چرا به مرکز عملیات امنیت (SOC) نیازمندیم؟

هر سازمانی این روزها به یک مرکز عملیات امنیت (SOC) نیاز دارد تا بتواند از داده‌های خود محافظت کند؛ به گفته آقای Jhon Chamber مدیر اجرایی سابق سیسکو، شرکت‌ها یا هک شده‌اند یا خبر ندارند که هک شده‌اند. کاملا از این جمله مشخص است که هر چقدر هم بر روی ساختن سپر دفاعی و بالا بردن هزینه هک سازمانتان تمرکز کنید باز هم در معرض خطر هستید و حتی ممکن است وجود این تجهیزات حس امنیت کاذبی را برای شما فراهم کرده است که بسیار خطرناک است. همانقدر که این راهکارها قوی‌تر می‌شوند، ابزارها و روش‌های مهاجمین نیز پیچیده‌تر می‌شوند. از این روی سازمان‌ها باید به دنبال راهکارهای مدرن امنیتی برای تشخیص تهدیدات و حملات در کمترین زمان ممکن و ارائه واکنش مناسب و به موقع باشند. زمانی که تصمیم به راه اندازی SOC می‌گیرید، بایستی بدانید با راه اندازی SOC میزان اثر بخشی راهکارهای امنیتی را بالا میبرید. هر چقدر این راه اندازی اصولی تر صورت گیرد سطح امنیت ارتقا بیشتری یافته و سطح آسیب پذیری سازمان پایین‌تر خواهد آمد، پس برای راه اندازی SOC باید به دنبال تیمی متخصص و با تجربه باشید، بخش مهمی از راه اندازی موفق SOC به توانایی تیم طراح و مجری برمی‌گردد.

هدف اصلی از راه اندازی مرکز عملیات امنیت محافظت ۲۴ ساعته و در هفت روز هفته از اطلاعات و دارایی‌های سازمان در برابر تهدیدات و حملات امنیتی می‌باشد. سه وظیفه اصلی این مرکز محافظت، پیشگیری و تشخیص حملات امنیتی است و برای رسیدن به این مقصود تیمی متشکل از متخصصین امنیت با بهره گیری از Threat Hunting، سیستم‌های مانیتورینگ و پشتیبان‌گیری و بازگردانی سرورها، پایگاه‌های داده و امنیت سیستم‌های کاربران را در سطح بالایی تضمین می‌کنند. پس با وجود SOC حتی لحظه‌ای نیست که سیستم‌ها محافظت نشوند و یا رفتار مشکوکی در شبکه تشخیص داده نشود، تیم SOC به سرعت موارد مشکوک را شناسایی و برطرف کرده و این موارد را برای جلویری از خطرات بعدی به دقت بررسی خواهد کرد.

در یک مرکز عملیات امنیت (Security Operation Center)، مدیریت آسیب‌پذیری، بازرسی دیجیتال، Threat intelligence، جمع آوری و تحلیل داده‌ها از جمله سرویس‌هایی هستند که ارائه می‌شوند. یکی از مهم ترین عملکردهای یک مرکز عملیات امنیت، جمع آوری و تحلیل داده‌هاست. این وظیفه عموما بر عهده SIEM می‌باشد. اگر داده‌های درستی جمع آوری نشوند نمی‌توان انتظار داشت تا در مرحله تحلیل به نتایج خوب و موثری دست یابیم. انتخاب منبع داده‌ها، میزان داده‌های جمع آوری شده، نوشتن use-caseها زمانی که به درستی انجام شود حاصل آن جمع آوری داده‌هایی است که تشخیص به موقع تهدیدات را امکان پذیر می‌سازد.

بررسی همبستگی رخدادها با استفاده از تکنیک‌های یادگیری ماشین یا روش‌های دانش محوری همچون تشخیص آماری آنومالی، و تطبیق مبتنی بر قانون (rule-based matching) نیز در مرحله بعدی بر روی این داده‌ها صورت می‌پذیرد. گزارش‌های حاصل از این تحلیل‌ها در اختیار تیم‌های مربوطه قرار می‌گیرد و کارهایی لازم انجام می‌پذیرد. اما باید به این نکته توجه داشته باشید که انتخاب درست منابع داده، نوشتن use-caseهای درست و سایر اجزای ساختار یک SOC و تجربه و تخصص تیم طراح مهم‌ترین فاکتور در موفقیت مرکز عملیات امنیت دارد. پس برای جلوگیری از هزینه‌ها و ضررهای آینده، زمانی را برای انتخاب درست تیم طراح مرکز عملیات امنیت اختصاص دهید.

با راه اندازی مرکز عملیات از خرید آنتی ویروس، فایروال و سیستم‌های تشخیص نفوذ  بی‌نیاز نمی‌شوید، بلکه ساختاری را فراهم می‌کنید که این راهکارهای امنیتی هرچه اثربخش‌تر عمل کنند. فایروال‌ها باید در لبه شبکه تهدیدات امنیتی را مسدود کنند و یا آنتی‌ ویروس‌های معتبر، امنیت سمت کاربران را بالا ببرند. اما این راهکارها زمانی که به صورت جداگانه عمل می‌کنند و داده‌های حاصل از آن‌ها مجتمع نشده و تحلیل نمی‌شوند اگر یک حمله موفق اتفاق بیفتد زمان زیادی طول خواهد کشید تا این لاگ‌ها جمع آوری شوند و تحقیقات بعد از حمله به نتیجه برسد.  این زمان یعنی ضرر مالی و آبرویی برای یک سازمان، همچنین تشخیص تهدیدات حملات پیشرفته و هدفمند طول خواهد کشید و یا ممکن اصلا کشف نشوند، که باز هم ضررهای هنگفتی به مجموعه وارد خواهد شد. پس صرف زمان و هزینه برای راه اندازی یک مرکز عملیات امنیت اصولی برای سازمان‌ها، بانک‌ها، نهادها و ارگان‌ها یک ضرورت است.

ارزیابی دارایی‌ها سازمان

یکی از مهم‌ترین کارها در زمان فاز طراحی، بررسی درست و صحیح دارایی‌های یک سازمان می‌باشد. این دارایی‌ها مانند تجهیزات شبکه می‌تواند فیزیکی و یا مانند داده‌های سازمان غیر فیزیکی باشد. تیم طراح باید مطابق با اهداف و سیاست‌های سازمان تمامیت، دسترس پذیری و محرمانگی را برای این دارایی‌ها فراهم آورند. قبل از هر کاری هم لازم است این دارایی‌ها طبقه‌بندی شوند و میزان اهمیت و محرمانگی آن‌ها به درستی مشخص شود. درست انجام شدن این فاز تاثیر بسیار زیادی در کارآمدی مرکز عملیات امنیت خواهد داشت.

جمع‌آوری و دسته‌بندی لاگ­های سیستم

انتخاب درست منابع داده، داده‌هایی که باید جمع آوری شوند، میزان داده‌هایی که باید جمع آوری شوند و نوشتن use-caseهای مناسب یکی از دیگر از وظایف تیم طراح مرکز عملیات امنیت می‌باشد. این لاگ‌ها منبع اصلی اطلاعات بوده و در قلب مرکز عملیات امنیت یعنی SIEM مجتمع و تحلیل می‌شوند. زمانی که مدیریت حجم عظیمی از داده به راهکارهای مبتنی بر هوش مصنوعی مانند اسپلانک سپرده می‌شود، امکان تحلیل آن‌ها در زمان بسیار کمی نیز فراهم می‌شود. از این رو در میان حجم عظیمی از لاگ‌های جمع آوری شده امکان تشخیص سریع رفتارهای مشکوک برای تیم امنیت فراهم می‌شود. آرمان داده پویان در این فاز علاوه بر ارائه SIEMهای معتبر با بهترین قیمت موجود در بازار مطابق با نیازها سازمانتان و به صورت اصولی با بهره‌گیری از متخصصین با تجربه در این عرصه عملیات نصب و پیکربندی را برایتان انجام خواهد داد.

عملکرد پیشگیرانه

بهترین عملکرد برای SOC این است که، با پیشگام بودن در تامین امنیت شبکه از وقوع حملات احتمالی پیشگیری کند. این موضوع شامل نصب وصله‌های امنیتی (security patches) و تنظیم سیاست‌های فایروال به‌صورت منظم می‌شود. البته با توجه به اینکه بعضی از تهدیدهای امنیتی از درون خود سازمان نشات می‌گیرد، SOC باید به دنبال کشف و از بین بردن این خطرات هم باشد.

نظارت مداوم

وجود مرکز عملیات امنیت به معنی پایش ۲۴ ساعته شبکه در هفت روز هفته می‌باشد، گاهی اگر فاصله بین کشف یک حمله و خنثی کردن آن بیشتر از چند دقیقه باشد ضررهای جبران ناپذیری به مجموعه وارد خواهد  شد. ابزارهای  SOC با اسکن شبکه تهدیدهای احتمالی و سایر فعالیت‌های مشکوک را شناسایی می‌کنند و بعد از ارسال هشدارها و گزارشات به تیم پاسخگویی به تهدیدات، رویکردهای مناسب در کوتاهترین زمان توسط این تیم صورت می‌پذیرد. آرمان داده پویان علاوه بر طراحی، پیاده‌سازی و نگهداری مرکز عملیات امنیت می‌تواند در عرصه پاسخگویی به رخدادهای امنیتی خدمات گسترده‌ای را به شما ارائه دهد.

مدیریت هشدارها

وقتی SOC به درستی راه اندازی شود، لاگ‌های تولید شده توسط تجهیزات مختلف در یک مرکز تجمیع می‌شود و بعد از تحلیل آن‌ها در صورت مشاهده هر گونه رفتار غیر عادی هشدارها ارسال می‌شوند.

تجزیه‌وتحلیل ریشه‌ای رخدادها

پس از وقوع حمله و برطرف کردن آن، کارشناسان امنیت شبکه باید علت این رخداد را تجزیه‌وتحلیل کنند و علت اصلی بروز آن را تشخیص دهند. در مرکز عملیات امنیت با کمک ابزارها به‌صورت مداوم این کار را انجام می‌شود و فهرست مواردی که باید اصلاح شوند نیز مشخص می‌شود. این روش برای پیشگیری از حملات مشابه بعدی انجام می‌شود.

انطباق با ممیزی‌ها

شرکت‌ها می‌خواهند اطمینان داشته باشند که داده‌ها و سیستم‌های آن‌ها از خطرات امنیتی در امان هستند، از طرفی مدیریت قانونی کارها برای سازمان‌ها بسیار مهم است. ارائه‌دهندگان خدمات SOC باید در زمینه فعالیتشان به‌صورت منظم ممیزی‌ها را انجام دهند. گزارش‌های SOC و ممیزی SOC شامل مواردی می‌شود که دادها یا سوابق یک سازمان را در حیطه عملکردهای امنیت شبکه در بر می‌گیرد. این روش ویژه حسابرسی مربوط به امنیت اطلاعات و حریم خصوصی هم می‌شود.

اگر برای اولین بار است که قصد استفاده از خدمات مرکز عملیات امنیت را دارید، احتمال دارد با این سوال مواجه شوید که راه اندازی soc چه مراحلی دارد. در ادامه مراحل راه اندازی مرکز عملیات امنیت را ارائه کرده‌ایم. 

• مشخص کردن وظایف مرکز عملیات امنیت
• فراهم کردن زیرساختمناسب برای SOC (بدون داشتن ابزارهای مناسب، یک تیم SOC قادر به مقابله با تهدید امنیتی نخواهد بود. می‌توانید ابزارها و فناوری‌ها را ارزیابی و برای تهیه آن‌ها سرمایه‌گذاری کنید، یا این کار را به یک شرکت شناخته‌شده در این زمینه مانند آرمان دادن پویان برون‌سپاری کنید) 
• پیدا کردن افراد مناسب برای ساختن تیم SOC(یکتیم امنیتی متشکل از تحلیلگران امنیتی، مهندسان امنیت و یک مدیر SOC است. این متخصصان باید در زمینه‌هایی مانند مهندسی معکوس، تشخیص نفوذ و آناتومی بدافزار آموزش مداوم ببینند. مدیر SOC باید علاوه بر مهارت‌های امنیتی از مهارت‌های مدیریتی و تجربه مدیریت بحران قوی هم برخوردار باشد) 
• طراحی و توسعه استراتژیمرکز عملیات امنیت سازمان 
• ایجاد فرآیندها، رویه‌هاو آموزش‌های مورد نیاز 
• یافتن راه‌حلمناسب برای محافظت از نقاط انتهایی سازمان و حفظ و تکامل آن 

برای راه اندازی مرکز عملیات امنیت به این ابزارها نیاز دارید: 

• تجهیزات امنیتی نقاط انتهایی مانند کسپرسکی Kaspersky Endpoint Security 
• فایروال‌ها 
• پلتفرم‌های هوشمند شناسایی تهدیدها (TIPs) 

• تشخیص و ردیابی شبکه (NDR) 
• SIEM مانند اسپلانک 
• فناوری‌های SOAR مانند Splunk Phantom 

مزایای SOC چیست؟

با وجود معرفی کامل SOC و عملکرد آن برای سازمان‌ها، باز هم ممکن است برای مدیران بانک‌ها، سازمان‌ها و شرکت‌های بزرگ و کوچک این سوال مطرح شود که چرا صرف هزینه برای ایجاد SOC یا دریافت این خدمات از یک شرکت مطرح در این زمینه اجتناب‌ناپذیر است! در ادامه مزایای راه‌اندازی SOC را ارائه کرده‌ایم تا دلیل نیاز به این مرکز بهتر درک شود.

• متمرکز و مجتمع کردن اطلاعات
• امکان‌پذیر کردن تشخیص تهدیدات و حملات امنیتی در کمترین زمان ممکن
• امکان تشخیص حملات DDoS در حداقل زمان ممکن و مناسب
• کشف حملات و پاسخ به تهدیدها و در کمترین زمان ممکن
• کاهش چشمگیر هزینه‌ها و درعین‌حال افزودن کارایی قابل‌توجه به امر مدیریت و پایش امنیتی شبکه
• جمع‌آوري و تحلیل ترافيک شبکه و توليد گزارش‌های امنيتي در سطوح مختلف

تفاوت NOC و SOC در چیست؟

NOC مخفف Network Operations Center یا مرکز عملیات شبکه است، درحالی‌که، SOC مخفف Security Operations Center یا مرکز عملیات امنیت است. با توجه به اسامی انتخاب‌شده برای این مراکز، تفاوت عملکردی آن‌ها تقریبا شفاف است. با این وجود، شباهت‌های اسامی این مراکز ممکن است موجب سردرگمی مدیران سازمان‌ها شود و ترجیح دهند یکی از این مراکز را که تصور می‌کنند کارایی بیشتری برای آن‌ها دارد انتخاب کند؛ اما این انتخاب درست و عاقلانه نیست! چون هرکدام از این مراکز وظایف متفاوتی دارد و حضور هر یک از آن‌ها با توجه به نیاز سازمان‌ها ممکن است بر دیگری ارجحیت پیدا کند.

ساختار NOC و SOC در نگاه اول شبیه به هم است. هردوی آن‌ها فرآیندها و رخدادها را مانیتور می‌کنند تا صورت بروز مشکلات در برابر آن‌ها واکنش نشان دهند؛ اما ابزارها و تکنیک‌هایی آنالیزی که در SOC و NOC استفاده می‌شود با هم متفاوت هستند و این موضوع منجر به تولید خروجی‌های متفاوتی توسط این مراکز می‌شود. به‌عنوان‌مثال: یک رویداد از نظر کارشناس NOC ممکن است در پی یک مشکل سخت افزاری رخ داده باشد، اما یک کارشناس مرکز عملیات امنیت (SOC) آن را به‌عنوان مشکل امنیتی و خرابکاری برای نفوذ به سیستم تلقی می‌کند.

در کل، مرکز NOC روی ارزیابی وضعیت شبکه و عملکرد آن نظارت دارد و مشکلات مربوط به زیرساخت فناوری اطلاعات را شناسایی و آن‌ها را برطرف می‌کند. کنترل عملکرد شبکه برای درست کار کردن آن تحت نظر این مرکز انجام می‌شود؛ اما SOC شبکه را در برابر دسترسی‌های غیرمجاز و حملات مختلف ایمن نگه می‌دارد. ردیابی نشت داده‌ها و استفاده از جدیدترین تکنولوژی‌های امنیت شبکه، ازجمله مواردی هستند که مرکز SOC انجام می‌دهد. این مرکز از دسترسی به داده‌های حیاتی سازمان و بروز خرابکاری در عملکرد شبکه پیشگیری می‌کند.

با توجه به اینکه نرخ وقوع، شدت اثر و پیچیدگی حملات و سوءاستفاده‌های داخلی و خارجی به‌خصوص در صنعت مالی و بانکداری به‌شدت افزایش‌یافته و آمارها و گزارش‌های مراکز معتبر تحقیقاتی نیز نشان‌دهنده افزایش مداوم این موضوع در جهان است؛ اما این حملات و تهدیدات تنها محدود به سیستم‌های بانکی  و مالی نیستند و تمامی تجارت‌ها را تهدید می‌کنند.

در حقیقت، زمانی که داده‌های سازمان افشا شوند، چه اندازه کسب و کار کوچک باشد و چه بزرگ، خسارت‌ها و هزینه‌هایی به همراه خواهد داشت که بعضی مواقع جبران‌ناپذیر هستند.بنابراین تمام افرادی که می‌خواهند امنیت داده‌ها و اطلاعات سازمان خودشان را با کمک یک تیم متخصص تامین کنند، به یک مرکز عملیات امنیت یا SOC نیاز خواهند داشت.

آرمان داده پویان با وجود دارا بودن نیروهای متخصص در زمینه امنیت شبکه می‌تواند از سازمان شما را در برابر تهدیدهای امنیتی محافظت کند. اگر سوالی در این زمینه دارید و می‌خواهید درباره SOC اطلاعات بیشتری کسب کنید، با کارشناسان آرمان داده پویان در ارتباط باشید.

آرمان داده پویان، ارائه کننده خدمات مشاوره، طراحی و پیاده سازی

مراکز امنیت اطلاعات