راهنمای راه‌اندازی و پیاده سازی مرکز عملیات امنیت | ساخت SOC در ۸ مرحله

مرکز عملیات امنیت (SOC) قطعه بسیار مهمی از پازل امنیت سایبری سازمان‌های متوسط تا بزرگ است. SOC شامل مجموعه‌ای از افراد، فرایندها و فناوری‌ها برای تشخیص و پاسخ‌دهی به موقع به حملات هکری است. در این مقاله، با آموزش ساخت SOC در خدمت شما هستیم. با ما همراه باشید.

مقاله مرتبط: مرکز عملیات امنیت(SOC) چیست؟

مراحل ساخت SOC

مراحل ساخت مرکز عملیات امنیت (SOC) به شرح زیر است:

۱- تعریف اهداف SOC

مرحله اول در ایجاد مرکز SOC، تعریف اهدافی مطابق با نیازمندهای امنیتی خاص سازمان و نمایه ریسک سازمان است. اهداف کلی و عمومی SOC شامل نظارت سایبری ۲۴ ساعته در هفت روز هفته، پاسخ به تهدیدات به شیوه‌ای مؤثر و گزارش‌دهی انطباق فرایندهای سازمان با استاندارها و قوانین امنیتی است. با این حال، هر سازمانی، بسته به ابعاد و حساسیت، می‌تواند اهداف خاص خودش را از ایجاد SOC داشته باشد.

برای مثال، اگر در سازمانی، رعایت قوانین و تنظیم‌گری‌ها از اهمیت بالایی برخوردار است، مرکز عملیات امنیت باید به گونه‌ای طراحی و ساخته شود که بتواند به صورت منظم و دقیق، گزارش‌هایی از وضعیت رعایت قوانین و تنظیم‌گری‌ها تهیه کند. از سوی دیگر، در صورتی که تشخیص تهدید در اولویت باشد، باید در ساخت SOC، استقرار فناوری‌های شناسایی تهدید در اولویت قرار بگیرد. در واقع، اهداف سازمان شما از ساخت SOC در انتخاب پرسنل و متخصصان مرکز و طراحی نقشه راهی برای ساخت SOC، اثرگذار خواهد بود.

۲- بودجه‌بندی و پشتیبانی اجرایی

ساخت SOC نیازمند سرمایه‌گذاری در بخش فناوری و جذب نیروی انسانی متخصص است. دقت داشته باشید که مرکز عملیات امنیت می‌تواند با جلوگیری از فجایع سایبری، جلوی خسارت‌های قابل توجهی را بگیرد و در واقع، هر نوع سرمایه‌گذاری روی ایجاد SOC، به منزله نوعی بیمه برای سازمان شما عمل می‌کند.
با این حال، هر سازمانی دارای بوجه محدودی است و تعیین میزان بودجه در دسترس برای ساخت مرکز عملیات امنیت در شروع کار، ضروری است. بوجه در دسترس، به اولویت‌بندی در استقرار راهکارهای امنیتی و جذب یا اختصاص منابع انسانی کمک می‌کند. به طور کلی هزینه‌های اصلی ساخت مرکز عملیات امنیت مربوط به موارد زیر است:

۳- بستن تیم SOC

تیم SOC نقش اصلی را در کارایی مرکز عملیات امنیت ایفا می‌کند. نقش‌های اصلی در تیم SOC شامل تحلیل‌گران SOC، تحلیل‌گران هوش تهدید و تیم‌های پاسخ به تهدیدات (IRTs) هستند. هر کدام از این نقش‌ها شامل چندین نفر در سطوح مختلفی از تخصص و مهارت هستند. برای مثال، تحلیل‌گران در سه رده زیر کار می‌کنند:

• تحلیل‌گران رده اول: مراقب هشدارها هستند و ترایاژ اولیه را انجام می‌دهند.
• تحلیل‌گران رده دوم: بررسی‌های عمیق‌تری روی تهدیدات احتمالی انجام می‌دهند.
• تحلیل‌گران رده سوم: روی موارد پیچیده و تحلیل منشاء حملات واقعی کار می‌کنند.

همچنین، تیم پاسخ به تهدیدات (IRT) و تحلیل‌گران هوش تهدید برای راه‌اندازی یک مرکز SOC پیشرفته ضروری هستند که می‌توانند با همکاری همدیگر، تهدیدات پیشرفته‌تر را شناسایی کنند و پاسخ قوی‌تری به آن‌ها بدهند. تعداد سطوح هر نقش، به مقیاس و پیچیدگی SOC بستگی دارد اما توصیه می‌شود که حتما مرکز SOC مدیر داشته باشد که به عملیات نظارت کند.

۴- معماری SOC و انتخاب فناوری‌ها

انتخاب ابزارهای درست، مرحله‌‌ای کلیدی برای موفقیت SOC است. اغلب فناوری‌های کلیدی در مراکز عملیات امنیت شامل سامانه مدیریت اطلاعات و رویداد (SIEM) برای نظارت بر لاگ‌ها و صدور هشدارهای لازم، سامانه تشخیص و پاسخ نقطه پایانی (EDR) برای نظارت بر دستگاه‌های نقطه پایانی و ابزارهای هماهنگی، خودکارسازی و پاسخ امنیتی (SOAR) برای خودکارسازی کارهای معمول و پاسخ به تهدیدات عمومی می‌شود.

برای مثال، برای یک سازمان کوچک تا متوسط، یک سامانه SIEM ابری کفایت می‌کند اما سازمان‌های بزرگ و حساس باید دارای شبکه‌ای پیشرفته از ابزارهای شناسایی تهدید باشند. همچنین، انتخاب سامانه‌های امنیتی باید به گونه‌ای باشد که امکان توسعه آتی SOC را فراهم کند.  هر کدام از این فناوری‌ها باید به دقت و تحت نظارت تیم SOC کار کنند تا بتوانند با صدور کمترین هشدارهای کاذب و بدون ایجاد اختلال در عملیات سازمان، کار شناسایی و پاسخ به تهدیدات سایبری را انجام دهند.

۵- توسعه فرایندهای عملیاتی استاندارد (SOPs)

عملیات SOC نیازمند باید کاملا پیوسته و بدون توقف باشد و بنابراین، تنظیم سندهای فراندهای عملیاتی استاندارد برای تضمین پیوستگی عملیات ضروی است. این اسناد باید کارهای روزمره SOC و نحوه پاسخ به تهدیدات را مشخص کند. مهم‌ترین اسناد SOP مرکز عملیات امنیت به شرح زیر هستند:

• دستورالعمل پاسخ به تهدیدات برای سناریوهای خاص حمله مثل فیشینگ، باج‌افزار و تهدیدات داخلی. هر دستورالعمل باید مراحل پاسخ به تهدیدات شامل جلوگیری از نفوذ بیشتر، پاک‌سازی و بازیابی را مشخص کند.
• پروتکل‌های اولویت‌بندی و تریاژ هشدار برای کمک به تحلیل‌گران به منظور دسته‌بندی و اولویت‌بندی هشدارها بر اساس شدت و اهمیت تهدید.
• فرایندهای مدیریت هوش تهدید شامل صحت‌ سنجی منابع و به کارگیری هوش تهدید برای ارتقاء دفاع SOC.

۶- استراتژی‌های تشخیص و نظارت

پس از تکمیل معماری SOC، زمان فعال کردن سامانه‌های نظارتی و تشخیصی فرا می‌رسد. SOCها باید به صورت پیوسته و بدون وقفه، اطلاعات را از منابع مختلف، شامل فایروال‌ها، سرورها، اندپوینت‌ها و دستگاه‌های شبکه، گردآوری کنند تا بتوانند به صورت لحظه به لحظه اکوسیستم دیجیتال سازمان را رصد کنند. تعیین قوانین همبستگی (correlation rules) برای شناسایی الگوهای حمله رایج و تنظیم آستانه‌های هشدار به مدیریت مؤثر هشدارهای متعدد، کاهش مثبت‌های کاذب و متمرکز ماندن تحلیل‌گران SOC روی تهدیدات واقعی، کمک می‌کند.

تاکتیک‌های نظارتی کلیدی، شامل به کارگیری فیدهای هوش تهدید برای اضافه کردن جزئیات به هشدارها و شناسایی ناهنجاری‌ها در رفتار کاربر می‌شود. این تاکتیک‌ها، به شناسایی به موقع تهدیدات کمک می‌کنند و امکان پاسخ خودکار به تهدیدات را پیش از تشدید آن‌ها، فرآهم می‌آورند.

۷- ایجاد طرح پاسخ به تهدیدات

داشتن طرح دقیق پاسخ به حوادث یا همان پاسخ به تهدیدات، بخش مهمی از ساخت SOC است. این طرح باید تمامی گام‌ها برای شناسایی، کنترل و پاکسازی تهدیدات و بازیابی پس از حمله را شامل شود. این موارد به شرح زیر هستند:

۱- شناسایی: تعریف پروتکل‌هایی برای شناسایی سریع رخدادهای امنیتی.
۲- کنترل (containment): تعریف استراتژی‌هایی برای محدودسازی اثر حمله به قرنطینه کردن سیستم‌های آلوده شده.
۳- پاکسازی و بازیابی عملیات: تعریف گام‌هایی برای پاکسازی تهدید و بازیابی عملیات.
۴- تحلیل پس از حادثه: تعریف استراتژی‌هایی برای تحلیل رویدادها و تهدیدات بعد از رفع کامل آن‌ها و شناسایی نقاط ضعف و بهبود پاسخ‌های آتی.

داشتن یک طرح جامع و دقیق پاسخ به تهدیدات، زمان اختلال در عملیات سازمان پس از رویدادهای سایبری و زیان‌های ناشی از این رویدادها را به حداقل می‌رساند و تضمین می‌کند که SOC، از هر حمله درس بگیرد و حملات مشابه را در آینده، سریع‌تر و مؤثرتر دفع کند.

۸- آموزش و بهبود پیوسته SOC

بهبود پیوسته SOC نیازمند ارائه آموزش‌های بروز به تیم مرکز عملیات امنیت است که می‌تواند شامل شبیه‌سازی حوادث سایبری با تست نفوذ، تمرین‌های تیم قرمز و مانورهای مدیریت بحران در شرایط کنترل‌شده باشد. این تمرینات نه تنها به حفظ آمادگی تیم SOC کمک می‌کند، بلکه در شناسایی و برطرف کردن نقاط ضعف نیز اثرگذار است. با پیگیری شاخت‌هایی مثل زمان متوسط تشخیص (MTTD)، زمان متوسط پاسخ (MTTR) و دقت هشدار، می‌توان روند پیشرفت تیم SOC را تحت نظر داشت.

سفارش طراحی و پیاده سازی SOC

ساخت SOC کاری بسیار تخصصی است و بسیاری از سازمان‌ها ترجیح می‌دهند که طراحی و پیاده سازی مرکز عملیات امنیت را به یک ارائه‌دهنده تخصصی خدمات امنیت سایبری برون‌سپاری کنند. این رویکرد برای توسعه SOC دارای مزایای زیر است:

• صرفه‌جویی در هزینه‌ها: ساخت SOC با استفاده از منابع خود سازمان نیازمند صرف هزینه‌های سنگین برای به خدمت‌گیری نیروی انسانی متخصص، سخت‌افزارها و نرم‌افزارها است. با برون‌سپاری ساخت SOC می‌توان صرفه‌جویی قابل توجهی در هزینه‌ها داشت.
• دسترسی به نیروی متخصص: این روزها با توجه به موج مهاجرت در حوزه IT، کمبود شدید نیروی متخصص در حوزه امنیت سایبری احساس می‌شود. در چنین شرایطی، ساده‌ترین راه دسترسی به حرفه‌ای‌ترین منابع انسانی برای ساخت SOC، برون‌سپاری این کار تخصصی به ارائه‌دهندگان خدمات امنیت سایبری است.
• آماه‌سازی سریع‌تر SOC: سپردن توسعه مرکز عملیات امنیت به یک شرکت امنیت سایبری تخصصی، با توجه به تجربه بالاتر این شرکت‌ها، به آماده شدن هر چه سریع‌تر SOC کمک می‌کند.