مفهوم و وظیفه‌ی یک مرکز عملیات امنیتی SOC

SOC چیست؟

یک مرکز عملیات امنیتی (SOC) یک تیم امنیتی سازمانی است که به منظور محافظت در برابر تهدیدات امنیتی مختلف، اقدام به مانیتورینگ و پاسخگویی به حوادث امنیتی در شبکه‌های کامپیوتری و سیستم‌های فناوری اطلاعات می‌کند. SOC هدف دارد تا با پویایی و حساسیت مناسب، به حفاظت از منابع سازمان کمک کند.

وظایف SOC به شرح زیر است:

مانیتورینگ فرآیندهای سیستم و شبکه به منظور شناسایی تهدیدات امنیتی و حملات
تحلیل رویدادهای امنیتی و تشخیص الگوهای عملیاتی ناهنجار
مدیریت و پاسخ به حوادث امنیتی احتمالی، به منظور کاهش آسیب‌های احتمالی
مطالعه، تجزیه و تحلیل و رصد رویدادهای امنیتی جدید و به روز رسانی دائمی نرم افزارها و فناوری‌های امنیتی
همکاری با بخش‌های دیگر سازمان به منظور بهبود فرآیندهای امنیتی و کاهش آسیب‌های احتمالی.

SOC یا مرکز عملیات امنیتی به عنوان مرکز کلیه خدمات مربوط به امنیت در محیط IT سازمانها یا شرکتها می باشد. این مرکز از زیرساخت ها و داده های IT در برابر تهدیدات داخلی و خارجی محافظت می کند. زیرا به نوعی نمیشود یک شبکه را به طور کامل از حملات متعدد روی بستر آن امن کرد. از این بابت میبایست بررسی و نظارت کامل را بر روی بستر یک شبکه داشته باشیم تا درصورت رخداد مشکلات به سرعت توانایی پاسخ گویی را داشته باشیم.

چه اتفاقی در SoC رخ میدهد؟

اگرچه تعداد کارکنان و افراد فعال در تیم های SOC بسته به اندازه سازمان ها متفاوت است، اما تقریبا اکثر آنها یک نقش و مسئولیت یکسان را برعهده دارد.

از این بابت SOC نیز یک عملکرد متمرکز در داخل سازمانی است که افراد، فرایندها و فناوری را برای نظارت و بهبود وضعیت امنیتی سازمان به طور مستمر و همزمان با جلوگیری، شناسایی، تجزیه و تحلیل و پاسخ به حوادث امنیت سایبری به کار می گیرد.

مرکز عملیات امنیتی چه وظیفه ای دارد؟

مرکز عملیات امنیتی وظیفه محافظت از زیرساخت IT یک شرکت یا سازمان را بر عهده دارد. برای اینکه بتواند این وظیفه را انجام دهد، تمام سیستم های مربوط به امنیت مانند شبکه های شرکت، سرورها، رایانه ها و … را نظارت و تجزیه و تحلیل می کند.

علاوه بر تجزیه و تحلیل سیستم های مختلف، هشدار و اقدامات لازم برای محافظت از داده ها و برنامه ها وظایف اصلی مرکز اطلاعات امنیتی است.

این اقدامات می توانند هم در سطح فیزیکی و هم در سطح برنامه تأثیرگذار باشند. اقدامات امنیتی فیزیکی می تواند به عنوان مثال در دیوارهای آتش یا سیستم های تشخیص نفوذ اجرا شود و از محافظت مستقیم از شبکه شرکت اطمینان حاصل کند. اقدامات حفاظتی در سطح برنامه ، راه حل های ویژه ای برای مجوز و تأیید اعتبار کاربران یا نرم افزار آنتی ویروس برای شناسایی بدافزار است.

از طرف دیگر SOC به صورت پیشگیرانه کار می کند و تلاش می کند نقاط ضعف زیرساخت IT را در مراحل اولیه شناسایی و از بین ببرد. در صورت حملات فعلی مانند حملات DdoS ، از اقدامات محافظتی مستقیم به طور واکنش پذیر استفاده می کند. مدیریت شرکت یا سازمان در فواصل منظم از طریق گزارش در مورد کار SOC و امنیت سیستم های IT مطلع می شود.

جلوگیری و کشف (Prevention And Detection)

وقتی صحبت از امنیت سایبری می شود، پیشگیری همیشه نسبت به جلوگیری بسیار موثر تر میباشد. مرکز عملیات امنیتی بجای پاسخگویی به تهدیدها در هنگام وقوع، به منظور نظارت به صورت شبانه روزی بر روی یک شبکه فعالیت میکند و تمامی رخداد های متنوع توی یک شبکه را ثبت و بررسی میکند.از این بابت تیم SOC می تواند فعالیت های مخرب را شناسایی کرده و قبل از اینکه موجب آسیب و صدمه ایی به سازمان شوند از آنها جلوگیری کند.

تحقیق (Investigation)

در مرحله تحقیق افراد فعال در این حوزه که اغلب با نام SoC Analyst نیز شناخته میشوند به منظور کشف حملات میبایست درک کامل و جامعی از حملات متعدد و به روز دنیا داشته باشند که به سبب دانش کافی آن ها در رابطه با آن حمله بتوانند حمله را کشف و بررسی کنند.

این افراد میبایست افکاری مانند یک هکر اخلاقی داشته باشند و از ابزار ها و تکنیک های متنوعی که برای SoC ارائه شده است نیز استفاده کنند.

پاسخ (Response)

پس از بررسی و کشف رخداد میبایست پاسخی را برای رفع مشکل ارائه کنند. به محض تأیید یک حادثه، مرکز SOC به عنوان اولین پاسخ دهنده عمل می کند و اقداماتی مانند جداسازی نقاط انتهایی، خاتمه بخشیدن به فرآیندهای مضر، جلوگیری از اجرای فرآیند های مضر، حذف پرونده ها و موارد دیگر را بکار میگیرد.

از این بابت پس از یک حادثه، SOC برای بازگرداندن سیستم ها و بازیابی اطلاعات از دست رفته یا به خطر افتاده فعالیت خود را شروع میکند.

خواندن این مطلب 3 دقیقه زمان میبرد