یک استراتژی امنیتی کارآمد به یک تیم قوی، بهروشها، ابزارها و فناوریهایی نیاز دارد. هر سازمانی از این فاکتورها به نحو متفاوتی استفاده میکند. بعضی از سازمانها میتوانند اینکار را با یک نفر به انجام به رسانند، در حالی که بعضی دیگر برای اجرای آن نیاز به یک گروه دارند.
مراکز عملیات امنیت (SOC) و گروههای پاسخ به حوادث امنیتی کامپیوتری (CSIRT) دو نمونه از معمولترین عملیات امنیتی هستند. در حالی که تمرکز CSIRT روی پاسخ به حوادث است، دامنه یک SOC بهطور معمول گستردهتر است. برای درک تفاوتهای این دو عملیات امنیتی ادامه این مقاله را مطالعه نمایید.
«پاسخ به حادثه» یک متدولوژی برای سازماندهی فرایند پاسخ به رویدادهای امنیتی است. معمولا شرکتها برای اجرای بهروشهای پاسخ به حواث یک گروه یا دپارتمان ایجاد میکنند.
یک گروه پاسخ به حادثه از تحلیلهای امنیتی، منابع انسانی و متخصصان مدیریت تشکیل میشود. یک گروه پاسخ به حادثهی مستعد تضمین میکند که سازمان ترکیب مناسبی از افراد، استعدادها و تواناییهای مورد نیاز برای پاسخ به تهدیدهای امنیتی بهرهمند میشود. گروه پاسخ به حادثه عموما از یک رهبر (که CISO نامیده میشود) و تعدادی کارمند فنی نشکیل میشود.
سیر تکاملی گروههای امنیتی
سی سال پیش شرکتها برای اجرای فعالیتهای امنیتی نیز از کارمندان IT خود استفاده میکند. تا اینکه در سال 1990 شرکتها شروع به ایجاد اولین مراکز عملیت امنیت (SOC) و متمرکزسازیِ ابزارهای امنیتیِ و پرسنل خود کردند. با این وجود تعداد رخنههای امنیتی در دههی گذشته نشان داده است که SOCها کافی نیستند و شرکتها نیاز دارند به تهدیدها به صورت فعال (proactive) پاسخ دهند.
زمانی رسید که استفاده از یک تیم پاسخ اختصاصی تبدیل به یک استاندارد شد و گروههای CSIRT معرفی شدند. رشد تعداد و پیچیدگی حملات امنیت سایبری، شرکتها را به سمتی سوق داد که CSIRTها را به عنوان قسمتی از SOC یا به صورت جداگانه ایجاد و راهاندازی کنند.
CSIRT ها از گروهی از متخصصان امنیت تشکیل شده است که مسئولیت دریافت، تحلیل و پاسخ یه حوادث امنیتی را بر عهده دارند. «گروههای پاسخ به حادثه» (که نام دیگر گروههای CSIRT است) میتوانند درون یک SOC ایجاد شود و یا اینکه توسط SOC پایش شوند. در صورت لزوم و با توجه به نیاز یک شرکت، این گروهها میتوانند به صورت مستقل فعالیت کنند. همچنین بسته به تعداد دفعاتی که شرکت با تهدیدهای امنیتی مواجه میشود، میتوان یک گروه موقت و یا گروههای مشخص و رسمی را برای این کار ایجاد کرد.
هسته اصلیِ کار CSIRT مدیریت حوادث است. مدیریت حوادث از سه فعالیت اصلی تشکیل شده است: گزارشدهی، تحلیل و پاسخ. نکته اصلی در یک مدیریت حادثهی کارآمد درCSIRT، این است که به یک حادثه به سرعت پاسخ داده شود. با اینکار میتوان از طریق راهکارهای مهار و بازیابی، میزان خسارت را به حداقل رساند. بعضی از فعالیتهایی که CSIRTها اجرا میکنند عبارت است از:
تحلیل حوادث: گروه پاسخ به حادثه به تحلیل یک تهدید میپردازد. گروههای پاسخ عموما برای گردآوری اطلاعاتی در رابطه با الگوها و تکنیکهای حمله از ابزارهای هوش تهدید بهره میبرند. آنها شدت تهدید و تاثیری که ممکن است روی سازمان بگذارد را بررسی میکنند و روشی را برای پاسخ به آن برمیگزینند.
جلوگیری از حادثه، تشخیص و پاسخ به آن: بعد از بررسی و تحلیل، گروهِ پاسخ به منظور جلوگیری از صدمه بیشتر، اقدامات مهارکننده و ترمیم/بهبود دهنده (remediation) را اجرا میکنند.
جرمشناسی امنیتی (Forensic): این فعالیت شامل تحقیق در رابطه با علل یک حمله، ایجاد جدول زمانی حمله و درسهایی است که از وقوع آن حمله آموختهایم.
توسعه استراتژیهای امنیتی: CSIRTها به صورت مستقل یا با همکاریِ سایر دپارتمانها، استراتژیهای امنیتی را توسعه میدهند. این گروهها همچنین میتوانند سایر گروههای سازمان را در زمینه جلوگیری از تهدید یاری نماید.
یک CSIRT سعی دارد تا جای ممکن به تهدیدها سریع پاسخ دهد تا میزان خسارتی که توسط حوادث امنیتی میشود را به حداقل برساند. CSIRTها نه تنها به حملاتی که در حال وقوع هستند پاسخ میدهد بلکه از حادثهها جلوگیری میکند و حادثهها را از منظر جرمشناسی بررسی مینماید. دیگر مسئولیتهای یک CSIRT عبارت است از:
-
- رتبهبندی هشدارها
- هدایت استراتژیها
- آگاهسازی ذینفعان در رابطه با حوادث
SOC یا همان «مرکز عملیات امنیت» مکانی است که فعالیتهای امنیتیِ یک گروه در آنجا اجرا میشود. اصطلاح SOC به گروهی که مسئولیت امنیت سایبری کل یک سازمان را بر عهده دارد نیز اطلاق میشود. SOC دامنه و مفهوم وسیعتری نسبت به CSIRTها دارد. مسئولیتهای SOC شامل جلوگیری، پاسخ به حادثه و مدیریت مخاطره و compliance میشود. هسته اصلی فعالیتهای SOC عبارت است از:
جمعآوری و همبستهسازی دادهها: گروههای SOC عموما از راهکارهای هوش تهدید مانند سیستمهای مدیریت اطلاعات و رویداد امینتی (SIEM)، برای جمعآوری و همبستهسازی دادهها بهره میگیرند. یک SOC ممکن است معیارهایی را برای اهداف مربوط به عملیات امنیتی گردآوری نماید و به سایر دپارتمانها نیز کمک کند.
تشخیص تهدید: قسمتی از کار یک گروه SOC شناسایی آنومالیها (ناهنجاریها) و تشخیص تهدیدهاست. تشخیص تهدید میتواند شامل قابلیتهای شکار تهدید و استفاده از ابزارها و تکنیکهای تحلیل رفتاری نیز باشد.
پایش: تحلیلگران امنیت در یک SOC به پایش امنیت شبکه، کاربران و سیستمها میپردازند.
هر دو این گروهها یک بازه مشابهی از کارها را انجام میدهند. با وجود اینکه قابلیتها و مسئولیتهای SOC و CSIRT میتوانند همپوشانی داشته باشند، هر یک از این گروهها اهداف متفاوت و بهخصوصی را دنبال میکنند.
CSIRTها از دید عملی به حوادث نگاه میکنند و به سرعت وارد عمل میشوند تا تهدید را خاتمه دهند و جلوی خسارت را بگیرند. لیکن SOCها چشمانداز وسیعتری را دربر میگیرند. با وجود اینکه SOCها میتوانند در پاسخ به حادثه مداخله داشته باشد، معمولا در صورتی اینکار را انجام میدهند که هیچ گروه اختصاصی برای پاسخ به حادثه در سازمان وجود نداشته باشد. در ادامه میتوانید تفاوتهای اصلی بین این دو نوع گروه را از منظر ساختار و قابلیتهایشان مطالعه نمایید.
تشخیص تهدید: تهدیدها را پایش میکند و تشخیص میدهد.
تریاژ هشدار: هشدارها را تحلیل میکند و اولویتدهی مینماید.
ساختار: عموما به صورت تنها و بدون اشتراک اطلاعات با دیگر SOCها فعالیت میکند.
مدیریت حادثه: SOCها میتوانند در صورت نبودِ CSIRT مسئولیت مدیریت حادثه را بر عهده بگیرد. در شرکتهایی که دو گروه SOC و CSIRT را دارند، SOC در زمینه هوش تهدید به CSIRT کمک میکند.
مدیریت حادثه: بر روی پاسخ سریع و کارآمد به حوادث تمرکز دارد. نقشه/طرح پاسخ به حادثه را توسعه میدهد و پالایش میکند.
ساختار: CSIRTها از نظر ساختاری عموما تحتِ دیگر CSIRTهاو SOCها ساخته میشوند و میتوانند به صورت منطقهای یا ملی سازماندهی شوند.
تشخیص تهدید: CSIRTها عموما هوش تهدید را از SOCها میگیرند و همچنین از راهکارهای هوش تهدید برای تشخیص تهدید بهره میبرند.
این دو گروه مکمل یکدیگر هستند. ترکیب یک SOC و یک CSIRT میتواند به کمک کند تا به بهترین شکلِ ممکن از دپارتمان امنیت سایبری استفاده شود. از آنجاکه همه شرکتها نمیتوانند هر دو گروه SOC و CSIRT را داشته باشند، سازمانها میتوانند ساختاری را که برای آنها بهترین کارکرد را دارد برگزینند. تا زمانی که سازمانها استانداردهای راهکارهای امنیتی را حفظ کنند، میتواند گروه خود را ایجاد نماید.