نقش‌ها و مسئولیت‌های مرکز عملیات امنیتی (SOC)

زمان مطالعه : 7 دقیقه

در دنیای دیجیتال امروز، جایی که تهدیدات سایبری به طور فزاینده‌ای پیچیده و فراگیر می‌شوند، داشتن یک رویکرد قوی برای امنیت سایبری حیاتی است. یکی از ستون‌های اصلی این رویکرد، مرکز عملیات امنیت یا SOC (Security Operations Center) است. SOC یک واحد سازمانی یا تجاری است که در مرکز عملیات امنیتی قرار دارد و وظیفه آن مدیریت و بهبود وضعیت کلی امنیت یک سازمان است. وظیفه اصلی آن شناسایی، تحلیل و واکنش به رویدادهای امنیت سایبری، شامل تهدیدات و حوادث، با استفاده از افراد، فرآیندها و فناوری است. تیم‌های SOC مسئول مدیریت زیرساخت‌های امنیتی و پیکربندی و استقرار راهکارها، ابزارها و محصولات امنیتی مختلف هستند.

هدف از ایجاد SOC، تسهیل همکاری میان پرسنل امنیتی، با تمرکز اولیه بر نظارت امنیتی و هشداردهی است. این شامل جمع‌آوری و تحلیل داده‌ها برای شناسایی فعالیت‌های مشکوک و بهبود امنیت سازمان می‌شود. یک SOC می‌تواند فرآیند رسیدگی به حوادث امنیتی را ساده کرده و به تحلیلگران کمک کند تا حوادث امنیتی را به طور کارآمدتر و موثرتر بررسی و حل‌وفصل کنند. SOC ها می‌توانند حفاظت مداوم با نظارت بی‌وقفه و دید بر دارایی‌های حیاتی در سطح حمله فراهم کنند. آنها می‌توانند پاسخی سریع و مؤثر ارائه دهند و زمان سپری شده بین وقوع اولین نفوذ و میانگین زمان شناسایی را کاهش دهند.

همانند سایر واحدهای سازمانی، نقش‌ها و مسئولیت‌های مختلفی در یک SOC وجود دارد، از تحلیلگران سطح ۱ گرفته تا نقش‌های تخصصی مانند شکارچیان تهدید. منابع، نقش‌های اصلی و تخصصی در تیم SOC را به شرح زیر مشخص می‌کنند.

مرکز عملیات امنیتی (SOC): نقش‌ها و مسئولیت‌ها

نقش‌های اصلی متداول که یک تیم SOC را تشکیل می‌دهند، شامل سطوح مختلف تحلیلگران SOC و مدیران اختصاصی هستند.

سطح ۱ – متخصص بررسی اولیه (Triage Specialist)

تحلیلگران سطح ۱ عمدتاً مسئول جمع‌آوری داده‌های خام و بررسی آلارم‌ها و هشدارها هستند. آنها باید بحرانی بودن هشدارها را تأیید، تعیین یا تنظیم کنند و آنها را با داده‌های مرتبط غنی‌سازی نمایند. برای هر هشدار، متخصص بررسی اولیه باید تشخیص دهد که آیا آن موجه است یا یک تشخیص نادرست (false positive)، زیرا خستگی از هشدار یک مسئله واقعی است. مسئولیت اضافی در این سطح، شناسایی سایر رویدادهای با ریسک بالا و حوادث بالقوه است. همه این موارد باید بر اساس بحرانی بودن آنها اولویت‌بندی شوند. اگر مشکلات پیش آمده در این سطح قابل حل نباشند، باید به تحلیلگران سطح ۲ ارجاع داده شوند. علاوه بر این، متخصصان بررسی اولیه اغلب ابزارهای نظارتی را مدیریت و پیکربندی می‌کنند. خلاصه وظایف تحلیلگر امنیت که می‌تواند شامل نقش سطح ۱ باشد، شامل نظارت و تحلیل ترافیک شبکه، شناسایی تهدیدات و واکنش به حوادث است. مسئولیت‌های کلی شامل تحلیل هشدارهای امنیتی و تعیین اعتبار آنها و بررسی شدت و تأثیر احتمالی رویدادهای امنیتی است.

سطح ۲ – واکنش‌دهنده به حادثه (Incident Responder)

در سطح ۲، تحلیلگران حوادث امنیتی با اولویت بالاتر که توسط متخصصان بررسی اولیه ارجاع شده‌اند را بررسی می‌کنند و با استفاده از هوش تهدید (شاخص‌های نفوذ، قوانین به‌روز شده و غیره) یک ارزیابی عمیق‌تر انجام می‌دهند. آنها باید دامنه یک حمله را درک کرده و از سیستم‌های تحت تأثیر آگاه باشند. داده‌های تله‌متری خام حمله که در سطح ۱ جمع‌آوری شده‌اند، در این سطح دوم به هوش تهدید قابل اقدام تبدیل می‌شوند. واکنش‌دهندگان به حادثه مسئول طراحی و پیاده‌سازی استراتژی‌هایی برای مهار و بازیابی از یک حادثه هستند. اگر یک تحلیلگر سطح ۲ در شناسایی یا کاهش حمله با مشکلات عمده‌ای مواجه شود، با تحلیلگران سطح ۲ اضافی مشورت می‌شود یا حادثه به سطح ۳ ارجاع می‌گردد. خلاصه وظایف واکنش‌دهنده به حادثه این است که در طول حوادث امنیتی برای کاهش خسارت و بازگرداندن عملیات عادی اقدام می‌کند. مسئولیت‌های کلی شامل واکنش سریع به حوادث امنیتی شناسایی شده، تحلیل تأثیر و دامنه حوادث، هماهنگی با تیم‌های دیگر برای مهار و ریشه‌کن کردن تهدیدات و انجام تحلیل پس از حادثه و گزارش‌دهی است. همچنین، توسعه و نگهداری برنامه‌های واکنش به حادثه جزئی از مسئولیت‌ها است.

سطح ۳ – شکارچی تهدید (Threat Hunter)

تحلیلگران سطح ۳ باتجربه‌ترین نیروی کار در یک SOC هستند. آنها حوادث عمده‌ای را که توسط واکنش‌دهندگان به حادثه به آنها ارجاع داده شده، رسیدگی می‌کنند. آنها همچنین ارزیابی‌های آسیب‌پذیری و تست‌های نفوذ را برای شناسایی بردارهای حمله احتمالی انجام می‌دهند یا حداقل بر آنها نظارت می‌کنند. مهمترین مسئولیت آنها، شناسایی پیشگیرانه تهدیدات، شکاف‌های امنیتی و آسیب‌پذیری‌های احتمالی که ممکن است ناشناخته باشند است. آنها همچنین باید روش‌هایی برای بهینه‌سازی ابزارهای نظارت امنیتی مستقر شده توصیه کنند، زیرا دانش معقولی در مورد یک تهدید احتمالی برای سیستم‌ها به دست می‌آورند. علاوه بر این، هرگونه هشدار امنیتی بحرانی، هوش تهدید، و سایر داده‌های امنیتی ارائه شده توسط تحلیلگران سطح ۱ و ۲ باید در این سطح بررسی شود. خلاصه وظایف شکارچی تهدید این است که به طور پیشگیرانه به دنبال تهدیدات پنهان در شبکه می‌گردد. مهارت‌های مورد نیاز برای این نقش شامل دانش پیشرفته در مورد تهدیدات سایبری و تکنیک‌های حمله، مهارت در استفاده از ابزارها و فناوری‌های شکار تهدید، مهارت‌های قوی تحلیلی و حل مسئله، و تجربه در تحلیل فارنزیک و مهندسی معکوس بدافزار است. همچنین توانایی‌های ارتباطی و گزارش‌دهی عالی مهم هستند. لازم به ذکر است که نقش شکارچی تهدید نیز می‌تواند به عنوان یک نقش تخصصی جداگانه در نظر گرفته شود که به طور پیشگیرانه به دنبال تهدیدات در داخل سازمان می‌گردد. این نقش تخصصی ممکن است شامل بررسی لاگ‌ها، شکار پیشگیرانه تهدیدات یا تحقیق در خارج از سازمان از طریق تحلیل هوش تهدید عمومی باشد.

مدیر SOC (SOC Manager)

مدیران SOC بر تیم عملیات امنیتی نظارت می‌کنند. آنها در صورت نیاز راهنمایی فنی ارائه می‌دهند، اما مهمتر از همه، مسئول مدیریت صحیح تیم هستند. این شامل استخدام، آموزش و ارزیابی اعضای تیم، ایجاد فرآیندها، ارزیابی گزارش‌های حوادث و توسعه و پیاده‌سازی برنامه‌های ارتباطات بحرانی لازم است. آنها همچنین بر جنبه‌های مالی یک SOC نظارت می‌کنند، از حسابرسی‌های امنیتی پشتیبانی می‌نمایند و به مدیر ارشد امنیت اطلاعات (CISO) یا یک موقعیت مدیریتی سطح بالا گزارش می‌دهند. خلاصه وظایف مدیر SOC شامل نظارت بر عملیات SOC و اطمینان از مدیریت مؤثر حوادث است. مسئولیت‌های کلی آنها شامل مدیریت تیم SOC (اطمینان از منابع کافی، آموزش و عملکرد)، توسعه و پیاده‌سازی سیاست‌ها و رویه‌های امنیتی، هماهنگی تلاش‌های واکنش به حادثه، اطمینان از انطباق با الزامات نظارتی و گزارش‌دهی در مورد فعالیت‌ها و عملکرد SOC به مدیریت ارشد است.

نقش‌های تخصصی در SOC

علاوه بر نقش‌های رده‌بندی شده، نقش‌های فنی و تخصصی متعددی نیز وجود دارند. برخی از این نقش‌ها عبارتند از:

تحلیلگران بدافزار یا مهندسان معکوس

این متخصصان با مهندسی معکوس بدافزار به پاسخگویی به تهدیدات پیچیده کمک می‌کنند تا بررسی حوادث را اطلاع‌رسانی کرده، هوش تهدید را به SOC ارائه دهند و تلاش‌های آینده برای شناسایی و واکنش را بهبود بخشند.

شکارچیان تهدید (نقش تخصصی)

همانطور که قبلاً ذکر شد، این نقش به طور پیشگیرانه به دنبال تهدیدات در داخل سازمان می‌گردد و می‌تواند شامل بررسی لاگ‌ها و تحلیل هوش تهدید عمومی باشد.

متخصصان یا تحلیلگران فارنزیک

آنها در مورد رویدادهای سایبری یا جرایم مرتبط با سیستم‌های فناوری اطلاعات، شبکه‌ها و شواهد دیجیتال تحقیق می‌کنند.

مدیران آسیب‌پذیری

این نقش‌ها به طور مداوم آسیب‌پذیری‌ها را در نقاط پایانی، بارهای کاری و سیستم‌ها شناسایی، ارزیابی، گزارش‌دهی، مدیریت و اصلاح می‌کنند.

نقش‌های مشاوره‌ای

دو نقش مهم در این گروه، معمار امنیت (Security Architect) و مشاور امنیت (Security Consultant) هستند. معمار امنیت، زیرساخت امنیتی قوی در یک شرکت را برنامه‌ریزی، تحقیق و طراحی می‌کند. آنها تست‌های منظم سیستم و آسیب‌پذیری را انجام می‌دهند و پیاده‌سازی بهبودها را اجرا یا نظارت می‌کنند. آنها همچنین مسئول ایجاد رویه‌های بازیابی هستند. مشاوران امنیت اغلب در مورد استانداردهای امنیتی، بهترین شیوه‌های امنیتی و سیستم‌های امنیتی تحقیق می‌کنند. آنها می‌توانند یک مرور کلی صنعتی برای سازمان ارائه دهند و قابلیت‌های فعلی SOC را با رقبا مقایسه کنند. آنها می‌توانند به برنامه‌ریزی، تحقیق و طراحی معماری‌های امنیتی قوی کمک کنند.

بهترین شیوه‌ها برای تیم SOC موفق

امروزه، با توجه به اینکه امنیت به موضوعی در سطح هیئت مدیره تبدیل شده است، سازمان‌ها در حال بحث در مورد نیاز به SOC، نوع SOC مورد نیاز و اجزای آن هستند. در حالی که دستورالعمل‌های خاصی برای کمک به سازمان‌ها در تصمیم‌گیری وجود ندارد، برخی بهترین شیوه‌ها برای بررسی گزینه‌های مختلف وجود دارد که شامل اطمینان از رعایت مقررات انطباق می‌شود. چه در حال ساخت یک SOC فیزیکی، یک ترکیب ابری و داخلی یا همکاری با یک طرف ثالث باشید، باید معیارهای عمومی را در نظر گرفت.

• تمرکز بر کارکنان و پرسنل: فراتر از سرمایه‌گذاری در راهکارها و ابزارهای امنیتی، مهمترین عامل در هر SOC موفق، عنصر انسانی باقی خواهد ماند. در حالی که یادگیری ماشینی و اتوماسیون بدون شک نتایج مانند زمان پاسخ، دقت و اصلاح کلی را بهبود خواهند بخشید – به ویژه برای وظایف تکراری سطح پایین – جذب، آموزش و حفظ پرسنل امنیتی، شامل مهندسان، تحلیلگران و معماران، باید در هر استراتژی منسجم SOC گنجانده شود.
• تقویت تیم‌ها با اتوماسیون و یادگیری ماشینی: از اتوماسیون و یادگیری ماشینی به حداکثر پتانسیل خود برای تقویت و تکمیل انسان‌ها در امنیت استفاده کنید. تحلیل‌های پیشرفته و هوش مصنوعی می‌توانند به طور قابل توجهی زمان صرف شده توسط تیم‌ها برای پردازش حجم عظیمی از داده‌ها در سازمان را برای دستیابی به بینش‌های امنیتی حیاتی کاهش دهند. با شناسایی خودکار الگوهای غیرعادی در چندین منبع داده و همچنین ارائه خودکار هشدارها با زمینه، یادگیری ماشینی امروزه می‌تواند به وعده خود در تسریع تحقیقات و حذف نقاط کور عمل کند.
• اتوماسیون جریان‌های کاری: رهبران امنیتی می‌توانند وظایف تکراری سطح پایین را که می‌توانند با تصمیم‌گیری انسانی همکاری کنند، برای تسریع تحقیقات حادثه شناسایی کنند. با وجود فرآیندهای دستی بیش از حد در عملیات امنیتی و واکنش به حادثه (IR)، شامل نظارت بر فیدهای تهدید متعدد، سرمایه‌گذاری در قابلیت‌های اتوماسیون مانند آنچه در راهکار SOAR وجود دارد، می‌تواند به هماهنگی اقدامات در سراسر پشته محصولات برای IR سریعتر و مقیاس‌پذیرتر کمک کند.
• حسابرسی محیط برای کاهش ریسک‌های مرتبط با گسترش ابزار (Tool Sprawl): به دلیل خریدها، ادغام‌ها و عدم استانداردسازی محصولات امنیتی مشابه، بسیاری از سازمان‌ها با مجموعه‌ای ناهمگون از ابزارها در پشته امنیتی خود روبرو هستند. یکی از اولین گام‌هایی که یک سازمان می‌تواند برای کاهش تأثیر امنیتی گسترش ابزار بردارد، حسابرسی سیستم‌ها و موجودیت‌های حفاظت شده است. دقیقاً مشخص کنید چه چیزی حفاظت می‌شود و از وقوع چه چیزی جلوگیری می‌شود. آیا مالکیت فکری است؟ اطلاعات شخصی مشتریان؟ با شناسایی هرچه بیشتر موارد، اعم از نرم‌افزار یا دارایی‌های فیزیکی، یک سازمان می‌تواند اولویت‌بندی بهتری برای حفاظت از داده‌های با ارزش و پرخطر داشته باشد. داشتن این دیدگاه سرتاسری می‌تواند به شناسایی شکاف‌ها و بردارهای تهدید بالقوه کمک کند.