Menu

مقالات

دلایل نیاز سازمان‌ها به مرکز عملیات امنیت (SOC)

دلایل نیاز سازمان‌ها به مرکز عملیات امنیت (SOC)
ترکیب انبوه وسایل الکترونیکی، کاربران و ترافیک تولید‌شده به ازدیاد غیرقابل‌باور اطلاعات از لحاظ حجم، سرعت و گوناگونی منجر شده است. سازمان‌ها به راهکارهای حفاظت، بهره‌برداری، و درک آنی و هوشمند از داده‌های فراوان نیاز دارند. اما واقعیت این است که این هوشمندی نه تنها برای شرکت‌ها و مشتریان‌شان، که برای هکرها نیز سودمند و با ارزش است. وجود چنین اطلاعات فراوان و متنوعی نیز، بازاری بزرگی شامل فروش اطلاعات کارت‌های اعتباری، کلمه‌ی ورود و عبور حساب‌های مختلف، اطلاعات حساس ملی و دارایی‌های شخصی را برای هکرها ایجاد کرده‌است. پس افراد چگونه می‌توانند اطلاعات محرمانه را نگهداری کرده و از دسترس هکرها به دور نگه دارد؟
در گذشته به علت سادگی زیر‌ساخت‌های شبکه، کنترل دسترسی به اطلاعات بسیار ساده‌تر می‌نمود و اگر اطلاعات محرمانه‌ای در شبکه شرکت قرار داشت، نهایت سیاستی که در جهت ایمنی اطلاعات باید انجام می‌گرفت، قرارگرفتن یک فایروال قوی در شبکه بود. به تدریج، با وجود اینترنت، سرویس‌های متحرک و سیستم‌های Cloud، تنها وجود فایروال کافی به نظر نمی‌رسید و شرکت‌ها برای حل هر مشکل امنیتی به یک سیاست امنیتی خاص روی آورده و از تجهیزات مختلفی استفاده می‌کردند. اما، از آن‌جا که این تجهیزات لزوماً با یکدیگر سازگاری نداشته و کار نمی‌کنند، امکان دفاع واحد و یک‌پارچه نیز در مقابل حملات هکرها امکان‌پذیر نخواهد بود. 
 

 

 

اینک به منظور حل مشکلات امنیتی، در سازمان‌های مختلف نیاز به الگوها و ایده‌های جدید پدید آمده‌است و سازمان‌ها باید قادر به تأمین امنیت اطلاعات، جمع‌آوری و تبدیل آن به فرمت‌های هوشمند باشند تا بتوانند در صورت لزوم از آلارم‌ها و گزارش‌های حاصله استفاده کنند. در این راستا و در مرحله‌ی اول، باید سیستمی پیاده‌‌سازی کرد که بتواند به اطلاعات و افرادی که به اطلاعات دسترسی دارند، نظارت کند. سپس، با تمرکز بر دارایی‌های حیاتی سازمان، بر محتوا و تغییرات اطلاعات احاطه پیدا کرده و نهایتاً، باید به‌صورت هوشمندانه‌ای از چنین اطلاعات جمع‌آوری‌شده و تحت نظارت قرارگرفته با هدف افزایش امنیت شبکه و توقف حملات هکرها استفاده کرد. هم‌چنین، امروزه مدیريت رخدادهای امنيتی در دنيای تجاری، چالش‌‌‌‌های متعددی براي کارکنان معمولاً گرفتار فناوری اطلاعات در شرکت‌‌‌‌ها و سازمان‌‌‌‌هايشان پديد آورده‌ است. چرا که حجم زيادی از اطلاعات امنيتی از سيستم‌‌‌‌ها، سکوها و برنامه‌‌‌‌های کاربردی متنوع و مختلف بهصورت روزانه توليد میشوند، که تعداد این لاگ‌ها می‌تواند بالغ بر چندین هزار در هر ثانیه باشد. راهکارهای امنيتي متفاوت و چندلايه‌‌ای مانند آنتیويروس‌‌‌‌ها، فايروال‌‌‌‌ها، سيستم‌‌‌‌های شناسايی و جلوگيری از نفوذ، کنترل دستيابی، مديريت هويت، سيستم‌‌‌‌های احراز هويت و غيره. همگی اطلاعات زيادی در قالب‌‌‌‌های متنوعی توليد میکنند و در مکان‌‌‌‌های متفاوتی ذخيره يا گزارش میکنند.

اما برای شروع چه باید کرد؟

به دلیل حجم انبوه این اطلاعات و پراکندگی آن‌ها، اغلب مديران و تحليل‌گران امنيتی سيستم‌‌‌‌ها اعتراف میکنند که در اينگونه موارد نمیتوانند درک درستی از ميزان اهميت و ريسک هر يک از اين رخداد‌‌‌‌ها داشته باشند و در انتخاب و تصميم‌‌‌‌گيری موارد درست براي بررسی با مشکل مواجه میشوند. از سوی دیگر، حملات امنيتی بر روی سيستم‌‌‌‌ها به‌طور پيوسته در حال بيشترشدن و پيچيده‌‌‌‌ترشدن هستند که همين موضوع باعث فشار بيشتر به تواناییهای محدود سيستم‌‌‌‌های امنيتی موجود گشته‌ است. این عوامل باعث شده‌ که شرکت‌‌‌‌های زيادی روزانه با ميليون‌‌‌‌ها گزارش و واقعه‌ی امنيتی مواجه باشند که نتيجه‌ی آن دوباره‌‌‌‌کاری و سربار قابلملاحظه در بررسی اين گزارش‌‌ها و مهم‌تر از همه عدم‌دستيابی به امنيت در سطح موردانتظار و مناسب است.
برای حل اين مشکلات خطرناک رويكردی وجود دارد:
یکسان‌سازی و یکدست‌کردن تمام اجزای امنيتی مورداستفاده در شبکه از محصولات يک برند تجاری؛ به‌نوعي که امکان پيوستگی و ارتباط متقابل بين انواع قالب‌های گزارش­‌دهی سيستم‌های مختلف امنيتی به‌واسطه‌ی امکانات تسهيلاتی فراهم شده توسط خود شرکت ارائه‌کننده فراهم شود.
استفاده از محصولات امنيتی به‌صورت يکپارچه و تنها از يک برند يک ضعف بزرگ به‌حساب می­آيد. در اين روش شرکت در ازای به‌دست‌آوردن قابليت تطبيق و يکسان‌­سازی اطلاعات، خود را منحصر به استفاده از محصولات نه چندان مطرح حوزه‌ی خاصی از امنيت (به جای درنظرگرفتن محصولات پيش‌رو) میکند. بيشتر برندها تمامی طيف محصولات امنيتی را پوشش نداده­ و برای بعضی حوزه‌­ها حتی راه‌‌حلی از سوی آن شرکت وجود ندارد. حتی با فرض موجودبودن راه‌حل مناسب و پيش‌رو از سوی برند موردنظر برای کليه‌ی نيازهای مطرح امنيتی، هنوز هم هيچ تضمينی بر اين وجود نخواهد داشت که برند موردنظر از قابليت یکپارچهسازی محصولات خود حمايت کرده‌ باشد.
بنابراين برای آنکه روش­‌های فعلی مديريت رخداد را بهبود ببخشيم و امنيت عملکردهای کسب و کار را تضمين کنيم، به سيستمی با توانايی مديريتی جامع و متمرکز نياز داريم. سامانههایSIEM (Security Information and Management System)  چنين قابليتی را فراهم می­کنند. مراکز عمليات امنيتی شبکه با استفاده از SIEM يک نمای زنده از وضعيت امنيتی شبکه فراهم می­کنند و امکان واکنش هم‌زمان و بلافاصله به رخدادهای امنيتی را با قابليت هشدار خودکار، گزارشهای تفصيلی و اصلاح هم‌زمان فراهم میکنند. راهكار SOC (Security Operation Centre)  کليه‌ی جوانب امنيت اطلاعات و شبکه را در يک شرکت تجاري بزرگ به‌دست می­گيرد و کليه‌ی عمليات را از يک نقطه‌ی متمرکز مديريت می­کند. اين سيستم با شناسايی و اولويتبندی رخدادهای امنيتی آغاز به کار می‌­کند و پس از حذف و ادغام رخداد­های مرتبط، سطح ريسک هر يک از آن­ها و دارایی‌هایی که از اين تهديد متأثر می­شوند، محاسبه می­شود و سيستم بنا به نحوه‌ی پيادهسازی، راهکار مناسبی را پيشنهاد يا اجرا می­‌کند.