مقایسه SOC و CSIRT

1. مقدمه

یک استراتژی امنیتی کارآمد به یک تیم قوی، به‌روش‌ها، ابزارها و فناوری‌هایی نیاز دارد. هر سازمانی از این فاکتورها به نحو متفاوتی استفاده می‌کند. بعضی از سازمان‌ها می‌توانند این‌کار را با یک نفر به انجام به رسانند، در حالی که بعضی دیگر برای اجرای آن نیاز به یک گروه دارند.

مراکز عملیات امنیت (SOC) و گروه‌های پاسخ به حوادث امنیتی کامپیوتری (CSIRT) دو نمونه از معمول‌ترین عملیات امنیتی هستند. در حالی که تمرکز CSIRT روی پاسخ به حوادث است، دامنه یک SOC به‌طور معمول گسترده‌تر است. برای درک تفاوت‌های این دو عملیات امنیتی ادامه این مقاله را مطالعه نمایید.

2. «پاسخ به حادثه» چیست و چرا به یک گروه نیاز دارید؟

«پاسخ به حادثه» یک متدولوژی برای سازماندهی فرایند پاسخ به رویدادهای امنیتی است. معمولا شرکت‌ها برای اجرای به‌روش‌های پاسخ به حواث یک گروه یا دپارتمان ایجاد می‌کنند.

یک گروه پاسخ به حادثه از تحلیل‌های امنیتی، منابع انسانی و متخصصان مدیریت تشکیل می‌شود. یک گروه پاسخ به حادثه‌ی مستعد تضمین می‌کند که سازمان ترکیب مناسبی از افراد، استعدادها و توانایی‌های مورد نیاز برای پاسخ به تهدیدهای امنیتی بهره‌مند می‌شود. گروه پاسخ به حادثه عموما از یک رهبر (که CISO نامیده می‌شود) و تعدادی کارمند فنی نشکیل می‌شود.

سیر تکاملی گروه‌های امنیتی

سی سال پیش شرکت‌ها برای اجرای فعالیت‌های امنیتی نیز از کارمندان IT خود استفاده می‌کند. تا این‌که در سال 1990 شرکت‌ها شروع به ایجاد اولین مراکز عملیت امنیت (SOC) و متمرکز‌سازیِ ابزارهای امنیتیِ و پرسنل خود کردند.  با این وجود تعداد رخنه‌های امنیتی در دهه‌ی گذشته نشان داده است که SOCها کافی نیستند و شرکت‌ها نیاز دارند به تهدید‌ها به صورت فعال (proactive) پاسخ دهند.

زمانی رسید که استفاده از یک تیم پاسخ اختصاصی تبدیل به یک استاندارد شد و گروه‌های CSIRT معرفی شدند. رشد تعداد و پیچیدگی حملات امنیت سایبری، شرکت‌ها را به سمتی سوق داد که CSIRTها را به عنوان قسمتی از SOC یا به صورت جداگانه ایجاد و راه‌اندازی کنند.

3. مروری بر «گروه پاسخ به حوادث امنیتی کامپیوتر (CSIRT)»

CSIRT ها از گروهی از متخصصان امنیت تشکیل شده است که مسئولیت دریافت، تحلیل و پاسخ یه حوادث امنیتی را بر عهده دارند. «گروه‌های پاسخ به حادثه» (که نام دیگر گروه‌های CSIRT است) می‌توانند درون یک SOC ایجاد شود و یا این‌که توسط SOC پایش شوند. در صورت لزوم و با توجه به نیاز یک شرکت، این گروه‌ها می‌توانند به صورت مستقل فعالیت کنند. همچنین بسته به تعداد دفعاتی که شرکت با تهدید‌های امنیتی مواجه می‌شود، می‌توان یک گروه موقت و یا گروه‌‌های مشخص و رسمی را برای این کار ایجاد کرد.

4. CSIRTها چگونه کار می‌کنند؟

هسته اصلیِ کار CSIRT مدیریت حوادث است. مدیریت حوادث از سه فعالیت اصلی تشکیل شده است: گزارش‌دهی، تحلیل و پاسخ. نکته اصلی در یک مدیریت حادثه‌ی کارآمد درCSIRT، این است که به یک حادثه به سرعت پاسخ داده شود. با این‌کار می‌توان از طریق راهکارهای مهار و بازیابی، میزان خسارت را به حداقل رساند. بعضی از فعالیت‌هایی که CSIRTها اجرا می‌کنند عبارت است از:

تحلیل حوادث: گروه پاسخ به حادثه به تحلیل یک تهدید می‌پردازد. گروه‌های پاسخ عموما برای گردآوری اطلاعاتی در رابطه با الگوها و تکنیک‌های حمله از ابزارهای هوش تهدید بهره می‌برند. آن‌ها شدت تهدید و تاثیری که ممکن است روی سازمان بگذارد را بررسی می‌کنند و روشی را برای پاسخ به آن برمی‌گزینند.

جلوگیری از حادثه، تشخیص و پاسخ به آن: بعد از بررسی و تحلیل، گروهِ پاسخ به منظور جلوگیری از صدمه بیشتر، اقدامات مهارکننده و ترمیم/بهبود دهنده (remediation) را اجرا می‌کنند.

جرم‌شناسی امنیتی (Forensic): این فعالیت شامل تحقیق در رابطه با علل یک حمله، ایجاد جدول زمانی حمله و درس‌هایی است که از وقوع آن حمله آموخته‌ایم.

توسعه استراتژی‌های امنیتی: CSIRTها به صورت مستقل یا با همکاریِ سایر دپارتمان‌ها، استراتژی‌های امنیتی را توسعه می‌دهند. این گروه‌ها همچنین می‌توانند سایر گروه‌های سازمان را در زمینه جلوگیری از تهدید یاری نماید.

یک CSIRT سعی دارد تا جای ممکن به تهدیدها سریع پاسخ دهد تا میزان خسارتی که توسط حوادث امنیتی می‌شود را به حداقل برساند. CSIRTها نه تنها به حملاتی که در حال وقوع هستند پاسخ می‌دهد بلکه از حادثه‌ها جلوگیری می‌کند و حادثه‌ها را از منظر جرم‌شناسی بررسی می‌نماید. دیگر مسئولیت‌های یک CSIRT عبارت است از:

• • رتبه‌بندی هشدارها
  • هدایت استراتژی‌ها
  • آگاه‌سازی ذی‌نفعان در رابطه با حوادث

5. مروری بر «مرکز عملیات امنیت (SOC)»

SOC یا همان «مرکز عملیات امنیت» مکانی است که فعالیت‌های امنیتیِ یک گروه در آن‌جا اجرا می‌شود. اصطلاح SOC به گروهی که مسئولیت امنیت سایبری کل یک سازمان را بر عهده دارد نیز اطلاق می‌شود. SOC دامنه و مفهوم وسیع‌تری نسبت به CSIRTها دارد. مسئولیت‌های SOC شامل جلوگیری، پاسخ به حادثه و مدیریت مخاطره و compliance می‌شود. هسته اصلی فعالیت‌های SOC عبارت است از:

جمع‌آوری و همبسته‌سازی داده‌ها: گروه‌های SOC عموما از راهکارهای هوش تهدید مانند سیستم‌های مدیریت اطلاعات و رویداد‌ امینتی (SIEM)، برای جمع‌آوری و همبسته‌سازی داده‌ها بهره می‌گیرند. یک SOC ممکن است معیارهایی را برای اهداف مربوط به عملیات امنیتی گردآوری نماید و به سایر دپارتمان‌ها نیز کمک کند.

تشخیص تهدید: قسمتی از کار یک گروه SOC شناسایی آنومالی‌ها (ناهنجاری‌ها) و تشخیص تهدید‌هاست. تشخیص تهدید می‌تواند شامل قابلیت‌های شکار تهدید و استفاده از ابزارها و تکنیک‌های تحلیل رفتاری نیز باشد.

پایش: تحلیل‌گران امنیت در یک SOC به پایش امنیت شبکه، کاربران و سیستم‌ها می‌پردازند.

6. تفاوت‌های اصلی

هر دو این گروه‌ها یک بازه مشابهی از کارها را انجام می‌دهند. با وجود اینکه قابلیت‌ها و مسئولیت‌های SOC و CSIRT می‌توانند همپوشانی داشته باشند، هر یک از این گروه‌ها اهداف متفاوت و به‌‌خصوصی را دنبال می‌کنند.

CSIRT‌ها از دید عملی به حوادث نگاه می‌کنند و به سرعت وارد عمل می‌شوند تا تهدید را خاتمه دهند و جلوی خسارت را بگیرند. لیکن SOCها چشم‌انداز وسیع‌تری را دربر می‌گیرند. با وجود این‌که SOCها می‌توانند در پاسخ به حادثه مداخله داشته باشد، معمولا در صورتی این‌کار را انجام می‌دهند که هیچ گروه اختصاصی برای پاسخ به حادثه در سازمان وجود نداشته باشد. در ادامه می‌توانید تفاوت‌های اصلی بین این دو نوع گروه را از منظر ساختار و قابلیت‌هایشان مطالعه نمایید.

• • SOC

تشخیص تهدید: تهدید‌ها را پایش می‌کند و تشخیص می‌دهد.

تریاژ هشدار: هشدارها را تحلیل می‌کند و اولویت‌دهی می‌نماید.

ساختار: عموما به صورت تنها و بدون اشتراک اطلاعات با دیگر SOCها فعالیت می‌کند.

مدیریت حادثه: SOCها می‌توانند در صورت نبودِ CSIRT مسئولیت مدیریت حادثه را بر عهده بگیرد. در شرکت‌هایی که دو گروه SOC و CSIRT را دارند، SOC در زمینه هوش تهدید به CSIRT کمک می‌کند.

• • CSIRT

مدیریت حادثه: بر روی پاسخ سریع و کارآمد به حوادث تمرکز دارد. نقشه/طرح پاسخ به حادثه را توسعه می‌دهد و پالایش می‌کند.

ساختار: CSIRTها از نظر ساختاری عموما تحتِ دیگر CSIRTهاو SOCها ساخته می‌شوند و می‌توانند به صورت منطقه‌ای یا ملی سازمان‌دهی شوند.

تشخیص تهدید: CSIRTها عموما هوش تهدید را از SOCها می‌گیرند و همچنین از راهکارهای هوش تهدید برای تشخیص تهدید بهره می‌برند.

7. کدام‌یک بهتر است: SOC یا CSIRT؟

این دو گروه مکمل یکدیگر هستند. ترکیب یک SOC و یک CSIRT می‌تواند به کمک کند تا به بهترین شکلِ ممکن از دپارتمان امنیت سایبری استفاده شود. از آن‌جاکه همه شرکت‌ها نمی‌توانند هر دو گروه SOC و CSIRT را داشته باشند، سازمان‌ها می‌توانند ساختاری را که برای آن‌ها بهترین کارکرد را دارد برگزینند. تا زمانی که سازمان‌ها استانداردهای راهکارهای امنیتی را حفظ کنند، می‌تواند گروه خود را ایجاد نماید.