Security Operations Center یا SOC چیست ؟
بررسی Security Operations Center یا SOC چیست ؟
شاید شما هم مانند خیلی از افرادی که پا به دنیای سایبری میزارید اسم های رو میشنوید که براتون جالبه که بدونید تعریف اون کلمه چی هست
یا که به خوبی تعریف انها رو درک نمیکنید. امروز ما تصمیم گرفتیم راجب یکی از اسامی جالب صحبت کنیم که به آن “Security Operations Center (SOC)” گویند اگر بخواهیم به صورت کلی SOC را تعریف کنیم میگیم که یک تیم هست که متشکل از متخصصان امنیت فناوری اطلاعات است که کل زیرساخت فناوری اطلاعات یک سازمان را به صورت 24 ساعته نظارت می کند تا رویدادهای امنیت سایبری را شناسایی کنند, در ادامه بیشتر با Security Operations Center (SOC) چیست ؟ آشنا خواهیم شد.
Security Operations Center چیست ؟ یا همان SOC چیست ؟
همانطور که مقدمه گفتیم به زبان ساده که SOC یک تیم هست که متشکل از متخصصان امنیت فناوری اطلاعات است
که کل زیرساخت فناوری اطلاعات یک سازمان را به صورت 24 ساعته نظارت می کند تا رویدادهای امنیت سایبری را شناسایی کنند همچنین تیم SOC استراتژی کلی امنیت سایبری سازمان را اجرا می کند و به عنوان نقطه مرکزی همکاری برای نظارت، ارزیابی و دفاع در برابر حملات سایبری عمل می کند.
همچنین در ادامه باید بگیم که SOC همچنین فناوریهای امنیت سایبری سازمان را انتخاب، اجرا و نگهداری میکند و به طور مداوم دادههای تهدید حساب میشوند را برای یافتن راههایی برای بهبود وضعیت امنیتی سازمان تجزیه و تحلیل میکند.
نکته : SOC همچنین می تواند اعتماد مشتری را بهبود ببخشد.
SOC چیست ؟ و چه کاری انجام می دهد ؟
به طور کلی فعالیت ها و مسئولیت های SOC به سه دسته کلی تقسیم می شوند.
- Preparation
- Planning
- Prevention
در ادامه راجب این سه مورد به صورت کلی صحبت میکنیم :
SOC باید فهرست کاملی از هر چیزی که باید در داخل یا خارج از مرکز داده محافظت شود (مانند برنامهها، پایگاههای داده، سرورها، سرویسهای ابری، و غیره) و همه ابزارهای مورد استفاده برای محافظت از آنها (فایروالها، آنتیویروسها) نگهداری کند. ابزارهای /anti-malware/anti-ransomware، نرم افزار نظارت و غیره). بسیاری از SOC ها از یک asset discovery solution برای این کار استفاده می کنند.
آماده سازی
برای به حداکثر رساندن اثربخشی ابزارها و اقدامات امنیتی موجود، SOC تعمیر و نگهداری پیشگیرانه مانند
اعمال وصلههای (patches) نرمافزاری و ارتقاء، و بهروزرسانی مستمر فایروالها، لیستهای سفید و سیاه و سیاستها و رویههای امنیتی را انجام میدهد. SOC همچنین ممکن است پشتیبانگیری از سیستم ایجاد کند یا به ایجاد back-up policy یا procedures کمک کند تا از تداوم کسبوکار در صورت نقض داده، حمله باجافزار یا سایر حوادث امنیت سایبری اطمینان حاصل کند.
برنامه ریزی
SOC مسئول توسعه واکنش ها به حوادث سازمان است که فعالیتها، نقشها، مسئولیتها را در صورت بروز یک تهدید یا حادثه تعریف میکند.
تست کردن منظم یا پیشگیری
تیم SOC که ارزیابیهای آسیب پذیری را انجام میدهد حملات خاص را بر روی یک سیستم دیگر شبیهسازی میکند. تیم برنامهها، سیاستهای امنیتی، بهترین شیوهها و طرحهای واکنش به حادثه را بر اساس نتایج این آزمایشها اصلاح یا تنظیم دقیق میکند.
نکته : منظور ما از مورد بالا این هست که تیم SOC به صورت دوره ای سازمان رو برسی کنند
و ارزیابیهای انجام بدهند یا به عبارت دیگر تیم SOC دوره ای سازمان را مورد تست و نفوذ قرار بدهد تا اسیب پزیری های احتمالی را کشف کنند.
بررسی چالش های SOC
تیم های SOC باید دائماً یک قدم جلوتر از مهاجمان باشند. در سال های اخیر، این امر بیش از پیش دشوارتر شده است. سه چالش اصلی که هر تیم SOC با آن مواجه است به شرح زیر است :
- Shortage of cybersecurity skills
- Too many alerts
- Operational Overhead
Shortage of cybersecurity skills
بر اساس نظرسنجی Dimensional Research، 53 درصد از SOC ها در استخدام پرسنل ماهر با مشکل مواجه هستند. این بدان معنی است که بسیاری از تیم های SOC کم کار هستند و فاقد مهارت های پیشرفته لازم برای شناسایی و پاسخگویی به موقع و موثر به تهدیدات هستند.
Too many alert
از آنجایی که سازمان ها ابزارهای جدیدی را برای تشخیص تهدید اضافه می کنند، حجم هشدارهای امنیتی به طور مداوم افزایش می یابد.
با توجه به اینکه تیم های امنیتی امروز غرق در کار هستند، تعداد زیاد هشدارهای تهدید می تواند باعث خستگی تهدید شود. علاوه بر این، بسیاری از این هشدارها اطلاعات کافی، زمینه را برای بررسی فراهم نمیکنند یا مثبت کاذب هستند. نکات مثبت کاذب نه تنها زمان و منابع را هدر می دهند، بلکه می توانند تمرکز تیم ها را از حوادث واقعی منحرف کنند.
Operational Overhead
بسیاری از سازمان ها از مجموعه ای از ابزارهای امنیتی جدا شده استفاده می کنند.
این بدان معناست که پرسنل امنیتی باید هشدارها و سیاست های امنیتی را بین محیط ها ترجمه کنند که منجر به عملیات امنیتی پرهزینه، پیچیده و ناکارآمد می شود.
خوب بگذارید کمی بیشتر و کامل تر راجب چالش های SOC با هم صحبت کنیم در ادامه باید بگیم که برای بسیاری از تیمهای Security Operations Center (SOC)
یافتن فعالیتهای مخرب در داخل شبکه مانند یافتن یک سوزن در انبار کاه است. آنها اغلب مجبور میشوند اطلاعات حاصل از راهحلهای نظارتی متعدد را جمعآوری کنند و از میان دهها هزار هشدار روزانه عبور کنند.
- Check Point Horizon که برای مقابله با چالشهای SOC طراحی شده است
تیمهای امنیتی را قادر میسازد تا حملات را سریعتر و با دقت 99.9 درصد شناسایی و بررسی و خاموش (جلوگیری) کنند. به راحتی به عنوان یک پلت فرم یکپارچه مبتنی بر ابر (cloud-based) مستقر می شود، - Horizon SOC فراتر از XDR با تجزیه و تحلیل حوادث مبتنی بر هوش مصنوعی (AI-based) است.
Check Point Horizon به شرکت ها کمک می کند از شبکه های خود با ارائه موارد زیر محافظت کنند :
- دقت بی نظیر برای شناسایی سریع و خاموش کردن حملات
- بررسی سریع حمله