Security Operations Center یا SOC چیست ؟

بررسی Security Operations Center یا SOC چیست ؟

شاید شما هم مانند خیلی از افرادی که پا به دنیای سایبری میزارید اسم های رو میشنوید که براتون جالبه که بدونید تعریف اون کلمه چی هست
یا که به خوبی تعریف انها رو درک نمیکنید. امروز ما تصمیم گرفتیم راجب یکی از اسامی  جالب صحبت کنیم که به آن “Security Operations Center (SOC)” گویند اگر بخواهیم به صورت کلی SOC را تعریف کنیم میگیم که یک تیم هست که متشکل از متخصصان امنیت فناوری اطلاعات است که کل زیرساخت فناوری اطلاعات یک سازمان را به صورت 24 ساعته نظارت می کند تا رویدادهای امنیت سایبری را شناسایی کنند, در ادامه بیشتر با Security Operations Center (SOC) چیست ؟ آشنا خواهیم شد.

Security Operations Center چیست ؟ یا همان SOC چیست ؟

همانطور که مقدمه گفتیم به زبان ساده که SOC یک تیم هست که متشکل از متخصصان امنیت فناوری اطلاعات است
که کل زیرساخت فناوری اطلاعات یک سازمان را به صورت 24 ساعته نظارت می کند تا رویدادهای امنیت سایبری را شناسایی کنند همچنین تیم SOC استراتژی کلی امنیت سایبری سازمان را اجرا می کند و به عنوان نقطه مرکزی همکاری برای نظارت، ارزیابی و دفاع در برابر حملات سایبری عمل می کند.

همچنین در ادامه باید بگیم که SOC همچنین فناوری‌های امنیت سایبری سازمان را انتخاب، اجرا و نگهداری می‌کند و به طور مداوم داده‌های تهدید حساب میشوند را برای یافتن راه‌هایی برای بهبود وضعیت امنیتی سازمان تجزیه و تحلیل می‌کند.

نکته :‌ SOC همچنین می تواند اعتماد مشتری را بهبود ببخشد.

SOC چیست ؟ و چه کاری انجام می دهد ؟

به طور کلی فعالیت ها و مسئولیت های SOC به سه دسته کلی تقسیم می شوند.

• Preparation
• Planning
• Prevention

در ادامه راجب این سه مورد به صورت کلی صحبت میکنیم :‌

SOC باید فهرست کاملی از هر چیزی که باید در داخل یا خارج از مرکز داده محافظت شود (مانند برنامه‌ها، پایگاه‌های داده، سرورها، سرویس‌های ابری، و غیره) و همه ابزارهای مورد استفاده برای محافظت از آنها (فایروال‌ها، آنتی‌ویروس‌ها) نگهداری کند. ابزارهای /anti-malware/anti-ransomware، نرم افزار نظارت و غیره). بسیاری از SOC ها از یک asset discovery solution برای این کار استفاده می کنند.

آماده سازی

برای به حداکثر رساندن اثربخشی ابزارها و اقدامات امنیتی موجود، SOC تعمیر و نگهداری پیشگیرانه مانند
اعمال وصله‌های (patches) نرم‌افزاری و ارتقاء، و به‌روزرسانی مستمر فایروال‌ها، لیست‌های سفید و سیاه و سیاست‌ها و رویه‌های امنیتی را انجام می‌دهد. SOC همچنین ممکن است پشتیبان‌گیری از سیستم ایجاد کند یا به ایجاد back-up policy یا procedures کمک کند تا از تداوم کسب‌وکار در صورت نقض داده، حمله باج‌افزار یا سایر حوادث امنیت سایبری اطمینان حاصل کند.

برنامه ریزی

SOC مسئول توسعه واکنش ها به حوادث سازمان است که فعالیت‌ها، نقش‌ها، مسئولیت‌ها را در صورت بروز یک تهدید یا حادثه تعریف می‌کند.

تست کردن منظم یا پیشگیری

تیم SOC که ارزیابی‌های آسیب‌ پذیری را انجام می‌دهد حملات خاص را بر روی یک سیستم دیگر شبیه‌سازی می‌کند. تیم برنامه‌ها، سیاست‌های امنیتی، بهترین شیوه‌ها و طرح‌های واکنش به حادثه را بر اساس نتایج این آزمایش‌ها اصلاح یا تنظیم دقیق می‌کند.

نکته : منظور ما از مورد بالا این هست که تیم SOC به صورت دوره ای سازمان رو برسی کنند
و ارزیابی‌های انجام بدهند یا به عبارت دیگر تیم SOC دوره ای سازمان را مورد تست و نفوذ قرار بدهد تا اسیب پزیری های احتمالی را کشف کنند.

بررسی چالش های SOC

تیم های SOC باید دائماً یک قدم جلوتر از مهاجمان باشند. در سال های اخیر، این امر بیش از پیش دشوارتر شده است. سه چالش اصلی که هر تیم SOC با آن مواجه است به شرح زیر است :

• Shortage of cybersecurity skills
• Too many alerts
• Operational Overhead

Shortage of cybersecurity skills

بر اساس نظرسنجی Dimensional Research، 53 درصد از SOC ها در استخدام پرسنل ماهر با مشکل مواجه هستند. این بدان معنی است که بسیاری از تیم های SOC کم کار هستند و فاقد مهارت های پیشرفته لازم برای شناسایی و پاسخگویی به موقع و موثر به تهدیدات هستند.

Too many alert

از آنجایی که سازمان ها ابزارهای جدیدی را برای تشخیص تهدید اضافه می کنند، حجم هشدارهای امنیتی به طور مداوم افزایش می یابد.
با توجه به اینکه تیم های امنیتی امروز غرق در کار هستند، تعداد زیاد هشدارهای تهدید می تواند باعث خستگی تهدید شود. علاوه بر این، بسیاری از این هشدارها اطلاعات کافی، زمینه را برای بررسی فراهم نمی‌کنند یا مثبت کاذب هستند. نکات مثبت کاذب نه تنها زمان و منابع را هدر می دهند، بلکه می توانند تمرکز تیم ها را از حوادث واقعی منحرف کنند.

Operational Overhead

بسیاری از سازمان ها از مجموعه ای از ابزارهای امنیتی جدا شده استفاده می کنند.
این بدان معناست که پرسنل امنیتی باید هشدارها و سیاست های امنیتی را بین محیط ها ترجمه کنند که منجر به عملیات امنیتی پرهزینه، پیچیده و ناکارآمد می شود.

خوب بگذارید کمی بیشتر و کامل تر راجب چالش های SOC با هم صحبت کنیم در ادامه باید بگیم که برای بسیاری از تیم‌های Security Operations Center (SOC)
یافتن فعالیت‌های مخرب در داخل شبکه مانند یافتن یک سوزن در انبار کاه است. آن‌ها اغلب مجبور می‌شوند اطلاعات حاصل از راه‌حل‌های نظارتی متعدد را جمع‌آوری کنند و از میان ده‌ها هزار هشدار روزانه عبور کنند.

• Check Point Horizon که برای مقابله با چالش‌های SOC طراحی شده است
  تیم‌های امنیتی را قادر می‌سازد تا حملات را سریع‌تر و با دقت 99.9 درصد شناسایی و بررسی و خاموش (جلوگیری) کنند. به راحتی به عنوان یک پلت فرم یکپارچه مبتنی بر ابر (cloud-based) مستقر می شود،
• Horizon SOC فراتر از XDR با تجزیه و تحلیل حوادث مبتنی بر هوش مصنوعی (AI-based) است.

Check Point Horizon به شرکت ها کمک می کند از شبکه های خود با ارائه موارد زیر محافظت کنند :

1. دقت بی نظیر برای شناسایی سریع و خاموش کردن حملات
2. بررسی سریع حمله

Stream Ciphers و Block Ciphers چیست ؟ کلیک کنید !

مهرشاد محمدی

علاقه مند به شبکه و امنیت و تست و نفوذ و اشنا با زبان های برنامه نویسی php,java,python,javascript هستم و در اخر دوست دار شدید سیستم عامل لینوکس :-)