مرکز عملیات امنیت (SOC) 

مرکز عملیات امنیت (SOC) ، یک سرویسی امنیتی می باشد که در آن گروهی متشکل از متخصصین امنیت اطلاعات همواره در حال پایش و نظارت بر وضعیت امنیتی سیستم‌های یک شرکت بوده و به تحلیل و بررسی آن می‌پردازند. هدف تیم SOC شناسایی، تحلیل و واکنش مناسب به رخدادهای امنیتی است، و این کار با کمک فناوری‌ها و فرایندهای مختلفی انجام می‌گیرد. این اقدامات معمولاً توسط تحلیلگران و مهندسان امنیت و هم‌چنین مدیران مربوطه انجام می‌گیرد. تیم SOC معمولاً با تیم پاسخگویی به حوادث در ارتباط اند تا در صورت بروز رخدادی امنیتی، واکنش لازم در اسرع وقت صورت بگیرد.

مرکز عملیات امنیت در شبکه، سرورها، نقاط انتهایی، دیتابیس‌ها، اپلیکیشن‌ها، وب‌سایت‌ها و سایر سیستم‌های دیجیتالی اطلاعات به دنبال رد و نشانی از نشت اطلاعات امنیتی می‌گردد. SOC مسئول این است که حوادث امنیتی شناسایی و سپس تحلیل و بررسی گردند و گزارش‌های مربوطه نوشته شود.

تیم SOC به‌جای این که به توسعۀ استراتژی‌های امنیتی، طراحی ساختار امنیتی یا پیاده‌سازی معیارهای محافظتی بپردازد، وظیفه دارد که به صورت مداوم وضعیت امنیتی سیستم را رصد کند. مرکز عملیات امنیت در درجۀ اول از تحلیلگران امنیتی تشکیل شده است که با همدیگر روی شناسایی، تحلیل، پاسخگویی، گزارش‌دهی و ارائۀ راهکارهای پیشگیری از نقص‌های امنیتی کار می‌کنند. تحلیل مسائل قانونی، تحلیل رمزنگارانۀ حملات و سیستم، مهندسی معکوس بدافزارها از خدمات اضافه‌ای هستند که می‌تواند توسط SOC ارائه شود.

اولین قدم برای SOC یک سازمان، این است که یک راهبرد واضح و شفاف از اهداف تجاری هر بخش سازمان ارائه شود و ورودی‌ها و میزان همکاری هر بخش مد نظر قرار گیرد. وقتی که راهبرد چیده شد، زیرساختی که برای راهبرد طرح‌ریزی شده مورد نیاز است، بایستی فراهم شود. منظور از زیرساخت SOC، فایروال، IPS/IDS، راهکارهای تشخیص نشت امنیتی، شناساگرها و سیستم SIEM (مدیریت اطلاعات و رخدادهای امنیتی) می‌باشد. گروه SOC باید با استفاده از فناوری‌های مختلف، داده‌ها را از منابع مختلفی مانند جریان‌های داده، دورسنجی، رصد بسته‌ها، syslog و… جمع‌آوری کرده و فعالیت آن‌ها را تحت نظر قرار دهد. SOC هم‌چنین شبکه و سیستم‌های انتهایی را نیز بررسی کرده تا از آسیب‌پذیری‌ها مصون بوده و از تخطی از قوانین صورت نگیرد.

مهم‌ترین مزیت ناشی از SOC، بهبود شناسایی و برخورد با حوادث امنیتی است که به کمک پایش و تحلیل مستمر داده‌ها انجام می‌گیرد. به لطف وجود نظارت 7/24 سرویس SOC، حوادث امنیتی در هر زمان و از هر نوعی که باشند، به خوبی مدیریت خواهند شد. فاصلۀ زمانی بین زمانی که مهاجم به سیستم ورود می‌کند و هنگامی که سازکان متوجه آن می‌شود، در گزارش سالانۀ بررسی نقص‌های امنیتی داده شرکت Verizon به خوبی مستندسازی شده است ،با کمک SOC می‌توان این فاصلۀ زمانی را تا حد امکان کم کرد.

عملیات امنیتی هم شامل نرم‌افزارها و ابزارهای امنیتی و هم شامل افرادی که در تیم SOC قرار دارند.می‌شود. اعضای تیم SOC شامل این موارد می‌شود:

• مدیر: رهبر گروه بوده و می‌تواند وارد سایر نقش‌ها نیز بشود؛ هم‌چنین به طور خاص وظیفه دارد که فرایندها و سیستم‌های امنیتی استفاده شده را رصد کند.
• تحلیلگر: تحلیلگران وظیفه دارند که داده‌ها را تحلیل و واکاوی کنند، چه به صورت دوره‌ای، چه بعد از وقوع یک نشت امنیتی.
• بازرس: وقتی که نشت امنیتی رخ می‌دهد، بازرس موظف است که دربارۀ علت وقوع آن تحقیق کرده و با «پاسخگو» همکاری کند (معمولاً نقش‌های بازرس و پاسخگو را یک نفر بر عهده می‌گیرد).
• ممیّز: قوانین مختلفی وجود دارند که باید رعایت شود تا اعمال قانون علیه سازمان صورت نگیرد؛ ممیز وظیفه دارد تا پایبندی سازمان به قوانین را تحت نظر قرار دهد.

بسته به اندازۀ سازمانی که SOC را ارائه می‌کند، ممکن است برخی از این نقش‌ها توسط یک شخص واحد انجام شود و عملاً «تیم» SOC به یک یا دو نفر تقلیل یابد.

بسیاری از مدیران امنیتی، برای ارزیابی و رفع تهدیدات، نگاه خود را کم‌کم به استفاده از نیروی انسانی معطوف می‌کنند، تا یک کد نوشته شده. متخصصین SOC پیوسته تهدیدات شناخته‌شده و موجود را مدیریت کرده و خطرات تهدیدهای جدید را نیز مطالعه و بررسی می‌کنند. آن‌ها هم‌چنین نیازهای مصرف‌کننده و شرکت را در نظر گرفته و در چارچوب ترجیحات آن‌ها اقدام می‌کنند. اگرچه سیستم‌های امنیتی‌ مانند فایروال و IPS از حملات پایه جلوگیری می‌کند، ولی باز هم برای دفع کامل خطر، به نیروی انسانی مجرب نیاز است.

برای کسب بهترین نتایج، SOC باید با توجه به جدیدترین مکانیسم‌های «هوش تهدیدات» انجام شود و از این اطلاعات برای بهبود روش‌های شناسایی و دفاع بهره جسته شود. همان‌طور که مؤسسۀ InfoSec اشاره می‌کند، SOC اطلاعات ورودی خود را از داخل سازمان گرفته و با درک مشابهت آن‌ها با منابع اطلاعاتی‌ای که از خارج درسافت می‌کند، به درک مناسبی از تهدیدات و آسیب‌پذیری‌ها می‌رسد. این منابع اطلاعاتی خارجی می‌تواند شامل خلاصه‌های اخبار، به‌روزرسانی‌های signature-ها، گزارش‌های رخدادهای امنیتی، خلاصۀ تهدیدات و هشدارهای مربوط به آسیب‌پذیری سیستم باشند. SOC باید با پردازش‌هایی که انجام می‌دهد، بتواند بین تهدیدات و سایر اطلاعات تفکیک قائل شوند.

SOCهای موفق از ابزارهای اتوماسیون برای کارایی و بهره‌وری خود استفاده می‌کنند. ترکیب تحلیلگران امنیتی خبره و ابزارهای اتوماسیون، سازمان‌ها قدرت تحلیل خود را افزایش داده، و از این طریق، شاخص‌های امنیتی خود را بهتر کرده و در برابر تهدیدات امنیتی، مصونیت بیشتری پیدا می‌کنند. بسیاری از سازمان‌هایی که منابع کافی برای برپایی SOC خود را نداشته‌اند، اقدام به استخدام تیم‌های SOC خارجی کرده‌اند.