جعفر قنبری شوهانی
مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

SOC چیست؟ بررسی ماهیت و ماموریت Security Operations Center

SOC چیست؟ (Security Operations Center (SOC یک تیم بسیار ماهر است که ماموریت آنها نظارت دائم و بهبود وضعیت امنیتی یک سازمان است که اینکار را با شناسایی ، آنالیز ، جلوگیری و پاسخگویی به حوادث امنیتی انجام میدهند و برای اینکار از تکنولوژی و فرایندها و مراحل کمک می گیرند.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

ماموریت SOC چیست؟

استراتژی SOC باید کاملا واضح و براساس نیاز سازمان باشد می توان گفت استراتژی به شدت وابسته به پشتیبانی و حمایت سطوح مختلف اجرایی است و به عبارت دیگر SOC به تنهایی نمی تواند به درستی عمل کند. هدف SOC باید پرداختن به نیازهای سازمان باشد و برای موفقیت آن لازم است حمایت اجرایی قوی از آن صورت گیرد.

بررسی محیط SOC

ایجاد یک SOC نیازمند برنامه ریزی دقیق است. امنیت فیزیکی آن نیز باید در نظر گرفته شود. همچنین طرح مرکز عملیات باید با دقت طراحی شده است و راحتی و کاربردی بودن آن درنظر گرفته شود مانند مسائل روشنایی و آکوستیک باید درنظر گرفته شود. از SOC انتظار می رود که بخش های مختلفی داشته باشد که شامل operational room ، war room و supervisors’ offices می باشد. آسایش ، دید مناسب ، بهره وری و کنترل مباحث کلیدی است که هر بخش باید براین اساس طراحی شود.

وب سایت توسینسو

تکنولوژی های مورد استفاده در SOC

تکنولوژی یکی از بخش های SOC می باشد و باید زیرساخت آن طراحی شود. اجزا مختلفی برای ساخت کامل بخش تکنولوژی مورد نیاز است. فایروال ها ، IPS/IDS ، راه حل های تشخیص نقص های امنیتی و مطمئنا SIEM چند نام در این رابطه هستند. جمع آوری موثر و کارآمد داده ها یک اصل اساسی برای موفقیت SOC می باشد. جریان داده ، packet captures ، syslog و چندین نوع event باید جمع آوری شود و از دیدگاه امنیتی مرتبط و مورد آنالیز قرار گیرند. غنی سازی داده ها و اطلاعات در مورد تاثیر آسیب پذیرها و بررسی آن روی کل اکوسیستم از اهمیت ویژه ای برخوردار است.

People و Processes

در حالی که الزامات فنی از اهمیت بسیاری برخوردار هستند اما بدون people و procedures پیشرفته ترین و بهترین اتاق های کنترل بی ارزش می شوند. در کنار تکنولوژی people و processes به عنوان ستون های موفقیت SOC محسوب می شوند.همینطور که بالا اشاره شد SOC یک تیم است. هر تیم برای برنده شدن نیاز دارد که تمام نقش های آن به درستی کار کنند. به رهبر نیاز دارد و همینطور نقش های مهندس ، آنالیزور و عملیاتی نیز پوشش داده می شود.

بسیاری از توابع باید انجام شود و آنالیزورها باید به دو تا سه tier اختصاص داده شوند. اصلی ترین عمل توسط اعضا تیم انجام می شود که براساس تجزیه و تحلیل event ها ، حوادث امنیتی شناسایی شده یا رخنه های امنیتی انجام می گیرد. سپس مقابله با ، بازسازی و برطرف کردن مشکل برای هر حادثه انجام می گیرد. همه اقدامات باید به صورت هماهنگ انجام گیرد. همکاری ، زمان بندی و بهره وری باید در اولیت کاری SOC باشد. تمام اعضاء باید از اهداف و استراتژی SOC کاملا اگاه باشند.

بنابراین رهبری بسیار موثر است. مدیر SOC باید بتواند تیم را تشکیل دهد ، برای اعضاء انگیزه ایجاد کند و آنها را حفظ کند و باعث شود آنها برای خود و کارشان ارزش قائل شوند. مدیر کار سختی پیش رو دارد باید ماشین ها به صورت 24 ساعته و 7 روزه هفته کار کنند و بنابراین استرس در این محیط وجود خواهد داشت. انتخاب صحیح اعضاء تیم و محول کردن وظایف درست به آنها چالش بزرگی است و طیف وسیعی از قابلیت ها مورد نیاز است از مدیریت آسیب پذیرها تا بررسی و آنالیز سیستم ها برای malware. مشخص کردن تعداد مناسب اعضاء تیم از دیگر مسائلی است که باید به آن پرداخته شود در حالی که نباید نیرو غیرضروری استخدام کرد و به این شکل بودجه به هدر رود.

وب سایت توسینسو

ابزارهای امنیتی و اجزاء تکنولوژی

هیچ کدام از جزئیات این بخش نباید نادیده گرفته شود. LAN segmentation ، NAC ، VPN ، endpoints hardening ، رمزنگاری دیتا بایگانی شده ، درحال استفاده و در حال انتقال ، IPSs/IDSs ، firewalls ، routers و switches. از آنجا که SOC یک تیم است ابزارهای باید به دقت طراحی شوند تا به کاربران بهترین تجربه استفاده را بدهند و به SOC بهترین توانایی را برای حفظ ارزش کسب و کار سازمان را بدهد. این هدف باید توسط تمام ابزارهای مورد نیاز SOC انجام شود. از دستگاه های موبایل و امنیت آنها در طراحی و ساخت SOC نباید غافل شد.

برای کامل شدن عملکرد SOC باید اجزای مختلف شبکه مانند Web Proxies ، sandboxes ، endpoint و ... بررسی شوند. تمام این دستگاه ها و سرویس ها تولید event ، log ، flow و ... دارند که باید توسط ماشین و در نهایت توسط انسان مورد بررسی و آنالیز قرار گیرند. در این مرحله از بررسی و آنالیز نقش محوری SIEM را به خاطر داشته باشید.

Methodology و intelligence

برای اینکه وضعیت امنیتی سازمان بهبود یابد SOC باید به صورت فعال و پیش فعال پردازش Vulnerability Management را انجام دهد. ارزیابی ریسک و یک رویکرد برای رسیدگی به آسیب‌پذیری ها برای SOC یک اولویت است. رویکرد threat intelligence باعث می شود که اطلاعات با ارزش بیشتری بدست بیاورید و در شناسایی و جلوگیری از نقص های امنیتی بسیار موثر است.

تیم در زمان کار

بعد از اینکه SOC عملیات خود را آغاز کرد تیم باید ماموریت خود را شروع و به حوادث واکنش نشان دهد. این مرحله ای است که SOC می تواند ارزش خود را برای سازمان نشان دهد. زمانی که یک حادثه رخ می دهد یک تیکت باز می شود و بررسی و تحلیل آن شروع می شود. بسیاری از بخش های تیم درگیر می شوند و ممکن است افرادی خارج از SOC (افراد سازمان در سایر بخش ها یا حتی افراد خارج از سازمان) نیز درگیر این جریان شوند که به ماهیت، میزان و شدت حادثه بستگی دارد.

برای موفقیت ، تشخیص حادثه امنیتی ، نظارت و فاز پس از آن پاسخ به حادثه است نیاز به ترکیب مناسبی از تکنولوژی دارد و فرایندها و مراحل به وضوح تعریف شده باشند. توانایی واکنش سریع و دقیق حتی در شرایط استرس زا و با تکیه بر آموخته های قبلی ، کلید عملکرد موثر تیم SOC است.

نگاه مدیریتی

ایجاد و عملیاتی کردن SOC یک پروژه سطح بالا است و برای انجام دادن آن best practice ، فریم ورک و استانداردهایی وجود دارد که می توانند مفید باشند مانند ITIL و COBIT. همچنین استفاده از برخی موارد دیگر مانند PCI DSS و ISO/IEC 27001:2013 اجباری است. ITIL به عنوان یک منبع بی نظیر و بالقوه مشاوره و راهنمایی است که درباره استراتژی ، طراحی ، service level management و ایجاد رابطه بین مشکلات و حوادث سازمان و مدیریت پردازش ها بخصوص در SOC صحبت می کند. در طرف دیگر COBIT یک دستورالعمل عالی برای سنجش وضعیت پیاده سازی SOC است. به طور عمومی زمانی که صحبت از بهره وری SOC می شود باید به صورت دقیق تمام جنبه ها درنظر گرفته شود.

نتیجه گیری

باید طیف گسترده ای از جنبه های امنیت سایبری در نظر گرفته شود و سطح بالایی از تخصص ها و مهارت ها نیاز است تا SOC موثری داشته باشیم. رابطه مناسب با استراتژی کسب و کار و فرایندها در طراحی و مدیریت SOC دخیل است. رهبری و ایجاد انگیره و بالا بردن مهارت های تیم برای مدیریت SOC در زمان تشکیل تیم الزامی است. آموزش مستمر و تعامل برای مقابله با تهدیدات لازم است. عملیاتی کردن SOC بسیار پیچیده است چون هر سازمان شرایط خاص خودش را دارد. در دوره آموزش نتورک پلاس و در بخش مانیتورینگ شبکه کمی در خصوص مفاهیم SOC و تفاوت آن با NOC صحبت می کنیم.


جعفر قنبری شوهانی
جعفر قنبری شوهانی

مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

جعفر قنبری شوهانی ، مهندس و مدرس شبکه ، آشنایی من با شبکه برمی گرده به سال 1382 که دوره NT و Novel رو گذروندم و الان بیشتر از 10 ساله سابقه اجرایی در سطح Enterprise (بانک ها ، موسسه مالی ، ادارات دولتی ، سرویس پروایدر) را دارم و در حال حاضر به عنوان مهندس شبکه در شرکت توزیع برق مشهد و به عنوان مدیر ارشد و مدرس شبکه در سایت ToSinSo مشغول به کار هستم. در اکثرا حوزه های شبکه کار کردم و تجربه دارم اما تخصص اصلیم رو در حوزه زیرساخت و امنیت اون میدونم

نظرات