انتشار شده در تاریخ 1397/11/27 - 08:58

تشریح مراکز عملیات امنیت SOC

مراکز عملیات امنیت SOC از حساسیت خاصی برخوردار هستند و مدیریت آن‌ها سازوکاری منحصربه‌فرد دارد.

به گزارش کارگروه امنیت سایبربان؛ بسیاری از فعالان حوزه امنیت سایبری با چالش‌های گوناگونی در زمینه رویارویی با مراکز عملیات روبه‌رو هستند. در این راستا موسسه «MITRE» برخی استراتژی‌های مراکز عملیات امنیت را بیان کرده است.

این موسسه در کتابی با عنوان Ten Strategies of a World-Class Cybersecurity Operations Center منتشر کرد که 10 راهبرد برای ایجاد یک مرکز عملیات امنیت استاندارد مطرح نموده که در این پست به‌صورت خلاصه و به بیانی ساده فهرست شده است:

استراتژی اول: تمامی عملیات‌های دفاع سایبری نظیر نظارت بر رخداد،‌ هماهنگی،‌ پاسخگویی به رخداد و … باید به‌صورت واحد در مرکز عملیات امنیت انجام شود. حتی ازنظر استقرار فیزیکی نیز این تیم‌ها باید در یکجا (مرکز عملیات امنیت) مستقر باشند.

استراتژی دوم: ایجاد موازنه بین اندازه مرکز عملیات امنیت و چابکی آن با تهیه یک مدل سازمانی مناسب که در آن وظایف تیم‌های دفاعی در لایه‌های مختلف SOC تقسیم شده اند.

استراتژی سوم: اختیارات و مجوزهای مورد نیاز باید در اختیار تیم های SOC قرار گیرد تا این مراکز بتواند تغییراتی مثمر ثمر ایجاد کنند. برخی از مراکز عملیات امنیت که اختیارات لازم را ندارند بیشتر زمان خود را به جای ایجاد اثرات مثبت،‌ صرف درخواست کمک و مجوز برای انجام دادن عملیات‌های خود دارند.

استراتژی چهارم: در صورت غلبه کمیت بر کیفیت عملیات امنیت، SOC ها ممکن است جایگاه و اختیارات خود را از دست بدهند. به جای ایجاد بخش‌های متعدد در مراکز عملیات امنیت (بخش فارنزیک،‌ ارزیابی تهدید، مشاوره امنیت و …) بهتر است روی بخش‌های کوچک‌تر ولی با کیفیت بهتر تمرکز کرد.

استراتژی پنجم: ازآنجایی‌که افراد مهم‌ترین عنصر در امنیت سایبری به شمار می‌آیند بهتر است به جای استخدام تعداد زیادی از افراد، تعدادی کمتر ولی با تخصص بالاتر جذب کرد.

استراتژی ششم: مراکز عملیات امنیت در هنگام خرید فناوری‌های مورد نیاز خود باید ارتباط آن فناوری با حوزه کاری مربوط، طول عمر و پایداری و بازخورد عملیاتی را به همراه سایر فاکتورها در نظر داشته باشند تا بتوانند حداکثر بهره‌وری و کارآیی را از فناوری‌های خریداری شده داشته باشند.

استراتژی هفتم: میزان داده و نوع داده‌ای که باید جمع آوری شود بسیار حائز اهمیت است. داده ها نباید آن‌قدر کم باشند که نتوان تهدیدات را شناسایی کرد و نه آن‌قدر زیاد که در آن غرق شویم. مراکز عملیات امنیت باید داده‌های مناسب را از منابع مناسب و با حجم مناسب جمع‌آوری کنند.

استراتژی هشتم: فعالیت‌های تیم SOC و فناوری‌های آن باید از حملات سایبری روی سایر دارایی‌ها در امان باشند به‌گونه‌ای که اگر در بخش‌های تحت نظارت این مراکز تهدیدی به وقوع پیوست روی عملیات امنیت تأثیری نداشته باشد.

استراتژی نهم: تیم های مرکز عملیات امنیت باید در راستای دفاع پیش کنشانه (Proactive) گام بردارند و ضمن استفاده از اطلاعات تهدید (Threat Intelligence) از منابع مختلف، این اطلاعات را با سایر بخش ها نیز به اشتراک بگذارند.

استراتژی دهم: ازآنجایی‌که مراکز عملیات امنیت، روزانه تهدیدها و رخدادهای مختلفی را مشاهده می‌کنند باید رویه‌ای مشخص برای درک این تهدیدات و پاسخگویی به آن‌ها و همچنین کنترل نگرانی‌ها و هیجانات ناشی از رخدادهای بزرگ داشته باشند.