مرکز عملیات امنیت (SOC)

وظیفه مرکز عملیات امنیت (SOC) نظارت، پیشگیری، شناسایی، تحقیقات و پاسخگویی به تهدیدات سایبری بصورت شبانه روزی است. تیم SOC با استفاده از سیستم پایش و نظارت از دارایی های سازمان از جمله داده های پرسنل و … محافظت می کنند. تیم SOC استراتژی کلی امنیت سایبری سازمان را پیاده سازی می کند. این تیم به عنوان نقطه مرکزی همکاری برای نظارت، ارزیابی و دفاع در برابر حملات سایبری عمل می کند.

وظایف مرکز عملیات امنیت

تعداد کارکنان تیم SOC بسته به اندازه سازمان متفاوت است، اما اکثر آنها تقریباً نقشها و مسئولیتهای یکسانی دارند. SOC عملکرد متمرکز داخل سازمانی است که افراد، فرایندها و فناوری را برای نظارت و بهبود وضعیت امنیتی سازمان به طور مستمر و همزمان با جلوگیری، شناسایی، تجزیه و تحلیل و پاسخ به حوادث امنیت سایبری به کار می گیرد.

مسئولیت های مرکز عملیات امنیت SOC

  • پیشگیری و کشف

وقتی صحبت از امنیت سایبری می شود، پیشگیری همیشه موثرتر از واکنش است. SOC بجای پاسخگویی به تهدیدها در هنگام وقوع، برای نظارت شبانه روزی شبکه کار می کند. با این کار، تیم SOC می تواند فعالیت های مخرب را شناسایی کرده و قبل از اینکه صدمه ای وارد کنند از آنها جلوگیری کند. زمانیکه تحلیلگر SOC مورد مشکوکی را مشاهده میکند، تا آنجا که میتوانند اطلاعات را برای تحقیق عمیقتر جمع آوری میکند.

  • تحقیقات

تحلیلگر SOC درمرحله تحقیق، فعالیت مشکوک را برای تعیین ماهیت تهدید و میزان نفوذ آن به زیرساختها، تجزیه و تحلیل میکند. تحلیلگر امنیت شبکه و عملیات سازمان را از دیدگاه یک مهاجم مشاهده می کند ، قبل از بهره برداری از آنها به دنبال شاخص های اصلی و مناطق قرار گرفتن در معرض آنها است.

تحلیلگر با درک چگونگی وقوع حملات و چگونگی واکنش موثر به انواع مختلف حوادث امنیتی، قبل از آن که کنترل شرایط و تهدید از دست خارج شود، اقدامات موثر را اولویت بندی میکند. تحلیلگر SOC اطلاعات مربوط به شبکه سازمان را با جدیدترین اطلاعات تهدید جهانی شامل اطلاعاتی در مورد ابزارها ، تکنیک ها و روندهای مهاجم برای اولویت بندی انجام یک راهکار موثر ترکیب می کند.

  • پاسخ

تیم SOC پس از تحقیقات، پاسخی مناسب را برای رفع مشکل به وجود آمده، زمینه سازی می کند. به محض تأیید یک حادثه، SOC به عنوان اولین پاسخ دهنده اقداماتی مانند ایزوله کردن نقاط انتهایی (Endpoint)، خاتمه بخشیدن به پروسس های آلوده و خطرناک، جلوگیری از اجرای آنها، حذف فایل ها و موارد دیگر را انجام می دهد.

SOC پس از یک حادثه، برای بازیابی سیستم ها و بازیابی اطلاعات از دست رفته یا به خطر افتاده تلاش می کند. این ممکن است شامل پاک کردن و راه اندازی مجدد نقاط انتهایی ، پیکربندی مجدد سیستم ها یا در مورد حملات باج افزار ، استقرار پشتیبان های مناسب برای از بین بردن تأثرات باج افزار باشد. اجرای موفقیت آمیز این رویه ها شبکه را به وضعیت قبل از حادثه بر می گرداند.

 نکته مهم و اساسی: یک SOC نه تنها باید تهدیدها را شناسایی کند، بلکه آنها را تجزیه و تحلیل کند، منبع آن را بررسی کند، در مورد هرگونه آسیب پذیری کشف شده گزارش دهد و نحوه جلوگیری از وقایع مشابه در آینده را برنامه ریزی کند. به عبارت دیگر، آنها در زمان واقعی (real-time) با مشکلات امنیتی برخورد می کنند، در حالی که همزمان و به طور مداوم به دنبال راه هایی برای بهبود وضعیت امنیتی سازمان هستند. [Splunk]

اهمیت راه اندازی مرکز عملیات امنیت

نقض داده ها ، آلودگی به بدافزارها و حملات سایبری اتفاقات رایجی در سازمان های کوچک و بزرگ است. این حملات به طور فزاینده ای به سازمان ها آسیب می رساند.

[به گزارش اسپلانک] در سال 2018 ، میلیاردها نفر تحت تأثیر نقض داده ها و حملات سایبری قرار گرفتند و اعتماد مشتریان به توانایی سازمان ها در محافظت از حریم خصوصی و اطلاعات شخصی خود همچنان رو به زوال است. تقریباً 70 درصد از کاربران و مشتریان معتقدند که سازمان ها در برابر هک و حملات سایبری آسیب پذیر هستند و می گویند که احتمال ادامه کار یا شروع تجارت با سازمان هایی که به خطر افتاده اند کمتر است.

برای مدیران فناوری اطلاعات، شناسایی و ریشه کن کردن این تهدیدها قبل از اینکه باعث هرگونه اثرات سوء شود، به یک اولویت روزمره تبدیل شده است. بسیاری از بخشهای IT با ایجاد یک مرکز عملیات امنیتی جداگانه (SOC)، چه در داخل سازمان و چه از طریق یک ارائه دهنده خدمات امنیتی، با این مشکل مواجهه می کنند.

مرکز عملیات امنیت، فعالیت های نظارت بر امنیت فناوری اطلاعات و واکنش به حوادث را در یک مکان واحد متمرکز می کند و مسئولیت اصلاح تخلفات داخلی و حملات سایبری خارجی را بر عهده دارد. به زبان ساده تر، SOC ها اطمینان حاصل می کنند که تهدیدها در زمان واقعی شناسایی و پیشگیری می شوند.

اندازه مرکز عملیات امنیت

در حالی که اغلب SOC ها به عنوان «اتاق های جنگ» IT با مانیتورهای روی دیوار و ده ها کارمند نشان داده می شوند، اما اینها معمولاً اغراق آمیز هستند. ممکن «SOC» است حتی در سازمان های کوچکتر که به یک مرکز عملیاتی امنیت کامل نیازی نداشته باشند، یک تحلیلگر امنیت واحد IT با چند مانیتور و ابزار نظارت منبع باز یا کم هزینه باشد. از سویی دیگر، سازمان های بزرگ، (به ویژه سازمان هایی که داده های حساس را ذخیره و انتقال می دهند یا به 100٪ زمان کار شبکه بستگی دارند)  ممکن است SOC با چندین کارمند و ابزار نرم افزار امنیتی IT پیاده سازی کنند. ابزارها و پرسنل در اغلب SOC ها براساس بودجه و نیازها، تعیین می شوند. تمام سازمان ها به SOC  24 ساعته یا حتی یک SOC در محل نیاز ندارد و اصلا توانایی خرید آن را ندارد.

یک گزینه متداول برای ایجاد مرکز عملیات امنیتی داخلی، برون سپاری این عملکرد به یک ارائه دهنده خدمات امنیتی مدیریت شده (MSSP) است. MSSP خدماتی مانند فیلتر بدافزار و اسپم، تشخیص نفوذ ، دیوارهای آتش و مدیریت شبکه خصوصی مجازی (VPN) را ارائه می دهد. برون سپاری به MSSP هزینه های پیشین سخت افزار و نرم افزار جدید و همچنین هزینه های استخدام متخصصان امنیت فناوری اطلاعات را کاهش می دهد.

اجزای اصلی مرکز عملیات امنیت

صرف نظر از بزرگی یک SOC، یک سرویس SOC دارای سه جز (Component) اساسی است. سازمان هایی که در حال بررسی راه اندازی یک مرکز عملیات امنیت هستند، ممکن است بخواهند با توجه به نیازهای امنیتی و بودجه فناوری اطلاعات، جنبه هایی از این مولفه ها را به صورت مرحله ای ترکیب کنند.

اجزای مرکز عملیات امنیت

  • پرسنل تحلیلگر امنیت

SOC از تحلیلگران و مهندسان امنیتی بسیار ماهر ، به همراه سرپرستان تشکیل شده است که اطمینان حاصل می کنند همه کارها به درستی انجام می شود. این افراد حرفه ای هستند و به طور خاص برای نظارت و مدیریت تهدیدات امنیتی آموزش دیده اند. آنها نه تنها در استفاده از انواع ابزارهای امنیتی مهارت دارند، بلکه فرآیندهای خاصی را می دانند که در صورت شکسته شدن زیرساخت ها دنبال می کنند.

پرسنل SOC هشدارهای تهدید را کنترل می کنند، نقض امنیت داخلی و خارجی را شناسایی می کنند، واکنش و تجزیه و تحلیل حوادث را انجام می دهند و سایر عملکردهای مرتبط را انجام می دهند. این تیم معمولاً متشکل از متخصصانی است که در زمینه های مختلف امنیت سایبری از جمله شناسایی و پاسخ تهدید، تجزیه و تحلیل جرم شناسی (Forensic) ، مهندسی معکوس بدافزار و تشخیص نفوذ آموزش دیده اند.

بیشتر SOC ها رویکردی سلسله مراتبی را برای مدیریت مسائل امنیتی اتخاذ می کنند، جایی که تحلیلگران و مهندسان بر اساس مهارت و تجربیات خود دسته بندی می شوند.

لایه های SOC

یک تیم SOC ممکن است ساختاری شبه ساختار زیر داشته باشد:

لایه های مرکز عملیات امنیت SOC Tier

  • سطح1:

اولین خط پاسخ دهندگان حادثه. این متخصصان، هشدارهای تهدید را جمع آوری، اولویت آنها را تعیین و زمان انتقال آن به سطح 2 را مشخص می کنند. پرسنل سطح 1 همچنین می توانند ابزارهای امنیتی را مدیریت کرده و گزارش های منظمی را اجرا کنند. این افراد خط مقدم مرکز عملیات امنیتی هستند. آنها سیستم های IT و تماس های دریافتی میدانی را نیز کنترل می کنند.

  • سطح2:

این پرسنل معمولاً از مهارت بیشتری برخوردار هستند ، بنابراین می توانند به سرعت مشکل را ریشه یابی و ارزیابی کنند که کدام قسمت از زیرساخت ها مورد حمله قرار گرفته است. دامنه تهدید را تعیین می کنند و تاکتیک های اصلاح را پیشنهاد می کنند. آنها مراحل را برای رفع مشکل و ترمیم صدمات احتمالی برای بررسی بیشتر دنبال می کنند.

  • سطح3:

در این سطح ، پرسنل متشکل از تحلیلگران سطح بالا، خبره امنیتی، شکارچیان تهدید (Threat Hunters) و با تخصص عمیق در زمینه هایی مانند امنیت شبکه ، جرم شناسی رایانه و مهندسی معکوس بدافزار هستند. متخصصین در این سطح که به طور فعال در حال جستجوی نقاط ضعف در شبکه هستند. آنها از ابزارهای پیشرفته تشخیص تهدید برای تشخیص نقاط ضعف و ارائه توصیه هایی برای بهبود امنیت کلی سازمان استفاده خواهند کرد. اگرچه آنها می توانند به سخت ترین تهدیدها پاسخ دهند، اما آنها اغلب پیشگیرانه کار می کنند، لاگ های مربوط و سایر داده ها را مطالعه می کنند تا نقض های احتمالی امنیتی را شناسایی کنند. شکارچیان تهدید ممکن است نمونه بدافزارهای روز صفر را از محققان بررسی کرده و به دنبال شواهد آلودگی در سازمان خود باشند.

  • سطح 4:

این سطح متشکل از مدیران سطح بالا و افسران ارشد با بیشترین تجربه است. این گروه بر کلیه فعالیت های تیم SOC نظارت دارد و مسئولیت استخدام و آموزش، به علاوه ارزیابی عملکرد فردی و کلی را بر عهده دارد. سطح 4 در هنگام بحران ها وارد عمل می شود، و به طور خاص، به عنوان رابط بین تیم SOC و سایر اعضای سازمان عمل می کند. آنها همچنین مسئول اطمینان انطباق سیاست و عملکردها با مقررات سازمان، صنعت و دولت هستند.

تحلیلگران SOC معمولاً طیف وسیعی از مهارت ها از جمله دانش سیستم عامل ها ، پروتکل های شبکه و مدیریت سیستم و همچنین دانش ابزارهای تشخیص و ارزیابی تهدید را به کار می گیرند.

گواهینامه های تخصصی

برخی از گواهینامه های حرفه ای این متخصصان معمولاً شامل

Certified Information Systems Security Professional,

GIAC Certified Incident Handler (GCIH),

SANS SEC501: Advanced Security Essentials – Enterprise Defender

SANS SEC503: Intrusion Detection In-Depth

است.

  • فرآیندهای و استانداردها:

تحلیلگران مرکز عملیات امنیتی برای انجام وظیفه خود به فرایندها، سیاست ها و استانداردها اعتماد می کنند. این استانداردها به طور معمول مسئولیت های هر یک از اعضای تیم و روش های همکاری بین آنها را توصیف می کند ، به طوری که هیچ مسئله امنیتی نادیده گرفته نمی شود. در این رهنمودها (guidelines)، روشهای عملیاتی برای نظارت و شناسایی تهدیدها، ثبت وقایع، تشدید تهدیدها، تجزیه و تحلیل، واکنش به حادثه، نظارت بر انطباق و گزارش دهی وجود دارد. استانداردها نیازی به گسترده بودن ندارند. سازمان های کوچک ممکن است دستورالعمل های اساسی امنیتی را برای رفع نیازهای امنیتی فوری خود اتخاذ کنند. اهداف کنترل ISACA برای فناوری اطلاعات و فناوری های مرتبط (COBIT) 5 و حمایت از COBIT 5 برای امنیت اطلاعات ، رهنمودهای خاص امنیتی را برای ارزیابی و پاسخ تهدید ارائه می دهند.

NIST SP800-61 Revision 2، راهنمای مدیریت حوادث امنیت کامپیوتر ، بهترین روشهای پاسخ خاص را ارائه می دهد.

شاخص های کلیدی عملکرد (KPI) می توانند کارکنان SOC را از اثربخشی و بهبود SOC در طول زمان آگاه کنند. معیارهای SOC شامل موارد زیر است:

  • میانگین زمان تشخیص حادثه
  • میانگین زمان از شناسایی تا اصلاح (براساس نوع تهدید ، تحلیلگر یا بر اساس زمان روز)
  • تعداد حوادث به ازای هر تحلیلگر
  • حوادث بر اساس نوع دستگاه یا برنامه یا نوع تهدید
  • زمان بین تهدیدها یا حوادث
  • ابزارهای SOC

پرسنل امنیتی برای نظارت و ارزیابی داده های فایروال ها ، روترهای شبکه ، رایانه های شخصی و سایر دارایی های IT به ابزارهای SOC مانند مدیریت حادثه و مدیریت رویدادها (SIEM) و نرم افزار تجزیه و تحلیل اعتماد می کنند. فناوری اصلی مرکز عملیات امنیتی SIEM (یا سیستم مشابه) است که داده های رویداد (Event) را از انواع زیرساخت های سازمان و مولفه های شناسایی تهدید، از جمله فایروال، سرور پایگاه داده، فایل سرور، ایمیل، وب سرور، اکتیودایرکتوری، نرم افزار نظارت بر نقطه پایانی و… جمع آوری می کند. SIEM تجزیه و تحلیل داده های ورودی را در زمان واقعی (real-time) ارائه می دهد و به دنبال همبستگی هایی است که ممکن است نشان دهنده حمله سایبری یا نقض امنیت باشد.

SOC از طیف وسیعی از ابزارها استفاده می کند که داده ها را از سراسر شبکه و دستگاه های مختلف جمع آوری می کند ، ناهنجاری ها را کنترل می کند و کارکنان را از تهدیدات احتمالی آگاه می کند. با این حال ، SOC در هنگام بروز مشکلات فراتر از رسیدگی به مشکلات عمل می کند.

مراکز عملیات امنیت کوچک، ممکن است فقط دارای SIEM باشند. SOC های بزرگتر ممکن است برخی یا همه فن آوری های زیر را نیز داشته باشند:

  • SIEM

با استفاده از ابزارهای مدیریت اطلاعات و رخداد های امنیتی (SIEM) امکان جمع آوری، تجزیه و طبقه بندی طیف گسترده ای از اطلاعات دستگاه ها و منابع شبکه فراهم شده و به طبع آن به صورت زمان واقعی میتوان به وقایع پاسخ داد.

  • EDR

ابزارهای تشخیص و پاسخ نقاط پایانی (EDR) مانند رایانه های رومیزی، لپ تاپ ها و چاپگرهای شبکه، را کنترل کرده و فعالیت مشکوک را جستجو می کنند.

  • Firewall

فایروال ها ترافیک ورودی و خروجی شبکه را کنترل کرده و بر اساس قوانین امنیتی که از پیش ایجاد شده به طور خودکار ترافیک های مد نظر را مسدود می کند.

  • Sandbox

ابزار قرنطینه و تجزیه و تحلیل بدافزار، فضای ایمنی را برای اجرا و تجزیه و تحلیل بدافزارها فراهم می کند بدون اینکه به سیستم های تولیدی آسیب برساند.

  • UEBA

نرم افزار تجزیه و تحلیل رفتار کاربر و نهاد (UEBA) رفتار کاربران و دستگاه ها را بررسی می کند و الگوهای غیر عادی را یادداشت می کند. بر خلاف SIEM، که براساس قوانین و آستانه ها برای تعیین وقایع مشکوک عمل می کند، یک ابزار UEBA از یادگیری ماشینی برای تعیین انحراف از رفتار طبیعی استفاده می کند. از آنجا که SIEM ها و UEBA وظایف مشابهی را از طرق مختلف انجام می دهند، برخی از سازمان ها ممکن است صفا یکی آنها را پیاده سازی کنند.

  • SOAR

برنامه های کاربردی هماهنگ سازی (orchestration)، اتوماسیون و پاسخگویی امنیت (SOAR) گردش کار امنیت (مانند فعالیت های واکنش به حادثه) را خودکار می کنند. برنامه های مبتنی بر قوانین SOAR پاسخ به تهدیدات را تسریع می کنند، بنابراین آسیب ها را بالقوه کاهش می دهند.

SOC ها برای اینکه از آخرین تهدیدات سایبری خارج از سازمان مطلع شوید اغلب در سرویس های گزارش تهدید که به صورت روزانه گزارشات را ارسال می کنند، مشترک می شوند. مراکز اشتراک و تجزیه و تحلیل اطلاعات (ISAC) انجمنی از سازمان های غیرانتفاعی در صنایع مختلف است که اطلاعات تهدید پذیر را برای اعضای خود به اشتراک می گذارند. بسیاری از ISAC ها هشدارهای مربوط به تهدیدات سایبری را 24/7 ارائه می دهند.

اکثر سازمان ها می توانند از یک مرکز عملیات امنیتی خواه یک اتاق جنگی تمام عیار باشد و یا یک تحلیلگر امنیتی، بهره مند شوند. MSSP می تواند برخی از خلاءهای موجود در سازمان هایی را که فاقد منابع لازم برای یک SOC داخلی هستند پر کند. با این حال، در نهایت، هر سازمان خودش مسئول سیستم ها و داده های IT مربوط به خود است. برای شناسایی و پاسخگویی به تهدیدها جهت حفاظت از دارایی های با ارزش IT و به حداقل رساندن احتمال نقض داده های، یک رویکرد طراحی دقیق، حیاتی است.

مرکز عملیات امنیت چه کاری انجام می دهد؟

SOC به پاسخ حوادث در زمان واقعی منجر می شود و باعث بهبود امنیت فعلی برای محافظت از سازمان در برابر تهدیدات سایبری می شود. با استفاده از ترکیبی پیچیده از ابزارهای مناسب و افراد مناسب برای نظارت و مدیریت کل شبکه ، یک SOC با عملکرد بالا موارد زیر را می تواند فراهم کند:

  • پایش و نظارت پیشگیرانه، شبانه روزی از شبکه، سخت افزار و نرم افزار برای شناسایی تهدیدها و نقض ها، و واکنش به حادثه
  • تخصص در زمینه تمام ابزارهایی که سازمان استفاده میکند تا اطمینان حاصل شود که به راحتی می توانند با مسائل امنیتی مواجهه کنند
  • نصب، به روزرسانی و عیب یابی نرم افزارهای کاربردی
  • پایش و مدیریت فایروال و سیستم های جلوگیری از نفوذ
  • اسکن و تنظیمات راه حل های آنتی ویروس، ضد بدافزار و باج افزار جهت بهبود عملکرد
  • مدیریت وصله ها (Patch) و تهیه لیست سفید (Whitelisting)
  • تجزیه و تحلیل عمیق داده های ورود به سیستم امنیتی از منابع مختلف
  • تجزیه و تحلیل، بررسی و مستند سازی روندهای امنیتی
  • بررسی نقض امنیت در جهت درک علت اصلی حمله و جلوگیری از نقض در آینده
  • اجرای سیاست ها و رویه های امنیتی
  • پشتیبان گیری ، ذخیره سازی و بازیابی

تفاوت NOC و SOC

SOC بر نظارت، شناسایی و تجزیه و تحلیل امنیت یک سازمان به شکل 24/7/365 متمرکز است، در حالی که هدف اصلی NOC یا مرکز عملیات شبکه این است که اطمینان حاصل کند عملکرد و سرعت شبکه مناسب و زمان خرابی محدود و حدأقل است.

مهندسان و تحلیلگران SOC به دنبال شناسایی تهدیدهای و تلاش ها برای حمله هستند تا قبل از به خطر افتادن داده ها یا سیستم های سازمان، پاسخ دهند. پرسنل NOC هر مسئله ای که می تواند سرعت شبکه را کاهش دهد یا باعث خرابی شود را جستجو می کنند. هر دو به طور پیشگیرانه با هدف جلوگیری از مشکلات، قبل از اینکه مشتریان یا کارمندان تحت تأثیر قرار بگیرند در زمان واقعی نظارت می کنند، و همچنین به دنبال روش هایی برای ایجاد پیشرفت های مستمر هستند تا مشکلات مشابه دوباره اتفاق نیافتند.

تیم های SOC و NOC باید جهت رفع حوادث و حل شرایط بحرانی همکاری کنند و در بعضی موارد عملکردهای SOC در NOC نیز مستقر می شوند. اگر تیم NOC به درستی آموزش دیده باشد حتی می تواند برخی از تهدیدهای امنیتی را شناسایی و به آنها واکنش نشان دهد به ویژه اگر این تهدیدات عملکرد شبکه را تحت تأثیر قرار دهد. یک SOC بدون سرمایه گذاری در ابزارها و مجموعه مهارت های مختلف، توانایی تشخیص و پاسخگویی به مشکلات عملکرد شبکه را ندارد.

بهترین روش های ساختن مرکز عملیات امنیت

بهترین روش ها (Best Practices ارائه شده توسط Splunk) برای راه اندازی SOC عبارتند از: تدوین استراتژی، داشتن دید وسیع نسبت به سازمان، سرمایه گذاری در ابزارهای مناسب، استخدام و آموزش کارکنان مناسب، حداکثر بهره وری و طراحی SOC متناسب با نیازها و خطرات خاص شما.

  • تدوین استراتژی

SOC سرمایه گذاری مهمی است. برنامه ریزی امنیتی بسیار وسیع است. برای ایجاد یک استراتژی که نیازهای امنیتی شما را پوشش دهد، بایستی موارد زیر را در نظر بگیرید:

    • چه چیزی برای امنیت لازم دارید؟ یک شبکه داخلی یا جهانی؟ ابر یا ترکیبی؟ چند نقطه نهایی؟ آیا از اطلاعات بسیار محرمانه یا اطلاعات مصرف کننده محافظت می کنید؟ چه داده هایی با ارزش ترین هستند و به احتمال زیاد هدف قرار می گیرند؟
    • آیا SOC خود را با NOC خود ادغام می کنید یا دو بخش جداگانه ایجاد می کنید؟ باز هم، توانایی ها بسیار متفاوت هستند و ادغام آنها نیاز به ابزارها و مهارتهای مختلف پرسنل دارد.
    • آیا به کارکنان SOC خود به 24/7/365 دسترسی دارید؟ این کارکنان ، هزینه و تدارکات را تحت تأثیر قرار می دهد.
    • آیا SOC را کاملاً داخلی بنا خواهید کرد یا برخی یا همه عملکردها را به یک ارائه دهنده خدمات امنیت (MSSP) واگذار می کنید؟ تجزیه و تحلیل دقیق هزینه و سود به نحوه تعاملات کمک می کند.
  • اطمینان از دید وسیع و جامع نسبت به کل سازمان

ضروری است که SOC علاوه بر زیرساخت های بزرگتر، شامل نقاط پایانی دستگاه، سیستم های کنترل شده توسط اشخاص ثالث (مانند پیمانکاران) و داده های رمزگذاری شده به همه چیز، حتی به ظاهر کوچک و ناچیز، دسترسی داشته باشد. چرا که می تواند بر امنیت تأثیر بگذارد.

  • سرمایه گذاری روی ابزارها و خدمات مناسب

برای برنامه ریزی بر روی ساخت SOC، ابتدا بر روی ابزارها تمرکز کنید. تعداد بیشماری از وقایع امنیتی بدون داشتن ابزارهای خودکار مناسب برای مقابله با «آشفتگی ها-هشدارهای با تعداد زیاد و بی اثر» و متعاقباً افزایش تهدیدهای قابل توجه، بسیار طاقت فرسا خواهد بود. برخی از این ابزارها در مطالب بالا ذکر شده است.

GSOC

مراکز عملیاتی امنیت جهانی (GSOC) در مقیاس بزرگتر نیز وجود دارد. GSOC دفاتر امنیتی که در تعداد زیادی از شعبات گسترده شده است را در اختیار دارد. برای سازمان هایی که شعبات زیادی دارد ایجاد GSOC، به جای SOC برای هر شعبه، از تکرار وظایف و عملکردها جلوگیری می کند. این کار هزینه های سربار را به شدت کاهش می دهد. GSOC اطمینان حاصل می کند که تیم امنیتی نسبت به آنچه در سراسر سازمان اتفاق می افتد دید کلی دارد.

لغتنامه

  • مرکز عملیات امنیتSecurity Operation Center
  • پیشگیری و کشفPrevention and Detection
  • تحقیقاتInvestigation
  • پاسخResponse
  • شکارچی تهدیدThreat Hunter