پیشرفته کردن مرکز عملیات امنیت SOC

عوامل مختلف زیادی از جمله رشد و توسعه زیرساختهای فناوری اطلاعات همچون استفاده از سرویس های ابری، سرویسهای بدون سرور و نقاط انتهایی خارج از شبکه باعث ایجاد فشار بیشتر بر روی مراکز عملیات امنیت (SOC) و همچنین ابزارها و روشهای فعلی مورد استفاده در این مراکز شده اند. از سوی دیگر به علت پراکندگی نیروی کار و افزایش میزان استفاده از زیرساختها و خدمات مبتنی بر ابر، سطح حملات نیز افزایش یافته است. علاوه بر اینها سازمانها هم باید محیطهای سنتی فناوری اطلاعات مثل فناوری عملیات (OT)، اینترنت اشیا (IoT) و اینترنت اشیای پزشکی (IoMT) را امن سازی کنند.
در حال حاضر مراکز عملیات امنیت با حجم زیادی از داده ها، جریانهای کاری متعدد و گسسته روبرو هستند. بنابراین به سختی می توانند همگام با تهدیدهای سایبری پیشرفت کنند. همچنین کمبود نیروی کار موجب سخت تر شدن این شرایط شده است.
نقطه شروع تغییر
اگر مدرنیزه کردن مرکز عملیات امنیت، شناسایی مشکلات مهم و واکنش به آنها در اسرع وقت انجام شود، در این صورت شاهد بهبود و پیشرفت ابزارها، فرایندها و کاهش مخاطرات خواهیم بود. افراد و کارشناسان امنیتی نیز نقش بسیار مهمی را در مرکز عملیات امنیت ایفا می کنند.
بر اساس تحقیق های انجام شده در سال ۲۰۲۰، هر چقدر سیستم امنیتی پیچیده تر باشد میانگین هزینه نفوذهای امنیتی نیز بیشتر خواهد بود. این کار موجب کاهش پیچیدگی فعالیت تحلیلگران در تشخیص تهدیدات سایبری می شود. زیرا در این صورت آنها بر روی تهدیدهای مهمتر تمرکز کرده و از طریق جریانهای کاری یکپارچه با یکدیگر همکاری خواهند کرد.
سه حوزه ای که در تمام دوره ها از عصر تغییر و تحول دیجیتال همواره باید به روز رسانی شوند، داده ها و نظارت کامل بر آنها، برخورداری از مهارت های سطح بالا و قابلیت ارزیابی هستند.
گسترش محدوده نظارت دادهها
یکی از مشکلات و پیچیدگی هایی که همواره برای حجم زیادی از داده ها وجود دارد، عدم نظارت کافی بر روی آنها است. همچنین با افزایش حجم دادهها، ادغام کنترلهای امنیتی و دادههای آماری در بستر ابر، افزایش سرویسهای اجاره نرمافزار، سیستم مدیریت اینترنت اشیا و … این پیچیدگی بیش از پیش افزایش یافته است.
صدور حجم بسیار زیادی از هشدارهای امنیتی از منابع داده ای مختلف و نیز جمع آوری، تفسیر و تحلیل داده هایی که از طریق سنجش از راه دور یا دورسنجی که یکی از روش های جمع آوری داده است، امری پیچیده و زمان بر بوده و مدیریت تهدیدات سایبری را دشوارتر می کند. همچنین با توجه به افزایش دورکاری کارکنان، میزان حملات سایبری هم افزایش یافته و تیم های امنیتی به دلیل عدم توانایی در نظارت کامل بر داده ها قادر به کنترل و مقابله با این حملات نیستند.
بنابراین این شرایط منجر به ایجاد چالشهایی برای پیادهسازی راهبردهای امنیتی بر پایه اصول مدل امنیتی مدیریت و کنترل شبکه Zero Trust Network که در سازمان های فناوری محور مورد استفاده قرار می گیرد، شده است. در این مدل امنیتی به صورت پیش فرض به هیچ ماشین، سرویس و یا شخصی اعتماد نمی شود و در تمام مراحل و از هر جایی (داخل شبکه سازمانی، DMZ و بیرون شبکه سازمانی) کاربران و دستگاه ها باید احراز و تأیید هویت شده و دسترسی آنها به صورت «حداقل سطح دسترسی» به منابع مورد نیاز تعریف شود.
به کارگیری راهبرد مبتنی بر اصل Zero Trust Network برای مدرنیزه کردن مرکز عملیات امنیت یک امر ضروری است. در واقع بدون داشتن نظارت کامل، آگاهی از شرایط امنیتی بخشهای مختلف سیستم و اطمینان از این که همه کاربران، دستگاهها یا برنامههای کاربردی در زمان و مکان مناسب فقط به داده های مورد نیازشان دسترسی دارند، غیرممکن است.
فرض کنید تحلیلگران و اپراتورهای مرکز عملیات امنیت قادر به بررسی انواع جدید دادههای امنیتی یا استفاده از کنترلهای امنیتی جدید برای تیم های امنیتی هستند. به کارگیری روش Zero Trust Network برای مدیریت تهدیدات سایبری موجب یکپارچگی در منابع دادهای گسسته می شود. همچنین هوش مصنوعی به ترکیب خودکار هشدارهای ارسالی از سیستمهای مختلف و تبدیل آنها به توصیههای مفید و پشتیبانی از اقدام اجرایی کمک می کند.
در نهایت این که یک نرمافزار مدیریت تهدیدات سایبری که امکان تست نفوذ، مدیریت آسیب پذیری و سرویسهای اینترنت اشیا یا فناوری عملیات را عرضه کند، به مرکز عملیات امنیتی نیز کمک خواهد کرد تا نظارت کامل بر خلاءهای امنیتی و دستگاههای مختلف موجود در شبکه داشته باشد. با اتصال و ارتباط هر چه بیشتر برنامههای امنیتی و مدیریت تهدیدات سایبری، پیادهسازی راهبرد Zero Trust Network راحت تر خواهد بود.
یکپارچگی تیم های امنیتی با استفاده از دستورالعملها و چارچوبهای ارزیابی
با ورود دادهها از منابع مختلف به مرکز عملیات امنیت این احتمال وجود دارد که تیمهای امنیتی احساس کنند ارتباط لازم را با همکاران شان ندارند و قادر به استفاده از ابزارهای متعدد مورد نیاز برای انجام کارها و اجرای اقدامات امنیتی نیستند. از این رو آنها به منظور قرار دادن اطلاعات کافی در اختیار همه اعضای تیم، اقدام به انجام کارهای دستی و تکراری می کنند. در نتیجه کار کردن با حجم زیادی از داده ها و عدم توانایی در برقراری ارتباط با سایر همکاران، موجب خستگی تحلیلگران امنیتی خواهد شد.
یکی از راههای برقراری ارتباط بین اعضای مختلف از تیم های متفاوت مرکز عملیات امنیت، استفاده از یک چارچوب ارزیابی مشترک است. ارزیابیهای انجام شده میتوانند به تشخیص عملکرد بهینه برای مرکز عملیات امنیت کمک کنند. یکی از کارشناسان امنیتی گفته است که: «تحلیلگران امنیتی باید پوشش لازم و زمان کافی برای تحقیق و بررسی کامل را داشته باشند». ارزیابی زمان بیکاری، زمان اجرای کار، چرخه حیات حادثه و … به تشخیص کارهای قابل انجام برای بهبود فرایندها و دستیابی به عملکرد بهینه کمک می کند.
همچنین ادغام و یکپارچه سازی ابزارهای «واکنش و خودکارسازی هماهنگی عملیات» (SOAR) به تعیین اقدامات امنیتی لازم کمک خواهد کرد. علاوه بر این اعضای تیم های امنیتی می توانند با استفاده از دستورالعملهای پویا، اثربخشی کنترلهای امنیتی را ارزیابی کرده و تشخیص دهند که وقت شان را برای انجام چه کارهایی صرف کنند. یک نرمافزار مدیریت یکپارچه تهدید، قابلیتهای سیستم SOAR را افزایش داده و متعاقباً هزینه های آسیب پذیری را به صورت قابل توجهی کاهش خواهد داد.
پشتیبانی از ارتقای مهارت های کارمندان
تحول سریع تهدیدها و مخاطرات سایبری ملزم به پیشرفت فناوری ها، ابزارهای مورد استفاده و مهارت های افراد فعال در تیمهای امنیتی است. با توجه به مطالعات انجام شده، بیشتر سازمان ها سرمایه گذاری کافی و اقدامات لازم برای استخدام کارشناسان امنیت سایبری را انجام نمیدهند.
یکی از روش های سرمایه گذاری جهت آماده سازی تیمها و کمک به تحلیلگران برای انجام اقدامات امنیتی لازم استفاده از خودکارسازی (اتوماسیون) است. بررسی ها نشان می دهد که در این شرایط، تحلیلگران مرکز عملیات امنیت بیشتر زمان کاری شان را صرف مشارکت در انجام سایر وظایف مهم مرکز عملیات امنیت می کنند.
باید به این نکته توجه داشت که خودکارسازی از نادیده گرفتن تهدیدات و انجام کارهای تکراری توسط تحلیلگران جلوگیری کرده و امکان کسب مهارت های جدید و پیشرفته را برای اعضای تیم های امنیتی فراهم می کند.
ایجاد روابط مفید بین تیمها
اولین و مهمترین نتیجه از اتصال دادهها و افراد در یک مرکز عملیات امنیتی، کمک به تحلیلگران برای انجام وظایف روزمره و ساده تر کردن کارها است. همچنین با توجه به این که کارشناسان امنیتی به علت ارتباط و همکاری با هم نظارت بهتری بر مخاطرات تهدیدکننده دارند، از حملات سایبری جلوگیری نموده و در پی آن سرمایه سازمان ها نیز حفظ خواهد شد.
پردازشها و نرمافزارهای مدرن قادر به ارزیابی و بهبود اقدامات مرکز عملیات امنیت با دقت بالا هستند. سازمانها میتوانند برای پیادهسازی یک رویکرد امنیتی مدرن بر مبنای اصول Zero Trust Network، از فناوری هایی استفاده کنند که دادهها، تیمها و ابزارهای امنیتی را با هم متحد و یکپارچه سازند.
منبع: securityintelligence
مطالب زیر را حتما بخوانید:

نفوذ به شبکه از طریق VPN
آژانس امنیت زیرساخت و امنیت سایبری آمریکا (CISA) پس از نفوذ یک مهاجم سایبری به یکی از نهادهای فدرال آمریکا اطلاعیه ای صادر کرد. CISA در بیانیهای که منتشر کرد، اعلام کرده است که: «یک مهاجم سایبری با استفاده از...

آشنایی با گروه های CERT یا CSIRT در ایران
CERT یا CSIRT واحد خدماتی است که مسئول دریافت، مرور و پاسخگویی به گزارشات ارسالی و فعالیتهای مربوط به مشکلات و رخدادهای کامپیوتری است. سرویس های این واحد معمولا برای محدوده مشخصی تعریف می شود که می تواند یک شرکت،...

تست نفوذ پذیری یا پن تست چیست
آزمون نفوذپذیری یا آزمون نفوذ ، پن تست (به انگلیسی: Penetration test) فرآیند ارزیابی معیارهای امنیتی است . معیار های امنیتی از لحاظ ضعف طراحی ، مشکلات فنی و آسیب پذیری ها بررسی گردیده و نتایج آن در قالب گزارشی کامل ،...

سرعت رشد بالای مهارت های امنیت سایبری
بر اساس آمار جدید مؤسسه Burning Glass Technologies، پس از بررسی مهارت های شناخته شده در حوزه امنیت سایبری، ده مهارت امنیت سایبری بالاترین سرعت رشد را دارند. این موضوع بیانگر این است که کارفرمایان تمایل دارند به کارمندانی که قادرند...

با برنامه باگ بانتی یا Bug Bounty آشنا شوید
باگ بانتی ( Bug Bounty ) کسب ثروت با شرکت در مسابقات باگ بانتی اگر این سوال برای شما هم پیش آمده که چگونه می توانید از علمی که در حوزه تست نفوذ و امنیت دارید کسب درآمد کنید و...

چگونه یک باگ یا آسیب پذیری در باگ بانتی گزارش کنیم ؟
گزارش یک باگ نیازمند رعایت نکاتی است که، تخطی از آن میتواند درک باگ را از روی گزارش دچار ابهام کند. گزارشی که تمام این نکات را در خود بگنجاند، یک گزارش مناسب است. البته بسیاری از ابزارهای Defect And...

scope statement چیست
بخشی از عملیات طرح ریزی پروژه است که شامل تعیین و مستند سازی لیستی از اهداف خاص و ثابت پروژه ، deliverables (موارد قابل تحویل از جمله اخبار ، اسناد و …) ، وظایف ، هزینه ها و ضرب العجل...

اصطلاحات باگ باونتی
اصطلاح تعریف Bug bounty پاداش داده شده برای گزارش آسیب پذیری امنیتی. Bug bounty program شرکت ها یا افرادی که محققان امنیتی را به دلیل گزارش آسیب پذیری های امنیتی در محصولات خود پاداش می دهند. مختصرا "BBP" می گویند....

تشکیل فرماندهی متمرکز امنیت سایبری
امنیت سایبری صرفاً موضوعی فناورانه و فرایندی نیست، هماکنون و با غلظت بسیار بالا در آینده، سایبر با حیات و امنیت ملی گرهخورده است. لذا حفاظت و حراست سایبری بهمثابه حفظ امنیت ملی و تمامیت ارضی سایبری کشور است. ...

گسترش حملات به گواهی های دیجیتال
تکنیک به کارگیری گواهینامههای دیجیتال و کلیدهای رمزنگاری (مثل SSL/TLS و SSH) به منظور احراز هویت و امن سازی رایانه ها و تجهیزاتی که با هم ارتباط برقرار میکنند، «هویت ماشینی» نامیده می شود. با وجود این که اینترنت اشیاء...

چگونه از دوربینهای مدار بسته نگهداری کنیم
دوربینهای نظارتی و امنیتی یکی از داراییهای هر سازمان بوده و به مثابه چشم و گوش آن هستند. به همین جهت توجه به آنها و ایجاد بهترین شرایط به منظور نگهداری از این دارایی ها از جمله مهمترین وظایف مدیران...

چگونه مبلغ پاداش را تعیین کنم؟
یکی از چالش برانگیزترین مراحل هنگام اجرای برنامهbug bounty ، اغلب تعیین میزان پاداش است. دلیل این امر این است که عوامل بسیاری در این فرآیند دخیل هستند. هدف اصلی بانتی ، پاداش است حداقل باید مبلغی براساس شدت کلی...
قوانین ارسال دیدگاه در سایت
- چنانچه دیدگاهی توهین آمیز باشد و متوجه اشخاص مدیر، نویسندگان و سایر کاربران باشد تایید نخواهد شد.
- چنانچه دیدگاه شما جنبه ی تبلیغاتی داشته باشد تایید نخواهد شد.
- چنانچه از لینک سایر وبسایت ها و یا وبسایت خود در دیدگاه استفاده کرده باشید تایید نخواهد شد.
- چنانچه در دیدگاه خود از شماره تماس، ایمیل و آیدی تلگرام استفاده کرده باشید تایید نخواهد شد.
- چنانچه دیدگاهی بی ارتباط با موضوع آموزش مطرح شود تایید نخواهد شد.
Warning: _() expects exactly 1 parameter, 2 given in /home/ddbjkbmb/public_html/wp-content/themes/Sigma/comments.php on line 12
Warning: _() expects exactly 1 parameter, 2 given in /home/ddbjkbmb/public_html/wp-content/themes/Sigma/comments.php on line 12