SOC یا مرکز عملیات امنیت چیست؟ آشنایی با کلیات و سطوح آن

مرکز عملیات امنیت (SOC) یکی از بخش‌های حیاتی هر سازمان است که وظیفه یکپارچه‌سازی و هماهنگی تمام فناوری‌ها و عملیات امنیت سایبری را بر عهده دارد و از سازمان در برابر تهدیدها و حملات امنیتی محافظت می‌کند. در این مقاله می‌خواهیم با کلیات و سطوح SOC آشنا شویم.

SOC چیست؟

مرکز عملیات امنیت (Security Operations Center) که به‌اختصار با SOC نشان داده می‌شود، یک تیم داخلی یا برون‌سپاری‌شده از متخصصان امنیت فناوری اطلاعات است که به‌صورت ۲۴ساعته در ۷ روز هفته، بر کل زیرساخت IT یک سازمان نظارت دارد. این واحد متمرکز، با به‌کارگیری افراد، فرایندها و فناوری جهت پایش و بهبود مداوم وضعیت امنیتی سازمان فعالیت می‌کند. شناسایی، تجزیه‌وتحلیل و پاسخ به حوادث امنیتی سایبری به‌شکل آنی، از وظایف اصلی تیم SOC است.

یک SOC مانند هاب یا پست فرماندهی مرکزی، اطلاعات تله‌متری از سراسر زیرساخت IT سازمان شامل شبکه‌ها، دستگاه‌ها، سرورها و دارایی‌های دیگر دریافت می‌کند. همچنین، فناوری‌های امنیت سایبری سازمان را انتخاب، اجرا و نگهداری می‌کند و با تجزیه‌وتحلیل مداوم داده‌های تهدید، به یافتن راه‌هایی برای بهبود وضعیت امنیتی سازمان می‌پردازد.

 

SOC داخلی یا برون‌سپاری‌شده؟

اگر SOC در محل خود سازمان نباشد، به‌عنوان بخشی از خدمات امنیتی مدیریت‌شده (MSS) برون‌سپاری می‌شود. ارائه‌دهندگان چنین خدماتی به سازمان‌ها کمک می‌کنند به روش مؤثرتر و مقرون‌به‌صرفه‌تری از اقدامات پیشگیرانه و سیاست‌های امنیتی، تشخیص و پاسخ سریع‌تر به تهدیدهای امنیتی بهره‌مند شوند.

 

SOC چه کارهایی انجام می‌دهد؟

فعالیت‌ها و مسئولیت‌های SOC در سه دسته کلی قرار می‌گیرند:

۱. آمادگی، برنامه‌ریزی و پیشگیری

این شامل بررسی منابع موجود، مدیریت دارایی‌ها و اقدامات پیشگیرانه از به‌خطرافتادن آنهاست:

فهرست‌برداری از دارایی‌ها

SOC دو نوع دارایی را مدیریت می‌کند:

• اول، همه دارایی‌هایی که باید محافظت شوند شامل برنامه‌ها، پایگاه‌های داده، سرورها، سرویس‌های ابری و اندپوینت‌ها.
• دوم، ابزارهایی که برای محافظت از دارایی‌ها استفاده می‌شوند شامل فایروال‌ها، ابزارهای آنتی‌ویروس/ ضدبدافزار/ ضدباج‌افزار و نرم‌افزارهای نظارتی.

بیشتر SOCها از راه‌حل‌های «کشف دارایی» برای تهیه یک فهرست کامل استفاده می‌کنند تا حتی دستگاه‌ها و داده‌هایی که در نقطه کور سازمان قرار دارند به‌راحتی شناسایی شوند.

آماده‌سازی

برای اینکه اثربخشی ابزارها و اقدامات امنیتی به حداکثر برسد، SOC اقدامات پیشگیرانه‌ای برای نگهداری این دارایی‌ها انجام می‌دهد. این کار شامل اعمال پچ‌ها، ارتقای نرم‌افزارها و به‌روزرسانی مداوم فایروال‌ها، بلاک‌لیست‌ها و سیاست‌های امنیتی است. SOC وظیفه پشتیبان‌گیری از داده‌ها را هم بر عهده دارد تا درصورتی‌که حمله باج‌افزاری یا سایر حوادث امنیت سایبری رخ داد، روال کسب‌وکار ادامه یابد.

برنامه‌ریزی پاسخ به حادثه

SOC باید یک برنامه «پاسخ به حادثه» برای سازمان طراحی کند که در آن فعالیت‌ها، نقش‌ها و مسئولیت‌ها درصورت بروز تهدید یا حادثه، به‌خوبی تعریف شده باشند.

آزمایش منظم

تیم SOC باید به‌شکل مداوم ارزیابی‌های جامعی از آسیب‌پذیری منابع مختلف دربرابر تهدیدات بالقوه انجام دهد. همچنین، باید در فواصل منظم تست نفوذهایی که حملات خاص را روی یک یا چند سیستم شبیه‌سازی می‌کنند ترتیب دهد تا براساس نتایج تست‌ها، بتواند بهترین روش‌های پاسخ به حادثه را اصلاح یا تنظیم کند.

به‌روز ماندن

SOC همیشه باید ازطریق رسانه‌های اجتماعی، منابع خبری و حتی دارک وب، اطلاعات خود را به‌روز کند و در جریان جدیدترین نوآوری‌های امنیتی، آخرین روندهای جرایم سایبری و اطلاعات مربوط به حملات و هکرها قرار گیرد.

 

۲. نظارت، تشخیص و پاسخ

این مسئولیت SOC شامل موارد زیر است:

پایش امنیتی شبانه‌روزی

SOC کل زیرساخت فناوری اطلاعات شامل برنامه‌ها، سرورها، نرم‌افزارهای سیستمی، دستگاه‌های محاسباتی، سرویس‌های ابری و شبکه را باید به‌صورت ۲۴/۷ پایش کند تا هرگونه فعالیت مشکوک مشخص شود.

بسیاری از SOCها برای این کار از فناوری SIEM استفاده می‌کنند. این فناوری هشدارها و اطلاعات تله‌متری را از نرم‌افزار و سخت‌افزار موجود در شبکه به‌صورت آنی رصد می‌کند. یکی دیگر از فناوری‌های جدید، تشخیص و پاسخ گسترده (XDR) است که نظارت دقیق‌تری انجام می‌دهد و امکان خودکارسازی تشخیص و پاسخ به حوادث را فراهم می‌کند.

مدیریت لاگ

بسیاری از هکرها روی این واقعیت حساب می‌کنند که شرکت‌ها به تجزیه‌وتحلیل داده‌های لاگ اهمیت نمی‌دهند. SOC باید با استفاده از SIEM فعالیت‌های مشکوک را به‌موقع شناسایی کند تا ویروس‌ها و بدافزارها نتوانند هفته‌ها یا ماه‌ها به‌صورت چراغ‌خاموش روی سیستم‌های قربانی اجرا شوند.

تشخیص تهدید

SOC سیگنال‌ها (نشانه‌های تهدیدات سایبری واقعی) را از نویزها (استفاده هکرها از مثبت‌های کاذب) تمیز می‌دهد و تهدیدها را بر اساس شدت‌شان طبقه‌بندی می‌کند. راه‌حل‌های SIEM مدرن شامل هوش مصنوعی هستند که این فرایندها را خودکار می‌کند و از داده‌ها «یاد می‌گیرد» تا در طول زمان، مهارت بیشتری برای تشخیص فعالیت‌های مشکوک پیدا کند.

پاسخ به حادثه

درصورت بروز تهدید یا حادثه واقعی، SOC برای محدودکردن آسیب اقدامات لازم را برای پاسخ به آن انجام می‌دهد که شامل موارد زیر است:

• بررسی ریشه‌ای علت، برای تعیین آسیب‌پذیری‌های فنی که به هکرها امکان دسترسی به سیستم را داده است؛
• خاموش‌کردن اندپوینت‌های آسیب‌دیده و قطع اتصال آن‌ها از شبکه؛
• ایزوله‌کردن مناطق آسیب‌دیده شبکه؛
• متوقف‌کردن برنامه‌ها یا فرایندهای آسیب‌دیده؛
• حذف فایل‌های آلوده؛
• اجرای نرم‌افزار آنتی‌ویروس یا ضد بدافزار؛
• ازکارانداختن رمزهای عبور برای کاربران داخلی و خارجی.

بسیاری از راه‌حل‌های XDR با خودکارسازی پاسخ به حادثه، کار تیم SOC را راحت می‌کنند.

 

۳. بازیابی، اصلاح و انطباق

این سری از وظایف شامل موارد زیر است:

بازیابی و اصلاح

پس از مهار یک حادثه، SOC باید تهدید را ریشه‌کن کند و دارایی‌های آسیب‌دیده را به حالت قبل از حادثه بازگرداند. پاک‌کردن، بازیابی و اتصال مجدد دیسک‌ها، دستگاه‌های کاربر و سایر اندپوینت‌ها، بازیابی ترافیک شبکه، راه‌اندازی مجدد برنامه‌ها و فرایندها بخشی از عملکرد بازیابی و اصلاح هستند. درصورت حمله باج‌افزار، بازیابی ممکن است شامل انتقال به سیستم‌های پشتیبان و تنظیم مجدد رمزهای عبور و مدارک احراز هویت باشد.

بررسی و اصلاح پس از حادثه

برای جلوگیری از تکرار حادثه، SOC باید از هرگونه اطلاعات جدید به‌دست‌آمده از حادثه برای رفع بهتر آسیب‌پذیری‌ها، به‌روزرسانی فرایندها و خط‌مشی‌ها، انتخاب ابزارهای جدید امنیت سایبری یا اصلاح برنامه پاسخ به حادثه استفاده کند.

مدیریت انطباق

SOC باید اطمینان حاصل کند که همه برنامه‌ها، سیستم‌ها، ابزارها و فرایندهای امنیتی با مقررات جهانی حفاظت از حریم خصوصی داده‌ها (GDPR) و قوانین مشابه مطابقت دارند.

 

مزایای مرکز عملیات امنیت (SOC)

برخی از مزایایی که یک مرکز عملیات امنیت برای سازمان‌ها فراهم می‌کند عبارت‌اند از:

• حفاظت از دارایی‌ها، داده‌های حساس و مالکیت معنوی؛
• جلوگیری از وقفه در فرایندهای کسب‌وکار؛
• رعایت مقررات و برآورده‌کردن الزامات نظارتی و استانداردهای صنعتی برای امنیت سایبری؛
• صرفه‌جویی در هزینه‌های ناشی از حملات سایبری؛
• ایجاد اعتماد در مشتریان و ذی‌نفعان سازمان؛
• پاسخ بهینه به حوادث با مهار تهدیدات و بازیابی سریع عملیات؛
• مدیریت ریسک بهبودیافته ازطریق تجزیه‌وتحلیل رویدادها و شناسایی آسیب‌پذیری‌های بالقوه سازمان؛
• تشخیص به‌موقع تهدید.

 

اعضای کلیدی تیم مرکز عملیات امنیت (SOC)

به‌طور کلی، نقش‌های اصلی در یک تیم SOC عبارت‌اند از:

• مدیر SOC که تیم را اداره می‌کند و به CISO (مدیر ارشد امنیت اطلاعات) سازمان گزارش می‌دهد.
• مهندسان امنیت که معماری امنیتی سازمان را ایجاد و مدیریت می‌کنند. ارزیابی، آزمایش، توصیه، پیاده‌سازی و نگهداری ابزارها و فناوری‌های امنیتی برعهده آنهاست.
• تحلیلگران امنیتی که اساساً اولین پاسخ‌دهندگان به تهدیدات یا حوادث امنیت سایبری هستند. شناسایی، بررسی و اولویت‌بندی تهدیدات ازجمله وظایف آنهاست.
• شکارچیان تهدید که در تشخیص و مهار تهدیدات پیشرفته که موفق به عبور از دفاع‌های خودکار می‌شوند، تخصص دارند.

تیم SOC ممکن است بسته به اندازه سازمان یا نوع صنعت، شامل متخصصان دیگری نیز باشد. شرکت‌های بزرگ‌تر ممکن است یک مدیر پاسخ به حادثه هم داشته باشند که مسئول برقراری ارتباط و هماهنگی است.