نوشته‌ها

 

 

ارکستراسیون امنیتی یا SOAR همانطور که برای برخی شناخته شده است اما هنوز در حال توسعه میباشد، بنابراین تصورات نادرستی در مورد دامنه استفاده و اثربخشی آن برای یک تیم SOC وجود دارد.

در اینجا به 5 باور اشتباه درباره آن میپردازیم:

ابزارهای اتوماسیون امنیتی کار ما را انجام می دهند

در این مورد این اصل اساسی را میبایست در نظر بگیرید که : همه تهدیدها یکسان ایجاد نمی‌شوند. در حالی که برخی از تهدیدها ذاتاً پیچیده نیستند، اما به دلیل حجم و دامنه خود می توانند سازمان را تحت تأثیر قرار دهند.

حملات فیشینگ یک مثال است. اتوماسیون به ارتباطات کاربر نهایی، شناسایی اهداف مخرب یا موارد نادرست، قرنطینه و حذف ایمیل‌های مشکوک می‌پردازد. این امر نیاز به مشارکت انسان را به شدت کاهش می دهد و بسیاری از روال های خسته کننده را از حجم کار روزانه یک تحلیلگر انسانی خارج می کند.

البته، برخی از وظایفی که توسط یک تحلیلگر انجام می شود، می تواند منسوخ شود، اما با توجه به کمبود کارشناس ماهر در حوزه امنیت سایبری، فعالیت‌های بسیار زیادی برای این افراد وجود دارد.

هر فرآیند امنیتی می تواند خودکار شود.

عملیات خودکار ممکن است یک حرکت بازاریابی خوب باشد، اما هر فرآیند یا اقدام امنیتی نمی تواند خودکار شود. وظایف همچنان نسبت به اتوماسیون بدون مراقبت بسیار حساس خواهند بود و نیاز به فرآیندهای تایید دستی دارند. حتی با استفاده از فیشینگ که ذکر شد، یک سازمان می تواند تعادلی بین اتوماسیون ماشین محور و تصمیم گیری انسانی انتخاب کند. تصمیم برای تأیید اعتبار مخرب بودن ایمیل می تواند توسط یک انسان انجام شود، در حالی که وظایف اولیه و کارهای قرنطینه نهایی می توانند خودکار باشند.

ارکستراسیون امنیتی فقط یک نام فانتزی برای SIEM است.

در این مرحله، ممکن است بگویید، “من یک ابزار مدیریت اطلاعات امنیتی و رویداد  یا SIEM دارم که همین کار را انجام می دهد، اما این صحبت درست نیست. در حالی که SIEM و ابزارهای هماهنگ‌سازی امنیتی شباهت‌هایی در ویژگی‌های سطحی مانند اتوماسیون در عمل، ادغام محصول و همبستگی داده‌ها دارند، اما فرض اینکه یک ابزار می‌تواند کار دیگری را انجام دهد نادرست است.

هماهنگ سازی امنیتی و اتوماسیون امنیتی یک چیز هستند.

برای ما در صنعت امنیت، این اصطلاحات معانی مختلفی دارند.

اتوماسیون امنیتی ماشین‌ها را وادار می‌کند «کار انسانی» وظیفه‌محور انجام دهند. هماهنگی امنیتی در مورد اتصال محصولات مختلف و خودکار کردن وظایف در سراسر آن محصولات از طریق گردش کار، علاوه بر امکان نظارت و تعامل کاربر نهایی است.

اتوماسیون امنیتی زیر مجموعه ای از هماهنگ سازی امنیتی است. هماهنگ سازی امنیتی شامل ترکیب افراد، فرآیندها و فناوری برای بهبود وضعیت امنیتی سازمان است. اتوماسیون امنیتی بیشتر بر جنبه فناوری متمرکز است.

هماهنگی امنیتی فقط برای شرکت های بزرگ است.

احتمالاً این فرض وجود دارد که فقط شرکت‌های بزرگ با SOCهای مشخص و طیف گسترده‌ای از محصولات ، ارزشی را از سازمان‌دهی امنیتی استخراج می‌کنند. اما با گزارش بررسی‌های نقض داده‌های Verizon در سال 2021 نشان می‌دهد که تعداد قربانیان نقض داده‌ها در کسب‌وکارهای کوچک بسیار نزدیک به تعداد سازمان‌های بزرگ است، بنابراین نیاز به پاسخ‌های خودکار و تکرارپذیر حوادث بدون توجه به اندازه کسب‌وکار آشکار است.

دقیق ترین معیاری که باید در مورد هماهنگی امنیتی در نظر گرفت این است که سازمان شما باید با حجم بالایی از هشدارها و حوادث سر و کار داشته باشد و یا دارای یک محیط پویا با تغییرات مداوم باشد. تحت این شرایط، حتی اگر یک تیم کوچک SOC با سه تا پنج تحلیلگر امنیتی و تعداد انگشت شماری ابزار داشته باشید، از طریق فرآیندهای کاملاً تعریف شده، افزایش بهره وری کارکنان و پیکربندی SOC برای مقیاس ممکن، از هماهنگی امنیتی بهره مند خواهید شد.

 

 

مرکز عملیات امنیت (SOC) چیست؟

SOC کوتاه شده ی عبارت Security Operation Center و به معنای مرکز عملیات امنیت می باشد. در واقع مرکز عملیات امنیت (SOC) مجموعه ای است که با پایش تمامی فعالیت های ورود و خروج شبکه (LOG) ، تمامی رخداد های امنیتی را جمع آوری و تحلیل میکند و در صورت برخورد با مخاطرات امنیتی با تولید هشدارهای امنیتی و انجام اقدامات مناسب مانع از به خطر افتادن امنیت سازمان شما می شود.

چه سازمان هایی به SOC نیاز دارند؟

برقراری امنیت فقط برای بانک ها و سازمان های مهم و ضروری نیست زیرا دسترسی به اطلاعات محرمانه ی هر سازمان و یا تجارتی می تواند خسارت های جبران ناپذیری را رقم بزند. امروزه با افزایش قدرت تهدیدات و حملات امنیتی و همچنین زیاد شدن تعداد هکر ها برقراری امنیت در سازمان ها و تجارت ها یک امر مهم و حیاتی محسوب میشود. یکی از بهترین و سریع ترین راه های تشخیص مخاطرات امنیتی، بررسی لاگ های سرورها و تجهیزات سازمان ها است که این کار توسط SOC انجام می شود. SOC میتواند حملات درحال انجام را شناسایی کند و با انجام فعالیت های مناسب جلوی اجرای حملات را بگیرد. از این رو شرکت فناوری اطلاعات رجاء پیاده سازی SOC را علاوه بر بانک ها و سازمان های بزرگ، به سازمان ها و تجارت های کوچیک نیز توصیه میکند.

مزایای استفاده از SOC :

از مزایای ایجاد و راه اندازی مرکز عملیات امنیت (SOC) می توان به موارد زیر اشاره کرد:

  • پايش امنيتی تجهيزات، شبكه‌هاي ارتباطي و رايانه‌ها، به صورت 7/24
  • نقطه‌ی تماس متمرکز براي رسيدگي به مشکلات امنيتي کاربران و راهبران شبکه
  • جمع‌آوري و آناليز ترافيک شبکه و توليد گزارشات امنيتي در سطوح مختلف
  • شناسایی تهدیدات و حملات امنیتی در کمترین زمان ممکن
  • پاسخ‌دهي به مشکلات و رخدادهاي امنيتي
  • مدیریت و پایش لحظه ای تهدیدات
  • کاهش هزينه‌هاي مديريت امنيت شبکه

وظایف اصلی ای که SOC انجام می دهد :

  • محافظت فعالانه و شبانه روزی از شبکه
  • مدیریت آسیب پذیری ها
  • مدیریت لاگ های تولید شده در شبکه به وسیله ی راهکارهای امنیتی
  • آگاهی بلادرنگ از تهدیدات امنیتی

فناوری اطلاعات رجاء از معدود مراکز داخل کشور است که توانایی و تجربه پیاده‌سازی مراکز عملیات امنیت را در سطوح مختلف سازمانی و فراسازمانی را داراست.