پیشرفته کردن مرکز عملیات امنیت SOC

عوامل مختلف زیادی از جمله رشد و توسعه زیرساخت‌های فناوری اطلاعات همچون استفاده از سرویس های ابری، سرویس‌های بدون سرور و نقاط انتهایی خارج از شبکه باعث ایجاد فشار بیشتر بر روی مراکز عملیات امنیت (SOC) و همچنین ابزارها و روش‌های فعلی مورد استفاده در این مراکز شده اند. از سوی دیگر به علت پراکندگی نیروی کار و افزایش میزان استفاده از زیرساخت‌ها و خدمات مبتنی بر ابر، سطح حملات نیز افزایش یافته است. علاوه بر اینها سازمان‌ها هم باید محیط‌های سنتی فناوری اطلاعات مثل فناوری عملیات (OT)، اینترنت اشیا (IoT) و اینترنت اشیای پزشکی (IoMT) را امن سازی کنند.

در حال حاضر مراکز عملیات امنیت با حجم زیادی از داده ها، جریان‌های کاری متعدد و گسسته روبرو هستند. بنابراین به سختی می توانند همگام با تهدیدهای سایبری پیشرفت کنند. همچنین کمبود نیروی کار موجب سخت تر شدن این شرایط شده است.

نقطه شروع تغییر

اگر مدرنیزه کردن مرکز عملیات امنیت، شناسایی مشکلات مهم و واکنش به آنها در اسرع وقت انجام شود، در این صورت شاهد بهبود و پیشرفت ابزارها، فرایندها و کاهش مخاطرات خواهیم بود. افراد و کارشناسان امنیتی نیز نقش بسیار مهمی را در مرکز عملیات امنیت ایفا می کنند.

بر اساس تحقیق های انجام شده در سال ۲۰۲۰، هر چقدر سیستم امنیتی پیچیده تر باشد میانگین هزینه نفوذهای امنیتی نیز بیشتر خواهد بود. این کار موجب کاهش پیچیدگی فعالیت تحلیلگران در تشخیص تهدیدات سایبری می شود. زیرا در این صورت آنها بر روی تهدیدهای مهمتر تمرکز کرده و از طریق جریان‌های کاری یکپارچه با یکدیگر همکاری خواهند کرد.

سه حوزه ای که در تمام دوره ها از عصر تغییر و تحول دیجیتال همواره باید به روز رسانی شوند، داده ها و نظارت کامل بر آنها، برخورداری از مهارت های سطح بالا و قابلیت ارزیابی هستند.

گسترش محدوده نظارت داده‌ها

یکی از مشکلات و پیچیدگی هایی که همواره برای حجم زیادی از داده ها وجود دارد، عدم نظارت کافی بر روی آنها است. همچنین با افزایش حجم داده‌ها، ادغام کنترل‌های امنیتی و داده‌های آماری در بستر ابر، افزایش سرویس‌های اجاره نرم‌افزار، سیستم مدیریت اینترنت اشیا و … این پیچیدگی بیش از پیش افزایش یافته است.

صدور حجم بسیار زیادی از هشدارهای امنیتی از منابع داده ای مختلف و نیز جمع آوری، تفسیر و تحلیل داده هایی که از طریق سنجش از راه دور یا دورسنجی که یکی از روش های جمع آوری داده است، امری پیچیده و زمان بر بوده و مدیریت تهدیدات سایبری را دشوارتر می کند. همچنین با توجه به افزایش دورکاری کارکنان، میزان حملات سایبری هم افزایش یافته و تیم های امنیتی به دلیل عدم توانایی در نظارت کامل بر داده ها قادر به کنترل و مقابله با این حملات نیستند.

بنابراین این شرایط منجر به ایجاد چالش‌هایی برای پیاده‌سازی راهبردهای امنیتی بر پایه اصول مدل امنیتی مدیریت و کنترل شبکه  Zero Trust Network که در سازمان های فناوری محور مورد استفاده قرار می گیرد، شده است. در این مدل امنیتی به صورت پیش فرض به هیچ ماشین، سرویس و یا شخصی اعتماد نمی شود و در تمام مراحل و از هر جایی (داخل شبکه سازمانی، DMZ و بیرون شبکه سازمانی) کاربران و دستگاه ها باید احراز و تأیید هویت شده و دسترسی آنها به صورت «حداقل سطح دسترسی» به منابع مورد نیاز تعریف شود.

به کارگیری راهبرد مبتنی بر اصل Zero Trust Network برای مدرنیزه کردن مرکز عملیات امنیت یک امر ضروری است. در واقع بدون داشتن نظارت کامل، آگاهی از شرایط امنیتی بخش‌های مختلف سیستم  و اطمینان از این که همه کاربران، دستگاه‌ها یا برنامه‌های کاربردی در زمان و مکان مناسب فقط به داده های مورد نیازشان دسترسی دارند، غیرممکن است.

فرض کنید تحلیلگران و اپراتورهای مرکز عملیات امنیت قادر به بررسی انواع جدید داده‌های امنیتی یا استفاده از کنترل‌های امنیتی جدید برای تیم های امنیتی هستند. به کارگیری روش Zero Trust Network برای مدیریت تهدیدات سایبری موجب یکپارچگی در منابع داده‌ای گسسته می شود. همچنین هوش مصنوعی به ترکیب خودکار هشدارهای ارسالی از سیستم‌های مختلف و تبدیل آنها به توصیه‌های مفید و پشتیبانی از اقدام اجرایی کمک می کند.

در نهایت این که یک نرم‌افزار مدیریت تهدیدات سایبری که امکان تست نفوذ، مدیریت آسیب پذیری و سرویس‌های اینترنت اشیا یا فناوری عملیات را عرضه کند، به مرکز عملیات امنیتی نیز کمک خواهد کرد تا نظارت کامل بر خلاءهای امنیتی و دستگاه‌های مختلف موجود در شبکه داشته باشد. با اتصال و ارتباط هر چه بیشتر برنامه‌های امنیتی و مدیریت تهدیدات سایبری، پیاده‌سازی راهبرد Zero Trust Network راحت‌ تر خواهد بود.

یکپارچگی تیم های امنیتی با استفاده از دستورالعمل‌ها و چارچوب‌های ارزیابی

با ورود داده‌ها از منابع مختلف به مرکز عملیات امنیت این احتمال وجود دارد که تیم‌های امنیتی احساس کنند ارتباط لازم را با همکاران شان ندارند و قادر به استفاده از ابزارهای متعدد مورد نیاز برای انجام کارها و اجرای اقدامات امنیتی نیستند. از این رو آنها به منظور قرار دادن اطلاعات کافی در اختیار همه اعضای تیم، اقدام به انجام کارهای دستی و تکراری می کنند. در نتیجه کار کردن با حجم زیادی از داده ها و عدم توانایی در برقراری ارتباط با سایر همکاران، موجب خستگی تحلیلگران امنیتی خواهد شد.

یکی از راه‌های برقراری ارتباط بین اعضای مختلف از تیم های متفاوت مرکز عملیات امنیت، استفاده از یک چارچوب ارزیابی مشترک است. ارزیابی‌های انجام شده می‌توانند به تشخیص عملکرد بهینه برای مرکز عملیات امنیت کمک کنند. یکی از کارشناسان امنیتی گفته است که: «تحلیلگران امنیتی باید پوشش لازم و زمان کافی برای تحقیق و بررسی کامل را داشته باشند». ارزیابی زمان بیکاری، زمان اجرای کار، چرخه حیات حادثه و … به تشخیص کارهای قابل انجام برای بهبود فرایندها و دستیابی به عملکرد بهینه کمک می کند.

همچنین ادغام و یکپارچه سازی ابزارهای «واکنش و خودکارسازی هماهنگی عملیات» (SOAR) به تعیین اقدامات امنیتی لازم کمک خواهد کرد. علاوه بر این اعضای تیم های امنیتی می توانند با استفاده از دستورالعمل‌های پویا، اثربخشی کنترل‌های امنیتی را ارزیابی کرده و تشخیص دهند که وقت شان را برای انجام چه کارهایی صرف ‌کنند. یک نرم‌افزار مدیریت یکپارچه تهدید، قابلیت‌های سیستم SOAR را افزایش داده و متعاقباً هزینه های آسیب پذیری را به صورت قابل توجهی کاهش خواهد داد.

پشتیبانی از ارتقای مهارت های کارمندان

تحول سریع تهدیدها و مخاطرات سایبری ملزم به پیشرفت فناوری ها، ابزارهای مورد استفاده و مهارت های افراد فعال در تیم‌های امنیتی است. با توجه به مطالعات انجام شده، بیشتر سازمان ها سرمایه گذاری کافی و اقدامات لازم برای استخدام کارشناسان امنیت سایبری را انجام نمی‌دهند.

یکی از روش های سرمایه گذاری جهت آماده سازی تیم‌ها و کمک به تحلیلگران برای انجام اقدامات امنیتی لازم استفاده از خودکارسازی (اتوماسیون) است. بررسی ها نشان می دهد که در این شرایط، تحلیلگران مرکز عملیات امنیت بیشتر زمان کاری شان را صرف مشارکت در انجام سایر وظایف مهم مرکز عملیات امنیت می کنند.

باید به این نکته توجه داشت که خودکارسازی از نادیده گرفتن تهدیدات و انجام کارهای تکراری توسط تحلیلگران جلوگیری کرده و امکان کسب مهارت های جدید و پیشرفته را برای اعضای تیم های امنیتی فراهم می کند.

ایجاد روابط مفید بین تیم‌ها

اولین و مهمترین نتیجه از اتصال داده‌ها و افراد در یک مرکز عملیات امنیتی، کمک به تحلیلگران برای انجام وظایف روزمره و ساده تر کردن کارها است. همچنین با توجه به این که کارشناسان امنیتی به علت ارتباط و همکاری با هم نظارت بهتری بر مخاطرات تهدیدکننده دارند، از حملات سایبری جلوگیری نموده و در پی آن سرمایه سازمان ها نیز حفظ خواهد شد.

پردازش‌ها و نرم‌افزارهای مدرن قادر به ارزیابی و بهبود اقدامات مرکز عملیات امنیت با دقت بالا هستند. سازمان‌ها می‌توانند برای پیاده‌سازی یک رویکرد امنیتی مدرن بر مبنای اصول Zero Trust Network، از فناوری هایی استفاده کنند که داده‌ها، تیم‌ها و ابزارهای امنیتی را با هم متحد و یکپارچه سازند.

منبع: securityintelligence