مقالات

راهنمای مدل مرکز عملیات امنیت (SOC)

SOC
۲۸ بهمن

انتخاب مدل صحیح مرکز عملیات امنیتی (SOC) برای یک سازمان، مسأله ای نیست که فقط به استخدام یک تیم یا ارائه دهنده خدمات مربوط باشد. رهبران امنیت و مدیران مدیریت ریسک باید با دقت مسئولیت‌های عملیاتی را در نظر بگیرند و قبل از انتخاب یک مدل ترکیبی، به ریسک‌ها آگاه شوند.

بررسی

یافته‌های کلیدی

  • پیاده سازی یک مرکز عملیات امنیتی (SOC) با استفاده از کارکنان داخلی تقریباً برای اکثر سازمان‌ها دشوار و در مواردی غیرممکن است.
  • برخی از وظایف SOC به صورت استراتژیک هستند، مانند وظایف انجام شده توسط تیم های تحقیقاتی، مدیر پاسخ به حوادث و تیم تست نفوذ. این وظایف معمولاً توسط کارکنان داخلی انجام می‌شوند که نیازها و مسائل امنیتی کسب‌وکار را درک می‌کنند.
  • برخی از وظایف دیگر SOC به صورت تاکتیکی هستند، مانند ساخت محتوای شناسایی برای حملات رایج. این وظایف معمولاً توسط تیم خارجی بزرگتر انجام می‌شوند که می‌توانند آن‌ها را به صورت کارآمدتر، به مقیاس بزرگتر و به مدت طولانی‌تر انجام دهند.
  • سازمان‌هایی که با ارائه‌دهندگان خدمات امنیتی کار می‌کنند معمولاً فرض می‌کنند که ارائه‌دهنده آنها اهدافی را برآورده می‌کند که نه برای آن قرارداد بسته شده است و نه بخشی از مسئولیت آن است.

توصیه‌ها

در طراحی یک SOC، رهبران امنیت و مدیریت ریسک باید:

  • هنگام طراحی مدل SOC از نیازهای تشخیص تهدید خود به عنوان الزامات استفاده کنند.
  • یک مدل SOC بسازید که بهترین توازن را بین تیم های داخلی که روی اهداف استراتژیک کار می کنند و ارائه دهندگان خدماتی که روی اهداف تاکتیکی کار می کنند، ایجاد کند.
  • از ارائه‌دهندگان خدمات برای نقش‌هایی که به بهترین وجه در مقیاس بزرگ انجام می‌شوند یا نیاز به دانش تهدید خاص، تکنیک‌های عملیاتی یا مهارت‌های مدیریت ابزار دارند، استفاده کنید.
  • از کارکنان داخلی برای نقش‌هایی که هم دانش امنیتی و هم عملیات تجاری را در بر می‌گیرند، مانند بازرس ارشد، مدیر واکنش حوادث و تیم تست نفوذ استفاده کنید.

مقدمه

ساختن SOC سفری است، سفری که هرگز به پایان نمی رسد، زیرا الزامات به طور مداوم تغییر می کنند. برای اطمینان از اینکه عملکرد SOC کاهش نمی‌یابد و هزینه‌های آن بیش از بودجه نمی‌شود، نیاز به رشد و تجزیه و تحلیل مداوم دارد.

انتخاب یک SOC هیبریدی یکی از راه‌های کمک به رشد قابلیت‌ها و در عین حال مدیریت مقیاس و هزینه است. یک SOC ترکیبی، تیمی است که در آن بیش از یک تیم، اعم از منابع داخلی و برون سپاری، در فعالیت های مورد نیاز برای عملکرد صحیح SOC نقش دارند. این سوال که کدام تیم‌ها، نقش‌ها، شغل‌ها و فعالیت‌ها بهتر است در داخل یا برون سپاری شوند، پیچیده است. ساخت یک مدل SOC به شما کمک می کند تا به آن پاسخ دهید و اطمینان حاصل کنید که یک SOC هیبریدی به خوبی متعادل است.

یک مدل SOC یک استراتژی برای تغییر در استفاده از تیم های داخلی و ارائه دهندگان خدمات خارجی هنگام اجرای یک SOC تعریف می کند. این تضمین می‌کند که تمام نقش‌های مورد نیاز برای اجرای یک SOC به کسانی که برای انجام مسئولیت‌های مرتبط مناسب‌تر هستند، اختصاص داده می‌شوند.

یک مدل موثر SOC به رهبران SRM این امکان را می دهد که منابع را بر اساس اولویت های تجاری، مجموعه مهارت های موجود و بودجه تخصیص دهند. ترکیبی از برون سپاری و برون سپاری رایج ترین رویکرد است. یک مدل SOC اجازه می دهد تا تصمیمات استراتژیک، مانند تعیین وظایف عمومی SOC اهداف کلیدی برای برون سپاری، در حالی که کارکنان عملکردهای حساس تر در داخل. برخی از وظایف نیز وجود دارند که آنقدر تخصصی هستند که وجود افرادی در لیست حقوق و دستمزد برای انجام آنها برای اکثر سازمان ها دشوار است.

شکل 1 یک مدل SOC ساده شده را نشان می دهد. یک مدیر باید اهداف SOC و قابلیت های فنی مورد نیاز برای تحقق آنها را ارزیابی کند. توانایی های فنی مستلزم افرادی با استعدادها و توانایی های خاص است. نحوه فرموله شدن تیم عملیاتی به طور مستقیم بر عملکرد کلی SOC تأثیر می گذارد.

SOC
شکل 1: مدل ساده مرکز عملیات امنیت

در بسیاری از موارد، علت اصلی نارضایتی مشتریان از خدمات SOC، ارائه دهنده خدمات آنها نیست. این است که آنها هیچ استراتژی مدلی برای عملکرد SOC ندارند.

تجزیه و تحلیل

هدف اصلی یک مدل SOC ایجاد یک SOC ترکیبی با یافتن تعادل مناسب بین کارکنان داخلی و ارائه‌دهندگان خارجی برای تکمیل تمام نقش‌های مورد نیاز برای برآورده کردن تمام اهداف SOC است.

شکل 2 مدل گسترده‌تری از مدل SOC ساده را نشان می‌دهد.

SOC
شکل 2: مدل گسترده مرکزعملیات امنیت

کلیدهای استفاده از مدل  SOC

تعریف اهداف و نقش‌های مدل  SOC

  • اطمینان حاصل کنید که اهداف و نقش‌ها به وضوح تعریف شده باشند. در این مرحله، تخصیص منطقی منابع به نقش‌ها و اهداف بسیار مهم است. می‌توانید نقش‌ها را به افراد چندگانه اختصاص دهید یا یک تیم را برای انجام یک نقش انتخاب کنید، بسته به نیاز.

 

  • تأکید داشته باشید هیچ هدفی را نادیده نگیرید. اغلب یک قرارداد خدمات هدف‌هایی مانند آزمایش یا رشد را پوشش نمی‌دهد یا توانایی محدودی برای ایجاد محتوای جدید شناسایی دارد. اگر یک ارائه‌دهنده هدفی را برای شما دستیابی نکرده باشد، شما باید یا خود آن را دستیابی کنید یا ارائه‌دهنده دیگری را پیدا کنید. نادیده گرفتن هر هدفی منجر به عملکرد ناپایدار می‌شود.
  • یک نقش اختصاص داده شده با مهارت‌های صحیح برای هر هدف ضروری است. اغلب یک نقش ممکن است وظایف یک هدف را انجام دهد که نمی‌تواند به آنها برسد، به دلیل کمبود مهارت یا مسئولیت.

استفاده از یک مدل SOC برای ساخت یک SOC هیبرید

با در نظر گرفتن الزامات و اهداف SOC، زمان شروع ساخت یک SOC هیبریدی با استفاده از مدل فرا رسیده است. شکل 3 نشان می دهد که چگونه مدل به شما کمک می کند تا در مورد نحوه پر کردن نقش ها تصمیم بگیرید. یک مدیر SOC تعیین می کند که کدام نوع خدمات ممکن است نقش مورد نیاز را پر کند، چه خلأهای نقشی وجود دارد، و کدام نقش ها توسط اعضای داخلی تیم به بهترین شکل انجام می شود. یک SOC ترکیبی زمانی نتایج بهینه را ارائه می دهد که تصمیمات درست در مورد زمان استفاده از کدام تیم گرفته شود.

انتظار نداشته باشید که ارائه دهنده(های) خدمات شما نگران مدل SOC شما باشد. آنها معمولا بیشتر به جنبه های فنی یا عملیاتی خود SOC توجه دارند. آنها عمدتاً به ظاهر حملات، نحوه ایجاد تشخیص، ابزارهایی که به خوبی کار می کنند، نحوه بررسی حملات و نحوه تجویز اقدامات برای مقابله با حملات اهمیت می دهند.

SOC
گزارش 3: استفاده ازمدل مرکزعملیات امنیت

تصمیم گیری در مورد چگونگی پر کردن نقش‌ها و زمان استفاده از هر تیم یک روند پیچیده است. از تصمیم‌گیری منطقی و توجه به نیازها و اهداف امنیتی خود اطمینان حاصل کنید. در نظر داشته باشید که اجرای SOC در یک طیف از امکانات ممکن است. در یک انتهای طیف، شما یک تیم 100٪ داخلی برای تمام اهداف دارید و در انتهای دیگر، شما تمام مسئولیت‌های SOC را به ارائه‌دهندگان خدمات خارجی می‌سپارید. هیچ‌کدام از این انتهاها ایده‌آل نیست. مدیر SOC باید در نظر بگیرد که چگونه نقش‌های لازم را پر کند، بر اساس نیازهای امنیتی و همچنین عملکرد SOC کلی مورد نیاز.

چند راهنمایی عمومی در تصمیم‌گیری در مورد نقش‌ها در مدل SOC:

  • دلایل استخدام داخلی:
    • وظایفی خاص یا منحصر به فرد برای شرکت.
    • نیاز به دانش داخلی حساس برای انجام نقش.
    • نیاز به ارتباطات حساس.
    • مواجهه با مسائل با ارزش یا ریسک بالا.
    • کنترل یک مسئله امنیتی خاص در ارگانیزاسیون که به ویژگی‌های استراتژیک آن مرتبط است.
  • دلایل قراردادی:
    • وظیفه از نوع رایج است که تیم‌های خارجی غالباً بر آن کار می‌کنند.
    • اجرای وظیفه نیاز به منابع بیشتری دارد که داخلی در دسترس نیستند.
    • وظیفه روزانه و یک کاندید خوب برای اتوماسیون است.
    • مهارت‌های لازم بسیار ویژه هستند و افراد با این مهارت‌ها یا گران هستند یا قابل دسترسی نیستند.
    • تعداد کم و یا ناپایداری وظایف به حدی است که انجام آنها داخلی امکان‌پذیر نیست.
    • ابزارهای لازم برای انجام کار داخلی وجود ندارد ولی ممکن است در یک قرارداد خدمات شامل شود.

توضیح اجزای مدل SOC:

چهار هدف اصلی SOC

هر SOC، صرف نظر از اندازه یا بلوغ آن، برای انجام موفقیت آمیز باید به چهار هدف اصلی دست یابد. اینکه دقیقاً چگونه هر هدف را برآورده می‌کند به قابلیت‌های تکنولوژیکی موجود بستگی دارد و بسته به اندازه، بلوغ و نیازهای امنیتی مشتریان بسیار متفاوت است. اما از نظر مدل، آنچه مهم است این است که هر چهار هدف مورد توجه قرار گیرد و هیچ کدام نادیده گرفته نشوند. برای مثال، جستجوی سرویس‌هایی که به شناسایی و پاسخگویی کمک می‌کنند، اما نادیده گرفتن وابستگی به مدیریت مواجهه یا اعتبارسنجی، یک اشتباه رایج است.

چهار هدف اصلی مورد استفاده در مدل SOC عبارتند از:

شناسایی تهدید

قرار گرفتن در معرض و اعتبار

نظارت و تشخیص

واکنش

شناسایی تهدید

به عنوان یک هدف، سازمان هایی که یک مدل SOC می سازند باید یک رویکرد برنامه ای برای استفاده از هوش تهدید داشته باشند. درک وابستگی اطلاعات تهدید به اهداف دیگر، مانند آزمایش و اعتبارسنجی، و همچنین به زیربنای فنی پایش کیفیت و دانش مورد نیاز برای پاسخگویی صحیح، مهم است. برای جزئیات نحوه ایجاد اهداف برای یک برنامه اطلاعاتی تهدید، به تعریف الزامات هوش تهدید برای بهبود کارایی SecOps مراجعه کنید.

قرار گرفتن در معرض و اعتبار

برای اولویت‌بندی و اجرای نظارت و تشخیص کیفیت، یک SOC باید بداند که چه دارایی‌هایی وجود دارد و میزان قرار گرفتن در معرض یا حساسیت کلی آنها به حمله. از آنجایی که چشم‌انداز تهدید همیشه در حال تغییر است، هدف برای قرار گرفتن در معرض و اعتبارسنجی باید شامل بررسی آزمایش‌های مداوم و همچنین فرورفتن عمیق‌تر در مناطق شناخته‌شده خطر باشد. برای جزئیات نحوه ساختاربندی اهداف برای قرار گرفتن در معرض و اعتبارسنجی، به اجرای برنامه مدیریت مواجهه با تهدید مستمر(CTEM) مراجعه کنید.

نظارت و تشخیص

ایجاد یک تمرین برای نظارت و تشخیص مستلزم بررسی و برنامه ریزی دقیق است. هرگز زمان یا پول کافی برای نظارت بر هر تهدیدی وجود ندارد، بنابراین باید در مورد مکان قرار دادن فناوری شناسایی، برای چه تهدیدها و برای چه نوع زمان واکنش، انتخاب شود. برای بحث در مورد بسیاری از تصمیمات برنامه ریزی مورد نیاز برای همسویی اهداف با قابلیت ها و نقش ها، به سفر به SOC در سه مرحله مراجعه کنید: مرحله 1 برنامه ریزی و اولویت بندی اهداف.

واکنش

اهداف پاسخ را باید در قالب اجتناب از تأثیر در نظر گرفت. این حمله قبلاً اتفاق افتاده است، و امیدواریم که به طور دقیق و زود تشخیص داده شود. اهداف پاسخ باید تأثیر حادثه را نه تنها بر امنیت بلکه بر سازمان به طور کلی در نظر بگیرند. یک روش واکنش خوب، دارای قابلیت های متناسبی است، چه در داخل و چه از طریق قراردادهای خارجی، برای انجام اقدامات لازم برای پاسخ متناسب برای کاهش تأثیر حمله.

قابلیت‌های فنی

برای دستیابی به اهداف یک مرکز اطلاعات امنیتی (SOC)، نیاز به سرمایه‌گذاری در فناوری‌ها یا خدمات امنیتی وجود دارد. انواع این سرمایه‌گذاری‌ها، عمق آن‌ها، هماهنگی با انواع خاص تهدید، و موقعیت آن‌ها بر دامنه و هزینه SOC تأثیر می‌گذارد.

در زیر نمونه‌هایی از نیازمندی‌ها برای هر یک از پنج دسته قابلیت فنی آورده شده‌اند:

  • اطلاعات تهدید:
    • اشتراک‌های محتوای تهدید
    • نظارت بر فعالیت‌های عمیق و تاریک وب
    • مدیریت و ترتیب اطلاعات تهدید
    • پلتفرم‌های اطلاعات تهدید
    • اطلاعات مخابراتی و اطلاعات تولیدشده توسط تهاجم‌کننده
  • شناسایی، ارزیابی، آزمون:
    • مدیریت سطح حملات خارجی (EASM)
    • اسکن و اولویت‌بندی آسیب‌پذیری
    • نقشه‌برداری مسیر حمله
    • شبیه‌سازی نفوذ و حمله (BAS)
    • خدمات تست نفوذ به عنوان یک سرویس (PTaaS)
    • ابزارهای خودکار تیم قرمز
  • عملیات تشخیصی:
    • پلتفرم‌های مدیریت اطلاعات و رویدادهای امنیتی (SIEM)
    • پلتفرم‌های تشخیص و پاسخ انتها (EDR)
    • پلتفرم‌های تشخیص و پاسخ شبکه (NDR)
    • پلتفرم‌های تشخیص و پاسخ گسترده (XDR)
    • سایر سیستم‌های تشخیص نقاط
  • تحقیق و شکار:
    • پلتفرم‌های SIEM
    • پلتفرم‌های داده‌های بزرگ/دیتالیک
    • پلتفرم‌های EDR
    • پلتفرم‌های ارکستره‌سازی
  • محدودیت و جلوگیری:
    • پلتفرم‌های مدیریت مورد (Case Management)
    • ابزارهای تخصصی جستجو و جمع‌آوری شواهد

تیم عملیاتی

هر فناوری مورد استفاده برای دستیابی به یک هدف SOC، نیاز به یک تیم عملیاتی دارد. این تیم باید از چند نقش مختلف تشکیل شده باشد، هرکدام با مسئولیت‌های منحصر به فرد. افزودن نقش‌ها به مدل SOC اطمینان حاصل می‌کند که همه نقش‌های لازم حاضر هستند و به کسی اختصاص یافته‌اند، سپس سازمان این نقش‌ها را داخلی یا از طریق قرارداد خدمات تخصیص می‌دهد. به همین دلیل، ادغام نقش‌ها به مدل SOC وقتی مفید است که قراردادهای خدمات مورد بررسی قرار گیرد.

به ندرت، اگر هیچ‌وقت ارائه‌دهنده خدمات نقش‌هایی که ارائه می‌دهد را ذکر نمی‌کند. با این حال، بررسی قرارداد و پرسش از تامین‌کننده یا به زبان اصطلاحات هدف سطح خدمات (SLO) می‌تواند اطمینان حاصل کند که یک ارائه‌دهنده نقشی را اجرا می‌کند که برای دستیابی به هدف(های)ی که به آن قرارداد شده است، لازم است. به عنوان مثال، اگر یک ارائه‌دهنده به طور کلی در یک قرارداد بیان کند که تهدیدات جدید را شناسایی و هشدارهای جدید ایجاد خواهد کرد، از آن خواهید پرسید که تیم‌های تحقیق در حوزه تهدید و ایجاد محتوای هشدار چگونه استفاده می‌شوند، چرا که هر دو این نقش‌ها لازم است.

نقش‌های اصلی در یک تیم عملیاتی عبارتند از:

  • مدیر: الزامات امنیتی را جمع‌آوری می‌کند، استراتژی SOC را برای دستیابی به اهداف مشخص می‌کند، معیارهای عملکرد را تعیین می‌کند، مدل SOC را ایجاد می‌کند، و گزارش‌ها را برای سایر ذینفعان آماده می‌کند.
  • تحلیل‌گر سطح 3/استاره: دارای دانشی درباره حملات است و تحقیقاتی انجام می‌دهد که به توصیه‌های عملی پاسخ منجر می‌شود. همچنین ممکن است عضو مشارکتی یا رهبر در هماهنگی اقدامات پاسخ باشد.
  • تحلیل‌گر سطح 1/استاره جوان: مسئولیت مدیریت لوله‌ی هشدار و وظایف ابتدایی وابسته به نظارت را بر عهده دارد.
  • توسعه‌دهنده تهدید: یک “سایبرالمپیادی” که نه تنها از شناسایی حملات آگاه است بلکه از گزارش‌های اطلاعات امنیتی برای یادگیری درباره چیزهای جدید استفاده می‌کند. این نقش اغلب کلیدی است برای اجرای ابزارها یا ابزارهای ارزیابی، و برای مشارکت در منطق شناسایی موردنیاز برای ایجاد هشدار.
  • مهندس: کنترل‌ها و ابزارهای لازم برای شناسایی تهدیدها را در حالت عمل نگه می‌دارد. این فرد به طور اصلی مسئول تغییرات در ابزارها، اعمال چرخه‌ها یا انجام هر کار دیگری برای اجرای مراحل شناسایی است، مطابق طراحی مهندس شناسایی.
  • مهندس شناسایی: طراحی اسکله‌ی شناسایی موردنیاز برای شناسایی هشدارهای پیشنهادی توسط توسعه‌دهنده تهدید. این نیازمند دانشی در مورد نحوه یکپارچه‌سازی و تجزیه‌وتحلیل تلمتری از ابزارهای مختلف برای به دست آوردن نتایج مطلوب است. مهندس شناسایی باید توصیه کند که زمانی که اجزای اسکله باید تغییر یابند، ارتقاء یابند، اضافه شوند یا جایگزین شوند.

از آشنایی با شما خوشحالیم 👋

برای باخبر شدن از آخرین خبرهای دنیای امنیت، لطفا در خبرنامه سیندادسک عضو شوید.