SOC چیست؟ (Security Operations Center)

SOC چیست؟ (Security Operations Center)

خیلی اوقات پیش میاد که برخی از دوستان به من می گویند تو سازمانمون SOC داریم! بعد از کمی صحبت کردن متوجه می شویم که خیر این دوستان SOC ندارند بلکه SIEM در سازمان دارند و تصورشون از مبحثی به نام SOC صرفا ابزار آلات هست و بس … اما امروز می خواهیم در خصوص ماهیت و تفاوت بین دو مفهوم SOC و SIEM در حوزه امنیت اطلاعات صحبت کنیم و به صورت خلاصه و البته بسیار ساده در مورد ماهیت هر کدوم و جایی که استفاده میشن صحبت کنیم پس با ما باشید.

معرفی مفهوم Security Operations Center

SOC در واقع یک سیستم هست اما نه به مفهوم سیستمی که کامپیوتری ها می شناسند، سیستم به معنی سیستماتیکش … یعنی مجموعه ای از اجزای مستقل که برای رسیدن به یک هدف مشترک در کنار هم جمع شده اند. بله درست متوجه شدید وقتی صحبت از مفهومی به نام Security Operations Center صحبت می کنیم که به فارسی مرکز عملیات امنیت ترجمه می شود.

در واقع ما داریم راجع به مجموعه ای از افراد (مهندسین کامپیوتر و کارشناس های امنیت و …)، مجموعه ای از فرآیند های سازمانی و … ، مجموعه ای از تکنولوژی ها از جمله تکنولوژی های مانیتورینگ و نظارت و … صحبت می کنیم که بصورت ویژه برای رسیدن به یک هدف مشترک یعنی تشخیص حملات یا تهدیدات شناخته شده و بعضا ناشناس در ساختار سازمانی شما طراحی شدند ، این سیستم شامل فرآیند های تحقیقاتی و پژوهش در حوزه امنیت هم میشه و صرفا یک سیستم فنی صرف نیست.

SIEM چیست؟ معرفی Security Information and Event Management

وقتی در مورد مفهومی به نام SIEM صحبت می کنیم داریم در مورد ابزار صحبت می کنیم. یعنی به زبان خیلی ساده هر SOC یک نرم افزار فوق تخصصی امنیت نیاز داره که بتواند خیلی از فرآیند های امنیتی رو براش انجام بدهد، این ابزار که شامل تکنولوژی های مختلف امنیتی هست و مثل فایروال (به زبان خیلی ساده) یا سیستم های هوشمند امنیتی دیگه (آنتی ویروس ها، IDS ها و IPS ها و WAF ها و … ) قابلیت نوشتن Rule یا قوانین مختلف و متنوع رو داره و این امکان رو به کارشناس امنیت یک سازمان می دهد که بتواند تهدیدات و خطراتی که سازمان رو تحت تاثیر ممکنه قرار بدند شناسایی کنند. پس تا اینجای کار واضح هست که وقتی می گوییم SIEM در واقع ما داریم راجع به ابزاری که در SOC استفاده میشه که کارهای بیشتر فنی قضیه رو انجام بده صحبت می کنیم.

این SIEM هست که برای ما Log های سیستم رو جمع آوری و تحلیل می کند، این SIEM هست که رویدادهای سیستم ها رو به گزارش مدیر امنیت میرسونه تا بتونه تحلیلش کنه و … برای مثال HP Arcsight یا OSSIM یا Splunk هر سه ابزار یا همون SIEM هستند. بنابراین به زبان ساده ساده! هر موقع صحبت از ابزار شد SIEM داریم صحبت می کنیم و هر موقع صحبت از سیستم و فرآیند شد از SOC داریم صحبت می کنیم.

مرکز عملیات امنیتی چه وظیفه ای دارد؟

مرکز عملیات امنیتی وظیفه محافظت از زیرساخت IT یک شرکت یا سازمان را بر عهده دارد. برای اینکه بتواند این وظیفه را انجام دهد، تمام سیستم های مربوط به امنیت مانند شبکه های شرکت، سرورها، رایانه ها و … را نظارت و تجزیه و تحلیل می کند.

علاوه بر تجزیه و تحلیل سیستم های مختلف، هشدار و اقدامات لازم برای محافظت از داده ها و برنامه ها وظایف اصلی مرکز اطلاعات امنیتی است.

این اقدامات می توانند هم در سطح فیزیکی و هم در سطح برنامه تأثیرگذار باشند. اقدامات امنیتی فیزیکی می تواند به عنوان مثال در دیوارهای آتش یا سیستم های تشخیص نفوذ اجرا شود و از محافظت مستقیم از شبکه شرکت اطمینان حاصل کند. اقدامات حفاظتی در سطح برنامه ، راه حل های ویژه ای برای مجوز و تأیید اعتبار کاربران یا نرم افزار آنتی ویروس برای شناسایی بدافزار است.

از طرف دیگر SOC به صورت پیشگیرانه کار می کند و تلاش می کند نقاط ضعف زیرساخت IT را در مراحل اولیه شناسایی و از بین ببرد. در صورت حملات فعلی مانند حملات DdoS ، از اقدامات محافظتی مستقیم به طور واکنش پذیر استفاده می کند. مدیریت شرکت یا سازمان در فواصل منظم از طریق گزارش در مورد کار SOC و امنیت سیستم های IT مطلع می شود.

جلوگیری و کشف (Prevention And Detection)

وقتی صحبت از امنیت سایبری می شود، پیشگیری همیشه نسبت به جلوگیری بسیار موثر تر میباشد. مرکز عملیات امنیتی بجای پاسخگویی به تهدیدها در هنگام وقوع، به منظور نظارت به صورت شبانه روزی بر روی یک شبکه فعالیت میکند و تمامی رخداد های متنوع توی یک شبکه را ثبت و بررسی میکند.از این بابت تیم SOC می تواند فعالیت های مخرب را شناسایی کرده و قبل از اینکه موجب آسیب و صدمه ایی به سازمان شوند از آنها جلوگیری کند.

تحقیق (Investigation)

در مرحله تحقیق افراد فعال در این حوزه که اغلب با نام SoC Analyst نیز شناخته میشوند به منظور کشف حملات میبایست درک کامل و جامعی از حملات متعدد و به روز دنیا داشته باشند که به سبب دانش کافی آن ها در رابطه با آن حمله بتوانند حمله را کشف و بررسی کنند.

این افراد میبایست افکاری مانند یک هکر اخلاقی داشته باشند و از ابزار ها و تکنیک های متنوعی که برای SoC ارائه شده است نیز استفاده کنند.

پاسخ (Response)

پس از بررسی و کشف رخداد میبایست پاسخی را برای رفع مشکل ارائه کنند. به محض تأیید یک حادثه، مرکز SOC به عنوان اولین پاسخ دهنده عمل می کند و اقداماتی مانند جداسازی نقاط انتهایی، خاتمه بخشیدن به فرآیندهای مضر، جلوگیری از اجرای فرآیند های مضر، حذف پرونده ها و موارد دیگر را بکار میگیرد.

از این بابت پس از یک حادثه، SOC برای بازگرداندن سیستم ها و بازیابی اطلاعات از دست رفته یا به خطر افتاده فعالیت خود را شروع میکند.