مرکز عملیات امنیت (Soc) – گروه امن گستران فرزان

مرکز عملیات امنیت که به اختصار SOC نامیده می‌شود، یک واحد متمرکز است که به صورت جامع و یکپارچه با تلفيق گزارش‌هاي مختلف و استفاده از نرم‌افزارهای پیشرفته، سخت‎افزارها و متخصصين امر، رویدادهای امنیتی را تحلیل کرده و به آنها پاسخ می‌دهد. برای داشتن یک SOC کامل و کارآمد، باید تیم‌های متخصصی را با توانایی‌های لازم در زمینه شناسایی، جمع آوری، تحلیل و پاسخ به تهدیدات سایبری جذب کرد. همچنین، به دنبال برخورداری از ابزارهای مناسب برای شناسایی و پیگیری حملات سایبری از جمله SIEM و همچنین آموزش کارکنان در خصوص روش‌های مبارزه با تهدیدات سایبری بود. داشتن یک SOC به صورت 24 ساعته از ضروریات امنیت سایبری هر سازمان است.
فناوری اصلی مورد استفاده در SOC، ابزار FORTRESS SIEM است. این سامانه وظیفه ذخیره‌سازی تمامی رویدادهایی را برعهده دارد که در محیط شبکه سازمان تولید شده است و این امکان را برای کارشناسان SOC فراهم می‌‌کند تا هر تهدیدی علیه سازمان را شناسایی و تجزیه و تحلیل کنند.

اجزا SOC
هر SOC از سه عنصر کلیدی
تشکیل شده است: فناوری،
افراد و فرآیندها.

طیف گسترده‌ای از ابزارها، راه‌حل‌ها و فناوری‌های امنیتی مانند سیستم‌های مدیریت اطلاعات و رویدادهای امنیتی، سیستم‌های تشخیص نفوذ و پیشگیری، ابزارهای EDR و سیستم‌های مدیریت گزارش و تیکتینگ در SOC وجود دارد.ویژگی‌های محصول FORTRESS SIEM به عنوان قلب خدمات SOC در امن‌ گستران فرزان ایرانیان، به قرار زیر است:

تجمیع کننده Log با قابلیت افزودن هر نوع کاربرد یا تجهیز جدید خاص به سامانه در صورت تولید لاگ

ذخیره رویدادها با قابلیت دریافت گزارش های مختلف از آنها به صورت لحظه ای و دوره ای و زمانبندی شده

موتور همبستگی سنجی با قابلیت تولید و پیرایش امضاها و قوانین شخصی‌سازی شده

پایش جریان ترافیک داده‌های شبکه با قابلیت آنالیز ترافیک شبکه و یادگیری ماشین

ارائه هشدار با استفاده از Fortress-alert با ارسال هشدارهای مربوطه از طریق پیامک و ایمیل

سیستم Ticketing با قابلیت پیگیری گردش Ticket

تطابق با الزامات و استانداردها با قابلیت تعریف Rule بر اساس الزامات افتا و MITRE ATT@CK

مراکز SOC نیازمند منابع انسانی فنی با توانایی و تخصص در زمینه امنیت سایبری میباشند که در زمان حمله به رویداد امنیتی با قدرت پاسخ می‌دهند و در عین حال تأثیر حمله را بر کسب و کار سازمان به حداقل می‌رسانند. جدول نقش های SOC در ادامه ارائه شده است.

مدیر SOC

مدیریت مرکز SOC که بر تمام جنبه های SOC، منابع انسانی و عملیات آن نظارت دارد.

تحلیلگر امنیتی سطح 1 - تریاژ

رویدادهای امنیتی را دسته بندی و اولویت بندی و در صورت لزوم آنها را به تحلیلگران سطح 2 ارجاع می‌کند.

تحلیلگر امنیتی سطح 2 - پاسخ دهنده به رویداد امنیتی

رویدادهای امنیتی ارجاع شده را بررسی کرده و پاسخ می‌دهد. سیستم های آسیب دیده و دامنه حمله را شناسایی و از هوشمندی اطلاعات تهدید برای کشف دشمن استفاده می‌کند.

تحلیلگر امنیتی سطح 3 - شکارچی تهدید

به طور فعال رفتارهای مشکوک را جستجو کرده، وضعیت امنیتی شبکه را آزمایش و ارزیابی می‌کند
تا تهدیدات پیشرفته و بخشهای آسیب‌پذیر را شناسایی کند.

معمار امنیت

سیستم‌های امنیتی و فرآیندهای مختلف SOC را طراحی و یکپارچه ‌می‌کند.تا تهدیدات پیشرفته و بخشهای آسیب‌پذیر را شناسایی کند.

فرآیندهای CSIRT

مجموعه‌ای از رویه‌ها و شیوه‌هایی هستند که توسط تیم‌های SOC برای شناسایی، پیشگیری، شناسایی، پاسخگویی و بازیابی تهدیدات امنیتی استفاده می‌شوند. برخی از فرآیندهای SOC عبارتند از:

پایش مداوم شبکه و سیستم‌ها

مدیریت پاسخگویی به رویدادهای امنیتی

آگاهی رسانی امنیتی (Security awareness)

مزایای داشتن یک مرکز عملیات امنیت به شرح زیر است:

نظارت فعالانه مستمر
تیم SOC به طور مداوم شبکه را رصد و فعالیت های مشکوک را بررسی می کنند تا در اولین فرصت شناسایی شوند.

کاهش زمان پاسخگویی به حوادث تشخیص زودهنگام تهدیدات امنیتی و پیشگیری از وقوع حوادث.
تیم SOC با تسریع فرآیند شناسایی نشانه‌های حمله، بررسی فعالیت‌های مرتبط و ازبین‌بردن آن باعث کاهش زمان پاسخگویی به نفوذ می‌شود که می‌تواند تاثیر به‌سزایی بر کاهش حداقلی تاثیرات نفوذ در سازمان داشته باشد.

رویکرد متمرکز
تیم SOC در صورت وجود هرگونه رویداد و هشدار امنیتی، رهبری را بر عهده می گیرد و با به کارگیری منایع انسانی، فرآیندها وفناوری به روز خود به شکل یکپارچه، سازمان را از بلاتکلیفی برای نحوه واکنش به رویداد امنیتی باز می‌دارد.هند.

آگاه نگه‌داشتن کسب و کار از ریسک‌های امنیتی
ارتباط موثر و همگام شدن با کسب و کار سازمان برای آگاهی از خطرات و ریسک‌های موجود در انواع دارایی از اهداف مهم SOC است. گزارش‌های مختلف SOC می‌تواند به شکل‌دهی نقشه‌ راه آینده سازمان از دیدگاه امنیتی کمک کرده و در جهت محاسبه بهتر ریسک مالی ناشی از تهدیدات سایبری یاری رساند.

یک ضرب المثل معروف وجود دارد. "پیشگیری بهتر از درمان است"
.مهم نیست چقدر هزینه باید متحمل شوید، شرکت شما باید یک تیم SOC داشته باشد.

راه‌اندازی و پشتیبانی SOC به شکل کامل

راه‌اندازی SOC شامل نصب نرم‌افزار Fortress SIEM، نصب حسگرهاريال جمع‌آوری لاگ و امن‌سازی

پشتیبانی SOC شامل پایش و مانیتور دائم سیستم‌ها و شبکه در SOC

ارزیابی بلوغ SOC و ارائه راهکار جهت افزایش سطح بلوغ

طراحی و پیاده‌سازی Use-Case به صورت عمومی و سفارشی ویژه سازمان مقصد

ارائه خدمات SOC به طور کامل در قالب SOC-as-a-Service

ارائه خدمات آگاهی رسانی امنیتی (Security awareness) در سطح مختلف مورد نیاز سازمان

مرکز عملیات امنیت

ادامه مطلب

اجزا SOC
هر SOC از سه عنصر کلیدی
تشکیل شده است: فناوری،
افراد و فرآیندها

فناوری SOC

طیف گسترده‌ای از ابزارها، راه‌حل‌ها و فناوری‌های امنیتی مانند سیستم‌های مدیریت اطلاعات و رویدادهای امنیتی، سیستم‌های تشخیص نفوذ و پیشگیری، ابزارهای EDR و سیستم‌های مدیریت گزارش و تیکتینگ در SOC وجود دارد.
ویژگی‌های محصول FORTRESS SIEM به عنوان قلب خدمات SOC در امن‌ گستران فرزان ایرانیان، به قرار زیر است:

ذخیره رویدادها با قابلیت دریافت گزارش های مختلف از آنها به صورت لحظه ای و دوره ای و زمانبندی شده

پایش جریان ترافیک داده‌های شبکه با قابلیت آنالیز ترافیک شبکه و یادگیری ماشین

سیستم Ticketing با قابلیت پیگیری گردش Ticket

تطابق با الزامات و استانداردها با قابلیت تعریف Rule بر اساس الزامات افتا و MITRE ATT@CK

ذخیره رویدادها با قابلیت دریافت گزارش های مختلف از آنها به صورت لحظه ای و دوره ای و زمانبندی شده

تجمیع کننده Log با قابلیت افزودن هر نوع کاربرد یا تجهیز جدید خاص به سامانه در صورت تولید لاگ

مراکز SOC نیازمند منابع انسانی فنی با توانایی و تخصص در زمینه امنیت سایبری میباشند که در زمان حمله به رویداد امنیتی با قدرت پاسخ می‌دهند و در عین حال تأثیر حمله را بر کسب و کار سازمان به حداقل می‌رسانند. جدول نقش های SOC در ادامه ارائه شده است.