طراحی هوشمندانه مرکز عملیات امنیتی (SOC) در سازمان ها

راهکار مدیریت رخدادها و اطلاعات امنیتی (SIEM)

رکن یکم، داشتن یک مرکز عملیات امنیتی یا SOC هوشمند، و استفاده از سامانه مدیریت رخدادهای امنیتی (SIEM) است. 5 دلیل کلیدی برای نصب SIEM در مرکز عملیات امنیتی یک سازمان وجود دارد:

• ضعف مهارتی میان اعضای تیم را کاهش می‌دهد.
• فرایندهای تشخیص و پاسخ‌دهی را سرعت می‌بخشد.
• SIEM داده‌های دریافت شده از سیستم‌های مختلف، مانند برنامه‌ها و حساب‌های کاربری را به اطلاعاتی ارزشمند برای سازمان تبدیل می‌کند.
• نظارت لحظه‌ای را به‌منظور تشخیص تهدید، تجزیه‌ و تحلیل رخداد و پاسخ‎‌دهی سریع، فراهم می‌کند.
• عملیات تیم امنیتی SOC را سهولت بخشیده و به‌وسیله پلتفرم متمرکز، موارد گردش کار مقیاس‌پذیر و داشبوردهای از پیش تعبیه‌ شده را به کار می‌گیرد.

1 – مدیریت از طریق گردشکار و رفع حفره‌های امنیتی

اکثر تیم‌های عملیات امنیت سازمان به ابزارهای امنیتی متعددی متکی هستند که اعلان‌های کاذب و پیکربندی نامناسبی را ارائه می‌دهند. کارشناسان متخصص برای مدیریت و اولویت‌بندی رخدادهای ورودی باید وقت و انرژی زیادی را صرف کنند. این شیوه نیازمند تمامی مهارت‌‎های فنی، مهارت‌های نرم و خلاقانه است و پیدا کردن افراد متخصص این زمینه دشوار است.

لایه ۱ مرکز عملیات (Tier 1 SOC)، مستلزم دانش پایه‌ای و تخصصی از دانش شبکه و درک بالا از لایه‌های مختلف پروتکل‌ها است. اعضای تیم مرکز عملیات امنیتی در این لایه، به پرسمان پایگاه‌های داده، کد نویسی یا اسکریپت نویسی و نیز بررسی پایبندی به مقررات و سیاست‌های اجرایی و امنیتی پرداخته و توانایی عیب‌یابی و رصد آسیب‌پذیری‌ و تجزیه‌وتحلیل اولیه امنیتی را نیز دارند.

لایه 2 مرکز عملیات (Tier 2 SOC)، مستلزم دانش همه‌جانبه در سیستم‌عامل‌های لینوکس و ویندوز، آشنایی با مفاهیم و دستورهای خط فرمان و مهارت استفاده از  ابزارهای شناسایی و توانایی عیب‌یابی است. نیروهای امنیتی مجاز در این لایه SOC، باید دارای گواهینامه‌های معتبر امنیتی و برخوردار از مهارت‌ تجزیه‌وتحلیل حرفه‌ای، ارتباطاتی و نوشتاری باشند.

اگر فکر می‌کنید پیدا کردن این افراد خبره کار ساده‌ای است، لازم است دقت بفرمایید. طبق سالنامه رسمی Cybersecurity Ventures در ارتباط با مشاغل حوزه امنیت سایبری، پیش‌بینی‌شده که در سال 2021 حدود 5/3 میلیون شغل در این حوزه فعال خواهد بود، که این رقم در سال 2014، حدود 1 میلیون نفر تخمین زده می‌شد. به همین خاطر بهینه‌سازی مرکز عملیات امنیتی، از ضروری‌ترین مأموریت‌های هر سازمان در راستای تأمین امنیت است.

SIEM تیم امنیت را قادر به استفاده از گردشکارهای مدیریت‌شده و مقیاس‌پذیر می‌کند. همچنین، استفاده از خودکارسازی و هماهنگ سازی پاسخ به رخدادهای امنیتی (SOAR)، می­تواند وظایف امنیتی نیروهای Tier 1 را تا حد زیادی خودکارسازی کند و بدین ترتیب نیروها می‌توانند زمان خود را بیشتر صرف تجزیه‌وتحلیل رخدادهای بااهمیت کنند.

2 – تشخیص و پاسخ فوری

در عملیات روزانه هر سازمان، انبوهی از اطلاعات و داده‌ها تولید می‌شود که مدیریت این حجم از داده‌ها کار چندان ساده‌ای نیست. همچنین، استخراج اطلاعات کلیدی و استفاده مؤثر از آن‌ها کار دشواری است و از طرفی تهدیدهای امروزی در حمله‌های پی‌درپی خود به سازمان ها، از تکنیک‌های پیچیده‌تری استفاده می‌کنند. نحوه‌ی صحیح تقابل با این تهدیدها سرعت بالا در رصد و بررسی داده‌ها است و در غیر این صورت، تمام سطوح مهم سازمان آلوده خواهد شد. فرآیند خودکارسازی نقش مهمی در مقابله با این چالش ایفا می‌کند و با حذف کارهای بدیهی و تکراری در جهت آسودگی تیم امنیتی باعث می گردد تیم SOC با تمرکز و زمان بیشتر به فعالیت های مهم‌ و با اولویت بالاتر بپردازد.

3 – گردآوری و تجزیه‌وتحلیل داده‌های سراسر سازمان

راه‌اندازی یک SOC ابری یا مدیریت ‌شده و یکپارچه در سازمان موجب تقویت مرکز عملیات امنیتی سازمان می‌شود. SIEM در همین راستا، با دریافت و به‌کارگیری تمام داده‌ها و لاگ‌های خام سازمان از بخش‌های مختلف آی‌تی، اداری، سیستم‌های امنیتی، برنامه‌ها، تجهیزات و سایر موارد، تیم امنیتی را به‌وسیله‌ی اعلان‌های تخصصی، دقیق و درعین‌حال ساده ‌از وجود تهدیدها آگاه می‌سازد. فرآیندهای تشخیص، مدیریت، بررسی، جستجو و متوقف سازی تهدیدها و رخدادها توسط SIEM سازمان‌دهی می‌شوند. برخی اعلان‌های امنیتی لازم است توسط نیروهای انسانی متخصص بررسی شوند و باقی آن‌‎ها به‌وسیله فناوری‌های امنیتی به انجام می‌رسند. حال، با ادغام قابلیت‌های ذکرشده در راهکار SIEM، سازمان‌ها می‌توانند توانایی‌های تشخیص و پاسخ به تهدیدهای امنیتی را تا حد زیادی افزایش دهند.

4 – نظارت با سرعت‌بالا

هم‌زمان با رشد تجارت شما، نیاز است چشم‌انداز امنیتی شما برای مدیریت تهدیدهای جدید و ناشناخته وسعت یابد. SIEM با تجزیه‌وتحلیل فوری، کمک ویژه‌ای به تیم SOC می‌کند، که در ابتدا لازم است به ترافیک شبکه و داده‌های منابع در معرض نفوذ دسترسی پیدا کند. SIEM به‌عنوان بخش مهمی از SOC می‌تواند بر عمده فعالیت‌های امنیتی نظارت کند و رخدادها را مرتب و یکپارچه‌سازی و هشدارها را ازلحاظ اعتبار سنجیده و اولویت‌بندی کند، و در نهایت تیم امنیتی را قادر می سازد که بهترین راه‌حل را پیاده‌سازی کند.

5 – گردشکارها و داشبوردهای حرفه‌ای

کارکرد SOC به کیفیت اطلاعاتی جمع‌آوری‌شده بستگی دارد. تیم‌‎های مرکز عملیات امنیتی باید نگرشی درست از وضعیت امنیتی سازمان در دست داشته باشند و داده‌های ترافیک را به‌درستی تجزیه‌وتحلیل کنند. ضرورت گردشکارها و داشبوردها در این بخش نمایان می‌شود. مسائلی ازجمله؛ پیچیدگی تاکتیک‌‌های تهدید، یکپارچه‌سازی سیستم‌های امنیتی، حجم کار اضافی تیم، عدم هماهنگی با سیاست‌های سازمان و فقدان یک راهبر ارشد SOC، همگی ازجمله چالش‌هایی هستند که تیم مرکز عملیات امنیتی با آن‌ها مواجه می‌شود. تجمیع و نگهداری اطلاعات تولیدشده، گردشکار مقیاس‌پذیر و محیط‌های مدیریتی کاربرپسند، از مهم‌ترین قابلیت‌های یک SIEM حرفه‌ای است که بهره‌برداری از داده‌های خام و  برنامه‌ریزی امنیتی را تسهیل می کند.     

چرا باید در مرکز عملیات امنیتی از SOAR استفاده کنیم؟

جمع‌آوری داده‌ها و تجزیه‌وتحلیل آن‌ها به‌وسیله‌ی متخصصین به‌تنهایی برای تأمین امنیت یک سازمان کافی نیست و فراهم‌سازی امکان پاسخ‌دهی لحظه‌ای در SOC ضرورت دارد. در دستیابی به اهداف امنیتی بهتر است؛ سامانه SOAR یا همان فرآیند هماهنگ‌سازی، خودکارسازی و پاسخ‌دهی (Security Orchestration, Automation and Response) را با SIEM سازمان منطبق کرد. حصول نگرش دقیق و پاسخ‌دهی سریع، درگرو ترکیب این دو سامانه است و با پیاده‌سازی این ابزار در SOC، فرآیندهای عملیات امنیت خودکارسازی می‌شوند.

 به کمک SOAR فرآیندهای امنیتی را تحت دستورالعمل‌ها به اجرا درآورید. مدیریت برخی از رخدادها و یکپارچه‌سازی گردشکارها نیز توسط SOAR انجام می‌شود.مطابق تعاریف این دو سامانه؛ SIEM تهدیدهای پیرامون سازمان را گردآوری و یکپارچه‌‎سازی می‌کند و  اعلان‌های امنیتی تولید می‎کند. SOAR در مرحله نهایی عملیات SOC اجرا می‌شود و با قابلیت تجزیه‌وتحلیل رفتاری (UEBA)، محدوده نظارت بر تهدیدها را وسعت می‌دهد و فرآیند بررسی امنیت را سریع‌تر کرده و منجر به بهره‌وری مؤثر می‌شود. ارزش اصلی‌ SOAR در ارائه و ترکیب فرآیندها و استفاده از ابزارهای مرکز عملیات امنیتی است و تیم امنیت را قادر به انجام اقدامات زیر می‌کند:

• انجام عملیات با اولویت کمتر را به SOAR واگذار کنند
• بر تصمیمات مهمی که اتخاذ آن‌ها صرفاً کار متخصصین است تمرکز نمایند.
• با کمک یادگیری ماشینی فرایندهای تکراری را خودکارسازی کرده و با انطباق بر دستورالعمل ها در جهت پاسخ‌دهی سریع استفاده نمایند.

تجزیه‌وتحلیل رفتار کاربران و رخدادها (UEBA) چیست؟

کاربردهای سامانه‌های SIEM و SOAR صرفاً در تشخیص و پاسخ خلاصه نمی‌شوند. در راهکارهای SOC نسل جدید، قابلیت‌های تجزیه‌وتحلیل رفتاری به SIEM اضافه ‌شده است و رفتار کاربران و رخدادها از طریق ادغام یادگیری ماشین تجزیه‌وتحلیل می‌شود و نیز تهدیدهای ناشناخته به کمک ارزیابی رفتارهای غیرمعمول کاربران تشخیص داده می‌شود. این ابزار به دنبال الگوهایی می‌گردد که با معیارهای رفتار عادی مطابقت نداشته و از این طریق تهدیدهای بالقوه سریع‌تر و حرفه‌ای‌تر توسط نیروهای انسانی شناسایی می‌شوند. به‌عنوان مثال، یادگیری ماشین می تواند در کمتر از یک دقیقه بدافزارهای منتشرشده از طریق ایمیل‌های سازمانی را شناسایی کند. درحالی‌که، تجزیه‌وتحلیل همین فرآیند توسط نیروی انسانی نیازمند زمان بسیار بیشتری است.

نقش کلیدی UEBA ادامه روند درست اقدامات امنیتی است در شرایطی که مرکز عملیات امنیتی در شناسایی و پاسخ‌ به تهدیدها ناتوان مانده است. هرساله میزان اهمیت امنیت سازمان‌های سراسر جهان مهم تر می‌شود و برای پاسخ به حجم بالای تهدیدها سازمان‌ها مجبور به استفاده از UEBA می‌باشند. طبق محاسبات گارتنر در اواسط سال 2019،  استفاده از این راهکار به‌صورت سالانه دو برابر خواهد شد و نیز طی همان سال نزدیک به 200 میلیون دلار در آن سرمایه‌گذاری شد. شایان ذکر است حتی پیشرفته‌ترین SOC ها راهکار تجزیه‌وتحلیل رفتار کاربران و رخدادها را به‌صورت جداگانه ارائه نمی‌دهند و به‌صورت یکپارچه همراه با سایر ابزارها به کار گرفته می‌شود.

UEBA رفتارهای عادی را از رفتارهای غیرمعمول و ناهنجار تشخیص داده و تفکیک می کند. نمونه‌ای از رفتارهای ناهنجار، دسترسی به اطلاعات احراز هویتی کاربران است که منشأ آن می‌تواند یک عامل تهدید باشد. این سامانه ی یکپارچه می‌تواند مجموعه‌ای از فعالیت‌های مشکوک و مرتبط با جزئیات یک حمله برنامه‌ریزی‌شده را شناسایی کند.  

ادغام SIEM و UEBA مبتنی بر یادگیری ماشین، منحصراً به شناسایی و تشخیص تهدیدهای ناشناخته و رفتارهای غیرعادی نمی­پردازد، بلکه با ارزیابی و اولویت‌بندی تهدیدها به رخدادهای امنیتی رسیدگی می‌کند. ادغام این دو راهکار به تسریع شناسایی و تجزیه‌وتحلیل داده‌ها در سراسر سیستم های سازمان کمک فزاینده‌ای کرده، بهره‌وری تیم امنیتی را بالابرده، منابع در دسترس مرکز عملیات امنیتی را افزایش داده، حجم بار وظایف متخصصین را کاهش داده، و درنهایت SOC را مقاوم‌سازی می‌‌کند.

به‌راحتی می‌توان گفت؛ پیاده‌سازی یک SOC پیشرفته، هزینه‌ای بالایی داشته و از اهمیت ویژه‌ای برخوردار است. SOC نسل جدید از سامانه‌های SIEM، SOAR و UEBA به‌صورت یکپارچه تشکیل‌شده و از امکاناتی همچون تجزیه‌وتحلیل حرفه‌ای، غنی‌سازی داده‌ها و لاگ‌ها، هوش مصنوعی، یادگیری ماشینی و سایر امکانات امنیتی بهره می‌‌برد و درعین‌حال رابط کاربری آن‌ به‌صورت ساده و قابل‌فهم طراحی‌شده است.                                                             

بهینه‌سازی SOC

درواقع پویایی SOC هر سازمان به این بستگی دارد تا چه حد می‌توان از فناوری‌های امنیتی پیشرفته، ابزارها و نیروهای انسانی به‌صورت کارآمد استفاده کرد و بهره جست. چهارچوب‌های مختلفی برای طراحی SOC هر سازمان وجود دارد و نحوه ی اجرای هریک باهم متفاوت است.

مرکز عملیات امنیتی به‌جای واکنش‌های بی‌ثمر، می‌بایست هوشمندانه عمل کند و همچنین لازم است، ابزارهای ضروری خودکارسازی و یادگیری ماشین را به همراه قابلیت تجزیه‌وتحلیل همه‌جانبه در خود آماده داشته باشد. پیاده‌سازی SOC باید به نحوی صورت گیرد که با دیگر راهکارهای امنیتی سازگار باشد، فعالیت‌های غیرضروری را به کمترین حالت خود برساند، وظایف امنیتی غیرمترقبه را مدیریت کند و همواره مطابق برنامه‌ای دقیق و با جزئیات در جهت متوقف سازی تهدیدها عمل نماید.

10 ضرورتی که SOC باید همراه خود داشته باشد

ظرفیت بالا| یک SOC باید بتواند حجم بالایی از داده‌های بخش‌های در حال گسترش شبکه یک سازمان را از منابع مختلف و غیر مرتبط دریافت کند.

شناسایی| SOC لازم است با شناسایی و دستیابی به حجم انبوهی از داده‌های دریافتی، تهدیدهای موجود و رفتارهای ناهنجار را به‌سرعت تشخیص دهد.

پیش‌بینی| یک مرکز عملیات امنیتی (SOC) باید بتواند به‌طور مستمر به رصد، تجزیه‌وتحلیل و کنترل ابزارهای امنیتی مختلف سازمان بپردازد و آسیب‌پذیری‌ها و تهدیدها را به‌دقت زیر نظر بگیرد. بنابراین پیشگیری، یکی از قابلیت‌های اصلی مراکز عملیات امنیت کارآمد است.

خودکارسازی| همان‌طور که در بخش‌های مختلف سازمان می‌توان وظایف تکراری و ساده را به یک سیستم خودکار محول کرد و باعث بهبود بهره‌وری شد، مرکز عملیات امنیتی نیز از چنین خصوصیتی برخوردار است. بهترین استراتژی در خصوص خودکارسازی این است که هر وظیفه‌ای را بتوان به حالت خودکار درآورد. با این کار بار اضافی محول شده به گروه امنیتی کاهش می‌یابد و به طرز قابل‌توجهی منابع و نیروی انسانی تقویت می‌شوند.

هماهنگ‌سازی| یک SOC پیشرفته، پاسخ‌دهی به رخدادها را هماهنگ شده و سازمان‌یافته تنظیم می‌کند و اطلاعات ضروری و حائز اهمیت را، در میان انبوهی از داده‌ها، تحویل تحلیلگران امنیتی می‌دهد. این کار سبب افزایش قدرت در تصمیم گیری درست و پاسخ‌های لحظه‌ای می‌شود. هماهنگ‌سازی، فرآیندی است که در پاسخ به رخدادهای امنیتی و شامل خودکارسازی عملیات گردشکار، مانند بازنویسی اطلاعات احراز هویتی، Patch برنامه‌ها و به‌روزرسانی فایروال‌ها و مقررات توسط SIEM است.

بازیابی اطلاعات و جلوگیری از نفوذ | SOC ها لازم است بتوانند اقدامات لازم امنیتی را به‌واسطه‌ی داده‌های گردآوری‌شده، تجزیه‌وتحلیل تهدیدها و رفتار کاربران تشخیص دهند. بعلاوه، پس از وقوع یک رخداد امنیتی این SOC موظف به بازیابی سیستم‌ها و اطلاعات مفقودشده بوده و هدف اصلی آن‌ بازگردانی شبکه سازمان به حالت ابتدایی پیش از رخداد است.

تجزیه‌وتحلیل | SOC موظف است با شناسایی،‌ تجزیه‌وتحلیل و پاسخ‌دهی به تهدیدهای سایبری از نفوذ به سازمان جلوگیری کند. پس از وقوع رخدادهای امنیتی، SOC وارد عمل می‌شود تا مشکلات به وجود آمده را در محل رخداد و در کنار علل خود شناسایی کرده و مانع وقوع دوباره آن‌ها ‌شود.

همکاری همه‌جانبه | یک SOC باید در رأس تمامی عملیات امنیتی قرار بگیرد و نقطه ی آغازین کلیه تصمیم‌گیری‌ها باشد و نیز تمام رخدادهای مرتبط با سازمان را یکپارچه کند. یک مرکز عملیات امنیتی، متشکل از نیروهای متخصص، فرآیندها و فن‌آوری‌ها می‌باشد و هماهنگ‌کننده‌ی‌ فعالیت‌های واحد آی‌تی و امنیت است تا بدین ترتیب، از وقوع اختلالات متعدد ناشی از فعالیت‌های امنیتی ممانعت گردند.

مدیریت موارد عملیاتی| مدیریت صحیح گردشکارها، در مراکز عملیات امنیت، امری حیاتی محسوب می‌شود.  SOCها وظیفه دارند به رخدادها و فعالیت‌های به تعلیق درآمده پاسخ سریع داده و آن­ها را مدیریت کنند و درنهایت، نیازهای امنیتی سازمان را مرتفع سازند. یک مرکز عملیات امنیتی کارآمد باید به شکل مشخص و خودکار؛ اولویت اعلان‌ها را مشخص کند، رخدادها را بررسی نماید و نیز قابلیت مدیریت بحران‌های امنیتی را داشته باشد.

گزارش دهی | مرکز عملیات امنیتی لازم است تهدیدهای داخلی و خارجی را جهت اطمینان سازمان در قالب یک گزارش دقیق و جزئی شرح دهد و مخاطرات مختلف را شناسایی کند. برای سازمان‌هایی که از مقررات متعددی مانند HIPAA، PCIDSS، GDPR، CCPA و … پیروی می‌کنند ضرروت گزارش دهی به‌مراتب بالاتر است. با این قابلیت، شرکت‌های امنیتی ارائه‌دهنده SOC متعهد ایفای کامل امنیت می‌شوند و مخاطرات موجود در سازمان با جزئیات دقیق‌تر شناسایی می‌گردد و امنیت سازمان‌ها افزایش می‌یابد.