سلام ، به سایت شرکت هرمس خوش آمدید.

Facebook-f Twitter Telegram-plane Instagram Whatsapp
Hermes_Logo

02142874800

info[at]itchermes.ir

بلوار نلسون ماندلا، خیابان گلفام، پلاک 5، واحد 7

ایران ، تهران

استقرار امنیت از طریق SOC چیست و چه کاربردی دارد

  2. مقالات
  3. استقرار امنیت از طریق SOC چیست و چه کاربردی دارد
استقرار امنیت از طریق SOC چیست و چه کاربردی دارد

امروزه ضرورت حفاظت از امنیت داده‌های مشتریان و سازمان‌ها برعهده مراکز به‌خصوصی است که متخصصین IT بار هدایت آن را به‌دوش می‌کشند. خدمات استقرار امنیت از طریق SOC در حال حاضر ازسوی این مراکز برای سازمان‌هایی که روزانه هزاران داده در آن‌ها جابه‌جا می‌شود ارائه می‌شود.

برای حفاظت از اطلاعات حساس در برابر هرگونه نفوذ، رسوخ و نشت داده، می‌بایست بر اساس اصول مهندسی و دقیق، تدابیری طراحی و پیاده‌سازی شود. در این مقاله برآنیم تا مخاطبان خود را با ماهیت، خدمات و مزایای این مراکز آشنا کنیم.

ضرورت استقرار امنیت از طریق SOC

در گذشته‌های دور بشر برای جابه‌جایی اطلاعات و پیام‌های مهم افرادی را به خدمت گماشته بود که حامل پیام‌ها در اقصی نقاط کشورها باشد. این افراد عموماً باید امین و قابل اعتماد می‌بودند. در عین حال ممکن بود پیام‌های مهم حاکمیتی در معرض افشاسازی توسط جاسوسان قرار بگیرد. افرادی که حامل پیام‌ها بودند و هر آن‌کس که آن اطلاعات حیاتی را دریافت می‌کرد می‌بایست تا جان در بدن داشت، پیام را در سینه نگاه می‌داشت. بنابراین تلاش برای حفظ امنیت پیام‌ها و اطلاعات به تیغ و شمشیر خلاصه می‌شد.

با گذشت زمان و ابداع انواع شیوه های ارسال پیام و اطلاعات، همچنان ضرورت مراقبت از آن‌ها به عهده افراد بود. حفاظت از اطلاعات به ویژه در زمان جنگ امری حیاتی محسوب می‌شد و باید از گزند جاسوسان جنگی در امان نگه‌داشته می‌شد. اطلاعات طبقه‌بندی شده و پیام‌های حساس باید در مکانی امن بایگانی می‌شدند، اما همچنان احتمال به سرقت رفتن اطلاعات اتفاقات جبران‌ناپذیری را رقم می‌زد.

درحال حاضر به مدد توسعه و پیشرفت زیرساخت‌های فناوری اطلاعات، داده‌ها با سرعت نور از سراسر دنیا جابه‌جا می‌شوند. در عین حال این داده‌ها چه طبقه‌بندی شده و محرمانه باشند، چه مربوط به امور رومزه افراد عادی، باید از سرقت و تعرض مصون بمانند.

 قطعاً نمی‌توان از امنیت میلیاردها داده و اطلاعات با شیوه‌های سنتی و کلاسیک پاسبانی کرد. در حال حاضر حفاظت از داده‌ها از طریق فناوری‌های دیجیتال ساخت دست بشر انجام می‌گیرد. بدین منظور خدمات استقرار مرکز عملیات امنیت، برای صیانت از داده‌های سازمان‌ها و پاسخ به رویدادهای امنیتی طراحی شده‌اند.

امنیت داده به‌دلایل مختلف، مسئله‌ای حیاتی در سازمان‌های خصوصی و دولتی به‌شمار می‌آید.

  • اول اینکه؛ شرکت‌ها از منظر اخلاقی و قانونی موظفند، از داده‌های مشتریان خود در برابر خطرات مراقبت کنند تا این اطلاعات در دست افراد سودجو قرار نگیرد. به‌عنوان مثال شرکت‌های مالی ممکن است ملزم به رعایت استاندارد امنیت داده صنعت کارت پرداخت(PCI DSS) باشند. این استاندارد شرکت‌ها را ملزم به اتخاذ تدابیر مقتضی برای حفظ داده‌های کاربران خود می‌کند.
  • دوم اینکه ؛ مخاطراتی نظیر نشت داده‌ یا هک می‌تواند، موجب لطمه دائمی به اعتبار شرکت‌ها شود. در این صورت نتایج مالی و لجستیکی نشت داده‌ها قطعاً گریبان‌گیر شرکت‌ها خواهد بود.

امنیت داده به چه معنا است

امنیت داده مجموعه روش‌هایی برای حفاظت از اکوسیستم حیاتی فناوری‌ اطلاعات است. به بیان دیگر روش‌هایی که برای صیانت از اطلاعات دیجیتال در برابر درسترسی غیرمجاز، سرقت یا فساد در کل چرخه حیات داده(data) پیاده‌سازی می‌شوند را امنیت داده می‌خوانند.

تضمین امنیت داده‌ها با استقرار امنیت از طریق SOC

این مفهوم تمام جنبه‌های امنیت اطلاعات را دربرمی‌گیرد؛ از امنیت فیزیکی وسایل سخت‌افزاری و ذخیره‌سازی اطلاعات گرفته تا نظارت‌هایی بر دسترسی به داده‌ها و اجرای آن‌ها. این مفهوم از امنیت همچنین شامل امنیت برنامه‌های نرم‌افزاری نیز می‌شود. حفاظت از رویه‌ها و خط‌مشی‌های سازمانی نیز درچارچوب این تعریف از امنیت داده قرار می‌گیرند.

امنیت داده، محافظت از فایل‌ها، دیتابیس‌ها، حساب‌های کاربری و شبکه‌ها را شامل می‌شود. نظر به اهمیت این منابع، ضروری است که با استقرار امنیت، حفاظت از این منابع در برابر نشت، رسوخ و حمله تأمین شود.

مرکز عملیات امنیت(SOC) چیست

در بحث استقرار امنیت از طریق SOC باید ابتدا به تعریف SOC بپردازیم. مرکز عملیات امنیت، یک مرکز کنترل است که متشکل از متخصصین حوزه IT در زمینه حفاظت از اطلاعات است. این تیم وظیفه نظارت و ارزیابی یک سازمان و حفاظت از آن دربرابر حملات سایبری را عهده دار است.

در مرکز عملیات امنیت، ترافیک اینترنت، شبکه‌ها، دسکتاپ‌ها، سرورها، دیتابیس‌ها، وسیله‌های نقطه‌ پایانی(endpoint) و سایر سیستم‌ها به‌طور مستمر رصد و پایش می‌شوند. این نظارت شبانه‌روزی به‌منظور شناسایی هر فعالیت ناهنجاری که می‌تواند، نشانه‌ای بر وقوع یک رویداد امنیتی باشد، صورت می‌گیرد.

هدف تیم امنیتSOC  عبارت است از شناسایی، ارزیابی و پاسخ به رویدادهای امنیتی با استفاده از مجموعه‌ای از راه‌حل‌های فنی و فرآیندهای قدرتمند.

مراکز عملیات امنیت، نقش بنیادینی در کاهش هزینه‌های احتمالی «نشت داده» دارند. این مراکز نه تنها به سازمان‌ها در واکنش سریع به تزاحمات و نفوذ غیرمجاز کمک می‌کنند، بلکه فرآیندهای شناسایی و جلوگیری از بروز رویداد امنیتی را نیز بهبود می‌بخشند.

مرکز عملیات امنیت

بسیاری از سازمان‌های بزرگ درون خود، مراکز عملیات امنیت دارند. شرکت‌هایی که کارمندان یا منابع SOC را برای نگه‌داری از آن در اختیار ندارند، ممکن است تمام یا قسمتی از مسئولیت مرکز عملیات امنیت را به عرضه‌کننده سرویس مدیریت شده(MSP) یا SOC مجازی میزبانی شده در خارج از شرکت بسپارند.

مراکز عملیات امنیت معمولاً در صنایع بهداشتی، آموزشی، مالی، تجارت بین‌الملل، صنایع دولتی، عملیات نظامی و صنایع فناوری‌های پیشرفته یافت می‌شوند.

مراکز عملیات امنیت نقش بنیادینی در کاهش هزینه‌های احتمالی نشت داده دارند. این مراکز نه تنها به سازمان‌ها در واکنش سریع به تزاحمات و نفوذ غیرمجاز کمک می‌کنند، بلکه فرآیندهای شناسایی و جلوگیری از بروز رویداد امنیتی را نیز بهبود می‌بخشند.

اعضای تیم SOC

در استقرار امنیت از طریق SOC اعضای تیم این مرکز متشکل از ارزیابان امنیت، مهندسین و مدیرانی است که بر عملیات امنیت نظارت می‌کنند.

کارمندان مرکز عملیات امنیت ممکن است، با تیم‌ها یا بخش‌های دیگر همکاری داشته باشند، اما در اصل کارکنان آن‌ها افرادی هستند که مهارت‌های سطح‌ بالای فناوری اطلاعات و امنیت سایبری تخصص آن‌ها است یا اینکه با عرضه‌کنندگان سرویس‌ شخص ثالث در ارتباط هستند.

اعضای تیم SOC برای تضمین رسیدگی سریع به رویدادهای امنیتی به‌محض کشف، با تیم‌های «واکنش به رویداد» ارتباط نزدیک دارند. مسئولیت این مرکز تضمین شناسایی، ارزیابی، دفاع و بررسی و گزارش صحیح و دقیق رویدادهای امنیتی احتمالی است.

یک سازمان می‌بایست، پیش از تأسیس مرکز عملیات امنیت، راهبرد امنیت سایبری خود را مشخص سازد تا با مسائل و اهداف تجاری فعلی متناسب شود.

مرکز عملیات امنیت چگونه فعالیت می‌کند

این مرکز بیش از آنکه بر توسعه راهبردهای امنیتی، طراحی معماری امنیتی یا اجرای تدابیر محافظتی متمرکز باشد، مسئولیت بخش‌های عملیاتی امنیت اطلاعات یک سازمان را عهده‌دار است.

اعضای تیم در اصل ارزیابان امنیت هستند که برای شناسایی، تحلیل، پاسخ و گزارش یک رویداد امنیت سایبری و جلوگیری از آن بایک‌دیگر همکاری می‌کنند.

سایر قابلیت‌های این مرکز می‌تواند شامل تحلیل‌های پیشرفته جرم‌شناختی، ارزیابی الگوریتم‌های رمزنگاری و مهندسی معکوس بدافزارها به‌منظور ارزیابی و تحلیل یک رویداد امنیتی است.

فعالیت‌های مرکز عملیات امنیت(SOC)

در بحث استقرار امنیت از طریق SOC، اولین گام در تأسیس مرکز عملیات امنیت یک سازمان، تبیین دقیق نوعی راهبرد است که اهداف تجاری سازمان‌های مختلف را یکپارچه سازد و از بخش‌های اجرایی آن پشتیبانی کند.

مرکز عملیات امنیت همچنین برای پیروی از مقررات دولتی یا سازمانی و محافظت از داده‌های حساس،  شبکه‌ها و نقطه‌های پایان(endpoints) را از حیث آسیب‌پذیری پایش می‌کند.

زیرساخت‌های مرکز عملیات امنیت

زمانی که راهبرد، تبیین و توسعه یافت می‌بایست زیرساخت‌های لازم برای پشتیبانی از آن راهبرد پیاده‌سازی شوند. این زیرساخت‌ها شامل استقرار دیوارهای آتش(firewalls)، سیستم کشف نفوذ(IDS) یا سیستم جلوگیری از نفوذ (IPS) ، تبیین راه حل‌های مربوط به کشف نشتی داده و استقرار یک سیستم مدیریت رویداد و اطلاعات امنیت است.

در استقرار امنیت از طریق SOC، باید از تکنولوژی برای جمع‌آوری داده‌ها از طریق جریان اطلاعات، دوری‌سنجی(telemetry)، پی‌کپ(packet capture)، سیسلوگ(Syslog ) و روش‌های دیگر استفاده کرد. نتیجه این امر، همبسته کردن داده‌ها و ارزیابی آن‌ها توسط تیم مرکز اطلاعات امنیت است.

مزایای استقرار امنیت از طریق SOC

مزیت کلیدی استقرار امنیت از طریق یک مرکز عملیات امنیت، بهبود فرآیند شناسایی رویداد از طریق رصد مستمر و تحلیل فعالیت داده‌ است.

تحلیل فعالیت داده‌ها در شبکه‌های سازمان، نقاط پایان، سرورها و دیتابیس‌ها به‌صورت شبانه‌روزی، تیم SOC را به نهادی حیاتی برای تضمین کشف و پاسخ به‌موقع به رویدادهای امنیتی تبدیل می‌کند.

رصد شبانه‌روزی فعالیت داده‌ها توسط این تیم، این مزیت را به سازمان‌ها می‌دهد که در برابر نفوذ و رویدادهای امنیتی از داده‌ها و منابع خود صرف‌نظر ساعت، روز یا نوع حمله، صیانت و دفاع کنند.

شکاف موجود بین زمان حمله مهاجمان و زمان اقدام سازمان‌ها برای کشف رویداد و نفوذ باید به‌صورت سالانه در بانک گزارش تحقیقات نشتی داده به ثبت برسد. استقرار امنیت از طریق مرکز عملیات امنیت به سازمان‌ها کمک می‌کند که این شکاف‌های موجود را مسدود کنند و در برابر تهدیدات محیطی آماده و هوشیار باشند.

سایر مزایای این مرکز عبارتند:

  • بهبود روش‌ها و مدت زمان واکنش به رویدادهای امنیتی
  • کاهش شکاف بین زمان ورود آسیب و زمان کشف و شناسایی(MTTD)
  • متمرکز شدن منابع سخت‌افزاری و نرم‌افزاری برای رویکرد امنیتی همبسته
  • ارتباط و هماهنگی مؤثر
  • کاهش هزینه‌های برخاسته از رویدادهای امنیتی سایبری
  • اطمینان خاطر هرچه بیشتر مشتریان و کارکنان در ارسال اطلاعات حساس
  • شفافیت و نظارت بیشتر بر عملیات امنیتی
  • استقرار نظارت زنجیره‌ای بر داده‌ها. این نظارت زمانی انجام می‌گیرد که یک سازمان قصد تعقیب و بررسی داده‌های منتسب به یک حمله سایبری را داشته باشد.

اعضا و وظایف کارکنان  SOC

در استقرار امنیت از طریق SOC آن‌چیزی که چارچوب کاری عملیات امنیت را شکل می‌دهد، برخاسته از ابزارهای امنیتی(نظیر نرم‌افزارها) مورد استفاده سازمان‌ها و اعضای تیم SOC است. اعضای این تیم عبارتند از:

  • مدیر: به عنوان رهبر گروه، مدیر قادر است که ضمن نظارت بر سیستم‌ها و فرآیندهای امنیتی، در هر نقش دیگری به ایفای وظیفه بپردازد. مدیر، مسئولیت مدیریت عملیات روزانه SOC و تیم امنیت سایبری آن را عهده‌دار است. به علاوه اینکه کارمندان اجرایی سازمان را در جریان به‌روزرسانی‌های جدید قرار می‌دهد.

اعضا و وظایف کارکنان مرکز عملیات امنیت(SOC)

  • تحلیل‌گر: وظیفه بررسی و سازمان‌دهی هشدارهای امنیتی به ترتیب شدت و فوریت و همچنین انجام ارزیابی‌های منظم از نقاط آسیب‌پذیر برعهده تحلیل‌گر است. تحلیل‌گران، داده‌ها را در یک دوره زمانی (مثلاً در سه‌ماهه قبل) یا پس از نشت داده گردآوری و تحلیل می‌کنند. این افراد باید مهارت‌هایی نظیر دانش زبان برنامه‌نویسی، مدیریت سیستم‌ها و توانمندی‌ها و درنهایت بهترین روش‌های امنیتی را دارا باشند.
  • مأمور تحقیق: با وقوع نشتی داده، مأمور تحقیق با همکاری نزدیک با پاسخ‌دهنده چرایی و چگونگی بروز رویداد را کشف می‌کند. (معمولاً نقش مأمور تحقیق و پاسخ‌دهنده را یک نفر ایفا می‌کند.). شناسایی و ریشه‌یابی علت حملات و مکان‌یابی منابع آن و جمع‌آوری شواهدی که به این رویه کمک می‌کند، برعهده مأمور تحقیق است.
  • پاسخ‌دهنده: چندین وظیفه برای پاسخ به یک نشتی امنیتی وجود دارد. در طول دوران یک بحران امنیتی، حضور شخصی که به این بایسته‌ها و وظایف آشنا باشد، ضروری است. پاسخ‌دهنده، با اجرای عملیاتی که برای کاهش و رفع تهدید ضروری است، واکنش به حملات و نشتی‌های موفق را مدیریت می‌کند.
  • بازرس انطباق: تضمین اینکه تمام فرآیندهای مرکز عملیات امنیت و اقدامات کارکنان مطابق با ضروریات مرکز باشد، بر عهده بازرس انطباق است.
  • شکارچی تهدید: در این سِمَت، فرد داده‌های جمع‌آوری شده توسط تیم SOC را برای شناسایی تهدیدات صعب‌التشخیص، بررسی می‌کند. ممکن است، آزمایش رسوخ و مقاومت نیز بخشی از برنامه‌های روتین شکارچی تهدید باشد.
  • مهندس امنیت: وظیفه این فرد، توسعه و طراحی ابزارها یا سیستم‌هایی است که برای شناسایی مؤثر نفوذ و همچنین توان مدیریت آسیب‌پذیری، ضروری هستند.

انواع مراکز عملیات امنیت

در بحث استقرار امنیت از طریق SOC  یک سازمان می‌تواند مدل های مختلفی از مراکز عملیات امنیت را پیاده‌سازی کند. برخی از این مدل‌ها عبارتند از:

  • SOC خود مدیریتی یا تخصیص‌یافته: این مدل یک فضای درون-سازمانی با کارمندان داخلی و اختصاصی دارد.
  • SOC توزیع‌یافته: این مدل با نام SOC چند-مدیریتی نیز شناخته می‌شود. در این این مدل، اعضا به‌صورت تمام‌وقت یا پاره وقت، به‌شکل نیمه‌اختصاصی در درون سازمان و درکنار یک «عرضه‌کننده سرویس امنیت مدیریت شده شخص ثالث» (MSSP) فعالیت می‌کنند.
  • SOC مدیریت شده: این مدل با در اختیار داشتن چند MSSP تمام خدمات مرکز عملیات امنیت را برای یک سازمان فراهم می‌آورد.
  • SOC مجازی: این سبک، یک مقر درون سازمانی اختصاصی ندارد. در این مدل، SOC می‌تواند از درون سازمان یا از بیرون آن هدایت شود. در سبک درون-سازمانی، مرکز عملیات امنیت، می‌تواند، صرفاٌ متشکل از کارکنان داخل سازمان یا ترکیبی از کارکنان داخل سازمانی و کارمندانی باشد که در فضای ابری وظایف خود را انجام می‌دهند. مدل SOC مجازی خارج از سازمانی، هیچ عضو درون سازمانی‌ای ندارد و منابع انسانی آن از خارج از سازمان تأمین می‌شود.
  • SOC چند-عملکردی(Multifunction SOC): این سبک دارای یک مقر اختصاصی و کارمندان
    درون-سازمانی است، اما مسئولیت‌های آن به حوزه‌های حیاتی مدیریت فناوری‌اطلاعات نظیر مراکز عملیات شبکه نیز گسترش می‌یابد.

تفاوت مرکز عملیات شبکه(NOC) با مرکز عملیات امنیت(SOC)

در ارتباط با استقرار امنیت از طریق SOC باید گفت، مسئولیت‌های اساسی مرکز عملیات شبکه شامل شناسایی، تحقیق، رتبه‌بندی و رفع مشکلات است. از این حیث NOC مشابه SOC است. مراکز عملیات شبکه با حضور یک مدیر که بر تمام رویه‌ها و کارکنان مرکز نظارت دارد، هدایت می‌شود.

مرکز عملیات شبکه(NOC)

بیشتر کارمندان NOC مهندسین ترافیک یا شبکه هستند که بعضی از آن‌ها ممکن است، پیش‌زمینه‌های فنی‌تر و تخصصی‌تر در حوزه طیف وسیعی از رویدادها داشته باشند.

برخلاف  یک SOC، تیم مرکز عملیات شبکه، تنها به رسیدگی مشکلات مربوط به دسترسی و عملکرد شبکه می‌پردازد. این مورد شامل پیاده‌سازی فرآیندهایی برای پایش شبکه، رسیدگی به اختلال در عملکرد وسیله و پیکربندی شبکه می‌شود. NOC همچنین مسئولیت تضمین تحقق بایسته‌های توافق‌نامه سطح خدمات(SLA) (مثل به حداقل رساندن اختلال شبکه) را عهده‌دار است.

تفاوت اصلی در نوع رویدادهایی که این دو مرکز به آن‌ها پاسخ می‌دهند به ماهیت این رویدادها مربوط است. مشکلات شبکه رویدادهای سیستم‌ هستند که معمولاً به‌طور طبیعی اتفاق می‌افتند. مشکلاتی مانند اختلال در عملکرد یا مشکلات ناشی ازسنگین‌شدن بار ترافیک(overload) از آن جمله‌اند.

مسائل امنیتی هوشمندانه‌تر هستند و ممکن است، از منابعی خارج از نظارت سازمان نشئت گرفته باشند. مرکز عملیات شبکه به طور منظم به رفع معایب سخت‌افزاری و ابزارهای فیزیکی می‌پردازد، درحالیکه بیشتر رویدادهای امنیت سایبری SOC به‌صورت مجازی اتفاق می‌افتد.

مرکز عملیات شبکه را می‌توان در سازمان‌هایی که به سطوح بالای دسترسی به شبکه نیازمندند، یافت. نمونه این سازمان‌ها شامل دانشگاه‌ها و نهادهای دولتی می‌شود.  وجود NOC همچنین می‌تواند، برای سازمان‌هایی که پویایی آن‌ها به دسترسی به وب‌سایت و اتصال قوی اینترنت بستگی دارد، مفید باشد. در مثالی از این مورد می‌توان به مشاغل تجارت الکترونیک اشاره کرد.

کلام آخر

اهمیت استقرار امنیت از طریق SOC برای سازمان‌ها مانند اهمیت ایمن‌سازی خانه در برابر حمله سارقان است. داده‌ها نزد سازمان‌ها دفینه‌های حیاتی و ارزشمند تلقی می‌شوند. اگر دیوار امنیتی این سازمان‌ها شکسته شود یا به‌دلیل وجود حفره امنیتی، داده‌ها در معرض تهدید قرار گیرند، اعتبار سازمان از اساس مخدوش می‌شود.

علاوه بر این، سازمانی که با رویدادهای امنیتی مواجه می‌شود، ممکن است متحمل هزینه‌های سنگین مادی برای جبران رسوخ یا نشتی داده شود. به‌این منظور می‌بایست با استقرار امنیت از طریق مرکز عملیات امنیت فعالیت داده‌ها به‌طور شبانه‌روزی پایش شود و حملات احتمالی در زمان دقیق کشف شوند و به آن‌ها پاسخ داده شود.

منابع: