وظایف مرکز عملیات امنیت یا SOC

وظایف مرکز عملیات امنیت یا SOC چیست؟

مرکز عملیات امنیت یا SOC (Security Operation Center) یک واحد سازمانی یا تجاری است. فعالیت‌ها در مرکز عملیات امنیت به منظور مدیریت و بهبود وضعیت امنیتی کلی سازمان صورت می‌گیرد. وظیفه اصلی آن شناسایی، تجزیه و تحلیل و پاسخ به رویدادهای امنیت سایبری، از جمله تهدیدات و حوادث، به کارگیری افراد، فرآیندها و فناوری ‌می‌باشد. تیم‌ها مسئول مدیریت زیرساخت‌های امنیتی و پیکربندی و استقرار راه حل‌ها، ابزارها و محصولات مختلف امنیتی هستند. همانند سایر واحدهای سازمانی، چندین نقش و مسئولیت مختلف در یک SOC وجود دارد، از تحلیلگران سطح 1 تا نقش‌های تخصصی مانند شکارچیان تهدید را می‌توان نام برد.

نقش‌ها و مسئولیت‌های تیم مرکز عملیات امنیت SOC

تحلیل‌گر سطح 1

با استفاده از ابزار‌های پایش امنیت به صورت مداوم، هشدارها را دریافت و مورد بررسی قرار می‎دهند. آن‌ها نیاز به تأیید، تعیین یا تنظیم بحرانی هشدارها و غنی‌سازی آن‌ها با داده‌های مرتبط دارند. برای هر هشدار، باید تشخیص دهند که آیا هشدار به وجود آمده صحیح است یا مثبت کاذب می‌باشد. مسئولیت دیگر افراد در این سطح، شناسایی سایر رویدادهای پرخطر و حوادث احتمالی است. همه این موارد باید با توجه به بحرانی بودنشان اولویت بندی شوند. اگر حوادثی که در این سطح به وجود می‌آید قابل حل نیستند، باید به تحلیلگران سطح 2 منتقل شوند. علاوه بر این، این افراد اغلب ابزارهای نظارت امنیتی را مدیریت و پیکربندی می‌کنند.

تحلیل‌گر سطح 2

در این سطح، تحلیل‌گران حوادث امنیتی با اولویت بالاتر را که توسط تحلیل‌گران سطح 1 شناسایی شده‌اند را بررسی کرده و با استفاده از اطلاعات تهدید (شاخص‌‌های سازش، قوانین به‌روز شده، و غیره) ارزیابی عمیق‌تری انجام می‌دهند. آن‌ها باید دامنه حمله را درک کنند و از سیستم‌های آسیب‌دیده آگاه باشند. پاسخ‌دهندگان به حادثه مسئول طراحی و اجرای استراتژی‌هایی برای مهار و بازیابی یک حادثه هستند. اگر یک تحلیل‌گر سطح 2 با مشکلاتی در شناسایی یا کاهش حمله مواجه شود، با تحلیل‌گران سطح 2 دیگری مشورت می‌کنند، یا رخداد را برای تحلیل‎گر سطح 3 ارسال می‌کند.

تحلیل‌گر سطح 3

با تجربه‌ترین نیروی کار در تیم SOC هستند. این افراد ارزیابی‌های آسیب‌پذیری و تست‌های نفوذ را جهت شناسایی مسیر حمله احتمالی مهاجم برای ورود به سازمان را انجام می‌دهند یا حداقل بر آن‌ها نظارت می‌کنند. مهم‌ترین مسئولیت آن‌ها شناسایی به موقع تهدیدات احتمالی، شکاف‌های امنیتی و آسیب‌پذیری‌هایی می‌باشد که ممکن است ناشناخته باشند. آن‌ها همچنین باید راه‌هایی را برای بهینه‌سازی ابزارهای نظارت امنیتی مستقر شده توصیه کنند زیرا دانش معقولی در مورد تهدید احتمالی برای سیستم‌ها دارند. علاوه بر این، هر گونه هشدار امنیتی حیاتی، تهدید اطلاعات و سایر داده‌های امنیتی ارائه شده توسط تحلیل‌گران سطح 1 و 2 باید در این سطح بررسی ‌شود.

مدیر SOC

مدیر SOC منابع را به‌گونه‌ای مدیریت کرده که پرسنل، بودجه، آموزش، شیفت‌های کاری و فناوری‌های استراتژیک برای برآورده‌ کردن توافقنامه‌های سطح سرویس (SLA) به گونه‌ای صحیح به کار گرفته شوند؛ با مدیران سازمان در ارتباط است؛ در حوادثی که برای کسب‌وکار حیاتی هستند، نقش مرجع و نماینده سازمان را ایفا می‌کند؛ مسیر کلی مرکز SOC را تعیین کرده و در تعیین استراتژی کلی امنیت سازمان اظهار نظر می‌کند. از ممیزی‌های امنیتی پشتیبانی می‌کنند و همچنین به ارشد امنیت اطلاعات (CISO) یا یک مقام مدیریتی سطح بالا گزارش می‌دهند.

علاوه بر نقش‌های لایه‌ای، نقش‌های فنی و تخصصی متعددی وجود دارد که عبارتند از:

Malware Analysts or Reverse Engineers

تحلیل‌گران بدافزار یا مهندسان معکوس در پاسخ به تهدیدات پیچیده توسط بدافزار و یا مهندسی معکوس از SOC سازمان پشتیبانی می‌کنند تا به اطلاع‌رسانی در تحقیقات رخداد، ارائه اطلاعات تهدید به تیم SOC و بهبود شناسایی و پاسخ در آینده کمک کنند.

Threat Hunters

شکارچیان تهدیدات (که در سطح 2 قرار ‌می‌گیرند) به طور فعال به دنبال تهدیدات داخل سازمان هستند در حالی که این کار توسط تحلیلگران سطح 3 نیز انجام می‌شود، اما وجود یک نقش تخصصی می‌تواند بررسی گزارش‌ها، جستجوی هرچه سریعتر برای تهدیدات یا تحقیقات خارج از سازمان با تجزیه و تحلیل اطلاعات تهدید در دسترس عموم باشد.

Forensics Specialists or Analysts

متخصصان یا تحلیل‌گران جرم‌شناسی، رویدادها یا جرایم سایبری مربوط به سیستم‌ها، شبکه‌ها و شواهد دیجیتال فناوری اطلاعات (IT) را مورد بررسی و تحقیق قرار می‌دهند.

Vulnerability Managers

این گروه به طور مداوم آسیب‌پذیری‌ها را در نقاط پایانی، حجم کار و سیستم‌ها شناسایی، ارزیابی، گزارش، مدیریت و اصلاح می‌کنند.

Consulting Roles

دو نقش مهم این گروه، معمار امنیتی (SA) و مشاور امنیتی است. SA یک زیرساخت امنیتی قوی را در یک شرکت برنامه‌ریزی، تحقیق و طراحی می‌کند. SAها به طور منظم آزمایش‌های مربوط به سیستم و آسیب‌پذیرها را انجام می‌دهند. آن‌ها همچنین مسئول ایجاد مراحل بازیابی هستند. مشاوران امنیتی اغلب در مورد استانداردهای امنیتی، بهترین شیوه‌های امنیتی و سیستم‌های امنیتی تحقیق می‌کنند. همچنین می‌توانند به برنامه‌ریزی، تحقیق و طراحی معماری‌های امنیتی قوی کمک کنند.