ده عملکرد کلیدی قابل انجام توسط مرکز عملیات امنیت SOC

در حالی که سروکار داشتن با حوادث بخش اعظمی از منابع SOC را در انحصار خود در ‌می‌آورد، افسر ارشد امنیت اطلاعات (CISO) باید دید کلی تری از ریسک و انطباق داشته باشد. استراتژی موثر برای ایجاد اتصال در سیلوهای عملیاتی و داده در طول این توابع، نیازمند نوعی معماری امنیتی تطبیقی است تا سازمان‌‌ها توانایی اجرای بهینه‌ی عملیات امنیتی را داشته باشند. این رویکرد از طریق یکپارچه سازی، اتوماسیون و هماهنگی موجب افزایش کارایی می‌شود و میزان ساعات کار مورد نیاز را کاهش داده و در عین حال وضعیت مدیریت امنیت اطلاعات را بهبود ‌می‌بخشد.

یک مدل بهینه‌ی عملیات امنیتی نیازمند اتخاذ چارچوب امنیتی است که ادغام راهکارهای امنیتی و هوش تهدیدات را در فرآیندهای روزمره آسان ‌می‌کند. ابزارهای SOC از قبیل داشبوردهای عملی و متمرکز با کمک به ادغام داده‌های تهدید در داشبوردها و گزارش‌های نظارت امنیتی موجب ‌می‌شوند که عملیات‌ها و مدیریت، از رویدادها و فعالیت‌های در حال تحول مطلع شوند.

تیم‌های SOC ‌می‌توانند از طریق مرتبط کردن مدیریت تهدید با سیستم‌های دیگر مدیریت ریسک و انطباق، وضعیت کلی ریسک را بهتر مدیریت کنند. چنین پیکربندی‌هایی از رویت‌پذیری پیوسته در سراسر سیستم‌ها و دامنه‌ها پشتیبانی می‌کنند و می‌توانند از هوش عملی برای ایجاد دقت و ثبات بهتر در عملیات امنیتی استفاده کنند. توابع متمرکز از تمامی جهات موجب کاهش بارِ اشتراک دستی داده‌‌ها، حسابرسی و گزارش‌ها ‌می‌شوند.

عملیاتی کردن مدیریت تهدید باید با یک ارزیابی متفکرانه آغاز شود. سازمان ‌می‌بایست علاوه بر حفاظت‌ها، فرآیندها و سیاست‌‌ها را هم ارزیابی کند. نقاط قوت سازمان چیست؟ شکاف‌‌ها کجاست؟ وضعیت خطر چیست؟ چه داده‌‌هایی جمع آوری ‌می‌شود و چه مقدار از آن داده‌‌ها استفاده ‌می‌شود؟

10 عملکرد کلیدی قابل انجام توسط SOC

باوجود آنکه هر سازمانی متفاوت است، قابلیت‌های اصلی مشخص و بهترین شیوه‌های عملیات امنیتی، نشان‌دهنده مراقبت‌های لازم هستند. یک فرآیند منطقیِ مدیریت تهدید، با یک برنامه شروع ‌می‌شود و دربرگیرنده‌ی اکتشاف (شامل محاسبات اساسی برای ترویج تشخیص ناهنجاری، عادی سازی و همبستگی)، اولویت بندی (مبتنی بر ریسک و ارزش دارایی)، تجزیه و تحلیل (شامل زمینه سازی)، و درجه‌بندی (شامل بررسی مکرر) است. فرآیندهای مدیریت تهدید، موارد اولویت‌دار و مشخص‌شده را وارد برنامه‌های پاسخ به حادثه می‌کنند. طرح‌های پاسخ مناسب از ضروریات مهار تهدید یا به حداقل رساندن آسیب ناشی از نقض داده‌ها هستند.

رویت پذیری موثر و مدیریت تهدید از منابع داده‌ی بسیاری استفاده ‌می‌کند، اما مرتب کردن اطلاعات مفید و به ‎هنگام ‌می‌تواند دشوار باشد. باارزش‌ترین داده‌ها، داده‌های رویداد حاصل شده از اقدامات متقابل و دارایی‌های فناوری اطلاعات، شاخص‌های سازش (IOCs) تولید شده در داخل (از طریق تحلیل بدافزار) و خارج (از طریق فیدهای هوش تهدید)، و داده‌های سیستم حاصل شده از حسگرها (مانند میزبان، شبکه، پایگاه داده و غیره) هستند.

منابع داده‌ی مشابه این موارد فقط ورودی مدیریت تهدید نیستند، بلکه با اضافه کردن ماهیت باعث ‌می‌شوند که اطلاعات برای ارزیابی دقیق‌، صحیح و سریع در طول تلاش تکراری و تعاملی مدیریت تهدید، ارزشمند و قابل اجرا شود. دسترسی و استفاده مؤثر از داده‌های مناسب برای پشتیبانی از طرح‌ها و رویّه‌ها، معیار بلوغ سازمانی است.

یک برنامه‌ی «حساب شده» دربرگیرنده‌ی روند کاری است که اطلاعات درستی را ارائه ‌می‌دهد و یا امکان اقدام مستقیم درون کنسول‌‌های عملیاتی و محصولات را فراهم ‌می‌کند. این روند، در پاسخ به حادثه در هنگام وقوع یک رویداد مهم، عملیات فناوری اطلاعات و تیم‌ها و ابزارهای امنیتی را باهم تلفیق ‌می‌کند.

تمام این ارزیابی‌ها به اولویت‌بندی در مواردی که افزایش سرمایه‌گذاری یا کاهش اصطکاک برای مطابقت اهداف با اجرای مدیریت تهدید ضروری است، کمک می‌کند. مشاوران و تست نفوذ می‌توانند به سنجش استراتژی و بلوغ سازمانی و پاسخ امنیتی بررسی سلامت در برابر حملات کمک کنند، تا معیاری از توانایی سازمان در شناسایی و مهار رویدادهای مخرب بدست آید. این بررسی عمیق در مقایسه با شرکت‌‌های همتا ‌می‌تواند به توجیه و توضیح نیاز به تغییر مسیر یا سرمایه گذاری در منابع عملیات امنیت سایبری کمک کند.

  1. بررسی منابع موجود

SOC  مسئول دو نوع دارایی است: دستگاه‌ها، فرآیندها و برنامه‌های مختلفی که وظیفه حفاظت از آنها را بر عهده دارند؛ و ابزارهای دفاعی در اختیار برای کمک به تضمین این محافظت.

آنچه SOC از آن محافظت ‌می‌کند

SOC نمی تواند از دستگاه‌‌ها و داده‌‌هایی که قادر به رویت آنها نیست، محافظت کند. بدون وجود رویت‌پذیری و کنترل از دستگاه به ابر، احتمالاً نقاط کوری در وضعیت امنیتی شبکه وجود خواهند داشت که قابل یافت و سوء استفاده باشند. بنابراین هدف SOC این است که دید کاملی از دورنمای تهدید کسب‌وکار بدست آورد. این دید کامل نه تنها شامل انواع مختلف End point ها، سرورها و نرم‌افزارهای موجود در محل است، بلکه شامل خدمات شخص ثالث و ترافیک جریان یافته بین این دارایی‌ها نیز ‌می‌شود.

نحوه‌ی محافظت SOC چگونه است

SOC باید از همه ابزارهای امنیت سایبری موجود و تمام روندهای کاری مورد استفاده در SOC ، درک کاملی داشته باشد. این قابلیت موجب افزایش چابکی شده و به SOC اجازه ‌می‌دهد تا در اوج بازدهی فعالیت کند.

  1. آماده سازی و نگهداری پیشگیرانه

حتی مجهزترین و چابک ترین فرآیندهای پاسخگویی هم در وهله‌ی اول برای پیشگیری از بروز مشکلات همخوانی ندارند. SOC برای کمک به دور نگه داشتن مهاجمان اقدامات پیشگیرانه‌ای انجام می‌دهد که ‌می‌توان آنها را به دو دسته‌ی اصلی تقسیم کرد:

آماده سازی

اعضای تیم باید از جدیدترین نوآوری‌‌های امنیتی، آخرین متدهای جرایم سایبری و سیر تهدیدات قریب‌الوقوع مطلع باشند. این تحقیق می‌تواند در ایجاد نقشه‌ی راه امنیتی که مسیر تلاش‌های امنیت سایبری شرکت را در آینده مشخص می‌کند کمک کرده و در ایجاد طرح بازیابی فاجعه که به عنوان راهنمایی آماده در بدترین شرایط عمل می‌کند، مفید واقع شود.

10 عملکرد کلیدی قابل انجام توسط SOC

نگهداری پیشگیرانه

این مرحله شامل تمام اقدامات انجام شده برای دشوارتر کردن حملات موفقیت آمیز است و نگهداری و به روز رسانی منظم سیستم‌‌های موجود؛ به روز رسانی خطوط مشی فایروال؛ اصلاح آسیب پذیری‌‌ها؛ و قرار دادن در لیست سیاه و سفید و ایمن کردن برنامه‌ها  را در بر می‌گیرد.

  1. نظارت پیشگیرانه مستمر

ابزارهای مورد استفاده توسط SOC هر لحظه در حال بررسی شبکه هستند تا هرگونه ناهنجاری یا فعالیت مشکوک را علامت گذاری کنند. نظارت شبانه روزی شبکه این امکان را به SOC ‌می‌دهد تا فوراً از تهدیدات در حال ظهور مطلع شود و برای جلوگیری از آسیب یا کاهش آن فرصت مناسبی دراختیار داشته باشد. ابزارهای نظارتی می‌توانند شامل یک SIEM یا یک EDR، و حتی یک SOAR یا یک XDR باشند، که پیشرفته‌ترین آن‌ها می‌تواند با استفاده از تجزیه و تحلیل رفتاری تفاوت بین عملیات معمولی روزانه و رفتار واقعی تهدید را به سیستم‌ها «آموزش» دهد و میزان اولویت‌بندی و تحلیلی را که باید توسط انسان انجام شود به حداقل برساند.

  1. رتبه بندی هشدار و مدیریت

هنگامی که ابزارهای نظارتی هشدار می‌دهند، مسئولیت SOC این است که هریک از هشدارها را به دقت بررسی کند، هر گونه مثبتِ کاذب را کنار بگذارد و میزان تهاجمی بودن هر تهدید واقعی و مسئله‌ی مورد هدف آن را تعیین کند. این کار باعث می‌شود که تهدیدات نوظهور به‌طور مناسب اولویت‌بندی شوند و فوری‌ترین مسائل در ابتدا مورد بررسی قرار بگیرند.

  1. پاسخ به تهدید

اینها اقداماتی هستند که اکثر افراد هنگام فکر کردن به SOC به آنها فکر ‌می‌کنند. به محض تایید یک حادثه SOC به عنوان اولین پاسخ دهنده عمل ‌می‌کند، اقداماتی مانند خاموش کردن یا جداسازی End point ها، خاتمه دادن به فرآیندهای مضر (یا جلوگیری از اجرای آنها)، حذف فایل‌‌ها و غیره را انجام ‌می‌دهد. هدف این است که پاسخ مناسبی به تهدید داده شود و در عین حال کمترین تأثیر را بر تداوم کسب و کار بگذارد.

  1. بازیابی و اصلاح

پس از هر حادثه، SOC برای بازیابی سیستم‌‌ها و احیای هرگونه داده‌ی از دست رفته یا در معرض خطر شروع به کار خواهد کرد. ممکن است این فرآیند  شامل پاک کردن و راه‌اندازی مجدد End point ها، پیکربندی مجدد سیستم‌ها یا در مورد حملات باج‌افزار استقرار پشتیبان‌های قابل اجرا برای دور زدن باج‌افزار باشد. در صورت موفقیت آمیز بودن این فرآیند، شبکه به حالت قبل از حادثه برمی‌گردد.

  1. مدیریت ورود به سیستم

SOC مسئول جمع آوری، نگهداری و بررسی منظم گزارش تمام فعالیت‌‌ها و ارتباطات شبکه برای کل سازمان است. این داده‌‌ها به تعریف یک خط پایه برای فعالیت «عادی» شبکه کمک می‌کند و می‌تواند وجود تهدیدات را آشکار کند، و برای اصلاح و بررسی قانونی در عواقب یک حادثه استفاده شود. بسیاری از SOCها در جمع آوری و همبستگی داده‌ی برنامه‌‌ها، فایروال‌‌ها، سیستم عامل‌‌ها و End point ها که گزارش‌‌های داخلی خود را تولید ‌می‌کنند، از SIEM استفاده ‌می‌کنند.

  1. بررسی علت ریشه‌ای

پس از حادثه SOC مسئول تعیین دقیق زمان، علت و نحوه‌ی حادثه است. در طی این بررسی، SOC از داده‌های گزارش و سایر اطلاعات برای ردیابی مشکل تا منبع آن استفاده کرده و از بروز مشکلات مشابه در آینده جلوگیری می‌کند.

  1. اصلاح و بهبود امنیت

مجرمان سایبری به طور مداوم ابزارها و شگردهای خود را اصلاح ‌می‌کنند، بنابراین SOC باید به طور مداوم به اعمال اصلاحات بپردازد. طی این مرحله، طرح‌های مشخص شده در نقشه‌ی مسیر امنیتی به اجرا در می‌آیند، اما این اصلاحات می‌توانند شامل تمرین‌های عملی مانند Red Team و Purple team نیز باشد.

  1. مدیریت انطباق

بسیاری از فرآیندهای SOC توسط بهترین شیوه‌‌های تثبیت شده و برخی از آنها توسط الزامات انطباق هدایت ‌می‌شوند. SOC مسئول حسابرسی منظم سیستم‌‌ها برای اطمینان از انطباق با مقرراتی است که ممکن است توسط سازمان، صنعت یا نهادهای حاکم صادر شده باشد. نمونه‌‌هایی از این مقررات عبارتند از GDPR، HIPAA، و PCI DSS. عمل به این مقررات نه تنها به محافظت از داده‌‌های حساسی که به شرکت سپرده شده است کمک ‌می‌کند، بلکه ‌می‌تواند سازمان را در برابر آسیب‌‌های اعتباری و چالش‌‌های قانونی ناشی از تخلف محافظت کند.