مرکز عملیات امنیت SOC یا Security Operation Center علاوه بر سامانه دفاعی و واکنش سایبری، در کنار رصد امنیتی مناسب کامل می گردد. در ادامه مقاله ای با عنوان "مرکز عملیات امنیتی از نگاهی دیگر" توسط مهندس ایمان منصوري، مشاور عالی امنیت سایبري و شبکه هاي کامپیوتري برای آشنایی بیشتر کارشناسان IT و متخصصان فناوری اطلاعات آورده شده است.
عناصر کلیدی در دفاع و واکنش سایبری
در کنار رصد امنیتی و نقش آن ها در موفق شدن مرکز عملیات امنیتی
1. شما برای شناسایی رخداد ها و حوادث نیازمند سنسور های خوب هستید.
2. مقابله در برابر حملات پیچیده نیازمند باز طراحی و استفاده از سنسور های نوین هست.
3. رصد امنیتی زمانی ممکن است که شما شبکه خود را خوب بشناسید و بتوانید سناریو های امنیتی خود را شناسایی کنید.
4. بدنبال سناریو هایی باشید که حیات سازمان شما در آن است.
5. سناریو های امنیتی نیازمند واکنش مناسب و در زمان می باشند.
4. واکنش به رخداد و حوادث امنیتی در سطح سازمانی نیازمند ابزار خود می باشد.
تعریف مثلث عملیات هاي امنیتی:
دفاع Protection رصد Detection واکنش Response
دفاع سایبري، نقطه ضعف ها و راهکارهای آن
• ضعف سازمان ها در شناخت راه نفوذ ها به سازمان ها
• ناتوانی راه کار هاي امنیتی رایج در شناسایی حملات مدرن
• محافظت امنیتی تحت عنوان معماري Defensible Architecture
• تمرکز بر محافظت چند لایه اي و روش هاي مدرن طراحی
• راه کار هاي نوین مقابله با نفوذ و حملات سایبري
• طراحی و پیاده سازي دفاع سایبري متناسب با تهدیدات سازمانی
• دفاع سایبري دو مرحله دارد : قبل و بعد از نفود
معرفی اصول طراحی جدید امنیتی و راه کار هاي امنیتی در شبکه هاي امروزي
رصد امنیتی، نقاط قوت و ضعف و راهکارهای آن
• راه کار هاي دفاعی تضمین صد درصد ندارند
• رصد امنیتی سعی در شناسایی نفوذ ها و حملات سایبري را دارد
• شناسایی حملات زمانی امکان پذیر است که Visibility وجود داشته است
• تمامی سامانه هاي نرم افزاري و سخت افزاري شما سنسور هاي شما محسوب می شوند
• زمانی شما رصد خوبی دارید که سنسور هاي شما درست پیاده سازي شده اند
• زمانی شما رصد خوبی دارید که داده هاي خود را درست تحلیل کنید
• رصد امنیتی نیازمند یک طراحی دقیق است
• سناریو هاي امنیتی نفوذ امنیتی هر سازمانی منحصر به فرد است
• همیشه از سناریو هایی شروع کنید که سعی در دفاع کرده اید
• از Threat Model براي شناسایی راه هاي نفوذ سازمان خود استفاده کنید
نقش SIEM به عنوان ابزار مهم در رصد امنیتی
• از ابزار SIEM به عنوان قلب رصد امنیتی شناخته می شود
• ورودی SIEM داده هاي شما می باشد
• ابزار SIEM وظیفه تحلیل داده هاي شما را دارد
• خروجی SIEM هشدارهایی نسبت به داده هاي تحلیل شده اند
• تحلیل خودکار در ابزار SIEM وجود ندارد
• ابزار SIEM نسبت به داده اي اعلام هشدار می کند که شرط آن از سوي تعریف ما شده است
• جمع آوري داده هاي درست و تعریف سناریوي امنیتی مهمترین گام هاي پیاده سازي ابزار SIEM هستند
• ارزیابی و ارزش گذاري هشدار ها و شناسایی حوادث امنیتی مشکل ترین بخش از رصد امنیتی می باشد
• پیاده سازي را نقطه شروع کنید که مهمترین ریسک هاي شما وجود دارد
واکنش امنیتی، سیاست ها، روال ها و ابزارهای آن
• تجربه نشان داده است که سازمان ها بیشترین مشکل را در این بخش دارند
• واکنش درست به حوادث امنیتی یک فرآیند حیاتی است
• زمان و واکنش مناسب حیات سازمان شما را تضمین می کند
• واکنش ها به دو صورت موقت و دائمی داده می شوند
• در بسیاري از موارد واکنش تنها به یک مقصد محدود نمی شود
• در بسیاري از موارد نیاز به استفاده از ابزار اختصاصی می باشد
• ابزار هایی که در سطح سازمان عملیات واکنش را انجام دهند
• سیاست ، فرآیند ها و روال هاي از پیش نوشته در این بخش الزامی می باشد
• تیم واکنش به رخداد CSIRT نامیده می شود
• ابزارهای EDR نسل جدید تجهیزاتی هستند که در بخش استفاده می شوند
برای اطلاع از سایر مقالات آموزش با موضوع مرکز عملیات امنیت SOC یا Security Operation Center، معرفی سامانه های دفاعی و راه حل های واکنش سریع سایبریدر کنار رصد امنیتی به کانال اطلاع رسانی در زمینه امنیت شبکه و فناوری اطلاعات و بزرگترین سوپر گروه تخصصی مدیران شبکه و مهندسان آی تی و فناوری اطلاعات در شبکه اجتماعی تلگرام بپیوندید.