در قسمت اول این مقاله در خصوص ماهیت Security Operations Center یا به اختصار SOC، اهمیت آن و همچنین مسئولیتها و نقشهای ابتدایی مرکز عملیات امنیت صحبت کردیم.
نقشها و مسئولیتهای مرکز عملیات امنیت
- تحلیلگر امنیتی – اولین واكنشدهنده به حوادث است و معمولا در سه مرحله پاسخ میدهد: تشخیص تهدید، بررسی تهدید و پاسخ بهموقع. تحلیلگران امنیتی همچنین باید اطمینان یابند كه آموزش صحیح در حال انجام است و پرسنل میتوانند روندها وPolicy ها را پیاده سازند. این تحلیلگران با پرسنل داخلی IT و مدیران كسبوكار همكاری میكنند تا به تبادل اطلاعات در خصوص محدودیتهای امنیتی بپردازند و اسناد و مداركی ایجاد كنند.
- مهندسان یا معماران امنیتی – به حفظ و عرضه ابزارهایی برای مانیتورینگ و تحلیل میپردازند. این افراد یك معماری امنیتی ایجاد و با طراحان همكاری میكنند تا اطمینان یابند این معماری بخشی از چرخه طراحی است. مهندس امنیتی ممكن است یك متخصص نرمافزار یا سختافزار باشد كه به هنگام طراحی سیستمهای اطلاعاتی، جنبههای امنیتی را به طور ویژه مورد توجه قرار میدهد. این افراد به طراحی ابزارها و راهكارهایی میپردازند كه امكان جلوگیری از حملات و واكنش موثر نسبت به آنها را برای سازمانها فراهم مینماید. همچنین این افراد روندها، ملزومات و پروتكلها را مستند میكنند.
- مدیران SOC – تیم عملیات امنیت را مدیریت كرده و به CISO گزارش میدهند. آنها بر تیم امنیتی نظارت کرده، راهبردهای فنی فراهم میكنند و فعالیتهای مالی را مدیریت مینمایند. مدیر SOC بر فعالیتهای تیم SOC از قبیل استخدام، آموزش و ارزیابی كادر نظارت میكند. دیگر مسئولیتهای این تیم عبارت است از: ایجاد فرآیندها، ارزیابی گزارشهای حوادث، طراحی و اجرای برنامههای ارتباطات بحرانی. این مدیران گزارشهایی از تطبیقپذیری فراهم میكنند، از فرآیند Audit پشتیبانی میكنند، معیارهای عملكرد SOC را میسنجند و از عملكردهای امنیتی گزارش گرفته و به رهبران كسبوكار میرسانند.
- CISO – عملكردهای امنیتی سازمان را تعریف میكند. این تیم با مدیریت به تبادل اطلاعات در خصوص مسائل امنیتی میپردازد و بر امور تطبیقپذیری نظارت دارد. همچنین Policyها، استراتژی و روندهای مرتبط با امنیت سایبری سازمان در نهایت مورد تنظیم و تكمیل این تیم واقع میشوند. همچنین افراد این تیم نقشی مركزی در مدیریت تطبیقپذیری و ریسك ایفا میكنند و Policyهایی اجرا میكنند تا نیازهای امنیتی خاصی را برآورند.
SIEM چیست؟ مزایای استفاده از Splunk Enterprise Security در سازمان ها
ویدیوهای بیشتر درباره SOC
تحلیل SOC سهمرحلهای
مركز عملیات امنیت معمولا تحلیلگران را به سه یا چهار لایه منصوب میكند:
- تحلیلگر پشتیبانی امنیت لایه اول – به صورت روزانه هشدارها را دریافت و بررسی میكند، تازهترین هشدارهای SIEM را مرور میكند تا ببیند كدامیك مرتبطتر و فوریتر هستند، به ردهبندی میپردازد تا مطمئن شود یك پیشآمد امنیتی واقعی در حال وقوع است و بر ابزارهای مانیتورینگ امنیت نظارت كرده و آنها را پیكربندی میكند.
- تحلیلگر پشتیبانی امنیت لایه دوم – به حوادث امنیتی واقعی میپردازد، حوادثی را كه توسط تحلیلگران لایه اول شناسایی شدهاند، ارزیابی میكند، از هوش تهدیدات نظیر Rules and Indicators of Compromise (به اختصار IOCs) یا قواعد و شاخصهای Compromise استفاده میكند تا سیستمهای تحتتاثیر و میزان حمله را دقیقا تشخیص دهد، فرآیندهای در حال اجرا و پیكربندیهای سیستمهای مورد حمله را تحلیل میكند، تحلیل هوش تهدیدات را به طور دقیق اجرا میكند تا عامل و نوع حمله، دادهها یا سیستمهای تحتتاثیر را بیابد، استراتژیای را برای مهار حمله و بازیابی ایجاد و اجرا میكند.
- تحلیلگر امنیتی لایه سوم – از تحلیلگر لایه دوم باتجربهتر است؛ با حوادث حیاتی سروكار دارد، آزمایشهای آسیبپذیری و تستها نفوذ را اجرا میكند تا مقاومت سازمان را ارزیابی و ناحیههای ضعف و نیازمند توجه را جدا كند؛ هشدارها، هوش تهدیدات و دادههای امنیتی را مرور میكند و تهدیداتی را كه وارد سازمان شدهاند و شكافها و آسیبپذیریهای امنیتیای را كه در حال حاضر ناشناخته هستند، شناسایی میكند.
- مدیر پاسخ به حادثه – اقدامات را در حین جداسازی، تحلیل و مهار حادثه مدیریت و اولویتبندی میكند. این فرد همچنین با ذینفعان داخلی و خارجی به تبادل اطلاعات درباره هرگونه احتیاجات خاص حوادث با شدت بالا میپردازد.
بهترین روشها برای ایجاد یك مركز عملیات امنیت موثر
تیم عملیات امنیت با چالشهای زیادی روبهرو هستند. ممكن است حجم كاری زیادی بر عهده آنها گذاشته شود، پرسنل كمی داشته باشند و اغلب مدیریت ارشد چندان اهمیتی به آنها نمیدهد. بهترین روشهای عملیات امنیت میتواند ابزارهای مورد نیاز شركتها را در اختیار آنها قرار دهد تا از خود محافظت كرده و محیط كاری بهتری در اختیار تیم SOC قرار دهند.
برای مشاوره رایگان و یا راه اندازی Splunk/SIEM و مرکز عملیات امنیت SOC با کارشناسان شرکت APK تماس بگیرید |
SOCهای كارآمد از خودكارسازی امنیتی استفاده میكنند
سازمانها با بهكارگیری تحلیلگران دارای مهارت زیاد در كنار خودكارسازی امنیت، میتوانند رویدادهای امنیتی بیشتری را تحلیل كنند، حوادث بیشتری را شناسایی كنند و به نحو موثرتری از خود در برابر این حوادث مراقبت كنند.
استفاده از تكنولوژی تاثیرگذار
توانمندیهای SOC وابسته به قابلیتهای تكنولوژی آن است. تكنولوژی باید دادهها را جمعآوری و گردآوری كند، از تهدیدات جلوگیری كند و به محض وقوع آنها پاسخ دهد. تیمی كه مجهز به ابزارها و منابع دادهای باشد كه خطا در اعلام هشدار را به حداقل برساند، میتواند زمانی را كه تحلیلگران صرف بررسی حوادث امنیتی واقعی میكنند، به بیشترین حد برساند.
به روز بودن با هوش تهدیدات فعلی
دادههای هوش تهدیدات از داخل سازمان به همراه اطلاعات منابع برای تیم SOC نسبت به آسیبپذیریها و تهدیدات Insight فراهم میكند. هوش سایبری خارجی شامل بهروزرسانیهای Signature، اخبار، گزارشهای حوادث، هشدارهای آسیبپذیری و شرح تهدیدات است. كادر SOC میتوانند از ابزارهای مانیتورینگی استفاده كنند كه هوش یكپارچه تهدیدات فراهم میكند.
افراد و مسئولیتها
سازمانها اغلب وظایف مدیریتی در شركتهای تابع را بین سازمانهای شریك و واحدهای كسبوكار به اشتراك میگذارند. استانداردهای Policy امنیت سازمان باید برای تعریف مسئولیتهای مرتبط با وظایف در قبال پاسخ مورد استفاده قرار گیرند. یك سازمان همچنین میتواند نقش هر یك از واحدهای كسبوكار یا نمایندگی را نسبت به SOC تعریف كند.
دفاع از Perimeter
یكی از مسئولیتهای تیم SOC دفاع از Perimeter است، اما سوال این جاست كه نیاز است تحلیلگران چه اطلاعاتی را گردآوری كنند؟ این اطلاعات را كجا میتوان یافت؟
تیم SOC میتواند تمام دادههای ورودی نظیر موارد زیر را به حساب آورد:
- اطلاعات شبكه نظیر URLها، Hashها، جزئیات اتصال
- مانیتورینگ Endpointها، اطلاعاتی كه اسكنرهای آسیبپذیری در خصوص آسیبپذیری ارائه میدهند، Feedهای هوش امنیت، سیستمهای تشخیص (IDS) و پیشگیری از نفوذ (IPS)
- سیستمهای عامل
- اطلاعات توپولوژی
- فایروال مواجه با محیط خارجی و آنتیویروس