آشنایی با SOC و تاریخچه آن

1398/08/01
ارسال شده توسط
مقالات امنیت
2.29k بازدید
آشنایی با SOC

مرور تاریخچه نسل های مختلف مرکز عملیات امنیت

پیشتر با پیاده سازی صحیح مراکز عملیات امنیت و مراکز پاسخدهی به حوادث امکان مقابله با تهدیدات وجود داشت. روش های به کار رفته در سازمان ها برای شناسایی تهدیدات و پاسخدهی بلادرنگ به تهدیدات تنها مبتنی بر روش های سنتی و قدیمی بود که عموما براساس شناسه های حملات سایبری شناخته شده بوده اند.

در حال حاضر با پشت سر گذاشتن پنجمین نسل مراکز عملیات امنیت به سوی نسل جدیدی از مراکز عملیات امنیت حرکت شده است.

نسل کنونی که موثرترین روش برای شناسایی و مقابله با تهدیدات می باشد، علاوه بر روش های سنتی تشخیص نفوذ و شناسایی تهدیدات که تنها مبتنی بر نشانه های شناخته شده از تهدیدات عمل می‌کرده است، با بهره برداری از قابلیت هایی نظیر داده کاوی در بزرگ داده، یادگیری ماشین، هوش مصنوعی، پیشبینی ترند تهدیدات وبه اشتراک گذاری اطلاعات تهدیدات به غنی سازی داده های حاصله از روش های سنتی پرداخته و به مقابله موثر با تهدیدات سایبری منجر می شود.

خلاصه ی اجرایی پیرامون مرکز عملیات امنیت

در ابتدا لازم به ذکر است که هدف مرکز عملیات امنیت، پایش و محافظت از دارایی های با ارزش سازمان، در راستای حفظ سلامت و استمرار کسب وکار، با استفاده از فرایند ها و رویه‌های منظم استاندارد و تکرار پذیر می‌باشد. اولین مرکز عملیات امنیت رسمی، در بخش نظامی و حکومتی در کشور امریکا شکل گرفت؛ این زمانی بود که اولین شبکه ی مبتنی بر مدل TCP/IP راه اندازی شده بود و البته مفاهیمی نظیر مدیریت ریسک و عملیات امنیت به خوبی مشخص شده بودند.

نفوذگران به طوری گسترده تنها با استفاده از روش های مهندسی اجتماعی و طیف متنوعی از روش های بهره برداری از آسیب پذیری های تحت فناوری‌ها، و یا نقاط ضعف در ساختار شبکه یا پیکربندی ها، اقدام به کسب دسترسی کرده، و قصد در پیشی گرفتن از راهکارهای دفاع سایبری داشته‌اند.
تیم‌های عملیات امنیت، همواره با اختیار کردن کنترل های امنیتی در سطوح مناسب به تقابل با این مهاجمان برخاسته اند. این شرایط باعث شد یک دورنمای خیلی پویا از تهدیدات و تقابل دفاع سایبری ترسیم گردد.

پیشنهاد ما: آموزش CCNA

تمرکز تیم عملیات امنیت

تمرکز تیم عملیات امنیت بر سامان دهی این چشم انداز از تهدیدات فناوری اطلاعات، با استفاده ازشرکت های توسعه یافته فناوری اطلاعات،بررسی میزان خطرات، یا واحد های انطباق با استاندارد و در شکل‌های گوناگون می‌باشد. تیم های عملیات امنیت در دنیایی بین تمامی واحدهای کسب‌و‌کار سازمان و خط مقدم دفاع سایبری قرار دارند.

یکی از چالش‌های متداول و همیشگی عملیات امنیت در سازمان ها، شناسایی تهدیدات جاری و تهدیدات در حال ظهور، همچنین پیش بینی روش‌های حمله و نفوذ در آینده بهمراه ارائه راهکاری مناسب جهت پیش گیری از وقوع حملات سایبری و مقابله با تهدیدات میباشد. برای این مهم جهت کسب اطلاعات بیشتر می‌توان به مدل شناخته شده ی (زنجیره مرگ) Kill Chain، اشاره کرد.

این مدل که مدلی مفهومی برای توصیف یک نفوذ می باشد و تحت عنوان “زنجیره نابودکننده سایبری” یا “زنجیره مرگ” شناخته می شود و برگرفته از حملات نظامی می باشد؛ شامل پنج مرحله می باشد که یک فرد نفوذگر در طول یک حمله انجام میدهد. که در بخش مربوطه به شرح آن پرداخته می شود.

مدل های به روزتر Kill Chain

البته امروزه مدل های به روز تری از همین مدل ایجاد شده اند که به صورت جداگانه در فصلی دیگر به آنها پرداخته خواهد شد. مطابق با همین مدل، مشاهده می کنیم که فرد مهاجم اهداف خود را مورد بررسی و تحقیق قرار می دهد، با نفوذ و دور زدن وضعیت امنیتی و راهکارهای دفاع سایبری موجود سازمان اقدام به گردش در سازمان کرده و سعی در شناسایی کلیه ی دارایی های در دسترس و یافتن اطلاعات ویا دارایی های با ارزش می کند.

سپس از آنجا اقدام به در اختیار گرفتن سیستم کلیدی و اهداف خود کرده و شروع به نفوذ میکنند.

تاثیر درک تهدیدات در SOC

با درک کردن این گونه تهدیدات، می توانیم عملیات امنیت خود را گونه ای سازمان دهی نماییم تا تمامی این مراحل را تحت پوشش قرار دهد. شناسایی و قطع کردن هریک از فعالیت های هر مرحله از مدل فرایند زنجیره نابود کننده سایبری (Kill chain) بسیار حیاتی می باشد. در صورتی که یک حمله در مراحل اولیه این زنجیره ی تخریب شناسایی نشود، تاثیر حمله بیشتر شده و در مرحله ی بعد شناسایی آن بسیار حیاتی خواهد شد.

 نام گذاری و انتخاب نام مرکز عملیات امنیت

فرایند نام گذاری و انتخاب نام مرکز عملیات امنیت نیز از ابتدای شکل گیری این مفهوم، روندی تکاملی طی کرده است.سازمان ها با ترکیب های نام گوناگونی بازی کرده اند تا بتوانند قابلیت های پیشرفته و اهداف و توانایی های آن را به تصویر کشیده ویا از مشکلات سیاست گذاری مرتبط با کلمه ی “عملیاتی” اجتناب کنند.
” مراکز دفاع سایبری ” بیانگر ذات محافظت کننده از سازمان می باشد، ” مراکز هوشمند ” بیانگر توانایی ها و قابلیت های پیشرفته، با حجم بالای پردازش و تحلیل می باشد. با افزودن کلمه ی ” سایبر” مشخص می شود، به جای تیم امنیت فیزیکی، مقصودتمرکز یا توجه بر جنبه ی الکترونیکی و سایبری می باشد. ورود کلمه ی “تهدید” در نام گذاری نیز برای بازتاب دادن مواجهه با ویژگی های مبتنی بر خطرات و تهدیدات پیش روی تیم پایش می باشد.

در طول زمان سازمان ها به صورت خلاقانه نام های متعددی جهت بیان فعالیت های پایش امنیت ارائه داده اند.

تمامی این عناوین و واژگان، استفاده شده تا بیانگر تعریف مجموعه ای از افراد، فرایند ها پردازش ها، روال ها و فناوری هایی در ارتباط با آگاهی رسانی بر اساس موقعیت از طریق شناسایی، مهار (containment) و بازیابی (remediation) ، از تهدیدات فناوری اطلاعات باشد.
به لحاظ قابلیت های ارائه شده توسط مرکز عملیات ها در طول زمان آن ها را می توان به 6 نسل، گروه بندی کرد. نسل اول مرکز عملیات امنیت در حدود سال 1975 شکل گرفت. نخستین مراکز عملیات امنیت از فناوری های نوظهور استفاده می کردند که اغلب تک کاربره و بدون کاربر بودند.

نسل اول مرکز عملیات امنیت: 1975 الی 1995

دوران برنامه های مزاحم و کد های مخرب با حداقل تاثیر. نسل اول مرکز عملیات امنیت با تولد شبکه جهانی اینترنت، پدید آمد. بیشتر شرکت ها در این دوره هیچ معیار سنجشی از وضعیت تدافعی شبکه های خود نداشتند. مدت زیادی از پذیرش اینترنت نگذشته بود که اقداماتی نظیر سوء استفاده و بهره برداری های غیر قانونی، ظهور کردند. شناسایی‌های اولیه سو استفاده های صورت گرفته، تنها نتیجه‌ی تفکر خلاق و حل مسئله در لحظه بوده، که هرگز سازمان یافته و تکرار پذیر نبوده است.

در اواسط دهه‌ی 80 تهدیدات سایبری شکلی عمومی تر به خود گرفته و مورد توجه دولت ایالات متحده و عموم مردم قرار گرفتند. اولین ابزار های امنیتی در قالب نرم افزارهای ضد بدافزار و فایروال ها ظهور کردند و به دنبال آن‌ها پروکسی‌ها و سیستم‌های تشخیص نفوذ در شبکه پدید آمدند.

اولین مراکز عملیات امنیت

اولین مراکز عملیات امنیت برای کنترل، پایش و مدیریت این ابزارها و پاسخ دهی به تهدیدات شکل گرفتند. در آن زمان عملیات امنیت معمولا توسط یک نفر ارائه می شد، معمولا با یک پیش زمینه در دانش شبکه و قادر به مدیریت تجهزات امنیتی سازمان بود. بعد‌ها، نسل جدید از مراکز عملیات امنیت عملیاتی، در نیمه‌ی دوم این دهه در سازمان‌های دولتی و نظامی شروع به ظهور کردند. تحلیل های انجام شده در مرکز عملیات امنیت تا حد زیادی بدون ساختار بوده، پهنای باند کم و کارکنان این فرصت را داشتند تا کلاه سفید یا کلاه سیاه باشند.

سیستم های تشخیص نفوذ، نقش بزرگی را در این نسل از مراکز عملیات امنیت ایفا کردند. سازمان ها شروع به شکل دادن به برخی از فرایندها، رویه‌ها و روال های خود، حول محور پاسخ دهی و واکنش به نفوذ و ردیابی آسیب پذیری ها کردند. این نسل مرکز عملیات امنیت، به عنوان اولین نسل از مراکز عملیات امنیت گسترش یافت.

نسل دوم مرکز عملیات امنیت: 1996 الی 2001

دوره ی شیوع بدافزارها و شناسایی نفوذ. نسل دوم مراکز عملیات امنیت را می توان به عنوان دوره ی شیوع بدافزارها دسته بندی کرد، که شامل تاثیرات و عواقب ناشی از ویروس ها و کرم ها که باعث ایجاد اختلال، اغتشاش و ویرانی شرکت های بزرگ می شود قلمداد کرد. این دوره ای بود که در آن کلکسیونی از روش های ردیابی آسیب پذیری و سیستم های مدیریت وصله، شکل گرفتند.

در این دوره، مراکز عملیات امنیت در سازمان های دولتی و نظامی یافت می شدند و در حال پیشرفت و پیاده سازی در بزرگترین سازمان های تجاری بودند. شرکت ها شروع به تجاری سازی سرویس های پایش های امنیتی و سرویس های مدیریتی کرده بودند و اقدام به پیشنهاد این سرویس ها به مشتریان خود نمودند.

این اولین نمونه از یک مدل مرکز MSSP بود. این دوره انفجار بزرگی از فناوری های نوین با انواع فایروال ها، ضد بدافزارها، پروکسی ها، پویشگرهای آسیب پذیری و سیستم های تشخیص نفوذ بود. تمرکز عمده در طول این دوره بر سیستم های تشخیص نفوذ بود.

برخی از سازمان های دولتی و نظامی از توسعه دادن ابزارهای متن باز برای تشخیص و تحلیل نظیر Snort و tcpdump استفاده می کردند، در این دوره بخش های خصوصی اقدام به خرید نسخه های تجاری سیستم های تشخیص نفوذ کردند. دولت ایالات متحده اقدام به پیاده سازی برنامه های دفاعی، در برابر حملات و بهره برداری های سو در این دوره نمود که هنوز بسیاری از این عملیات ها بر عموم پوشیده می باشد.

تحلیل رخدادهای امنیتی در نسل دوم مرکز عملیات امنیت

تحلیل رخداد های امنیتی به طور گسترده ای با استفاده از اسکریپت ها، کنسول های تشخیص نفوذ و سایر ابزارهای توسعه یافته درون سازمانی صورت می گرفتند. مفهوم مدیریت پایش رخداد های امنیت اطلاعات در اواخر این دوره به عنوان یک فناوری جهت یکپارچه سازی و مرتبط ساختن رخدادهای امنیتی مجزا از یکدیگر در یک سیستم مجزا معرفی شد. به هر حال تحلیل گران تا شروع نسل بعد، در این دوره تنها درعملیات روزانه خود به تحلیل با استفاده از این ابزار تکیه نداشتند.

در اواسط سال های دهه ی 2000، تهدیدات امنیتی با سمت و سویی سازمان یافته با اهداف مالی شکل گرفتند؛ و باعث ایجاد بازار های زیر زمینی و غیر قانونی یا بازار سیاه، در این حوزه شدند.

تعداد حملات با شدت منظم رو به افزایش بود و سازمان های کوچکتر تاثیر تهدیدات جدید را احساس می کردند. نسل جدید مراکز عملیات امنیت برای پاسخگویی و سامان دهی این حملات پدید آمدند. در مقابل نسل قبلی که تنها قادر به شناسایی حملات بودند، فناوری های جدید در این دوره متمرکز بر پیشگیری از حملات بوده اند.

نسل سوم مرکز عملیات امنیت: سال های 2002 الی 2006

دوره ی بات نت ها، جرایم سایبری، پیش گیری از نفوذ و انطباق با اصول واستانداردها. نسل سوم بیشتر به خاطر شیوع، گسترش و ساماندهی حملات سایبری ساختار یافته که توسط اتحادیه‌هایی که از ابزارهایی نظیر بات‌ها، جهت سرقت هویت و اطلاعات مالی، برای بدست آوردن منفعت های مالی استفاده می کردند، مورد توجه قرار دارد. نسل سوم در سال 2003 تحت تاثیر شدید بدافزارهایی نظیر SQL Slammer و Blaster قرار گرفت،که باعث اختلال گسترده ای در سطح اینترنت شدند و ضربه ای شدید به این نسل وارد کرد.

در همان سال مرکز CERT ایالات متحده آمریکا شکل گرفت. با ادامه یافتن این نسل، بدافزار ها از کرم های اختلال گر تبدیل به حملات پیشرفته و هدف دار شدند. دولت، ارتش و مراکز ارائه دهنده سرویس های عملیات امنیت نیز درحال پخته تر شدن برای مقابله با تهدیدات بودند؛ بخش های بزرگ سازمان های خصوصی با صنعت مشخص، شروع به ایجاد رسمی مرکز عملیات امنیت در درون سازمان ها کردند. صنعت کارت های پرداخت، شورای نظارتی بر امنیت پرداخت های تحت کارت یا PCI-DSS، را راه اندازی کرد و وندور‌ها(فروشندگان) را مستلزم به رعایت این استاندارد برای حفظ امنیت اطلاعات کرد.

قابلیت سایبری بهره برداری های سوء در نسل سوم مرکز عملیات امنیت

قابلیت سایبری بهره برداری های سوء، برای اولین بار مورد توجه دولت هایی مانند چین قرار گرفتند؛ در این دوره مراکز نظامی آمریکا و پیمانکاران دفاعی مختلفی توسط چین به عنوان بخشی از عملیات “باران تیتان” هدف تهاجم قرار گرفتند. به طور رسمی تیم پاسخ دهی به حوادث رایانه‌ای مدیریت بحران، رویه‌ها و روال ها و تمرکز بر قابلیت تشخیص زود هنگام مبتنی شده است.

(به شکل رسمی تیم های رایانه ای کنش، واکنش برای مدیریت بحران با روش‌های تشخیص، پیشگیری و تمرکز بر قابلیت های تشخیص زود هنگام تشکیل شده اند.) در این دوره تصویب برنامه های امنیتی توسط بخش های خصوصی افزایش یافته و به طور عمده شروع به شناسایی و گزارش دهی موارد نقض امنیت و محرمانگی داده، به عموم صورت گرفته است. این یک نتیجه از قوانین آگاهی رسانی است که در این دوره مورد استفاده واقع شده است.

حملات گسترده تر و پیچیده تر‌ی که در سال های بعد از این نسل، به وقوع پیوست؛ مورد توجه دولت ها و موضوع اصلی بسیاری از رسانه‌ها قرار گرفت. حملات گسترده تر شده و بردار حملات، بیشتر افراد را مورد هدف قرار داده اند. این منجر به فشار بیشتری جهت اعمال کنترل‌های امنیتی و نسل جدیدی از مرکز عملیات امنیت برای رسیدگی به تهدیدات پیشرفته تر می شود.

نسل چهارم مرکز عملیات امنیت: سال 2007 الی 2012

دوره ی جنگ سایبری، هکتیویسم، تهدیدات پیشرفته و شناسایی خروج های غیر مجاز. نسل چهارم عملیات امنیت با دورنمای تهدیدات سایبری و انگیزه های سیاسی تبلیغ شده بود. با مرور سر تیتر خبرها و مطالعات جزییات بیشتر، این موضوع به خوبی روشن است که دولت ها با هدف سرقت اطلاعات و یا خرابکاری و اقدامات سوء در سدد حمله به یکدیگر بودند.

اولین حمله که بطور عمومی به عنوان حمله‌ی سایبری در چارچوب یک درگیری هدفمند و مسلحانه که باعث تغییر روش در جنگ های سایبری شد شکل گرفت، زمانی بود که روسیه در سال 2007 اقدام به حمله سایبری بر کشور استونی کرد.

سازمان های هکتیویست رسوایی گسترده ای بخاطر حملات موفق صورت گرفته علیه سازمان ها ویا افراد، با استفاده از رسانه‌های اجتماعی فراهم شده به بار آوردند که به معنی هماهنگی سازمان‌ها و استفاده سوء از آسیب پذیری ها، رخنه‌های موجود در ساختار ها و دارایی ها، و نشت داده‌ها و اطلاعات است.

استراتژی مهار، بازدارندگی و شناسایی خروج اطلاعات در نسل چهارم مرکز عملیات امنیت

سازمان ها کم کم به این تشخیص رسیدند که علارغم استفاده از فناوری های امنیتی پیشگیرانه، به‌هر‌حال، نفوذ‌ها اتفاق می افتند؛ بنابراین تمرکز از فناوری های تشخیص و پیشگیری برداشته شد و معطوف به استراتژِی های مهار، بازدارندگی و شناسایی خروج اطلاعات شد. در طول این زمان سازمان‌های اضافه در بخش خصوصی مراکز عملیات امنیت با هدف شناسایی، ارجاع و بازیابی حوادث امنیتی ایجاد شدند.

با افزایش تصاعدی روند روبه رشد حملات سایبری، سازمان ها با شتاب به دنبال یافتن بهترین روش برای کاهش ریسک و محدود کردن تاثیرات رخنه‌های امنیتی موجود هستند. عملیات امنیت از واحد واکنش دهنده تبدیل به واحد برنامه‌های فعال شد.

نسل پنجم مراکز عملیات امنیت از توانایی مشاهده‌ی کاملی با استفاده از ترکیب ابزارهای امنیتی و ابزار‌های SIEM، به همراه امکان تحلیل اطلاعات عظیم برخوردارند؛ تا قادر به یافتن تمامی حملات ناشناخته که مدت ها صورت می‌گرفته و پنهان می مانده اند باشند. در بیشتر مراکز عملیات امنیت پیشرفته در سرتاسر جهان این توانایی عملیات امنیت در حال رشد وتبدیل به حیاتی شدن است.

نسل پنجم مرکز عملیات امنیت: از سال 2013 تا کنون

تحلیل و حجم زیاد داده، فناوری های مبتنی بر هوش، اشتراک اطلاعات، رویکرد مخالفت با انسان. نسل پنجم عملیات امنیت همچنان در حال تحول می باشد. دورنمای تهدیدات امنیتی با سرعت بی سابقه ای در حال تغییر و تحول غیر قابل پیش بینی بوده و بازار نیز به همان مقدار به طور فزاینده ای در حال مهیا کردن محصولات پیشرفته و توسعه یافته برای مقابله با تهدیدات می‌باشد.

تهدیدات معمولا توسط دشمنان انسانی ویا خطاهای انسانی رخ می‌دهند؛ هنوز بسیاری از محصولات امنیتی راهکارهایی را فراهم می‌آورند که مبتنی بر شناسه ها یا امضاها، شناسایی اشتباهات و خطاهای پیکربندی، بدافزارهای سرکش می باشند

همچنین پیشنهاد می کتیم: دوره آموزش Cisco DevNet Associate

راهکارهای مراکز عملیات امنیت نسل پنجم

نسل پنجم مراکزعملیات امینت تغییر را در دورنمای تهدیدات تشخیص می دهد و با نزدیک شدن و به چالش کشیدن بطور همه جانبه موارد موثر در وقوع و اثر تهدیدات، راه کار های خود را پیاده سازی می‌کنند: آموزش تحلیلگران امنیت اطلاعات به صورت هوشمندانه، نظارت، روانشناسی و تفکر تحلیلی برای افزایش سرمایه گذاری همه منظوره فناوری.

در حالی که تاثیرگذار بودن استاندارد ها و منطبق سازی‌ها با قوانین، باعث پیشرفت، بهبود و سازگاری محصولات امنیتی و شیوه های امن سازی می‌شود، نسل پنجم دریافت که برنامه های امنیتی نیازمند فعال بودن، پویا بودن و هوشمندی دارند که- از این طرق انطباق حاصل می شود- تنها مقررات انطباق پذیری امنیت بهتری ایجاد نمیکند.

تغییرات مراکز عملیات امنیت نسل پنجم

مراکز عملیات امنیت نسل پنجم موثرتر شدند و کارایی بیشتری دارند. بسیاری از فعالیت هایی که در نسل چهارم به طور دستی انجام می‌گشت بوسیله این نسل خودکار شدند. برای مثال، فرایند مهار حادثه و پاسخگویی؛ که در این نسل خودکار شده و از چرخه‌ی انسانی تنها برای تحلیل پیشرفته و ظرافت تشخیص رویداد ها مورد استفاده قرار گرفته است.

نسل پنجم متمرکز بر تحلیل می‌باشد. آنها با استفاده از جمع آوری حجم انبوهی از داده‌های ساختار یافته و نا‌منظم از داخل و خارج از سازمان و با بهره بردن از ابزارهای پیشرفته ی تحلیلگر هوشمند و ابزارهای هوشمند امنیتی منطبق با جدیدترین الگوهای شناسایی رفتار مشکوک قادر به پیشبینی وقایع می باشند. مراکز عملیات امنیت نسل پنجم، برای مفید بودن و نتیجه داشتن تحلیل‌هایشان از ریاضیدانان، علم آمار، نظریه پردازان و دانشمندان بزرگ داده برای رسیدن به اهداف خود در لایه های پایه بهره می‌برند.(با بهره بردن از ترکیب علوم یاد شده، پایه گذار بسیاری از فناوری های روز جهت مقابله کارآمد با تهدیدات میشوند).

هدف مراکز عملیات امنیت نسل پنجم

نسل پنجمی‌ها تنها و بی‌تجربه نیستند. کاربرد این نسل همانند اهداف نسل های گذشته می باشد؛ هدف اصلی این نسل، کاهش ریسک یک سازمان با استفاده از روش های مبنی بر شناسایی تهدیدات، قبل از اینکه آنها خساراتی جبران ناپذیر برای سازمان ها به بار بیاورند، میباشد. برای رسیدن به این هدف مراکز عملیات امنیت باید حداقل با یکدیگر همکاری داشته باشند همانطوری که مهاجمین با یکدیگر همکاری دارند.

هیچ سازمانی به تنهایی تمامی اطلاعات لازم برای شناسایی تمامی تهدیدات را ندارد، سرویس هایی نظیر هوشیاری پیرامون تهدیدات به تنهایی به اندازه ی کافی گسترده نیست، و کنسرسیوم های رسمی نیز همچنان مخالف با شرکت کردن برای حل این مسائل هستند.

مراکز عملیات امنیت پیشرو نسل پنجم، گروه های اشتراک گذاری اطلاعات تهدیدات را تشکیل داده اند، و در ارتباط مستقیم با صنایع و مشتریان خود ویکدیگر بوده، و تجارب، دانش و حرفه ای گری خود را با یکدیگر به اشتراک گذاشته و به عنوان اهرمی علیه دشمنان کسب و کارشان استفاده می‌کنند.

نسل پنجمی ها سازگار و انطباق پذیر هستند. سرمایه گذاری و تمرکز روی تجربه ی افراد است. برای مهیا کردن تشخیص و شناسایی موثر تهدیدات نیاز به استفاده از متخصصان امنیت اطلاعات کارکشته می باشد. بهترین و پیشرفته ترین فناوری ها با قابلیت های منحصر به فرد نیز بدون بهره مند بودن از توانایی قوی ذهنی نیروی انسانی نمی تواند مثمر ثمر واقع شود و با شکست مواجه خواهد گشت.

ساختار سازمانی مراکز عملیات امنیت نسل پنجم

نسل پنجم عملیات امنیت نوآور می باشند. ساختار سازمانی و تاکتیک عملیاتی مورد استفاده ی نسل پنجم، ماهیت بازی را تغییر خواهد داد. سازمان ها در حال بررسی قابلیت هایی جهت خنثی سازی تهدیدات و حملات بوده، همچنین سرمایه گذاری سنگینی روی تیم های هوشمند جمع آوری اطلاعات، و شکل دادن تیم شکار تهدیدات ( شامل گروه های مخرب و افراد خطرساز) هستند؛ که ردیابی این قبیل موارد را در درون و بیرون از سازمان به عهده دارند. دولت ها و همینطور سازمان های بزرگ تیم قرمز خود را برای سنجش مستمر تیم آبی حفظ می‌کنند.

(در واقع تیم قرمز متخصصان امنیتی هستند که نقش حمله کنندگان و نفوذگران را به دارایی های سازمان ایفا می‌کنند، در حالی که تیم آبی متخصصین امنیتی می باشند که در برابر تیم قرمز نقش تدافعی (شامل امن سازی، تحلیل، پیشگیری و پاسخدهی به حوادث امنیتی) برای سازمان دارند.

نقش سازمان های کوچک تر در مراکز عملیات امنیت نسل پنجم

سازمان های کوچکتر نقش و ارزش تیم های قرمز و آبی خود را دریافته اند که چه کمکی به بهبود جایگاه تدابیر امنیتی دفاع سایبری سازمان می‌کند. در واقع با کمک دو تیم قرمز و آبی که مکمل هم برای امن سازی سازمان می باشند؛ سازمان ها می توانند به مقابله با تهدیدات پرداخته و سطح امنیت سایبری خود را به صورت مستمر ارتقا بخشند.

در نسل پنجم مراکز عملیات امنیت تمرین حمله و دفاع متقابل، یک تمرین دائمی می‌باشد که سازمان‌های بزرگ و پیشرفته را در برابر تهدیدات دنیای واقعی مقاوم تر و ایمن تر می سازد. بعلاوه به این طریق تیم های هوشمندی تهدیدات سازمان‌ها، اطلاعات خود را پیرامون جزییات روش‌ها، تکنیک‌ها و ابزار مورد استفاده ی خود با یکدیگر سالانه به اشتراک می گذارند.

تیم های تشخیص تهدیدات و شکار تهدیدات یک گام به قبل از تریاژ هشدار برداشته و با استفاده از منابع ذخیره شده‌ی بزرگ‌داده‌ها، دنبال حملات دیده نشده و نا‌شناس جست‌و‌جو می‌کنند.

این روش‌های تحلیل داده، تیم تشخیص را قادر می سازد تا در گذشته‌ی ثبت شده جست‌و‌جوی عمیقی داشته باشند و دنبال کشف مدت زمانی که یک تهدید می تواند در محیط وجود داشته باشد تا شناسایی شود؛ همچنین سایر اطلاعاتی از این دست، که می‌توان در مورد تهدیدات سایبری به دست آورد سازمان را یاری رسانند.

بیشتر بخوانید: آشنایی با SOC و تاریخچه آن

دوران آکادمی دوره های تخصصی جهت تربیت تیم های SOC را طبق لیست زیر برگزار می کند

  • SANS 504
  • SANS 503
  • SANS 511
  • SANS 555

برگرفته از کتاب هوشمندسازی امنیت و مقابله با تهدیدات پیشرفته
مهندس رضا آدینه

اشتراک گذاری:
در تلگرام
کانال ما را دنبال کنید!
در اینستاگرام
ما را دنبال کنید!
مطالب زیر را حتما بخوانید

دیدگاهتان را بنویسید