اخبار داخلی آرمان داده پویان

مقالات

راه اندازی SOC

۱۸ آذر ۱۳۹۸

راه اندازی SOC

قسمت اول

در این مطلب می‌خواهیم راجع به راه اندازی SOC صحبت کنیم. این مطلب برای شرکت‌ها و سازمان‌هایی که قصد راه اندازی SOC را دارند و یا حتی اقدام به راه اندازی آن کرده‌اند می‌تواند بسیار مفید باشد. سوالات متعددی وجود دارد که بایستی پاسخ داده شود. لزوم راه اندازی SOC؟ تا چه میزان راه اندازی SOC  به بالا بردن امنیت کمک می‌نماید؟ هزینه راه اندازی آن؟ میزان مشارکت کارفرما؟ در انتخاب شرکت طراح و مجری SOC معیارهای انتخابمان چه باید باشد؟ و سوالات بسیار دیگری. در ارتباط با اینکه مرکز عملیات امنیت چیست و لزوم راه اندازی آن در قسمت محصولات صحبت کرده ایم در بخش مقالات محصولات امنیتی می‌خواهیم در ارتباط با چرخه راه اندازی و تعامل که میان طرفین بایستی برقرار باشد صحبت نماییم.


SOC

امنیت یا حسی از امنیت!

آقای John Chambers مدیر اجرایی شرکت سیسکو در سال ۲۰۱۶ شرکت‌ها را به دو دسته تقسیم کرد: شرکت‌هایی که هک شده‌اند و شرکت‌هایی که هنوز نمی‌دانند که هک شده‌اند. این سخن آقای Chambers به خوبی نشان می‌دهد که بیشتر از اینکه شرکت‌ها و سازمان‌ها در دنیای امروز امنیت داشته باشند، تنها حس امنیت دارند. به طور مثال: سازمانی برای خریداری SIEM به دنبال بهترین SIEM موجود رفته و بعد از خریداری و نصب به احساس امنیت رسیده است. در حالی که در کنفرانس RSA سال ۲۰۱۹ آمار جالبی ارائه شد: ۹۹% حملات امنیتی توسط  SIEMهای سنتی که لاگ جمع می‌کرده‌اند، شناسایی نشده است.

فرآیند راه اندازی SOC

 زمانی که تیم IT در یک سازمان یک ساختار را به وجود می‌آورد، هم راستا با آن بایستی امنیت  در جهت اهداف آن سازمان در ساختار ادغام گردد. پس زمانی که تصمیم به راه اندازی SOC می‌گیریم، بایستی بدانیم با راه اندازی SOC ما میزان اثر بخشی راهکارهای امنیتی خود را بالا میبریم. هر چقدر این راه اندازی اصولی تر صورت گیرد سطح امنیت ارتقا یافته و سطح آسیب پذیری سازمان پایین خواهد آمد. پس اگر تنها تصور این را داشته باشید که راه اندازی SOC یعنی راه اندازی یک راهکار پیشرفته که جلوی تمامی حملات امنیتی پیشرفته را خواهد گرفت تصور غلطی دارید. برای راه اندازی مرکز عملیات امنیت استاندار و فریم ورک مشخصی وجود ندارد. شاید این علت اصلی متفاوت عمل کردن شرکت‌های فعال در این حوزه باشد. اما بهترین راهکارها (best practices) وجود دارد. این راهکارها در قالب گزارشات امنیتی توسط شرکت‌های بزرگی همچون IBM و SANS به صورت سالیانه ارائه می‌شوند. در راه اندازی مرکز عملیات امنیت در صورت یک همکاری درست بین شرکت مجری و سازمان مربوطه  نتیجه کارآمدی به دست خواهد آمد. همچنین تجربه شرکت مجری نیز تاثیر بسزایی دارد.

طراحی و پیاده سازی SOC

در واقع در روند طراحی و پیاده سازی یک مرکز عملیات امنیت یک چرخه وجود دارد که در صورت طی شدن درست تمامی مراحل، خروجی آن کارآمد خواهد بود. تعریف سیاست‌های امنیتی سازمان، تعریف روندها، اختصاص نیروی متخصص برای پیاده سازی این روندها، ایجاد فرهنگ در سازمان و برقراری تعامل با افراد مرتبط، استفاده از تجهیزات، سرویس‌ها و برنامه‌های کاربردی کارآمد و در آخر اختصاص افراد متخصص برای نگهداری این سرویس.

اگر در طراحی و پیاده سازی هر کدام از این المان‌ها کارفرما و یا شرکت طراح و مجری ضعیف عمل نماید از موثر بودن خروجی SOC کاسته می‌شود. در نتیجه علی رغم وجود SOC شاهد آن خواهیم بود که سازمان سطح آسیب‌پذیری بالایی دارد.

در طی جلسات فنی تمرکز زیادی بر روی انتخاب محصولات می‌باشد اما شاید بتوان گفت بخش ایجاد فرهنگ SOC در سازمان و ایجاد تعامل بین افراد مرتبط با تیم SOC اصولا المانی است که کارایی آن را در عمل پایین می‌آورد.  شرکت‌های معتبری مانند اسپلانک و IBM قبل از شروع پروژه برای مشتریانشان جلسات آموزشی برگزار می‌نمایند و یا از طریق ویدئو و مستندات مفاهیم را به آن‌ها آموزش می‌دهند، این آموزش‌ها باعث می‍شود تا هر دو طرف تعریف‌های یکسانی داشته باشند و در مراحل بعدی به مشکلات کمتری با یکدیگر برخورد خواهند کرد. بعد از آن به سراغ مراحل بعدی تعیین سیاست‌های امنیتی و تعریف روندها و غیره می‌روند. IBM کمبود تخصص نیروهای درون سازمانی را یکی از چالش‌های اصلی بر سرراه SOC می‌داند، در کنار آن بحث هزینه و تنوع و حجم زیاد داده‌هایی که بایستی correlate گردند را جز چالش‌های اصلی SOC می‌داند.

راه اندازی SOC و طبقه بندی دارایی‌ها

در حقیقت با راه اندازی SOC در پی حفظ امنیت دارایی‌های سازمان هستیم. این دارایی‌ها می‌توانند فیزیکی و قابل لمس مانند تجهیزات شبکه باشند و یا غیر فیزیکی مانند داده‌ها و اطلاعات باشند. هر کدام از این دارایی‌ها دارای ارزش متفاوت و در نتیجه اهمیت متفاوتی هستند. می‌توانیم حفظ امنیت را هم براساس مثلث CIA تعریف نماییم. بگوییم دسترس پذیری، تمامیت و محرمانگی. حال در هر کدام از این دارایی‌ها یک یا چند ضلع این مثلث مطابق با سیاست و اهداف سازمان اهمیت پیدا می‌نماید. زمانی که چرخه طراحی و پیاده سازی SOC درست طی گردد، با انجام وظایف متعددی هم راستا با اهداف سازمان ریسک‌های امنیتی کاهش می‌یابد. ارزش دارایی‌ها را می‌توان بر اساس CIA تعیین کرد. به طور مثال داده‌های یک سازمان را بر اساس محرمانگی به پنج دسته تقسیم می‌نماییم:

  • فوق محرمانه
  • محرمانه
  • اطلاعات خصوصی
  • اطلاعات برای مصارف درون سازمانی
  • اسناد عمومی

سخن آخر

پس دسته بندی اطلاعات می‌تواند سطح محافظتی که برای داده‌های مختلف مورد نیاز است را مشخص نماید. در نتیجه در انتخاب یک تیم متخصص برای طراحی و پیاده سازی SOC، در جلسات  تنها بر روی محصولات و برندها تمرکز ننمایید. بخش مهمی از راه اندازی موفق SOC به توانایی تیم طراح و مجری در آموزش، ارائه مستندات و توانایی فهم اهداف و سیاست‌های سازمان می‌باشد. بعد از آن محصولات و سرویس‌ها اهمیت می‌یابند. اگر از بهترین SIEM موجود استفاده شود اما مراحل قبلی به درستی انجام نشود، خروجی موثری حاصل نمی‌گردد.

نکته دیگری که در راستای طراحی و راه اندازی SOC بایستی در نظر بگیریم این است که با پیاده سازی راهکار پیشرفته‌ای مانند SOC دیگر تنها به دنبال جلوگیری از حوادث و رخدادهای امنیتی IT که هر روزه با آن مواجه هستیم نمی‌باشیم . بلکه به دنبال تشخیص و پیشگیری از حملات امنیتی پیشرفته و هدفمند نیز می‌باشیم.

آرمان داده پویان طراح و مجری مراکز عملیات امنیت (SOC)

برای مشاوره و کسب اطلاعات بیشتر با ما تماس بگیرید

تعداد بازدید: 903


تازه ترین ها