مرکز عملیات امنیت

( SOC )

امروزه سازمان‌ها برای رسیدن به اهداف امنیتی خود با چالش‌های مختلفی دسته و پنجه نرم می‌کنند که از مهم‌ترین این چالش‌ها می‌توان به پیچیدگی روزافزون تهدیدات سایبری، همگام‌سازی زیرساخت امنیتی با تهدیدات نوین و همچنین نحوه پاسخگویی به رخدادهای امنیتی اشاره کرد. بنا بر آمار منتشر شده از سوی موسسه Gartner در بهترین حالت، در سال 2016 به طور میانگین تشخیص تهدیدات سایبری پیشرفته 99 روز به طول می‌انجامد که این میزان در سال 2017 به 101 روز رسیده است. طبق بررسی انجام شده توسط کمپانی PWC، در سال گذشته میلادی حدود 90 درصد سازمان‌های بزرگ و 74 درصد سازمان‌های کوچک در انگلستان با رخنه‌ی امنیتی مواجه بوده‌اند و در مجموع این سازمان‌ها توانسته‌اند 42.8 میلیون رخداد امنیتی را از طریق مکانیزم‌های امنیتی خود تشخیص دهند که این عدد نشان‌دهنده‌ی یک رشد 48 درصدی نسبت به سال گذشته است. بنابر بررسی‌ها و آمار منتشر شده از سوی موسسات معتبر در حوزه امنیت سایبری (Gartner، SANS و …)، برخی از مهم‌ترین دلایل وجود چنین چالش‌هایی در تشخیص و جلوگیری از تهدیدات سایبری عبارتند از:

عدم وجود ساز و کار نظارت مداوم بر رخدادهای شبکه سازمان
پیکربندی و استقرار نامناسب و همچنین ضعف در رویه های مرکز عملیات امنیت
عدم آگاهی رسانی و آموزش صحیح کارکنان و تحلیلگران امنیتی سازمان

معرفی مرکز عملیات امنیت و خدمات آن

مرکز عملیات امنیت یا به اختصار SOC متشکل از افراد، فناوری و رویه‌هایی در جهت نظارت و پایش شبکه سازمان با نگاه امنیتی است. به بیان دیگر، هدف مرکز عملیات امنیت شناسایی و پاسخگویی به رخدادهای امنیتی احتمالی در سازمان است. در این مرکز، کارشناسان و تحلیل‌گران در لایه‌های مختلفی شامل لایه نظارت بر وقایع یا مانیتورینگ، لایه تحلیل وقایع و لایه پاسخگویی به وقایع فعالیت می‌کنند؛ این فعالیت‌ها بر اساس داده‌های ورودی از نقاط مختلف شبکه سازمان و با کمک راهکار SIEM و بر اساس رویه‌هایی مدون صورت می‌پذیرد.

خدمات مرکز عملیات امنیت پاوان

جمع‌آوری وقایع از منابع داده مختلف در شبکه
مانیتورینگ مداوم وقایع موجود در شبکه سازمان
ارزیابی آسیب پذیری شبکه سازمان به صورت مداوم
شناسایی و تحلیل رخدادهای امنیتی و ارایه گزارش مربوطه به مدیران سازمان
پاسخگویی به رخدادهای سایبری به صورت فوری

از نکات و چالش‌های حائز اهمیت در مراکز عملیات امنیت می‌توان به موارد ذیل اشاره کرد:

انتخاب راهکار SIEM نامناسب با شرایط سازمان
پیاده‌سازی نادرست رویه‌های مربوط به استقرار مرکز عملیات امنیت

پیکربندی و تجمیع نامناسب منابع داده مرکز عملیات امنیت (Firewall، IDS، Antivirus و …) با SIEM
عدم توانمندی در توسعه محتوای SIEM جهت تشخیص تهدیدات پیشرفته

خدمات و توانمندی های مجموعه پاوان

مجموعه پاوان با شناختی مناسب از رویه‌ها و رویکردهای مراکز عملیات امنیت و همچنین بهره‌مندی از متخصصان حوزه SOC توانمندی ارایه خدمات مشاوره، فنی عملیاتی و همچنین آموزشی در حوزه‌های زیر را دارد.

خدمات مشاوره

خدمات مشاوره مجموعه پاوان در حوزه مرکز عملیات امنیت شامل موارد ذیل است.

مشاوره در خصوص پیاده‌سازی مرکز عملیات امنیت بالغ
مشاوره درخصوص پیاده‌سازی صحیح رویه‌های مرکز عملیات امنیت مطابق با استانداردهای موجود
مشاوره در خصوص تجمیع فناوری‌های موجود با راهکار SIEM
مشاوره در خصوص انتخاب منابع و لاگ‌های مناسب جهت ارسال به SIEM
مشاوره در خصوص پیاده‌سازی و بهره‌گیری از Threat Intelligence
مشاوره در خصوص استقرار فرآیندهای امنیتی پیش‌کنشانه در سازمان‌ها
مشاوره در خصوص روش‌های جدید کشف تهدیدات سایبری بر اساس متدولوژی‌های روز

خدمات فنی عملیاتی

در این قالب، خدمات از جنس پیاده سازی و عملیاتی در حوزه‌های مربوطه خواهد بود. می‌توان برای سازمان‌های هدف خدمات فنی زیر را عملیاتی نمود.

پیاده‌سازی یک مرکز عملیات امنیت بالغ (در سطوح مختلف بلوغ) در سازمان هدف
نصب و پیکربندی فناوری SIEM موجود در سازمان
نصب و پیکربندی تجهیزات و فناوری‌های سازمان در راستای تجمیع با راهکار SIEM
توسعه محتوای امنیتی راهکار SIEM موجود
پیاده‌سازی راهکار متن‌باز و یا تجاری Threat Intelligence در سازمان‌های هدف
انجام فرآیندهای امنیتی پیش کنشانه و شکار تهدیدات ناشناخته (Threat Hunting) در سازمان به صورت عملیاتی (در محل سازمان، به صورت از راه دور و یا در محل شرکت)
انجام ارزیابی‌های نوین در حوزه امنیت پیش‌کنشانه در قالب تیم قرمز و آبی (Red Team & Blue Team)