ده عملکرد کلیدی قابل انجام توسط مرکز عملیات امنیت SOC
در حالی که سروکار داشتن با حوادث بخش اعظمی از منابع SOC را در انحصار خود در میآورد، افسر ارشد امنیت اطلاعات (CISO) باید دید کلی تری از ریسک و انطباق داشته باشد. استراتژی موثر برای ایجاد اتصال در سیلوهای عملیاتی و داده در طول این توابع، نیازمند نوعی معماری امنیتی تطبیقی است تا سازمانها توانایی اجرای بهینهی عملیات امنیتی را داشته باشند. این رویکرد از طریق یکپارچه سازی، اتوماسیون و هماهنگی موجب افزایش کارایی میشود و میزان ساعات کار مورد نیاز را کاهش داده و در عین حال وضعیت مدیریت امنیت اطلاعات را بهبود میبخشد.
یک مدل بهینهی عملیات امنیتی نیازمند اتخاذ چارچوب امنیتی است که ادغام راهکارهای امنیتی و هوش تهدیدات را در فرآیندهای روزمره آسان میکند. ابزارهای SOC از قبیل داشبوردهای عملی و متمرکز با کمک به ادغام دادههای تهدید در داشبوردها و گزارشهای نظارت امنیتی موجب میشوند که عملیاتها و مدیریت، از رویدادها و فعالیتهای در حال تحول مطلع شوند.
تیمهای SOC میتوانند از طریق مرتبط کردن مدیریت تهدید با سیستمهای دیگر مدیریت ریسک و انطباق، وضعیت کلی ریسک را بهتر مدیریت کنند. چنین پیکربندیهایی از رویتپذیری پیوسته در سراسر سیستمها و دامنهها پشتیبانی میکنند و میتوانند از هوش عملی برای ایجاد دقت و ثبات بهتر در عملیات امنیتی استفاده کنند. توابع متمرکز از تمامی جهات موجب کاهش بارِ اشتراک دستی دادهها، حسابرسی و گزارشها میشوند.
عملیاتی کردن مدیریت تهدید باید با یک ارزیابی متفکرانه آغاز شود. سازمان میبایست علاوه بر حفاظتها، فرآیندها و سیاستها را هم ارزیابی کند. نقاط قوت سازمان چیست؟ شکافها کجاست؟ وضعیت خطر چیست؟ چه دادههایی جمع آوری میشود و چه مقدار از آن دادهها استفاده میشود؟
باوجود آنکه هر سازمانی متفاوت است، قابلیتهای اصلی مشخص و بهترین شیوههای عملیات امنیتی، نشاندهنده مراقبتهای لازم هستند. یک فرآیند منطقیِ مدیریت تهدید، با یک برنامه شروع میشود و دربرگیرندهی اکتشاف (شامل محاسبات اساسی برای ترویج تشخیص ناهنجاری، عادی سازی و همبستگی)، اولویت بندی (مبتنی بر ریسک و ارزش دارایی)، تجزیه و تحلیل (شامل زمینه سازی)، و درجهبندی (شامل بررسی مکرر) است. فرآیندهای مدیریت تهدید، موارد اولویتدار و مشخصشده را وارد برنامههای پاسخ به حادثه میکنند. طرحهای پاسخ مناسب از ضروریات مهار تهدید یا به حداقل رساندن آسیب ناشی از نقض دادهها هستند.
رویت پذیری موثر و مدیریت تهدید از منابع دادهی بسیاری استفاده میکند، اما مرتب کردن اطلاعات مفید و به هنگام میتواند دشوار باشد. باارزشترین دادهها، دادههای رویداد حاصل شده از اقدامات متقابل و داراییهای فناوری اطلاعات، شاخصهای سازش (IOCs) تولید شده در داخل (از طریق تحلیل بدافزار) و خارج (از طریق فیدهای هوش تهدید)، و دادههای سیستم حاصل شده از حسگرها (مانند میزبان، شبکه، پایگاه داده و غیره) هستند.
منابع دادهی مشابه این موارد فقط ورودی مدیریت تهدید نیستند، بلکه با اضافه کردن ماهیت باعث میشوند که اطلاعات برای ارزیابی دقیق، صحیح و سریع در طول تلاش تکراری و تعاملی مدیریت تهدید، ارزشمند و قابل اجرا شود. دسترسی و استفاده مؤثر از دادههای مناسب برای پشتیبانی از طرحها و رویّهها، معیار بلوغ سازمانی است.
یک برنامهی «حساب شده» دربرگیرندهی روند کاری است که اطلاعات درستی را ارائه میدهد و یا امکان اقدام مستقیم درون کنسولهای عملیاتی و محصولات را فراهم میکند. این روند، در پاسخ به حادثه در هنگام وقوع یک رویداد مهم، عملیات فناوری اطلاعات و تیمها و ابزارهای امنیتی را باهم تلفیق میکند.
تمام این ارزیابیها به اولویتبندی در مواردی که افزایش سرمایهگذاری یا کاهش اصطکاک برای مطابقت اهداف با اجرای مدیریت تهدید ضروری است، کمک میکند. مشاوران و تست نفوذ میتوانند به سنجش استراتژی و بلوغ سازمانی و پاسخ امنیتی بررسی سلامت در برابر حملات کمک کنند، تا معیاری از توانایی سازمان در شناسایی و مهار رویدادهای مخرب بدست آید. این بررسی عمیق در مقایسه با شرکتهای همتا میتواند به توجیه و توضیح نیاز به تغییر مسیر یا سرمایه گذاری در منابع عملیات امنیت سایبری کمک کند.
- بررسی منابع موجود
SOC مسئول دو نوع دارایی است: دستگاهها، فرآیندها و برنامههای مختلفی که وظیفه حفاظت از آنها را بر عهده دارند؛ و ابزارهای دفاعی در اختیار برای کمک به تضمین این محافظت.
آنچه SOC از آن محافظت میکند
SOC نمی تواند از دستگاهها و دادههایی که قادر به رویت آنها نیست، محافظت کند. بدون وجود رویتپذیری و کنترل از دستگاه به ابر، احتمالاً نقاط کوری در وضعیت امنیتی شبکه وجود خواهند داشت که قابل یافت و سوء استفاده باشند. بنابراین هدف SOC این است که دید کاملی از دورنمای تهدید کسبوکار بدست آورد. این دید کامل نه تنها شامل انواع مختلف End point ها، سرورها و نرمافزارهای موجود در محل است، بلکه شامل خدمات شخص ثالث و ترافیک جریان یافته بین این داراییها نیز میشود.
نحوهی محافظت SOC چگونه است
SOC باید از همه ابزارهای امنیت سایبری موجود و تمام روندهای کاری مورد استفاده در SOC ، درک کاملی داشته باشد. این قابلیت موجب افزایش چابکی شده و به SOC اجازه میدهد تا در اوج بازدهی فعالیت کند.
- آماده سازی و نگهداری پیشگیرانه
حتی مجهزترین و چابک ترین فرآیندهای پاسخگویی هم در وهلهی اول برای پیشگیری از بروز مشکلات همخوانی ندارند. SOC برای کمک به دور نگه داشتن مهاجمان اقدامات پیشگیرانهای انجام میدهد که میتوان آنها را به دو دستهی اصلی تقسیم کرد:
آماده سازی
اعضای تیم باید از جدیدترین نوآوریهای امنیتی، آخرین متدهای جرایم سایبری و سیر تهدیدات قریبالوقوع مطلع باشند. این تحقیق میتواند در ایجاد نقشهی راه امنیتی که مسیر تلاشهای امنیت سایبری شرکت را در آینده مشخص میکند کمک کرده و در ایجاد طرح بازیابی فاجعه که به عنوان راهنمایی آماده در بدترین شرایط عمل میکند، مفید واقع شود.
نگهداری پیشگیرانه
این مرحله شامل تمام اقدامات انجام شده برای دشوارتر کردن حملات موفقیت آمیز است و نگهداری و به روز رسانی منظم سیستمهای موجود؛ به روز رسانی خطوط مشی فایروال؛ اصلاح آسیب پذیریها؛ و قرار دادن در لیست سیاه و سفید و ایمن کردن برنامهها را در بر میگیرد.
- نظارت پیشگیرانه مستمر
ابزارهای مورد استفاده توسط SOC هر لحظه در حال بررسی شبکه هستند تا هرگونه ناهنجاری یا فعالیت مشکوک را علامت گذاری کنند. نظارت شبانه روزی شبکه این امکان را به SOC میدهد تا فوراً از تهدیدات در حال ظهور مطلع شود و برای جلوگیری از آسیب یا کاهش آن فرصت مناسبی دراختیار داشته باشد. ابزارهای نظارتی میتوانند شامل یک SIEM یا یک EDR، و حتی یک SOAR یا یک XDR باشند، که پیشرفتهترین آنها میتواند با استفاده از تجزیه و تحلیل رفتاری تفاوت بین عملیات معمولی روزانه و رفتار واقعی تهدید را به سیستمها «آموزش» دهد و میزان اولویتبندی و تحلیلی را که باید توسط انسان انجام شود به حداقل برساند.
- رتبه بندی هشدار و مدیریت
هنگامی که ابزارهای نظارتی هشدار میدهند، مسئولیت SOC این است که هریک از هشدارها را به دقت بررسی کند، هر گونه مثبتِ کاذب را کنار بگذارد و میزان تهاجمی بودن هر تهدید واقعی و مسئلهی مورد هدف آن را تعیین کند. این کار باعث میشود که تهدیدات نوظهور بهطور مناسب اولویتبندی شوند و فوریترین مسائل در ابتدا مورد بررسی قرار بگیرند.
- پاسخ به تهدید
اینها اقداماتی هستند که اکثر افراد هنگام فکر کردن به SOC به آنها فکر میکنند. به محض تایید یک حادثه SOC به عنوان اولین پاسخ دهنده عمل میکند، اقداماتی مانند خاموش کردن یا جداسازی End point ها، خاتمه دادن به فرآیندهای مضر (یا جلوگیری از اجرای آنها)، حذف فایلها و غیره را انجام میدهد. هدف این است که پاسخ مناسبی به تهدید داده شود و در عین حال کمترین تأثیر را بر تداوم کسب و کار بگذارد.
- بازیابی و اصلاح
پس از هر حادثه، SOC برای بازیابی سیستمها و احیای هرگونه دادهی از دست رفته یا در معرض خطر شروع به کار خواهد کرد. ممکن است این فرآیند شامل پاک کردن و راهاندازی مجدد End point ها، پیکربندی مجدد سیستمها یا در مورد حملات باجافزار استقرار پشتیبانهای قابل اجرا برای دور زدن باجافزار باشد. در صورت موفقیت آمیز بودن این فرآیند، شبکه به حالت قبل از حادثه برمیگردد.
- مدیریت ورود به سیستم
SOC مسئول جمع آوری، نگهداری و بررسی منظم گزارش تمام فعالیتها و ارتباطات شبکه برای کل سازمان است. این دادهها به تعریف یک خط پایه برای فعالیت «عادی» شبکه کمک میکند و میتواند وجود تهدیدات را آشکار کند، و برای اصلاح و بررسی قانونی در عواقب یک حادثه استفاده شود. بسیاری از SOCها در جمع آوری و همبستگی دادهی برنامهها، فایروالها، سیستم عاملها و End point ها که گزارشهای داخلی خود را تولید میکنند، از SIEM استفاده میکنند.
- بررسی علت ریشهای
پس از حادثه SOC مسئول تعیین دقیق زمان، علت و نحوهی حادثه است. در طی این بررسی، SOC از دادههای گزارش و سایر اطلاعات برای ردیابی مشکل تا منبع آن استفاده کرده و از بروز مشکلات مشابه در آینده جلوگیری میکند.
- اصلاح و بهبود امنیت
مجرمان سایبری به طور مداوم ابزارها و شگردهای خود را اصلاح میکنند، بنابراین SOC باید به طور مداوم به اعمال اصلاحات بپردازد. طی این مرحله، طرحهای مشخص شده در نقشهی مسیر امنیتی به اجرا در میآیند، اما این اصلاحات میتوانند شامل تمرینهای عملی مانند Red Team و Purple team نیز باشد.
- مدیریت انطباق
بسیاری از فرآیندهای SOC توسط بهترین شیوههای تثبیت شده و برخی از آنها توسط الزامات انطباق هدایت میشوند. SOC مسئول حسابرسی منظم سیستمها برای اطمینان از انطباق با مقرراتی است که ممکن است توسط سازمان، صنعت یا نهادهای حاکم صادر شده باشد. نمونههایی از این مقررات عبارتند از GDPR، HIPAA، و PCI DSS. عمل به این مقررات نه تنها به محافظت از دادههای حساسی که به شرکت سپرده شده است کمک میکند، بلکه میتواند سازمان را در برابر آسیبهای اعتباری و چالشهای قانونی ناشی از تخلف محافظت کند.