مرکز عملیات امنیت که به اختصار SOC نامیده میشود، یک واحد متمرکز است که به صورت جامع و یکپارچه با تلفيق گزارشهاي مختلف و استفاده از نرمافزارهای پیشرفته، سختافزارها و متخصصين امر، رویدادهای امنیتی را تحلیل کرده و به آنها پاسخ میدهد. برای داشتن یک SOC کامل و کارآمد، باید تیمهای متخصصی را با تواناییهای لازم در زمینه شناسایی، جمع آوری، تحلیل و پاسخ به تهدیدات سایبری جذب کرد. همچنین، به دنبال برخورداری از ابزارهای مناسب برای شناسایی و پیگیری حملات سایبری از جمله SIEM و همچنین آموزش کارکنان در خصوص روشهای مبارزه با تهدیدات سایبری بود. داشتن یک SOC به صورت 24 ساعته از ضروریات امنیت سایبری هر سازمان است.
فناوری اصلی مورد استفاده در SOC، ابزار FORTRESS SIEM است. این سامانه وظیفه ذخیرهسازی تمامی رویدادهایی را برعهده دارد که در محیط شبکه سازمان تولید شده است و این امکان را برای کارشناسان SOC فراهم میکند تا هر تهدیدی علیه سازمان را شناسایی و تجزیه و تحلیل کنند.
اجزا SOC
هر SOC از سه عنصر کلیدی تشکیل شده است: فناوری، افراد و فرآیندها.
فناوری
طیف گستردهای از ابزارها، راهحلها و فناوریهای امنیتی مانند سیستمهای مدیریت اطلاعات و رویدادهای امنیتی، سیستمهای تشخیص نفوذ و پیشگیری، ابزارهای EDR و سیستمهای مدیریت گزارش و تیکتینگ در SOC وجود دارد.
ویژگیهای محصول FORTRESS SIEM به عنوان قلب خدمات SOC در امن گستران فرزان ایرانیان، به قرار زیر است:
✔ تجمیع کننده Log با قابلیت افزودن هر نوع کاربرد یا تجهیز جدید خاص به سامانه در صورت تولید لاگ
✔ ذخیره رویدادها با قابلیت دریافت گزارش های مختلف از آنها به صورت لحظه ای و دوره ای و زمانبندی شده
✔ موتور همبستگی سنجی با قابلیت تولید و پیرایش امضاها و قوانین شخصی سازی شده
✔ پایش جریان ترافیک دادههای شبکه با قابلیت آنالیز ترافیک شبکه و یادگیری ماشین
✔ ارائه هشدار با استفاده از Fortress-alert با ارسال هشدارهای مربوطه از طریق پیامک و ایمیل
✔ سیستم Ticketing با قابلیت پیگیری گردش Ticket
✔ تطابق با الزامات و استانداردها با قابلیت تعریف Rule بر اساس الزامات افتا و MITRE ATT@CK
افراد
مراکز SOC نیازمند منابع انسانی فنی با توانایی و تخصص در زمینه امنیت سایبری میباشند که در زمان حمله به رویداد امنیتی با قدرت پاسخ میدهند و در عین حال تأثیر حمله را بر کسب و کار سازمان به حداقل میرسانند. جدول نقش های SOC در ادامه ارائه شده است.
نقش
توضیح
مدیر SOC
مدیریت مرکز SOC که بر تمام جنبه های SOC، منابع انسانی و عملیات آن نظارت دارد.
تحلیلگر امنیتی سطح 1 - تریاژ
رویدادهای امنیتی را دسته بندی و اولویت بندی و در صورت لزوم آنها را به تحلیلگران سطح 2 ارجاع میکند.
تحلیلگر امنیتی سطح 2 - پاسخ دهنده به رویداد امنیتی
رویدادهای امنیتی ارجاع شده را بررسی کرده و پاسخ میدهد. سیستم های آسیب دیده و دامنه حمله را شناسایی و از هوشمندی اطلاعات تهدید برای کشف دشمن استفاده میکند.
تحلیلگر امنیتی سطح 3 - شکارچی تهدید
به طور فعال رفتارهای مشکوک را جستجو کرده، وضعیت امنیتی شبکه را آزمایش و ارزیابی میکند تا تهدیدات پیشرفته و بخشهای آسیبپذیر را شناسایی کند.
معمار امنیت
سیستمهای امنیتی و فرآیندهای مختلف SOC را طراحی و یکپارچه میکند.
فرآیندها
مجموعهای از رویهها و شیوههایی هستند که توسط تیمهای SOC برای شناسایی، پیشگیری، شناسایی، پاسخگویی و بازیابی تهدیدات امنیتی استفاده میشوند. برخی از فرآیندهای SOC عبارتند از:
✔ پایش مداوم شبکه و سیستمها
✔ مدیریت پاسخگویی به رویدادهای امنیتی
✔ آگاهی رسانی امنیتی (Security awareness)
در SOC فرآیندها بر اساس نیازمندیهای سازمان و فرآیندهای موجود آن شناسایی شده و KPI مناسب برای اندازهگیری کیفیت اجرای آنها و بهبود مستمر فرآیندها تعریف و پیادهسازی میشود.
مزایا
مزایای داشتن یک مرکز عملیات امنیت به شرح زیر است:
✔ نظارت فعالانه مستمر: تیم SOC به طور مداوم شبکه را رصد و فعالیت های مشکوک را بررسی می کنند تا در اولین فرصت شناسایی شوند.
✔ کاهش زمان پاسخگویی به حوادث: تیم SOC با تسریع فرآیند شناسایی نشانههای حمله، بررسی فعالیتهای مرتبط و ازبینبردن آن باعث کاهش زمان پاسخگویی به نفوذ میشود که میتواند تاثیر بهسزایی بر کاهش حداقلی تاثیرات نفوذ در سازمان داشته باشد.
✔ رویکرد متمرکز: تیم SOC در صورت وجود هرگونه رویداد و هشدار امنیتی، رهبری را بر عهده می گیرد و با به کارگیری منایع انسانی، فرآیندها وفناوری به روز خود به شکل یکپارچه، سازمان را از بلاتکلیفی برای نحوه واکنش به رویداد امنیتی باز میدارد.
✔ آگاه نگهداشتن کسب و کار از ریسکهای امنیتی: ارتباط موثر و همگام شدن با کسب و کار سازمان برای آگاهی از خطرات و ریسکهای موجود در انواع دارایی از اهداف مهم SOC است. گزارشهای مختلف SOC میتواند به شکلدهی نقشه راه آینده سازمان از دیدگاه امنیتی کمک کرده و در جهت محاسبه بهتر ریسک مالی ناشی از تهدیدات سایبری یاری رساند.
یک ضرب المثل معروف وجود دارد. "پیشگیری بهتر از درمان است". مهم نیست چقدر هزینه باید متحمل شوید، شرکت شما باید یک تیم SOC داشته باشد.
خدمات
✔ راهاندازی و پشتیبانی SOC به شکل کامل
✔ راهاندازی SOC شامل نصب نرمافزار Fortress SIEM، نصب حسگرهاريال جمعآوری لاگ و امنسازی
✔ پشتیبانی SOC شامل پایش و مانیتور دائم سیستمها و شبکه در SOC
✔ ارزیابی بلوغ SOC و ارائه راهکار جهت افزایش سطح بلوغ
✔ طراحی و پیادهسازی Use-Case به صورت عمومی و سفارشی ویژه سازمان مقصد
✔ ارائه خدمات SOC به طور کامل در قالب SOC-as-a-Service
✔ ارائه خدمات آگاهی رسانی امنیتی (Security awareness) در سطح مختلف مورد نیاز سازمان
مدیریت حساب و سیستم مدیریت امنیت اطلاعات (ISMS) دو مفهوم متمایز اما به هم پیوسته در حوزه امنیت سایبری و حفاظت از دادهها هستند. مدیریت حساب به فرآیند نظارت و کنترل حسابهای کاربری در زیرساخت فناوری اطلاعات (IT) یک سازمان اشاره دارد که شامل فعالیتهایی مانند ایجاد حسابهای کاربری، اعطا یا لغو امتیازات دسترسی، اجرای […]
هوش مصنوعی در امنیت سایبری در گذر زمان – قسمت اول امروزه در زندگی ما، هوش مصنوعی (AI) تاثیرات مهمی ایجاد کرده است. هوش مصنوعی با داشتن قابلیت یادگیری و پیشبینی تهدیدات با سرعت و دقت بیشتر، به یک ابزار ضروری در حفاظت از دولتها و سازمانها تبدیل شده است. اما آینده AI در امنیت […]
مرکز عملیات امنیت (SOC) معرفی مرکز عملیات امنیت که به اختصار SOC نامیده میشود، یک واحد متمرکز است که به صورت جامع و یکپارچه با تلفيق گزارشهاي مختلف و استفاده از نرمافزارهای پیشرفته، سختافزارها و متخصصين امر، رویدادهای امنیتی را تحلیل کرده و به آنها پاسخ میدهد. برای داشتن یک SOC کامل و کارآمد، باید […]
انواع SOAR در مقاله قبلی به معرفی SOAR و مزایای آن پرداخته شد، در این مقاله اطلاعات بیشتری در مورد SOAR ارائه میشود. سه دسته اصلی برای SOAR میتوان در نظر گرفت که عبارتند از: SOAR محصول محور SOAR گسترده Next-Gen SOAR SOAR محصول محور: گارتنر SOAR را راهحلی تعریف میکند که توان پاسخ به […]
امنیت عامل انسانی – قسمت اول ارزیابی ظرفیت امنیت سایبری نیروی کار صنعتی مقدمه امنیت سایبری در محیطهای سیستم کنترل صنعتی (ICS) به یک موضوع رو به رشد در سطح ملی و جهانی تبدیل شده است. امنیت در حال حاضر با همگرایی فناوری اطلاعات و فناوری عملیات (IT-OT) در حال تکامل است و به این […]
مدیریت ریسک مدیریت ریسک مستمر برای دستیابی به اهداف تجاری در سازمانها امری غیر قابل اجتناب است. ریسکهای موجود میتواند شامل ریسک مالی، خطر خرابی تجهیزات و خطر ایمنی پرسنل و … باشد. سازمانها باید فرآیندهایی را برای ارزیابی ریسکهای مرتبط با کسبوکار خود توسعه دهند و در خصوص چگونگی مواجهه با این خطرات، بر […]