SOC چیست و چه اهمیتی دارد؟
SOC مخفف واژه security operations center بوده که به معنای مرکز عملیات امنیتی است. در سازمانها و شرکتهای بزرگ که نیاز به امنیت شدید سایبری به دلیل گسترده بودن شبکه حس میشود، مجموعه افرادی همراه با فناوریهای نوین و خلاقانه در کنار تجهیزات امنیتی وظیفه نظارت و تجزیهوتحلیل ترافیک شبکه را برعهده دارند تا با پیشبینی خطرات احتمالی، در صورت وقوع هر نوع اتفاق بهترین واکنش را در دستور کار قرار دهند.
این تیم عملیاتی، متشکل از مهندسان امنیتی در کنار مدیران ناظر است که وظایف حیاتی بر عهده ایشان قرار دارد. در این مقاله قصد داریم تا بهصورت جامع کامل به بررسی SOC بپردازیم پس تا انتهای مقاله همراه ما باشید.
فهرست عناوین مقاله
تعریفی دقیق از SOC یا security operations center
در سازمانهای بزرگ و پیشرفته زمانی که شبکه پیاده شده در حدی گسترده باشد که نیاز به امنیت سایبری در آن یک ضرورت باشد، تیمی متشکل از مهندسان مجرب و با دانش کافی زیر نظر مدیرانی آبدیده همراه با تجهیزات موردنیاز در مرکز سازمان مستقر خواهند شد. این تیم وظیفه نظارت و تجزیهوتحلیل مداوم کل زیرساختها، بهمنظور جلوگیری از وقوع هر نوع اتفاق غیرمنتظره و تهدید سایبری را برعهده دارند. تمامی توضیحات داده شده مربوط به واژه SOC یا security operations center بوده که قرار است در این مقاله بهصورت کامل آن را بررسی کنیم.
مانند چرخدندههای یک ماشین، مرکز عملیات امنیتی نیز با تیمهای مختلفی از جمله organizational incident response teams (تیمهای واکنش سازمانی به حوادث) همکاری میکنند تا در زمان واقعی بتوان یک تهدید یا خطر را به بهترین شکل ممکن دفع کرد. SOC روی نقاط پایانی، پایگاههای داده، برنامهها و وبسایتها، شبکههای سازمانی، سرورها و… نظارت دارند و تمامی دادههای ورودی و خروجی از این موارد را زیر نظر میگیرند.
اگر بخواهیم مسئولیت اصلی security operations center را تشریح کنیم، مانند این است که تیمی متشکل از مهندسین فعال در حوزه امنیت سایبری با به دست گرفتن ذرهبین به دنبال هر نوع فعالیت غیرعادی میگردند که ممکن است امنیت شبکه و زیر ساختها را به خطر بیندازد. در نتیجه تیم مرکز عملیات امنیتی مسئول است تا هرگونه حوادث امنیتی را شناسایی، تجزیهوتحلیل، دفاع، بررسی و گزارش کند.
برای مطالعه بیشتر مقاله سیر تا پیاز حملات SQL injection را پیشنهاد می کنیم.
بررسی فعالیتهای صورتگرفته در SOC
بهتر است تا فعالیتهای این تیم عملیاتی را با وظایفی همچون توسعه استراتژیهای امنیتی یا تقویت نقاط ضعف موجود در شبکه اشتباه نگیرید. زمانی که واژه SOC را میبینید تنها به این موضوع فکر کنید که فقط و فقط وظیفه این تیم عملیاتی کشف هرگونه تهدید و ارائه گزارشهایی دررابطهبا آن است. افراد فعال در تیم عملیاتی امنیتی متشکل از تحلیلگران امنیتی یا security analysts هستند. کسانی که دستبهدست هم کار میکند تا هر خطر و تهدیدی را تحلیل و شناسایی کنند و در صورت لزوم برای پیشگیری از حوادث مخرب پیشنهاداتی را به تیمهای فعال در قسمتهای دیگر ارائه کنند. علاوه بر موارد ذکر شده یک تیم پیشرفته security operations center میتواند با مهندسی معکوس بدافزارها و cryptanalysis (رمزگشایی پیامهای رمزنگاری شده بدون داشتن کلید آنها) حوادث را بهتر تحلیل و شناسایی کنند.
طبق اظهارات پیرلوئیجی پاگانینی (Pierluigi Paganini) که مدیر ارشد امنیت اطلاعات Bit4Id است، زیر ساختهای یک SOC معمولی شامل فایروالها، IPS/IDS، راهحلهای breach detection یا تشخیص نقص، probeها و SIEM (مخفف security information and event management) خواهد بود. باید افزود که اولین گام در پیادهسازی یک security operations center تدوین استراتژی مناسب است. در این استراتژی، اهداف خاص کسبوکار را از ورودیهای مختلف به همراه پشتیبانی مدیران اجرایی تعیین میکنند.
قدم بعدی بعد از تعیین استراتژی واضح، تأمین تجهیزات موردنیاز برای پیادهسازی SOC بهمنظور حمایت از همان استراتژی خواهد بود. تمامی توضیحات داده شده باید در جهت جمعآوری دادهها از ترافیک ورودی، telemetry، ثبت و ضبط بستهها (Packets)، syslog و دیگر متدها انجام شوند تا بتوان ترافیکی که درون شبکه جریان دارد را بهصورت پیوسته و به کمک کارمندان این بخش تحلیل و بررسی کرد.
مزیت داشتن security operations center
باید به این نکته توجه داشت که برنامهریزی برای یک حمله بزرگ سایبری بسیار پیچیده و پیشرفته خواهد بود و ممکن است مقدمات آن تا مدتها قبل از انجام حمله اصلی صورت گیرد. پس با نظارت مداوم بر ترافیک شبکه توسط تیم security operations center میتوان این اطمینان را پیدا کرد که تهدیدات سایبری به حداقل خواهند رسید.
تیم عملیات امنیتی با تحلیل و زیر نظر گرفتن 24 ساعته نقاط پایانی، مراکز داده، سرورها و تمامی فعالیتها در حال انجام در شبکه قادر هستند تا تهدیدات را بهسرعت شناسایی و برای پاسخ و واکنش مناسب، کل سازمان را آماده کنند.
پس مهمترین مزیت داشتن SOC در یک سازمان، نظارت پیشرفته و مداوم برای بهبود تشخیص حوادث امنیتی و سایبری است. گزارشهای سالانه این تیم اطلاعات خوبی درمورد شکافها و نقصهای موجود در شبکه را فاش میکند که با گذر زمان میتوان انتظار داشت سازمان با پوشاندن این شکافها، در رأس هرم تهدیدات محیطی قرار گیرد.
بهتر است بخوانید: معرفی بهترین آنتیویروسهای شبکه و مزایا و معایب آنها
نقش اعضای فعال در تیم SOC
در تیم SOC گفته شد که کارمندان در کنار سیستمها و تجهیزات مختلف تمامی وظایف مربوط به نظارت بر ترافیک شبکه را بر عهده دارند. حال نیاز است تا بدانیم که هر فرد در security operations center چه نقشی را دارد و باید چه وظایفی را انجام دهد. در ادامه لیست کاملی از نقش اعضای فعال در تیم مرکز عملیات امنیتی آورده شده است:
Manager یا مدیر: رهبر و لیدر گروه که ممکن است در هر زمینهای فعالیت مؤثر داشته باشد، در واقع نظارتکننده بر کل سیستمها و رویههای امنیتی است.
Analyst یا تحلیلگر: مهندسینی که عهدهدار این نقش هستند باید دادههای یک دوره زمانی (مثلاً دوره 3 یا 6 ماهه) یا دادههای مربوط بعد از یک نقص امنیتی را تحلیل و بررسی کنند.
Investigator یا بازپرس: در زمان وقوع یک حادثه امنیتی این فرد با انجام یک تحقیق رسمی با پاسخگو یا Responder در تلاش برای این است که روشن کند چه اتفاقی افتاده و چرا.
Responder یا پاسخگو: در زمان وقوع حادثه برای اتفاق افتاده اغلب پاسخهای ثابتی وجود دارد که یک فرد آشنا و مجرب در این زمینه میتواند به تیم کمک کند. در اکثر موارد بازپرس و پاسخگو در SOC یک نفر است.
Auditor یا حسابرس: فردی که تضمین میکند تمامی کارهای انجام شده بر اساس قوانین فعلی یا قوانینی که ممکن است در آینده وضع شود، منطبق خواهد بود.
باید افزود که بسته بهاندازه یک سازمان ممکن است فردی بیش از یک نقش را برعهده گیرد و تیم security operations center یک شرکت به یک یا دو نفر محدود شود.
حتما بخوانید: معرفی بهترین نرم افزارهای امنیت شبکه
اهمیت استفاده از تیم مرکز عملیات امنیتی (SOC)
یکی از بزرگترین موانع پیشرفت شبکهها تهدیدات سایبری است. زیرا که سازمانها و شرکتهای زیادی از خطرات و حوادث موجود در این بستر ترس داشته و نمیتوانند با اعتماد کامل زیرساختهای خود را در این حوزه پهن کنند. علاوه بر این موضوع مصرفکنندگان و مشتریان شبکههای بزرگ نیز در صورت وقوع یک فاجعه در نتورک سازمانی بزرگ، تا میزان زیادی نسبت به آن بدبین خواهند شد. تا جایی که در سال 2018 میلیاردها نفر به دلیل همین نقصهای امنیتی آسیب دیدند.
ازاینرو یک تیم قدرتمند SOC میتواند تا حدود زیادی با خطرات و تهدیدات سایبری موجود مقابله کند و با پیشبینیهای دقیق، بسیاری از حملات را دفع کند و حتی کمکی در پوشاندن شکافهای امنیتی دور از چشم داشته باشد. تعدادی از پراهمیتترین دلایل استفاده از security operations center عبارتاند از:
پاسخ و واکنش سریع
در هر حوزهای دقت به این موضوع که پیشگیری بهتر از درمان است باعث پیشرفت و جلوگیری از رخداد فاجعه میشود. با در اختیار داشتن یک تیم مرکز عملیات امنیتی میتوان مطمئن بود که تا میزان زیادی از وقوع تهدیدات پیشگیری میشود و در صورت وقوع آن نیز پاسخ و واکنشی سریع در دستور کار قرار خواهد گرفت.
محافظت از اعتماد کاربران و مصرفکنندگان
شرکتهای بزرگ و سازمانهای توسعهیافته با به خدمت گرفتن مهندسین خبره و مجرب امنیتی علاوه بر تضمین امنیت دادهها و اطلاعات خود سازمان و کاربران آن، میتوانند حس امنیت و اعتماد را نیز به مصرفکنندگان القا کنند. در سالهای اخیر به دلیل حوادث رخداده در شبکههای مجازی شرکتهای بزرگ، بسیاری از کاربران این سازمانها اعتماد خود را نسبت به امنیت موجود ازدستدادهاند.
کاهش هزینهها
در وهله اول ممکن است تا فکر کنید که استخدام مهندسین امنیت سایبری به همراه تهیه ابزارها و تجهیزات موردنیاز بسیار هزینهبر خواهد بود. ولی باید به این نکته نیز توجه داشت که در صورت وقوع یک فاجعه ممکن است صدمات آن جبرانناپذیر باشد و همواره اعتماد مشتریان و اعتبار شرکت گرانتر از هر مبلغی است.
مطالعه بیشتر: امنیت شبکه چیست و چه راهکارهایی برای داشتن شبکه امن وجود دارد؟
استفاده از SIEM در بهبود SOC
هیچ فردی با هر میزان دانشی نمیتواند این ادعا را داشته باشد که با بررسی خط به خط دادهها و اطلاعات میتواند تهدیدات داخلی و خارجی را شناسایی کند. زیرا که دادههای خروجی در بازه زمانی مثلاً 3 ماهه از یک شبکه حتی کوچک، بسیار حجیم و سرسامآور خواهد بود. در این نقطه است که فناوری SIEM میتواند نتیجه بازی را تغییر دهد.
در تیم SOC با استفاده از SIEM میتوان هر حجم از دادهای را به صورتی سازماندهی کرد که حتی یک فرد بیتجربه نیز بتواند از آن استفاده کند. ازاینرو با بهکارگیری این فناوری در مرکز عملیات امنیتی، میتوانید با سادهتر کردن تجزیهوتحلیل خطرات موجود را بهتر و راحتتر مدیریت کنید. با security information and event management دید بالاتری نسبت به گذشته خواهید داشت. از جمله مزایای استفاده از این سیستم در security operations center عبارتاند از:
- کاهش هشدارهای نادرست
- یافتن رفتارهای غیرعادی در کوتاهترین زمان ممکن (حتی در عرض چند ثانیه)
- کاهش انرژی و وقت صرف شده برای تحلیل دادهها و در نتیجه وقت بیشتر برای بهبود بخشهای دیگر
- ارائه گزارشهای قدرتمند و مستند
جمعبندی
با بهوجودآمدن فناوریهای نوین باید انتظار داشت که تهدیدات جدیدی نیز متولد شوند. البته شبکه و نتورک جزو تکنولوژیهای جدید نیست ولی قدیمی نیز به شمار نمیآید. تهدیدات سایبری و خطراتی مانند افشای اطلاعات خصوصی کاربران و خود سازمانهای بهره برنده از netwok، همواره یکی از مشکلات اساسی این حوزه به شمار میآید.
راهکارهای مختلفی برای مقابله با این مشکلات و تهدیدات موجود خلق شده که یکی از آنها همین استقرار یک تیم مرکز عملیاتی امنیتی (SOC) است. در این مقاله سعی کردیم تا بهصورت واضح و کامل به بررسی مفهوم این بخش از امنیت یک سازمان بپردازیم. امید است تا مطالعه این محتوا کمکی در حل سؤالات بیپاسخ شما کرده باشد.
دیدگاهتان را بنویسید