پنج مدل مرکز عملیات امنیتی
برای نظارت مستمر و پاسخگویی به تهدیدات، سازمانها اغلب به یک مرکز عملیات امنیت (SOC) نیاز دارند که قابلیتهای پیشگیری ، شناسایی و پاسخگویی مداوم به حوادث امنیت سایبری را به صورت متمرکز و یکپارچه ارائه میدهد.
طبق گفته گارتنر، پنج مدل مختلف برای ساخت و نگهداری یک SOC وجود دارد. برخی از این مدلها فقط برای شرکتهای بسیار بزرگ اعمال میشوند، در حالی که مدلهای دیگر برای کسب و کارهایی در هر اندازه کار میکنند.
در این مقاله تفاوت بین مدل های SOC را توضیح می دهیم. ما مدلها را از نظر هزینه، مزایا و معایب آنها میسنجیم، دستورالعملهایی ارائه میکنیم که به شما کمک میکند بهترین انتخاب را داشته باشید و جایگزینهایی را برای سازمانهایی که به گزینههای مقرون به صرفهتری نیاز دارند، پیشنهاد میکنیم.
SOC مجازی
SOC مجازی (Virtual SOC) چیست؟
یک SOC مجازی (VSOC) در یک مرکز اختصاصی مستقر نیست و زیرساخت اختصاصی ندارد.بلکه یک پورتال مبتنی بر وب می باشد که بر اساس فناوریهای امنیتی غیرمتمرکز ساخته شده و به تیمهای خارج از سایت اجازه میدهد رویدادها را رصد کرده و به تهدیدات پاسخ دهند.
مزایای VSOC چیست؟
SOC مجازی باعث صرفه جویی قابل توجه در هزینه های سخت افزار داخلی و سایر زیرساخت ها می شود و در هنگام وقوع حملات سایبری می توانید به تیم های SOC مجازی تکیه کنید.
معایب SOC مجازی :
یک VSOC بیشتر یک رویکرد پاسخگرا می باشد. فناوریهای غیرمتمرکز به احتمال زیاد شکافهای امنیتی را برجای میگذارند، که باعث میشود تشخیص و پاسخ تهدید به اندازه موثر کارآمد نباشد و از آنجایی که VSOC معمولاً با پرسنل نیمه وقت و دارای توزیع مناطق جغرافیایی کار می کند ، نمی توانید روی داشتن یک تیم 24×7 صرفا مختص به امنیت حساب کنید.
رویکردهای جایگزین :
VSOC از طریق اتوماسیون، فناوری SIEM و آنالیزها توسعه و بهبود می یابد.
SOC/NOC چند منظوره
SOC/NOC چند منظوره چیست؟
ترکیبی از یک مرکز عملیات امنیت (SOC) با یک مرکز عملیات شبکه (NOC)، این مدل دارای یک تیم، امکانات و زیرساخت اختصاصی است. یک SOC/NOC چند منظوره فراتر از عملکردهای امنیتی بوده و شامل عملیات IT ، انطباق و مدیریت ریسک نیز می شود.
مزایای SOC/NOC چیست؟
مزیت اصلی مدل SOC/NOC کاهش هزینه است ، زیرا پرسنل را یکپارچه می کند و هزینه سرمایه را به حداقل می رساند. این مدل برای سازمانهای کوچکتر که در معرض تهدیدات کمی هستند و سازمانهایی که در حال حاضر پوشش مسئولیتهای امنیتی در تیمهای مختلف دارند، بهترین گزینه می باشد.
معایب SOC/NOC
ادغام SOC/NOC تاکید کمتری بر امنیت دارد. در حالی که تیم چند منظوره وظایف اصلی امنیتی را انجام می دهد، تقسیم توجه بر روی نیازهای مختلف فناوری اطلاعات، شبکه و امنیت به ناچار منجر به ضعف دفاع امنیتی می شود.
علاوه بر این، یک تیم چند منظوره باید مجموعه مهارت های گسترده تری برای رسیدگی به طیف گسترده ای از مسائل داشته باشد. این بدان معناست که آنها احتمالاً تخصص امنیت عمیقی ندارند. این یک نقطه ضعف بزرگ است، زیرا دفاع در برابر تهدیدات پیچیده و در حال تحول امروزی مستلزم دانش پیشرفته و بهروز از بهترین شیوههای امنیتی است.
مدیریت مشترک SOC
SOC با مدیریت مشترک چیست؟
در یک SOC با مدیریت مشترک ، راه حل های نظارت در محل افزایش می یابد در حالی که ممکن است برخی از مسئولیت ها به کارکنان خارجی واگذار شود.
دلایل کلیدی برای انتخاب این مدل محدودیت منابع و محدودیت بودجه است. شما باید تعادل مناسبی را بین کنترلی که در محل خود دارید و آنچه که به ارائهدهنده برونسپاری میکنید پیدا کنید، زیرا اثربخشی این مدل به این دو انتخاب بستگی دارد.
مزایای یک SOC با مدیریت مشترک چیست؟
یک SOC با مدیریت مشترک انعطافپذیری بیشتری را ارائه میدهد زیرا میتوانید برخی از فناوریها را مانند اطلاعات امنیتی و ابزارهای مدیریت رویداد (SIEM) در محل یا در فضای ابری به کار ببرید. شما همچنین می توانید تصمیم بگیرید که چه اندازه تیم داخلی با نیازهای شما مطابقت دارد. هنگامی که این مدل به خوبی مدیریت می شود، مزایای زیادی ارائه می دهد و می تواند نتایج خوبی را ارائه دهد.
معایب یک SOC با مدیریت مشترک
یک SOC معمولی با مدیریت مشترک توسط ارائه دهندگان خدمات امنیتی مدیریت شده (MSSP) ارائه می شود که تخصص اصلی آنها IT یا عملیات امنیتی نیست. این مدل اغلب گرانتر است زیرا ممکن است مجبور شوید روی سختافزار اضافی سرمایهگذاری کنید و همچنین هزینههای اضافه را افزایش دادهاید.
SOC اختصاصی
SOC اختصاصی چیست؟
یک SOC اختصاصی یک SOC متمرکز با زیرساخت، تیم و فرآیندهای اختصاصی است که کاملاً بر امنیت متمرکز شده است. اندازه یک SOC اختصاصی بر اساس اندازه، تهدیدات و نیازهای امنیتی سازمان متفاوت است.
به طور معمول، یک SOC اختصاصی دارای حداقل پنج تا هشت کارشناس امنیتی داخلی در سطوح مختلف برای مانیتورینگ و عملیات 24×7 است. یک SOC اختصاصی برای شرکتهای جهانی که دادههای خصوصی در مکانهای مختلف دارند و باید از مقررات و سیاستهای امنیتی پیروی کنند، ضروری است.
مزایای SOC اختصاصی چیست؟
یک SOC اختصاصی مالکیت کامل بر فناوری و فرآیندها را فراهم می کند. تیم داخلی قابلیت مانیتور کامل محیط شما را دارد وهمچنین بهترین دید را برای تصویری کامل از چشم انداز تهدید و امنیت شما خواهد داشت.
معایب SOC اختصاصی
این مدل نیاز به سرمایهگذاری عظیم اولیه دارد، به این معنی که با بودجه بسیاری از سازمانها تناسب ندارد. soc اختصاصی برای شرکتهای بزرگ و سازمانهای دولتی با زیرساختهای فناوری اطلاعات گسترده که دائماً مورد حمله قرار میگیرند، بهترین است، زیرا این سازمانها معمولاً منابع لازم برای ساخت و نگهداری آن را دارند.
Command SOC
Command SOC چیست؟
یک مرکز عملیات دستوری ، اصولا دارای چندین SOC می باشد ، که در چندین مکان در سطح جهانی توزیع شده است. سازمان هایی که از مدل Command SOC استفاده می کنند شامل شرکت های Global 2000، ارائه دهندگان بزرگ مخابراتی و آژانس های دفاعی هستند. دستور SOC به طور معمول سایر SOC ها را کنترل می کند و فرآیندهای بازیابی را انجام می دهد.
مزایای Command SOC چیست؟
Command SOC توسط یک تیم بزرگ از کارشناسان امنیتی و یک تیم تحقیقاتی امنیتی با قابلیت شکار تهدید مدیریت می شود.
معایب Command SOC چیست؟
این مدل بیشتر بر مدیریت اطلاعات تهدید و حوادث موقعیتی متمرکز است تا عملیات امنیتی روزمره.
بهترین مدل SOC برای سازمان شما کدام است؟
یک SOC می تواند به عنوان بخشی از یک استراتژی جامع برای محافظت از سازمان های بزرگ و کوچک در برابر تهدیدات پیشرفته مستقر شود. اما هیچ راه حل یکسانی وجود ندارد که تعادل کامل بین هزینه و اثربخشی را فراهم کند.
برای برخی از کسب و کارها، بودجه امنیتی محدود و فقدان تخصص داخلی، موانعی را برای اجرای برنامه موثر ایجاد می کند . برای حل این مشکل، سازمان ها باید SOC که توسط عملیات امنیتی مدیریت شده ارائه می شود را انتخاب کنند.
امنیت مدیریت شده یک مدل برون سپاری است که قابلیت های تیم فناوری اطلاعات یا امنیت داخلی شما را گسترش می دهد. این شامل یک راه حل تشخیص و پاسخ مدیریت شده (MDR) است .
یک مدل عملیات امنیتی مدیریت شده ابزارهای امنیتی فعلی شبکه را با نظارت، شناسایی و پاسخ مستمر تهدید تقویت می کند. همچنین میتواند شامل سایر راهحلهای عملیات امنیتی باشد که به ارزیابی و حذف آسیبپذیریها و کاهش ریسک سایبری کمک میکند.