مرکز عملیات امنیتی (SOC)، متخصصان امنیت فناوری اطلاعات را در خود جای داده است که مسئول نظارت مداوم بر وضعیت امنیتی یک سازمان هستند. هدف این مرکز، استفاده از فرآیندهای قوی و طیف گستردهای از ابزارهای امنیتی جهت شناسایی، تجزیه و تحلیل، پاسخ، خنثی کردن حملات سایبری است.SOCها دادهها را از سایر زیرساختهای فناوری اطلاعات از جمله دستگاههای شبکه، فایروالها، روترها، سوئیچها، ایستگاههای کاری، سرورها، پایگاههای داده، منابع ابری و… جمعآوری میکند. جمعآوری این دادهها جهت شناسایی تهدیدات ناشی از این منابع و با استفاده از روشهای تحلیلی مختلف رفتاری و تکنیکهای پیشرفته اتفاق میافتد. هنگامی که یک تهدید شناسایی میشود، مدیران SOC به سرعت الگوی حادثه را بررسی می کنند و برای خنثی کردن تأثیر حادثه یا مهار آن، یک طرح واکنش ارائه میدهند.
SOC چه کاری انجام میدهد؟
اگرچه اندازه کارکنان تیمهای SOC بسته به اندازه سازمان و صنعت متفاوت است اما اکثر آنها معمولا نقشها و مسئولیتهای مشابهی دارند. SOC، افراد، فرآیندها و فناوری را برای نظارت مستمر و بهبود وضعیت امنیتی سازمان در حین پیشگیری، شناسایی، تجزیه و تحلیل و پاسخ به حوادث امنیت سایبری به کار میگیرد. در ادامه به فعالیتهایی که soc انجام میدهد، اشاره خواهیم کرد:
پیشگیری و تشخیص: وقتی صحبت از امنیت سایبری میشود، پیشگیری همیشه موثرتر از واکنش است. به جای پاسخ دادن به تهدیدات در حین وقوع اتفاق، یک SOC برای نظارت شبانهروزی شبکه کار میکند. با انجام این کار، تیم SOC میتواند فعالیتهای مخرب را شناسایی کرده و قبل از ایجاد آسیب از آنها جلوگیری کند.وقتی تحلیلگر SOC مورد مشکوکی را میبیند، اطلاعاتی را برای بررسی بهتر و دقیقتر جمعآوری میکند.
بررسی: در مرحله بررسی، تحلیلگر SOC فعالیت مشکوک را برای تعیین ماهیت تهدید و میزان نفوذ آن به زیرساخت تجزیه و تحلیل میکند. تحلیلگر انواع حوادث امنیتی را با درک چگونگی گسترش حملات و نحوه واکنش موثر قبل از اینکه از کنترل خارج شوند، شناسایی میکند. تحلیلگر SOC اطلاعات مربوط به شبکه سازمان را با جدیدترین اطلاعات تهدید جهانی ترکیب میکند که شامل اطلاعاتی در مورد ابزارها، تکنیکها و روندهای مهاجم برای انجام یک تریاژ موثر است.
پاسخ: پس از بررسی، تیم SOC برای رفع مشکل پاسخی را هماهنگ میکند. به محض تایید یک حادثه، SOC به عنوان اولین پاسخ دهنده عمل میکند و اقداماتی مانند جداسازی نقاط پایانی، خاتمه دادن به فرآیندهای مضر، جلوگیری از اجرای آنها، حذف فایلها و… را انجام میدهد. SOC برای بازیابی سیستمها و داده از دست رفته یا در معرض خطر، اقداماتی انجام میدهد. این اقدامات شامل پاک کردن و راهاندازی مجدد نقاط پایانی، پیکربندی مجدد سیستمها یا در مورد حملات باجافزار، استقرار پشتیبانهای قابل اجرا به منظور دور زدن باجافزار است. در صورت موفقیتآمیز بودن این مرحله، SOC شبکه را به حالت قبل از حادثه بر میگرداند.
چالشهای SOC
تیمهای SOC همیشه باید یک قدم جلوتر از مهاجمان باشند. این امر در سالهای اخیر سختتر از قبل شده است. تیم SOC با چالشهایی مواجه است که در ادامه به آنها اشاره میکنیم:
کمبود مهارتهای امنیت سایبری: بر اساس نظرسنجی Dimensional Research، 53 درصد از SOCها در استخدام پرسنل ماهر با مشکل مواجه هستند. این مساله به این معنی است که بسیاری از تیمهای SOC کم کار هستند و مهارتهای پیشرفته لازم برای شناسایی و پاسخگویی به موقع و موثر به تهدیدات را ندارند.
هشدارهای بسیار زیاد: حجم هشدارهای امنیتی بسیار زیاد است چون سازمانها ابزارهای جدیدی را برای تشخیص تهدید اضافه میکنند. با توجه به اینکه تیمهای امنیتی غرق در کار هستند، تعداد زیاد هشدارهای تهدید میتواند باعث خستگی شود. علاوه بر این، بسیاری از این هشدارها اطلاعات کافی را برای بررسی فراهم نمیکنند یا مثبت کاذب هستند. نکات مثبت کاذب نه تنها زمان و منابع را هدر می دهند، بلکه میتوانند تمرکز تیمها را از حوادث واقعی منحرف کنند.
سربار عملیاتی: بسیاری از سازمانها از مجموعهای از ابزارهای امنیتی به صورت مجزا استفاده میکنند. این مساله به این معنی است که کارشناسان امنیتی سازمان باید هشدارها و سیاستهای امنیتی در هر ابزار را ترجمه کنند.
بررسی چالشهای SOC
پیدا کردن فعالیتهای مخرب در داخل شبکه برای بسیاری از تیمهای مرکز عملیات امنیتی (SOC)، مانند یافتن یک سوزن در انبار کاه است. آنها اغلب مجبور میشوند اطلاعات حاصل از راهحلهای نظارتی متعدد را جمعآوری کنند و از میان دهها هزار هشدار روزانه عبور کنند و نتیجه آن این است که حملات حیاتی تا زمانی که خیلی دیر نشده از دست میروند. Check Point Infinity SOC که برای مقابله با چالشهای SOC طراحی شده است، تیمهای امنیتی را قادر میسازد تا حملات را سریعتر و با دقت 99.9 درصد آشکار، بررسی و خاموش کنند. همچنین به راحتی به عنوان یک پلتفرم یکپارچه مستقر میشود و کارایی عملیات امنیتی و بازگشت سرمایه را افزایش میدهد.
بدون دیدگاه