در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

SOC چیست ؟ هدف آن چیست؟

SOC چیست؟


(Security Operations Center (SOC یک تیم بسیار ماهر است که ماموریت آنها نظارت دائم و بهبود وضعیت امنیتی یک سازمان است که اینکار را با شناسایی ، آنالیز ، جلوگیری و پاسخگویی به حوادث امنیتی انجام میدهند و برای اینکار از تکنولوژی و فرایندها و مراحل کمک می گیرند.

ماموریت


استراتژی SOC باید کاملا واضح و براساس نیاز سازمان باشد می توان گفت استراتژی به شدت وابسته به پشتیبانی و حمایت سطوح مختلف اجرایی است و به عبارت دیگر SOC به تنهایی نمی تواند به درستی عمل کند. هدف SOC باید پرداختن به نیازهای سازمان باشد و برای موفقیت آن لازم است حمایت اجرایی قوی از آن صورت گیرد.

محیط


ایجاد یک SOC نیازمند برنامه ریزی دقیق است. امنیت فیزیکی آن نیز باید در نظر گرفته شود. همچنین طرح مرکز عملیات باید با دقت طراحی شده است و راحتی و کاربردی بودن آن درنظر گرفته شود مانند مسائل روشنایی و آکوستیک باید درنظر گرفته شود. از SOC انتظار می رود که بخش های مختلفی داشته باشد که شامل operational room ، war room و supervisors’ offices می باشد. آسایش ، دید مناسب ، بهره وری و کنترل مباحث کلیدی است که هر بخش باید براین اساس طراحی شود.

SOC چیست ؟ هدف آن چیست؟

Technology


تکنولوژی یکی از بخش های SOC می باشد و باید زیرساخت آن طراحی شود. اجزا مختلفی برای ساخت کامل بخش تکنولوژی مورد نیاز است. فایروال ها ، IPS/IDS ، راه حل های تشخیص نقص های امنیتی و مطمئنا SIEM چند نام در این رابطه هستند. جمع آوری موثر و کارآمد داده ها یک اصل اساسی برای موفقیت SOC می باشد. جریان داده ، packet captures ، syslog و چندین نوع event باید جمع آوری شود و از دیدگاه امنیتی مرتبط و مورد آنالیز قرار گیرند. غنی سازی داده ها و اطلاعات در مورد تاثیر آسیب پذیرها و بررسی آن روی کل اکوسیستم از اهمیت ویژه ای برخوردار است.

People و Processes


در حالی که الزامات فنی از اهمیت بسیاری برخوردار هستند اما بدون people و procedures پیشرفته ترین و بهترین اتاق های کنترل بی ارزش می شوند. در کنار تکنولوژی people و processes به عنوان ستون های موفقیت SOC محسوب می شوند.

همینطور که بالا اشاره شد SOC یک تیم است. هر تیم برای برنده شدن نیاز دارد که تمام نقش های آن به درستی کار کنند. به رهبر نیاز دارد و همینطور نقش های مهندس ، آنالیزور و عملیاتی نیز پوشش داده می شود. بسیاری از توابع باید انجام شود و آنالیزورها باید به دو تا سه tier اختصاص داده شوند. اصلی ترین عمل توسط اعضا تیم انجام می شود که براساس تجزیه و تحلیل event ها ، حوادث امنیتی شناسایی شده یا رخنه های امنیتی انجام می گیرد. سپس مقابله با ، بازسازی و برطرف کردن مشکل برای هر حادثه انجام می گیرد. همه اقدامات باید به صورت هماهنگ انجام گیرد. همکاری ، زمان بندی و بهره وری باید در اولیت کاری SOC باشد. تمام اعضاء باید از اهداف و استراتژی SOC کاملا اگاه باشند. بنابراین رهبری بسیار موثر است. مدیر SOC باید بتواند تیم را تشکیل دهد ، برای اعضاء انگیزه ایجاد کند و آنها را حفظ کند و باعث شود آنها برای خود و کارشان ارزش قائل شوند. مدیر کار سختی پیش رو دارد باید ماشین ها به صورت 24 ساعته و 7 روزه هفته کار کنند و بنابراین استرس در این محیط وجود خواهد داشت. انتخاب صحیح اعضاء تیم و محول کردن وظایف درست به آنها چالش بزرگی است و طیف وسیعی از قابلیت ها مورد نیاز است از مدیریت آسیب پذیرها تا بررسی و آنالیز سیستم ها برای malware. مشخص کردن تعداد مناسب اعضاء تیم از دیگر مسائلی است که باید به آن پرداخته شود در حالی که نباید نیرو غیرضروری استخدام کرد و به این شکل بودجه به هدر رود.

SOC چیست ؟ هدف آن چیست؟

ابزارهای امنیتی و اجزاء تکنولوژی


هیچ کدام از جزئیات این بخش نباید نادیده گرفته شود. LAN segmentation ، NAC ، VPN ، endpoints hardening ، رمزنگاری دیتا بایگانی شده ، درحال استفاده و در حال انتقال ، IPSs/IDSs ، firewalls ، routers و switches. از آنجا که SOC یک تیم است ابزارهای باید به دقت طراحی شوند تا به کاربران بهترین تجربه استفاده را بدهند و به SOC بهترین توانایی را برای حفظ ارزش کسب و کار سازمان را بدهد. این هدف باید توسط تمام ابزارهای مورد نیاز SOC انجام شود. از دستگاه های موبایل و امنیت آنها در طراحی و ساخت SOC نباید غافل شد.

برای کامل شدن عملکرد SOC باید اجزای مختلف شبکه مانند Web Proxies ، sandboxes ، endpoint و ... بررسی شوند. تمام این دستگاه ها و سرویس ها تولید event ، log ، flow و ... دارند که باید توسط ماشین و در نهایت توسط انسان مورد بررسی و آنالیز قرار گیرند. در این مرحله از بررسی و آنالیز نقش محوری SIEM را به خاطر داشته باشید.

Methodology و intelligence


برای اینکه وضعیت امنیتی سازمان بهبود یابد SOC باید به صورت فعال و پیش فعال پردازش Vulnerability Management را انجام دهد. ارزیابی ریسک و یک رویکرد برای رسیدگی به آسیب‌پذیری ها برای SOC یک اولویت است. رویکرد threat intelligence باعث می شود که اطلاعات با ارزش بیشتری بدست بیاورید و در شناسایی و جلوگیری از نقص های امنیتی بسیار موثر است.

تیم در زمان کار


بعد از اینکه SOC عملیات خود را آغاز کرد تیم باید ماموریت خود را شروع و به حوادث واکنش نشان دهد. این مرحله ای است که SOC می تواند ارزش خود را برای سازمان نشان دهد. زمانی که یک حادثه رخ می دهد یک تیکت باز می شود و بررسی و تحلیل آن شروع می شود. بسیاری از بخش های تیم درگیر می شوند و ممکن است افرادی خارج از SOC (افراد سازمان در سایر بخش ها یا حتی افراد خارج از سازمان) نیز درگیر این جریان شوند که به ماهیت، میزان و شدت حادثه بستگی دارد.

برای موفقیت ، تشخیص حادثه امنیتی ، نظارت و فاز پس از آن پاسخ به حادثه است نیاز به ترکیب مناسبی از تکنولوژی دارد و فرایندها و مراحل به وضوح تعریف شده باشند. توانایی واکنش سریع و دقیق حتی در شرایط استرس زا و با تکیه بر آموخته های قبلی ، کلید عملکرد موثر تیم SOC است.

نگاه مدیریتی


ایجاد و عملیاتی کردن SOC یک پروژه سطح بالا است و برای انجام دادن آن best practice ، فریم ورک و استانداردهایی وجود دارد که می توانند مفید باشند مانند ITIL و COBIT. همچنین استفاده از برخی موارد دیگر مانند PCI DSS و ISO/IEC 27001:2013 اجباری است. ITIL به عنوان یک منبع بی نظیر و بالقوه مشاوره و راهنمایی است که درباره استراتژی ، طراحی ، service level management و ایجاد رابطه بین مشکلات و حوادث سازمان و مدیریت پردازش ها بخصوص در SOC صحبت می کند. در طرف دیگر COBIT یک دستورالعمل عالی برای سنجش وضعیت پیاده سازی SOC است. به طور عمومی زمانی که صحبت از بهره وری SOC می شود باید به صورت دقیق تمام جنبه ها درنظر گرفته شود.

نتیجه گیری


باید طیف گسترده ای از جنبه های امنیت سایبری در نظر گرفته شود و سطح بالایی از تخصص ها و مهارت ها نیاز است تا SOC موثری داشته باشیم. رابطه مناسب با استراتژی کسب و کار و فرایندها در طراحی و مدیریت SOC دخیل است. رهبری و ایجاد انگیره و بالا بردن مهارت های تیم برای مدیریت SOC در زمان تشکیل تیم الزامی است. آموزش مستمر و تعامل برای مقابله با تهدیدات لازم است. عملیاتی کردن SOC بسیار پیچیده است چون هر سازمان شرایط خاص خودش را دارد.

نویسنده :جعفر قنبری شوهانی

منبع : انجمن تخصصی فناوری اطلاعات ایران

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.

#امنیت_شبکه #مدیریت_soc #soc_چیست #ابزارهای_امنیتی #تکنولوژی_های_soc #مرکز_کنترل_امنیت
4 نظر
ebi pikaman

سلام

مقاله بسیار عالی بود مرسی

فقط soc باید حتما سخت افزار اون تهیه کنیم یا خیر ؟ ممنونم میشم راهنمایی کنیید

جعفر قنبری شوهانی

SOC یک نرم افزار یا سخت افزار نیست و متشکل از بخش های مختلفی هست که بخشی از اون رو نرم افزار تشکیل میده

مهم ترین نرم افزار در بحث SOC رو SIEM میگن که محصولات زیادی در این زمینه هست که می تونه به صورت یک اپلاینس سخت افزار باشه یا یک نرم افزار باشه

amirsajadmaleki

ایا شکل یا پلنی برای soc دارید که دید کلی نسبت به ان پیدا کنیم.منظورن این هست که مثلا فایروال باید کجا باشه seimباید کجا قرار بگیره؟

جعفر قنبری شوهانی

سلام

SOC مبحث بسیار بزرگ و پیچیده هست راه اندازیش کار یک نفر دو نفر نیست و توسط یک تیم کاملا حرفه ای باید انجام بشه و فقط مباحث فنی در اون دخیل نیست

اگه به این بحث علاقه دارید پیشنهاد می کنم کتاب Security Operations Center انتشارات ciscopress رو بخونید

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....