مرکز عملیات امنیتی (SOC)، متخصصان امنیت فناوری اطلاعات را در خود جای داده است که مسئول نظارت مداوم بر وضعیت امنیتی یک سازمان هستند. هدف این مرکز، استفاده از فرآیندهای قوی و طیف گسترده‌ای از ابزارهای امنیتی جهت شناسایی، تجزیه و تحلیل، پاسخ، خنثی کردن حملات سایبری است.SOCها داده‌ها را از سایر زیرساخت‌های فناوری اطلاعات از جمله دستگاه‌های شبکه، فایروال‌ها، روترها، سوئیچ‌ها، ایستگاه‌های کاری، سرورها، پایگاه‌های داده، منابع ابری و… جمع‌آوری می‌کند. جمع‌آوری این داده‌ها جهت شناسایی تهدیدات ناشی از این منابع و با استفاده از روش‌های تحلیلی مختلف رفتاری و تکنیک‌های پیشرفته اتفاق می‌افتد. هنگامی که یک تهدید شناسایی می‌شود، مدیران SOC به سرعت الگوی حادثه را بررسی می کنند و برای خنثی کردن تأثیر حادثه یا مهار آن، یک طرح واکنش ارائه می‌دهند.

SOC چه کاری انجام می‌دهد؟

اگرچه اندازه کارکنان تیم‌های SOC بسته به اندازه سازمان و صنعت متفاوت است اما اکثر آن‌ها معمولا نقش‌ها و مسئولیت‌های مشابهی دارند. SOC، افراد، فرآیندها و فناوری را برای نظارت مستمر و بهبود وضعیت امنیتی سازمان در حین پیشگیری، شناسایی، تجزیه و تحلیل و پاسخ به حوادث امنیت سایبری به کار می‌گیرد. در ادامه به فعالیت‌هایی که soc انجام می‌دهد، اشاره خواهیم کرد:

پیشگیری و تشخیص: وقتی صحبت از امنیت سایبری می‌شود، پیشگیری همیشه موثرتر از واکنش است. به جای پاسخ دادن به تهدیدات در حین وقوع اتفاق، یک SOC برای نظارت شبانه‌روزی شبکه کار می‌کند. با انجام این کار، تیم SOC می‌تواند فعالیت‌های مخرب را شناسایی کرده و قبل از ایجاد آسیب از آن‌ها جلوگیری کند.وقتی تحلیلگر SOC مورد مشکوکی را می‌بیند، اطلاعاتی را برای بررسی بهتر و دقیق‌تر جمع‌آوری می‌کند.

بررسی: در مرحله بررسی، تحلیلگر SOC فعالیت مشکوک را برای تعیین ماهیت تهدید و میزان نفوذ آن به زیرساخت تجزیه و تحلیل می‌کند.  تحلیلگر انواع حوادث امنیتی را با درک چگونگی گسترش حملات و نحوه واکنش موثر قبل از اینکه از کنترل خارج شوند، شناسایی می‌‎کند. تحلیلگر SOC اطلاعات مربوط به شبکه سازمان را با جدیدترین اطلاعات تهدید جهانی ترکیب می‌کند که شامل اطلاعاتی در مورد ابزارها، تکنیک‌ها و روندهای مهاجم برای انجام یک تریاژ موثر است.

پاسخ: پس از بررسی، تیم SOC برای رفع مشکل پاسخی را هماهنگ می‌کند. به محض تایید یک حادثه، SOC به عنوان اولین پاسخ دهنده عمل می‌کند و اقداماتی مانند جداسازی نقاط پایانی، خاتمه دادن به فرآیندهای مضر، جلوگیری از اجرای آن‌ها، حذف فایل‌ها و… را انجام می‌دهد. SOC برای بازیابی سیستم‌ها و داده از دست رفته یا در معرض خطر، اقداماتی انجام می‌دهد. این اقدامات شامل پاک کردن و راه‌اندازی مجدد نقاط پایانی، پیکربندی مجدد سیستم‌ها یا در مورد حملات باج‌افزار، استقرار پشتیبان‌های قابل اجرا به منظور دور زدن باج‌افزار است. در صورت موفقیت‌آمیز بودن این مرحله، SOC شبکه را به حالت قبل از حادثه بر می‌گرداند.

چالش‌های SOC

تیم‌های SOC همیشه باید یک قدم جلوتر از مهاجمان باشند. این امر در سال‌های اخیر سخت‌تر از قبل شده است. تیم SOC با چالش‌هایی مواجه است که در ادامه به آن‌ها اشاره می‌کنیم:

کمبود مهارت‌های امنیت سایبری: بر اساس نظرسنجی Dimensional Research، 53 درصد از SOC‌ها در استخدام پرسنل ماهر با مشکل مواجه هستند. این مساله به این معنی است که بسیاری از تیم‌های SOC کم کار هستند و مهارت‌های پیشرفته لازم برای شناسایی و پاسخگویی به موقع و موثر به تهدیدات را ندارند.

هشدارهای بسیار زیاد: حجم هشدارهای امنیتی بسیار زیاد است چون سازمان‌ها ابزارهای جدیدی را برای تشخیص تهدید اضافه می‌کنند. با توجه به اینکه تیم‌های امنیتی غرق در کار هستند، تعداد زیاد هشدارهای تهدید می‌تواند باعث خستگی شود. علاوه بر این، بسیاری از این هشدارها اطلاعات کافی را برای بررسی فراهم نمی‌کنند یا مثبت کاذب هستند. نکات مثبت کاذب نه تنها زمان و منابع را هدر می دهند، بلکه می‌توانند تمرکز تیم‌ها را از حوادث واقعی منحرف کنند.

سربار عملیاتی: بسیاری از سازمان‌ها از مجموعه‌ای از ابزارهای امنیتی به صورت مجزا استفاده می‌کنند. این مساله به این معنی است که کارشناسان امنیتی سازمان باید هشدارها و سیاست‌های امنیتی در هر ابزار را ترجمه کنند.

بررسی چالش‌های SOC

پیدا کردن فعالیت‌های مخرب در داخل شبکه برای بسیاری از تیم‌های مرکز عملیات امنیتی (SOC)، مانند یافتن یک سوزن در انبار کاه است. آن‌ها اغلب مجبور می‌شوند اطلاعات حاصل از راه‌حل‌های نظارتی متعدد را جمع‌آوری کنند و از میان ده‌ها هزار هشدار روزانه عبور کنند و نتیجه آن این است که حملات حیاتی تا زمانی که خیلی دیر نشده از دست می‌روند. Check Point Infinity SOC که برای مقابله با چالش‌های SOC طراحی شده است، تیم‌های امنیتی را قادر می‌سازد تا حملات را سریع‌تر و با دقت 99.9 درصد آشکار، بررسی و خاموش کنند. همچنین به راحتی به عنوان یک پلتفرم یکپارچه مستقر می‌شود و کارایی عملیات امنیتی و بازگشت سرمایه را افزایش می‌دهد.