ماهو دور قسم SOC
مركز عمليات الأمن (SOC) - يُطلق عليه أحيانًا اسم مركز عمليات أمن المعلومات ، أو ISOC - هو فريق داخلي أو خارجي من محترفي أمن تكنولوجيا المعلومات الذين يراقبون البنية التحتية لتكنولوجيا المعلومات بالكامل للمؤسسة ، على مدار الساعة طوال أيام الأسبوع ، لاكتشاف أحداث الأمن السيبراني في الوقت الفعلي ومعالجتها بأسرع ما...
ما هو مركز عمليات الأمن (SOC)
مركز عمليات الأمن (SOC) - يُطلق عليه أحيانًا اسم مركز عمليات أمن المعلومات ، أو ISOC - هو فريق داخلي أو خارجي من محترفي أمن تكنولوجيا المعلومات الذين يراقبون البنية التحتية لتكنولوجيا المعلومات بالكامل للمؤسسة ، على مدار الساعة طوال أيام الأسبوع ، لاكتشاف أحداث الأمن السيبراني في الوقت الفعلي ومعالجتها بأسرع ما يمكن وفعالية.
تختار SOC أيضًا تقنيات الأمن السيبراني للمؤسسة وتشغلها وتحافظ عليها ، وتحلل بيانات التهديد باستمرار لإيجاد طرق لتحسين الوضع الأمني للمؤسسة.
تتمثل الفائدة الرئيسية لتشغيل أو الاستعانة بمصادر خارجية في مركز عمليات الأمن في أنه يوحد وينسق أدوات وممارسات أمان المؤسسة والاستجابة للحوادث الأمنية. يؤدي هذا عادةً إلى تحسين الإجراءات الوقائية وسياسات الأمان واكتشاف التهديدات بشكل أسرع واستجابة أسرع وأكثر فعالية وأكثر فعالية من حيث التكلفة للتهديدات الأمنية. يمكن لـ SOC أيضًا تحسين ثقة العملاء ، وتبسيط وتقوية امتثال المؤسسة لقواعد الصناعة ولوائح الخصوصية الوطنية والعالمية.
ماذا يفعل مركز عمليات الأمن (SOC)
تنقسم أنشطة ومسؤوليات شركة نفط الجنوب إلى ثلاث فئات عامة.
التحضير والتخطيط والوقاية
جرد الأصول. تحتاج SOC إلى الاحتفاظ بجرد شامل لكل ما يحتاج إلى الحماية ، داخل مركز البيانات أو خارجه (مثل التطبيقات وقواعد البيانات والخوادم والخدمات السحابية ونقاط النهاية وما إلى ذلك) وجميع الأدوات المستخدمة لحمايتها (جدران الحماية ومكافحة الفيروسات / أدوات مكافحة البرامج الضارة / مكافحة برامج الفدية ، وبرامج المراقبة ، وما إلى ذلك). سيستخدم العديد من مراكز العمليات الخاصة حل اكتشاف الأصول لهذه المهمة.
الصيانة والتحضير الروتيني. لتعظيم فعالية أدوات وتدابير الأمان المعمول بها ، تجري SOC صيانة وقائية مثل تطبيق تصحيحات البرامج وترقياتها ، وتحديث جدران الحماية والقوائم البيضاء والقوائم السوداء وسياسات وإجراءات الأمان باستمرار. قد تنشئ SOC أيضًا نسخًا احتياطية للنظام - أو تساعد في إنشاء سياسة أو إجراءات احتياطية - لضمان استمرارية العمل في حالة خرق البيانات أو هجوم الفدية أو أي حادث أمن إلكتروني آخر.
تخطيط الاستجابة للحوادث. مركز العمليات الأمنية (SOC) مسؤول عن تطوير خطة الاستجابة للحوادث في المنظمة ، والتي تحدد الأنشطة والأدوار والمسؤوليات في حالة وجود تهديد أو حادث - والمقاييس التي سيتم من خلالها قياس نجاح أي استجابة للحوادث.
اختبار منتظم. يقوم فريق SOC بإجراء تقييمات للثغرات الأمنية - تقييمات شاملة تحدد مدى تعرض كل مورد للتهديدات المحتملة والتكاليف المرتبطة به. كما تجري اختبارات اختراق تحاكي هجمات محددة على نظام آخر. يقوم الفريق بمعالجة أو ضبط التطبيقات والسياسات الأمنية وأفضل الممارسات وخطط الاستجابة للحوادث بناءً على نتائج هذه الاختبارات.
مواكبة التطورات. تظل SOC على اطلاع دائم بأحدث الحلول والتقنيات الأمنية ، وعلى أحدث المعلومات المتعلقة بالتهديدات - الأخبار والمعلومات حول الهجمات الإلكترونية والمتسللين الذين يرتكبونها ، والتي تم جمعها من وسائل التواصل الاجتماعي ، ومصادر الصناعة ، وشبكة الإنترنت المظلمة.
المراقبة والكشف والاستجابة
مراقبة أمنية مستمرة على مدار الساعة. تراقب SOC البنية التحتية لتكنولوجيا المعلومات الموسعة بالكامل - التطبيقات والخوادم وبرامج النظام وأجهزة الحوسبة وأعباء العمل السحابية والشبكة - 24/7/365 بحثًا عن علامات الاستغلال المعروفة وأي نشاط مشبوه.
بالنسبة للعديد من مراكز العمليات الخاصة ، كانت تقنية المراقبة والكشف والاستجابة الأساسية هي المعلومات الأمنية وإدارة الأحداث ، أو SIEM. تراقب SIEM وتجمع التنبيهات والقياس عن بُعد من البرامج والأجهزة الموجودة على الشبكة في الوقت الفعلي ، ثم تحلل البيانات لتحديد التهديدات المحتملة. في الآونة الأخيرة ، اعتمدت بعض مراكز العمليات الخاصة أيضًا تقنية الكشف والاستجابة الموسعة (XDR) ، والتي توفر مزيدًا من القياس والمراقبة التفصيليين ، والقدرة على أتمتة اكتشاف الحوادث والاستجابة لها.
إدارة السجل. تعد إدارة السجل - جمع وتحليل بيانات السجل التي تم إنشاؤها بواسطة كل حدث شبكة - مجموعة فرعية من المراقبة وهي مهمة بما يكفي للحصول على فقرتها الخاصة. بينما تقوم معظم أقسام تكنولوجيا المعلومات بجمع بيانات السجل ، فإن التحليل هو الذي ينشئ نشاطًا عاديًا أو أساسيًا ، ويكشف عن الحالات الشاذة التي تشير إلى نشاط مشبوه. في الواقع ، يعتمد العديد من المتسللين على حقيقة أن الشركات لا تقوم دائمًا بتحليل بيانات السجل ، مما قد يسمح للفيروسات والبرامج الضارة الخاصة بها بالعمل دون أن يتم اكتشافها لأسابيع أو حتى أشهر على أنظمة الضحية. تتضمن معظم حلول SIEM إمكانية إدارة السجل.
كشف التهديد. يقوم فريق SOC بفرز الإشارات من الضوضاء - مؤشرات التهديدات الإلكترونية الفعلية واستغلال المتسللين من الإيجابيات الكاذبة - ثم يقوم بتقييم التهديدات حسب الخطورة. تتضمن حلول SIEM الحديثة الذكاء الاصطناعي (AI) الذي يعمل على أتمتة هذه العمليات "يتعلم" من البيانات لتحسين اكتشاف النشاط المشبوه بمرور الوقت.
الاستجابة للحادث. استجابة لتهديد أو حادثة فعلية ، تتحرك شركة نفط الجنوب للحد من الضرر. يمكن أن تشمل الإجراءات:
• التحقيق في السبب الجذري ، لتحديد نقاط الضعف التقنية التي منحت المتسللين الوصول إلى النظام ، بالإضافة إلى عوامل أخرى (مثل نظافة كلمات المرور السيئة أو سوء تطبيق السياسات) التي ساهمت في وقوع الحادث
• إيقاف تشغيل نقاط النهاية المخترقة أو فصلها عن الشبكة
• عزل المناطق المعرضة للخطر في الشبكة أو إعادة توجيه حركة مرور الشبكة
• الإيقاف المؤقت أو إيقاف التطبيقات أو العمليات المخترقة
• حذف الملفات التالفة أو المصابة
• تشغيل برامج مكافحة الفيروسات أو البرامج الضارة
• إيقاف تشغيل كلمات المرور للمستخدمين الداخليين والخارجيين.
تمكّن العديد من حلول XDR مراكز العمليات الأمنية من أتمتة هذه الاستجابات وغيرها من الحوادث وتسريعها.
التعافي والصقل والامتثال
الانتعاش والعلاج. بمجرد احتواء حادثة ما ، تستأصل SOC التهديد ، ثم تعمل على الأصول المتأثرة لحالتها قبل وقوع الحادث (على سبيل المثال ، مسح واستعادة وإعادة توصيل الأقراص وأجهزة المستخدم النهائي ونقاط النهاية الأخرى ؛ استعادة حركة مرور الشبكة ؛ إعادة تشغيل التطبيقات والعمليات) . في حالة اختراق البيانات أو هجوم برنامج الفدية ، قد يتضمن الاسترداد أيضًا الاستغناء عن أنظمة النسخ الاحتياطي وإعادة تعيين كلمات المرور وبيانات اعتماد المصادقة.
التشريح والصقل. لمنع التكرار ، تستخدم SOC أي معلومات استخباراتية جديدة تم الحصول عليها من الحادث لمعالجة نقاط الضعف بشكل أفضل ، وتحديث العمليات والسياسات ، واختيار أدوات جديدة للأمن السيبراني أو مراجعة خطة الاستجابة للحوادث. على مستوى أعلى ، قد يحاول فريق SOC أيضًا تحديد ما إذا كان الحادث يكشف عن اتجاه جديد أو متغير للأمن السيبراني يحتاج الفريق إلى الاستعداد له.
إدارة الامتثال. إن مهمة SOC هي التأكد من أن جميع التطبيقات والأنظمة وأدوات الأمان والعمليات تتوافق مع لوائح خصوصية البيانات مثل GDPR (لائحة حماية البيانات العالمية) ، CCPA (قانون خصوصية المستهلك في كاليفورنيا) ، PCI DSS (معيار أمان بيانات صناعة بطاقات الدفع ، و HIPAA (قانون نقل التأمين الصحي والمساءلة): بعد وقوع حادث ، تتأكد SOC من إخطار المستخدمين والمنظمين وإنفاذ القانون والأطراف الأخرى وفقًا للوائح ، وأنه يتم الاحتفاظ ببيانات الحادث المطلوبة للأدلة والتدقيق.
أعضاء فريق مركز عمليات الأمن الرئيسي (SOC)
بشكل عام ، تشمل الأدوار الرئيسية في فريق SOC ما يلي:
• مدير SOC ، الذي يدير الفريق ، يشرف على جميع العمليات الأمنية ، ويقدم تقاريره إلى CISO (كبير مسؤولي أمن المعلومات) في المنظمة.
• مهندسو الأمن ، الذين يبنون ويديرون البنية الأمنية للمؤسسة. يتضمن الكثير من هذا العمل تقييم أدوات وتقنيات الأمان واختبارها والتوصية بها وتنفيذها وصيانتها. يعمل مهندسو الأمن أيضًا مع فرق التطوير أو DevOps / DevSecOps للتأكد من تضمين بنية أمان المؤسسة في دورات تطوير التطبيقات.
• محللو الأمن - يُطلق عليهم أيضًا المحققون الأمنيون أو المستجيبون للحوادث - وهم في الأساس أول المستجيبين لتهديدات أو حوادث الأمن السيبراني. يقوم المحللون باكتشاف التهديدات والتحقيق فيها وفرزها (تحديد أولوياتها) ؛ ثم يحددون المضيفين المتأثرين ونقاط النهاية والمستخدمين ، ويتخذون الإجراءات المناسبة للتخفيف واحتواء التأثير أو التهديد أو الحادث. (في بعض المنظمات ، يعتبر المحققون والمستجيبون للحوادث أدوارًا منفصلة مصنفة كمحللين من المستوى 1 والمستوى 2 ، على التوالي).
• صائدو التهديدات (يطلق عليهم أيضًا محللو الأمن الخبراء) متخصصون في اكتشاف واحتواء التهديدات المتقدمة - التهديدات الجديدة أو متغيرات التهديد التي تنجح في تجاوز الدفاعات الآلية.
قد يضم فريق SOC متخصصين آخرين ، اعتمادًا على حجم المنظمة أو الصناعة التي يمارس فيها أعماله. قد تتضمن الشركات الأكبر حجمًا مديرًا للاستجابة للحوادث ، يكون مسؤولاً عن التواصل وتنسيق الاستجابة للحوادث. وتشمل بعض مراكز العمليات الأمنية محققين جنائيين متخصصين في استرجاع البيانات - القرائن - من الأجهزة التي تضررت أو تعرضت للخطر في حادث الأمن السيبراني.