SOC

Security Operations Center

SOC چیست

یک تیم بسیار ماهر است که ماموریت آنها نظارت دائم و بهبود وضعیت امنیتی یک سازمان است که اینکار را با شناسایی ، آنالیز ، جلوگیری و پاسخگویی به حوادث امنیتی انجام میدهند و برای اینکار از تکنولوژی و فرایندها و مراحل کمک می گیرند.

ماموریت


استراتژی SOC باید کاملا واضح و براساس نیاز سازمان باشد می توان گفت استراتژی به شدت وابسته به پشتیبانی و حمایت سطوح مختلف اجرایی است و به عبارت دیگر SOC به تنهایی نمی تواند به درستی عمل کند. هدف SOC باید پرداختن به نیازهای سازمان باشد و برای موفقیت آن لازم است حمایت اجرایی قوی از آن صورت گیرد.

محیط


ایجاد یک SOC نیازمند برنامه ریزی دقیق است. امنیت فیزیکی آن نیز باید در نظر گرفته شود. همچنین طرح مرکز عملیات باید با دقت طراحی شده است و راحتی و کاربردی بودن آن درنظر گرفته شود مانند مسائل روشنایی و آکوستیک باید درنظر گرفته شود. از SOC انتظار می رود که بخش های مختلفی داشته باشد که شامل operational room ، war room و supervisors’ offices می باشد. آسایش ، دید مناسب ، بهره وری و کنترل مباحث کلیدی است که هر بخش باید براین اساس طراحی شود

ابزارهای امنیتی و اجزاء تکنولوژی

هیچ کدام از جزئیات این بخش نباید نادیده گرفته شود. LAN segmentation ، NAC ، VPN ، endpoints hardening ، رمزنگاری دیتا بایگانی شده ، درحال استفاده و در حال انتقال ، IPSs/IDSs ، firewalls ، routers و switches. از آنجا که SOC یک تیم است ابزارهای باید به دقت طراحی شوند تا به کاربران بهترین تجربه استفاده را بدهند و به SOC بهترین توانایی را برای حفظ ارزش کسب و کار سازمان را بدهد. این هدف باید توسط تمام ابزارهای مورد نیاز SOC انجام شود. از دستگاه های موبایل و امنیت آنها در طراحی و ساخت SOC نباید غافل شد.

برای کامل شدن عملکرد SOC باید اجزای مختلف شبکه مانند Web Proxies ، sandboxes ، endpoint و … بررسی شوند. تمام این دستگاه ها و سرویس ها تولید event ، log ، flow و … دارند که باید توسط ماشین و در نهایت توسط انسان مورد بررسی و آنالیز قرار گیرند. در این مرحله از بررسی و آنالیز نقش محوری SIEM را به خاطر داشته باشید.

Technology

کنولوژی یکی از بخش های SOC می باشد و باید زیرساخت آن طراحی شود. اجزا مختلفی برای ساخت کامل بخش تکنولوژی مورد نیاز است. فایروال ها ، IPS/IDS ، راه حل های تشخیص نقص های امنیتی و مطمئنا SIEM چند نام در این رابطه هستند. جمع آوری موثر و کارآمد داده ها یک اصل اساسی برای موفقیت SOC می باشد. جریان داده ، packet captures ، syslog و چندین نوع event باید جمع آوری شود و از دیدگاه امنیتی مرتبط و مورد آنالیز قرار گیرند. غنی سازی داده ها و اطلاعات در مورد تاثیر آسیب پذیرها و بررسی آن روی کل اکوسیستم از اهمیت ویژه ای برخوردار است.

Methodology و intelligence


برای اینکه وضعیت امنیتی سازمان بهبود یابد SOC باید به صورت فعال و پیش فعال پردازش Vulnerability Management را انجام دهد. ارزیابی ریسک و یک رویکرد برای رسیدگی به آسیب‌پذیری ها برای SOC یک اولویت است. رویکرد threat intelligence باعث می شود که اطلاعات با ارزش بیشتری بدست بیاورید و در شناسایی و جلوگیری از نقص های امنیتی بسیار موثر است.

People و Processes

در حالی که الزامات فنی از اهمیت بسیاری برخوردار هستند اما بدون people و procedures پیشرفته ترین و بهترین اتاق های کنترل بی ارزش می شوند. در کنار تکنولوژی people و processes به عنوان ستون های موفقیت SOC محسوب می شوند.

همینطور که بالا اشاره شد SOC یک تیم است. هر تیم برای برنده شدن نیاز دارد که تمام نقش های آن به درستی کار کنند. به رهبر نیاز دارد و همینطور نقش های مهندس ، آنالیزور و عملیاتی نیز پوشش داده می شود. بسیاری از توابع باید انجام شود و آنالیزورها باید به دو تا سه tier اختصاص داده شوند. اصلی ترین عمل توسط اعضا تیم انجام می شود که براساس تجزیه و تحلیل event ها ، حوادث امنیتی شناسایی شده یا رخنه های امنیتی انجام می گیرد. سپس مقابله با ، بازسازی و برطرف کردن مشکل برای هر حادثه انجام می گیرد. همه اقدامات باید به صورت هماهنگ انجام گیرد

نگاه مدیریتی

Listen-And-Engage-In-Real-Time-Icon

در طرف دیگر COBIT یک دستورالعمل عالی برای سنجش وضعیت پیاده سازی SOC است. به طور عمومی زمانی که صحبت از بهره وری SOC می شود باید به صورت دقیق تمام جنبه ها درنظر گرفته شود

Measure-And-Improve-Performance-Icon

ایجاد و عملیاتی کردن SOC یک پروژه سطح بالا است و برای انجام دادن آن best practice ، فریم ورک و استانداردهایی وجود دارد که می توانند مفید باشند مانند ITIL و COBIT. همچنین استفاده از برخی موارد دیگر مانند PCI DSS و ISO/IEC 27001:2013 اجباری است.

Bring-Tour-Whole-Team-Together-Icon

ITIL به عنوان یک منبع بی نظیر و بالقوه مشاوره و راهنمایی است که درباره استراتژی ، طراحی ، service level management و ایجاد رابطه بین مشکلات و حوادث سازمان و مدیریت پردازش ها بخصوص در SOC صحبت می کند