SOC چیست و چه اهمیتی دارد؟

SOC چیست

SOC چیست و چه اهمیتی دارد؟

SOC مخفف واژه security operations center بوده که به معنای مرکز عملیات امنیتی است. در سازمان‌ها و شرکت‌های بزرگ که نیاز به امنیت شدید سایبری به دلیل گسترده بودن شبکه حس می‌شود، مجموعه افرادی همراه با فناوری‌های نوین و خلاقانه در کنار تجهیزات امنیتی وظیفه نظارت و تجزیه‌وتحلیل ترافیک شبکه را برعهده دارند تا با پیش‌بینی خطرات احتمالی، در صورت وقوع هر نوع اتفاق بهترین واکنش را در دستور کار قرار دهند.

این تیم عملیاتی، متشکل از مهندسان امنیتی در کنار مدیران ناظر است که وظایف حیاتی بر عهده ایشان قرار دارد. در این مقاله قصد داریم تا به‌صورت جامع  کامل به بررسی SOC بپردازیم پس تا انتهای مقاله همراه ما باشید.

تعریفی دقیق از SOC یا security operations center

در سازمان‌های بزرگ و پیشرفته زمانی که شبکه پیاده شده در حدی گسترده باشد که نیاز به امنیت سایبری در آن یک ضرورت باشد، تیمی متشکل از مهندسان مجرب و با دانش کافی زیر نظر مدیرانی آب‌دیده همراه با تجهیزات موردنیاز در مرکز سازمان مستقر خواهند شد. این تیم وظیفه نظارت و تجزیه‌وتحلیل مداوم کل زیرساخت‌ها، به‌منظور جلوگیری از وقوع هر نوع اتفاق غیرمنتظره و تهدید سایبری را برعهده دارند. تمامی توضیحات داده شده مربوط به واژه SOC یا security operations center بوده که قرار است در این مقاله به‌صورت کامل آن را بررسی کنیم.

مانند چرخ‌دنده‌های یک ماشین، مرکز عملیات امنیتی نیز با تیم‌های مختلفی از جمله organizational incident response teams (تیم‌های واکنش سازمانی به حوادث) همکاری می‌کنند تا در زمان واقعی بتوان یک تهدید یا خطر را به بهترین شکل ممکن دفع کرد. SOC روی نقاط پایانی، پایگاه‌های داده، برنامه‌ها و وب‌سایت‌ها، شبکه‌های سازمانی، سرور‌ها و… نظارت دارند و تمامی داده‌های ورودی و خروجی از این موارد را زیر نظر می‌گیرند.

اگر بخواهیم مسئولیت اصلی security operations center را تشریح کنیم، مانند این است که تیمی متشکل از مهندسین فعال در حوزه امنیت سایبری با به دست گرفتن ذره‌بین به دنبال هر نوع فعالیت غیرعادی می‌گردند که ممکن است امنیت شبکه و زیر ساخت‌ها را به خطر بیندازد. در نتیجه تیم مرکز عملیات امنیتی مسئول است تا هرگونه حوادث امنیتی را شناسایی، تجزیه‌وتحلیل، دفاع، بررسی و گزارش کند.

برای مطالعه بیشتر مقاله سیر تا پیاز حملات SQL injection را پیشنهاد می کنیم.

بررسی فعالیت‌های صورت‌گرفته در SOC

بهتر است تا فعالیت‌های این تیم عملیاتی را با وظایفی همچون توسعه استراتژی‌های امنیتی یا تقویت نقاط ضعف موجود در شبکه اشتباه نگیرید. زمانی که واژه SOC را می‌بینید تنها به این موضوع فکر کنید که فقط و فقط وظیفه این تیم عملیاتی کشف هرگونه تهدید و ارائه گزارش‌هایی دررابطه‌با آن است. افراد فعال در تیم عملیاتی امنیتی متشکل از تحلیل‌گران امنیتی یا security analysts هستند. کسانی که دست‌به‌دست هم کار می‌کند تا هر خطر و تهدیدی را تحلیل و شناسایی کنند و در صورت لزوم برای پیشگیری از حوادث مخرب پیشنهاداتی را به تیم‌های فعال در قسمت‌های دیگر ارائه کنند. علاوه بر موارد ذکر شده یک تیم پیشرفته security operations center می‌تواند با مهندسی معکوس بدافزار‌ها و cryptanalysis (رمزگشایی پیام‌های رمزنگاری شده بدون داشتن کلید آن‌ها) حوادث را بهتر تحلیل و شناسایی کنند.

طبق اظهارات پیرلوئیجی پاگانینی (Pierluigi Paganini) که مدیر ارشد امنیت اطلاعات Bit4Id است، زیر ساخت‌های یک SOC معمولی شامل فایروال‌ها، IPS/IDS، راه‌حل‌های breach detection یا تشخیص نقص، probeها و SIEM (مخفف security information and event management) خواهد بود. باید افزود که اولین گام در پیاده‌سازی یک security operations center تدوین استراتژی مناسب است. در این استراتژی، اهداف خاص کسب‌وکار را از ورودی‌های مختلف به همراه پشتیبانی مدیران اجرایی تعیین می‌کنند.

قدم بعدی بعد از تعیین استراتژی واضح، تأمین تجهیزات موردنیاز برای پیاده‌سازی SOC به‌منظور حمایت از همان استراتژی خواهد بود. تمامی توضیحات داده شده باید در جهت جمع‌آوری داده‌ها از ترافیک ورودی، telemetry، ثبت و ضبط بسته‌ها (Packets)، syslog و دیگر متد‌ها انجام شوند تا بتوان ترافیکی که درون شبکه جریان دارد را به‌صورت پیوسته و به کمک کارمندان این بخش تحلیل و بررسی کرد.

مولفه های اصلی مرکز عملیات امنیتی

مزیت داشتن security operations center

باید به این نکته توجه داشت که برنامه‌ریزی برای یک حمله بزرگ سایبری بسیار پیچیده و پیشرفته خواهد بود و ممکن است مقدمات آن تا مدت‌ها قبل از انجام حمله اصلی صورت گیرد. پس با نظارت مداوم بر ترافیک شبکه توسط تیم security operations center می‌توان این اطمینان را پیدا کرد که تهدیدات سایبری به حداقل خواهند رسید.

 تیم‌ عملیات امنیتی با تحلیل و زیر نظر گرفتن 24 ساعته نقاط پایانی، مراکز داده، سرور‌ها و تمامی فعالیت‌ها در حال انجام در شبکه قادر هستند تا تهدیدات را به‌سرعت شناسایی و برای پاسخ و واکنش مناسب، کل سازمان را آماده کنند.

پس مهم‌ترین مزیت داشتن SOC در یک سازمان، نظارت پیشرفته و مداوم برای بهبود تشخیص حوادث امنیتی و سایبری است. گزارش‌های سالانه این تیم اطلاعات خوبی درمورد شکاف‌ها و نقص‌های موجود در شبکه را فاش می‌کند که با گذر زمان می‌توان انتظار داشت سازمان با پوشاندن این شکاف‌ها، در رأس هرم تهدیدات محیطی قرار گیرد.

بهتر است بخوانید: معرفی بهترین آنتی‌ویروس‌های شبکه و مزایا و معایب آنها

مزایای یک مرکز عملیات امنیتی

نقش اعضای فعال در تیم SOC

در تیم SOC گفته شد که کارمندان در کنار سیستم‌ها و تجهیزات مختلف تمامی وظایف مربوط به نظارت بر ترافیک شبکه را بر عهده دارند. حال نیاز است تا بدانیم که هر فرد در security operations center چه نقشی را دارد و باید چه وظایفی را انجام دهد. در ادامه لیست کاملی از نقش اعضای فعال در تیم مرکز عملیات امنیتی آورده شده است:

Manager یا مدیر: رهبر و لیدر گروه که ممکن است در هر زمینه‌ای فعالیت مؤثر داشته باشد، در واقع نظارت‌کننده بر کل سیستم‌ها و رویه‌های امنیتی است.

Analyst یا تحلیلگر: مهندسینی که عهده‌دار این نقش هستند باید داده‌های یک دوره زمانی (مثلاً دوره 3 یا 6 ماهه) یا داده‌های مربوط بعد از یک نقص امنیتی را تحلیل و بررسی کنند.

Investigator یا بازپرس: در زمان وقوع یک حادثه امنیتی این فرد با انجام یک تحقیق رسمی با پاسخگو یا Responder در تلاش برای این است که روشن کند چه اتفاقی افتاده و چرا.

Responder یا پاسخگو: در زمان وقوع حادثه برای اتفاق افتاده اغلب پاسخ‌های ثابتی وجود دارد که یک فرد آشنا و مجرب در این زمینه می‌تواند به تیم کمک کند. در اکثر موارد بازپرس و پاسخگو در SOC یک نفر است.

Auditor یا حسابرس: فردی که تضمین می‌کند تمامی کارهای انجام شده بر اساس قوانین فعلی یا قوانینی که ممکن است در آینده وضع شود، منطبق خواهد بود.

باید افزود که بسته به‌اندازه یک سازمان ممکن است فردی بیش از یک نقش را برعهده گیرد و تیم security operations center یک شرکت به یک یا دو نفر محدود شود.

حتما بخوانید: معرفی بهترین نرم افزارهای امنیت شبکه

اهمیت استفاده از تیم مرکز عملیات امنیتی (SOC)

یکی از بزرگ‌ترین موانع پیشرفت شبکه‌ها تهدیدات سایبری است. زیرا که سازمان‌ها و شرکت‌های زیادی از خطرات و حوادث موجود در این بستر ترس داشته و نمی‌توانند با اعتماد کامل زیرساخت‌های خود را در این حوزه پهن کنند. علاوه بر این موضوع مصرف‌کنندگان و مشتریان شبکه‌های بزرگ نیز در صورت وقوع یک فاجعه در نتورک سازمانی بزرگ، تا میزان زیادی نسبت به آن بدبین خواهند شد. تا جایی که در سال 2018 میلیارد‌ها نفر به دلیل همین نقص‌های امنیتی آسیب دیدند.

ازاین‌رو یک تیم قدرتمند SOC می‌تواند تا حدود زیادی با خطرات و تهدیدات سایبری موجود مقابله کند و با پیش‌بینی‌های دقیق، بسیاری از حملات را دفع کند و حتی کمکی در پوشاندن شکاف‌های امنیتی دور از چشم داشته باشد. تعدادی از پراهمیت‌ترین دلایل استفاده از security operations center عبارت‌اند از:

پاسخ و واکنش سریع

در هر حوزه‌ای دقت به این موضوع که پیشگیری بهتر از درمان است باعث پیشرفت و جلوگیری از رخداد فاجعه می‌شود. با در اختیار داشتن یک تیم مرکز عملیات امنیتی می‌توان مطمئن بود که تا میزان زیادی از وقوع تهدیدات پیشگیری می‌شود و در صورت وقوع آن نیز پاسخ و واکنشی سریع در دستور کار قرار خواهد گرفت.

محافظت از اعتماد کاربران و مصرف‌کنندگان

شرکت‌های بزرگ و سازمان‌های توسعه‌یافته با به خدمت گرفتن مهندسین خبره و مجرب امنیتی علاوه بر تضمین امنیت داده‌ها و اطلاعات خود سازمان و کاربران آن، می‌توانند حس امنیت و اعتماد را نیز به مصرف‌کنندگان القا کنند. در سال‌های اخیر به دلیل حوادث رخ‌داده در شبکه‌های مجازی شرکت‌های بزرگ، بسیاری از کاربران این سازمان‌ها اعتماد خود را نسبت به امنیت موجود ازدست‌داده‌اند.

کاهش هزینه‌ها

در وهله اول ممکن است تا فکر کنید که استخدام مهندسین امنیت سایبری به همراه تهیه ابزار‌ها و تجهیزات موردنیاز بسیار هزینه‌بر خواهد بود. ولی باید به این نکته نیز توجه داشت که در صورت وقوع یک فاجعه ممکن است صدمات آن جبران‌ناپذیر باشد و همواره اعتماد مشتریان و اعتبار شرکت گران‌تر از هر مبلغی است.

مطالعه بیشتر: امنیت شبکه چیست و چه راهکارهایی برای داشتن شبکه امن وجود دارد؟

استفاده از SIEM در بهبود SOC

هیچ فردی با هر میزان دانشی نمی‌تواند این ادعا را داشته باشد که با بررسی خط به خط داده‌ها و اطلاعات می‌تواند تهدیدات داخلی و خارجی را شناسایی کند. زیرا که داده‌های خروجی در بازه زمانی مثلاً 3 ماهه از یک شبکه حتی کوچک، بسیار حجیم و سرسام‌آور خواهد بود. در این نقطه است که فناوری SIEM می‌تواند نتیجه بازی را تغییر دهد.

در تیم SOC با استفاده از SIEM می‌توان هر حجم از داده‌ای را به صورتی سازمان‌دهی کرد که حتی یک فرد بی‌تجربه نیز بتواند از آن استفاده کند. ازاین‌رو با به‌کارگیری این فناوری در مرکز عملیات امنیتی، می‌توانید با ساده‌تر کردن تجزیه‌وتحلیل خطرات موجود را بهتر و راحت‌تر مدیریت کنید. با security information and event management دید بالاتری نسبت به گذشته خواهید داشت. از جمله مزایای استفاده از این سیستم در security operations center عبارت‌اند از:

  1. کاهش هشدار‌های نادرست
  2. یافتن رفتار‌های غیرعادی در کوتاه‌ترین زمان ممکن (حتی در عرض چند ثانیه)
  3. کاهش انرژی و وقت صرف شده برای تحلیل داده‌ها و در نتیجه وقت بیشتر برای بهبود بخش‌های دیگر
  4. ارائه گزارش‌های قدرتمند و مستند
عملیات امنیتی پایان به پایان

جمع‌بندی

با به‌وجودآمدن فناوری‌های نوین باید انتظار داشت که تهدیدات جدیدی نیز متولد شوند. البته شبکه و نتورک جزو تکنولوژی‌های جدید نیست ولی قدیمی نیز به شمار نمی‌آید. تهدیدات سایبری و خطراتی مانند افشای اطلاعات خصوصی کاربران و خود سازمان‌های بهره برنده از netwok، همواره یکی از مشکلات اساسی این حوزه به شمار می‌آید.

راهکارهای مختلفی برای مقابله با این مشکلات و تهدیدات موجود خلق شده که یکی از آن‌ها همین استقرار یک تیم مرکز عملیاتی امنیتی (SOC) است. در این مقاله سعی کردیم تا به‌صورت واضح و کامل به بررسی مفهوم این بخش از امنیت یک سازمان بپردازیم. امید است تا مطالعه این محتوا کمکی در حل سؤالات بی‌پاسخ شما کرده باشد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.