شکاف ها چیست؟ وضعیت خطر چیست؟ چه داده هایی جمع آوری شده و چه مقدار از آن داده ها استفاده می شود؟
در حالی که سیاست ها و اهداف و پیکربندی هر سازمان متفاوت است، بهترین عملکردهای خاص و عملیات امنیتی سازمان محور و سیایت محور بودن آنها هستند. یک فرآیند مدیریت معقول تهدید با یک برنامه شروع می شود و شامل کشف (از جمله محاسبه پایه برای ارتقاء تشخیص ناهنجاری، عادی سازی و همبستگی)، triage process (بر اساس ریسک و ارزش دارایی)، تجزیه و تحلیل (از جمله زمینه سازی) و بررسی محدوده (از جمله تحقیقات تکراری) فرآیندهای مدیریت تهدید، موارد اولویت بندی شده و مشخص شده را در برنامه های پاسخ حادثه قرار می دهد. یک برنامه پاسخ خوب شامل به حداقل رساندن آسیب ناشی از نقض اطلاعات است.
تصویر فوق بیانگوی برنامه های مدیریت تهدید بسیاری از فرایندها را در انجام عملیات امنیتی و فناوری اطلاعات ادغام و ساختار می دهد.
شناخت و تشخیص مؤثر بر مدیریت تهدید بروی منابع را بطور زیادی تحت تأثیر قرار می دهد، با ارزش ترین داده ها ثابت شده است که داده های رویداد تولید شده توسط اقدامات متقابل و دارایی های IT، شاخص های سازش (IoC) داخلی (از طریق تجزیه و تحلیل بدافزار) و خارجی (از طریق فیدهای اطلاعات تهدید) و داده های سیستم موجود از سنسورها (به عنوان مثال میزبان، شبکه، بانک اطلاعاتی و غیره).
منابع داده مانند اینها فقط ورودی مدیریت مدیریت تهدید نیستند. آنها زمینه را اضافه می کنند و اطلاعات را برای ارزیابی دقیق تر و سریع تر در طول تلاش مدیریت تکراری و تعاملی تهدید، ارزشمند و عملی می کنند. دسترسی به و استفاده مؤثر از داده های مناسب برای پشتیبانی از برنامه ها و رویه ها، اندازه گیری بلوغ سازمانی است. یک سناریو "بالغ" شامل یک جریان کاری است که اطلاعات صحیح را از دست می دهد یا فعالیت مستقیم در کنسول های عملیاتی و محصولات را مجاز می کند. این جریان عملیات IT و تیم های امنیتی و ابزارهایی را برای پاسخ به حادثه در هنگام وقوع یک رویداد مهم ادغام می کند.