تفاوت SOC و CSIRT در چیست؟ مقایسه CSIRT و SOC

تفاوت های بین SOC و CSIRT چیست؟ اگر شما در یک cybersecurity فعالیت می کنید، حتما با واژه های security operation centers (SOCs) و computer security incident response teams (CSIRTs) آشنا می باشید، اما کدام واحد یهتر است؟ تمام این ها بستگی به نیازهای سازمان شما دارد. هر واحد از بدو شروع تا عملکردی که در سازمان انجام می دهند دارای تفاوت هایی می باشند.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

واحد Security Operation Centers) SOC)

واحدSOC را هوش (مغز) یک سازمان در نظر بگیرید، SOC مرکز تمام نقش ها و وظایفی می باشد که هدف اصلی آن محافظت از اطلاعات در یک سازمان بزرگ است. SOC جلوگیری، شناسایی، مدیریت حوادث، و هرچیزی که به مدیریت و محافظت اطلاعات یک کمپانی مربوط می شود را انجام می دهد.واحدSOC همچنان روی افراد، عملیات، و تکنولوژی که در تمام وجوه عملیاتی cybersecurity درگیر هستند نظارت دارد. معمولا کمپانی ها قبل از ایجاد یک CSIRT فقط یک SOC خواهند داشت. هدف یک SOC پیاده سازی و نظارت روی فعالیت های سایبری یک سازمان برای حصول اطمینان از اجرای موثر و محافظت در برابر حملات مخرب می باشد.

ایجاد یک SOC

برخی از کمپانی های کوچکتر به یک SOC کامل احتیاجی ندارند. در زیر به نکاتی برای فهمیدن این که آیا سازمان شما به یک SOC احتیاج دارد یا خیر اشاره شده است:

  1. مقدار داده های حساسی که در حال استفاده است افزایش یافته؟
  2. پدیدار شدن دید نسبت به تهدیدات احتیاج به منابع امنیتی شناخته شده دارد.
  3. سازمان شما در حال رشد است و تعداد end-point ها در حال افزایش ؟
  4. پردازش های استاندارد و مالکیت روی امنیت موجود نباشد!
  5. شما احتیاج به بهینه سازی نظارت و توانایی پاسخ گویی دارید؟
  6. سرویس فراهم کننده مدیریت امنیت (Manager Security Service Provider (MSSP)) شما منسوخ شده است؟و...

مرکز Computer Security Incident Response Team )CSIRT)

واحد Computer Security Incident Response Team (CSIRT) یک مرکز از امنیت اطلاعات، حوادث مدیریتی و پاسخگویی در یک سازمان است. ممکن است یک SOC برای راهنمایی یک CSIRT مورد استفاده قرار بگیرد یا CSIRT، ممکن است به عنوان اصلی ترین قسمت امنیت سایبری کمپانی عمل کند.با توجه به این نکات، تفاوت واقعی بین CSIRT و SOC چیست؟ CSIRT یک سازمان را قادر می سازد تا کاربران زیادی که روی یک تابع کار می کنند زیرنظر داشته باشند، بنابراین کنترل ناشی از حوادث به حداقل می رسد. همچنین شما باید تیم را با آنچه که اتفاق افتاده است آگاه کنید، آن ها باید با customer ها، اعضای هیئت مدیره، و در صورت امکان با عموم در ارتباط باشند تا از چگونگی وقوع حادثه در کمپانی اطمینان حاصل کنند. اگر این حادثه توسط یک کاربر داخلی به وقوع پیوسته بود، باید اقدام قانونی علیه فرد انجام شود.

چرا باید CSIRT ایجاد شود؟

مرکزCSIRT توانایی رتبه بندی وظایف و هشدارها، هماهنگی و اجرای استراتژی های پاسخگویی، و توسعه نقشه های ارتباطات برای همه دپارتمان ها را دارد. CSIRT می تواند بسته به نیازهای کمپانی شما یک تیم رسمی یا غیررسمی باشد و این موضوع وابسته به تهدیداتی که کمپانی شما با آن ها روبرو می شود خواهد بود.اگر سازمان شما سازمانی با بازدید بالا (دولتی، خصوصی و...) است، پاسخ به تهدیدات اولویت بالاتری دارد و بخش مهمی از استراتژی سازمان را شامل می شود بنابراین ممکن است به یک CSIRT به طور تمام وقت نیاز باشد. CSIRT می تواند در طول زمان تکامل یابد، می تواند بصورت غیر رسمی شروع و بعد به یک تابع سازمانی کاملا توسعه یافته تکامل یابد.


نظرات