پنج مدل مرکز عملیات امنیتی

برای نظارت مستمر و پاسخگویی به تهدیدات، سازمان‌ها اغلب به یک مرکز عملیات امنیت (SOC) نیاز دارند که قابلیت‌های پیشگیری ، شناسایی و پاسخگویی مداوم به حوادث امنیت سایبری را به صورت متمرکز و یکپارچه ارائه می‌دهد.

طبق گفته گارتنر، پنج مدل مختلف برای ساخت و نگهداری یک SOC وجود دارد. برخی از این مدل‌ها فقط برای شرکت‌های بسیار بزرگ اعمال می‌شوند، در حالی که مدل‌های دیگر برای کسب و کارهایی در هر اندازه کار می‌کنند.

در این مقاله تفاوت بین مدل های SOC را  توضیح می دهیم. ما مدل‌ها را از نظر هزینه، مزایا و معایب آن‌ها می‌سنجیم، دستورالعمل‌هایی ارائه می‌کنیم که به شما کمک می‌کند بهترین انتخاب را داشته باشید و جایگزین‌هایی را برای سازمان‌هایی که به گزینه‌های مقرون‌ به‌ صرفه‌تری نیاز دارند، پیشنهاد می‌کنیم.

SOC مجازی (Virtual SOC) چیست؟

یک SOC مجازی (VSOC) در یک مرکز اختصاصی مستقر نیست و زیرساخت اختصاصی ندارد.بلکه یک پورتال مبتنی بر وب می باشد که بر اساس فناوری‌های امنیتی غیرمتمرکز ساخته شده و به تیم‌های خارج از سایت اجازه می‌دهد رویدادها را رصد کرده و به تهدیدات پاسخ دهند.

مزایای VSOC چیست؟

SOC مجازی باعث صرفه جویی قابل توجه در هزینه های سخت افزار داخلی و سایر زیرساخت ها می شود و در هنگام وقوع حملات سایبری می توانید به تیم های SOC مجازی تکیه کنید.

معایب SOC مجازی :

یک VSOC بیشتر یک رویکرد پاسخگرا می باشد. فناوری‌های غیرمتمرکز به احتمال زیاد شکاف‌های امنیتی را برجای می‌گذارند، که باعث می‌شود تشخیص و پاسخ تهدید به اندازه موثر کارآمد نباشد و از آنجایی که VSOC معمولاً با پرسنل نیمه وقت و دارای توزیع مناطق جغرافیایی کار می کند ، نمی توانید روی داشتن یک تیم 24×7 صرفا مختص به امنیت حساب کنید.

رویکردهای جایگزین :

VSOC از طریق اتوماسیون، فناوری SIEM و آنالیزها توسعه و بهبود می یابد.

SOC/NOC چند منظوره چیست؟

ترکیبی از یک مرکز عملیات امنیت (SOC) با یک مرکز عملیات شبکه (NOC)، این مدل دارای یک تیم، امکانات و زیرساخت اختصاصی است. یک SOC/NOC چند منظوره فراتر از عملکردهای امنیتی بوده و شامل عملیات IT ، انطباق و مدیریت ریسک نیز می شود.

مزایای SOC/NOC چیست؟

مزیت اصلی مدل SOC/NOC کاهش هزینه است ، زیرا پرسنل را یکپارچه می کند و هزینه سرمایه را به حداقل می رساند. این مدل برای سازمان‌های کوچک‌تر که در معرض تهدیدات کمی هستند و سازمان‌هایی که در حال حاضر پوشش مسئولیت‌های امنیتی در تیم‌های مختلف دارند، بهترین گزینه می باشد.

معایب SOC/NOC

ادغام SOC/NOC  تاکید کمتری بر امنیت دارد. در حالی که تیم چند منظوره وظایف اصلی امنیتی را انجام می دهد، تقسیم توجه بر روی نیازهای مختلف فناوری اطلاعات، شبکه و امنیت به ناچار منجر به ضعف دفاع امنیتی می شود.

علاوه بر این، یک تیم چند منظوره باید مجموعه مهارت های گسترده تری برای رسیدگی به طیف گسترده ای از مسائل داشته باشد. این بدان معناست که آنها احتمالاً تخصص امنیت عمیقی ندارند. این یک نقطه ضعف بزرگ است، زیرا دفاع در برابر تهدیدات پیچیده و در حال تحول امروزی مستلزم دانش پیشرفته و به‌روز از بهترین شیوه‌های امنیتی است.

SOC با مدیریت مشترک چیست؟

در یک SOC با مدیریت مشترک ، راه حل های نظارت در محل افزایش می یابد در حالی که ممکن است برخی از مسئولیت ها به کارکنان خارجی واگذار شود.

دلایل کلیدی برای انتخاب این مدل محدودیت منابع و محدودیت بودجه است. شما باید تعادل مناسبی را بین کنترلی که در محل خود دارید و آنچه که به ارائه‌دهنده برون‌سپاری می‌کنید پیدا کنید، زیرا اثربخشی این مدل به این دو انتخاب بستگی دارد.

مزایای یک SOC با مدیریت مشترک چیست؟

یک SOC با مدیریت مشترک انعطاف‌پذیری بیشتری را ارائه می‌دهد زیرا می‌توانید برخی از فناوری‌ها را مانند اطلاعات امنیتی و ابزارهای مدیریت رویداد (SIEM) در محل یا در فضای ابری به کار ببرید. شما همچنین می توانید تصمیم بگیرید که چه اندازه تیم داخلی با نیازهای شما مطابقت دارد. هنگامی که این مدل به خوبی مدیریت می شود، مزایای زیادی ارائه می دهد و می تواند نتایج خوبی را ارائه دهد.

معایب یک SOC با مدیریت مشترک

یک SOC معمولی با مدیریت مشترک توسط ارائه دهندگان خدمات امنیتی مدیریت شده (MSSP) ارائه می شود که تخصص اصلی آنها IT یا عملیات امنیتی نیست. این مدل اغلب گران‌تر است زیرا ممکن است مجبور شوید روی سخت‌افزار اضافی سرمایه‌گذاری کنید و همچنین هزینه‌های اضافه را افزایش داده‌اید.

SOC اختصاصی چیست؟

یک SOC اختصاصی یک SOC متمرکز با زیرساخت، تیم و فرآیندهای اختصاصی است که کاملاً بر امنیت متمرکز شده است. اندازه یک SOC اختصاصی بر اساس اندازه، تهدیدات و نیازهای امنیتی سازمان متفاوت است.

به طور معمول، یک SOC اختصاصی دارای حداقل پنج تا هشت کارشناس امنیتی داخلی در سطوح مختلف برای مانیتورینگ و عملیات 24×7 است. یک SOC اختصاصی برای شرکت‌های جهانی که داده‌های خصوصی در مکان‌های مختلف دارند و باید از مقررات و سیاست‌های امنیتی پیروی کنند، ضروری است.

مزایای SOC اختصاصی چیست؟

یک SOC اختصاصی مالکیت کامل بر فناوری و فرآیندها را فراهم می کند. تیم داخلی قابلیت مانیتور کامل محیط شما را دارد وهمچنین بهترین دید را برای تصویری کامل از چشم انداز تهدید و امنیت شما خواهد داشت.

معایب SOC اختصاصی

این مدل نیاز به سرمایه‌گذاری عظیم اولیه دارد، به این معنی که با بودجه بسیاری از سازمان‌ها تناسب ندارد. soc اختصاصی برای شرکت‌های بزرگ و سازمان‌های دولتی با زیرساخت‌های فناوری اطلاعات گسترده که دائماً مورد حمله قرار می‌گیرند، بهترین است، زیرا این سازمان‌ها معمولاً منابع لازم برای ساخت و نگهداری آن را دارند.

Command SOC چیست؟

یک مرکز عملیات دستوری ، اصولا دارای چندین SOC می باشد ، که در چندین مکان در سطح جهانی توزیع شده است. سازمان هایی که از مدل Command SOC استفاده می کنند شامل شرکت های Global 2000، ارائه دهندگان بزرگ مخابراتی و آژانس های دفاعی هستند. دستور SOC به طور معمول سایر SOC ها را کنترل می کند و  فرآیندهای بازیابی را انجام می دهد.

مزایای Command SOC چیست؟

Command SOC توسط یک تیم بزرگ از کارشناسان امنیتی و یک تیم تحقیقاتی امنیتی با قابلیت شکار تهدید مدیریت می شود.

معایب Command SOC چیست؟

این مدل بیشتر بر مدیریت اطلاعات تهدید و حوادث موقعیتی متمرکز است تا عملیات امنیتی روزمره.

یک SOC می تواند به عنوان بخشی از یک استراتژی جامع برای محافظت از سازمان های بزرگ و کوچک در برابر تهدیدات پیشرفته مستقر شود. اما هیچ راه حل یکسانی وجود ندارد که تعادل کامل بین هزینه و اثربخشی را فراهم کند.

برای برخی از کسب و کارها، بودجه امنیتی محدود و فقدان تخصص داخلی، موانعی را برای اجرای برنامه موثر ایجاد می کند . برای حل این مشکل، سازمان ها باید SOC که توسط عملیات امنیتی مدیریت شده ارائه می شود را انتخاب کنند.

امنیت مدیریت شده یک مدل برون سپاری است که قابلیت های تیم فناوری اطلاعات یا امنیت داخلی شما را گسترش می دهد. این شامل یک راه حل تشخیص و پاسخ مدیریت شده (MDR) است .

یک مدل عملیات امنیتی مدیریت شده ابزارهای امنیتی فعلی شبکه را با نظارت، شناسایی و پاسخ مستمر تهدید تقویت می کند. همچنین می‌تواند شامل سایر راه‌حل‌های عملیات امنیتی باشد که به ارزیابی و حذف آسیب‌پذیری‌ها و کاهش ریسک سایبری کمک می‌کند.