الوظائف الرئيسية التي تؤديها SOC
جرد الموارد المتاحة
(SOC) مسؤولة عن نوعين من الأصول الأجهزة والعمليات والتطبيقات المختلفة المكلفة بالحماية والأدوات الدفاعية المتاحة لهم للمساعدة في ضمان هذه الحماية.
- ماذا تحمي (SOC): لا تستطيع (SOC) حماية الأجهزة والبيانات التي لا يمكنهم رؤيتها، بدون الرؤية والتحكم من الجهاز إلى السحابة، حيث من المحتمل أن تكون هناك نقاط عمياء في وضع أمان الشبكة يمكن العثور عليها واستغلالها، لذا فإن هدف (SOC) هو الحصول على رؤية كاملة لطبيعة التهديدات التجارية، بما في ذلك ليس فقط الأنواع المختلفة من نقاط النهاية والخوادم والبرامج في أماكن العمل، ولكن أيضًا خدمات الجهات الخارجية وحركة المرور المتدفقة بين هذه الأصول.
- كيف تحمي (SOC): يجب أن يكون لدى (SOC) أيضًا فهم كامل لجميع أدوات الأمن السيبراني المتوفرة وجميع تدفقات العمل المستخدمة داخل (SOC) هذا يزيد من خفة الحركة ويسمح لـ (SOC) بالعمل بأقصى كفاءة.
- “SOC”: اختصار ل”Security Operation Center”.
الإعداد والصيانة الوقائية
حتى أكثر عمليات الاستجابة المجهزة تجهيزًا جيدًا ومرنة لا تتناسب مع منع حدوث المشكلات في المقام الأول، للمساعدة في إبعاد المهاجمين، تنفذ (SOC) تدابير وقائية، والتي يمكن تقسيمها إلى فئتين رئيسيتين:
- يجب أن يظل أعضاء فريق التحضير: أي يجب أن يبقوا على اطلاع بأحدث الابتكارات الأمنية وأحدث الاتجاهات في مجال الجرائم الإلكترونية وتطور التهديدات الجديدة في الأفق، حيث يمكن أن يساعد هذا البحث في تكوين خارطة طريق أمنية توفر التوجيه لجهود الشركة في مجال الأمن السيبراني للمضي قدمًا، وخطة التعافي من الكوارث التي ستكون بمثابة إرشادات جاهزة في سيناريو أسوأ الحالات.
- الصيانة الوقائية: تتضمن هذه الخطوة جميع الإجراءات المتخذة لجعل الهجمات الناجحة أكثر صعوبة، بما في ذلك الصيانة الدورية للأنظمة الحالية وتحديثها وتحديث سياسات جدار الحماية وتصحيح نقاط الضعف وإدراج التطبيقات في القائمة البيضاء والسوداء وتأمينها.
فحص الشبكة على مدار الساعة
حيث تقوم أدوات المراقبة الاستباقية المستمرة التي تستخدمها (SOC) بفحص الشبكة على مدار الساعة طوال أيام الأسبوع للإبلاغ عن أي تشوهات أو أنشطة مشبوهة، حيث تتيح مراقبة الشبكة على مدار الساعة إخطار مركز عمليات الطوارئ على الفور بالتهديدات الناشئة، مما يمنحهم أفضل فرصة لمنع الضرر أو تخفيفه.
ترتيب وإدارة
التنبيهات عند إصدار أدوات المراقبة للتنبيهات، حيث تقع على عاتق مركز عمليات الأمن مسؤولية إلقاء نظرة فاحصة على كل منها، وتجاهل أي إيجابيات خاطئة وتحديد مدى عدوانية أي تهديدات فعلية وما يمكن أن تستهدفه، هذا يسمح لهم بفرز التهديدات الناشئة بشكل مناسب والتعامل مع القضايا الأكثر إلحاحًا أولاً.
الاستجابة للتهديد
هذه هي الإجراءات التي يفكر فيها معظم الناس عندما يفكرون في مركز العمليات الخاصة، بمجرد تأكيد الحادث تعمل (SOC) كمستجيب أول، وتقوم بتنفيذ إجراءات مثل إيقاف التشغيل أو عزل نقاط النهاية وإنهاء العمليات الضارة أو منعها من التنفيذ وحذف الملفات والمزيد، الهدف هو الاستجابة إلى الحد الضروري مع التأثير على استمرارية الأعمال قدر الإمكان.
الاسترداد والمعالجة
بعد حصول أي حادث، ستعمل (SOC) على استعادة الأنظمة واستعادة أي بيانات مفقودة أو تم اختراقها، حيث قد يشمل ذلك مسح نقاط النهاية وإعادة تشغيلها أو إعادة تكوين الأنظمة أو في حالة هجمات برامج الفدية، نشر نسخ احتياطية قابلة للتطبيق من أجل التحايل على برامج الفدية، عند نجاح هذه الخطوة، ستعيد الشبكة إلى الحالة التي كانت عليها قبل وقوع الحادث.
إدارة السجلات
تعتبر (SOC) مسؤولة عن جمع وصيانة ومراجعة سجل جميع أنشطة الشبكة والاتصالات للمؤسسة بأكملها، حيث تساعد هذه البيانات في تحديد خط الأساس لنشاط الشبكة العادي ويمكن أن تكشف عن وجود تهديدات، حيث يمكن استخدامها للعلاج والطب الشرعي في أعقاب أي حادث.
التحقيق في السبب الجذري
بعد وقوع حادث، تكون (SOC) مسؤولة عن معرفة ما حدث بالضبط ومتى وكيف ولماذا، حيث خلال هذا التحقيق، تستخدم (SOC) بيانات السجل ومعلومات أخرى لتتبع المشكلة إلى مصدرها، مما سيساعدها على منع حدوث مشكلات مماثلة في المستقبل.
صقل الأمن وتحسينه
يعمل مجرمو الإنترنت باستمرار على تحسين أدواتهم وتكتيكاتهم ومن أجل البقاء في الطليعة، حيث تحتاج (SOC) إلى تنفيذ التحسينات على أساس مستمر، كما خلال هذه الخطوة، تظهر الخطط الموضحة في خريطة طريق الأمان، ولكن هذا التنقيح يمكن أن يشمل أيضًا ممارسات عملية مثل تشكيل الفريق والتكوين الجماعي.
إدارة الامتثال
تسترشد العديد من عمليات (SOC) بأفضل الممارسات المعمول بها، لكن بعضها تحكمه متطلبات الامتثال، تكون (SOC) مسؤولة عن تدقيق أنظمتها بانتظام لضمان الامتثال لهذه اللوائح، والتي قد تصدرها مؤسستهم أو صناعتهم أو الهيئات الحاكمة، إن العمل لا يساعد فقط في حماية البيانات الحساسة التي تم تكليف الشركة بها بل يمكنه أيضًا حماية المؤسسة من الإضرار بالسمعة والتحديات القانونية الناتجة عن الانتهاك.
التحديات التي تواجه SOC
يجب أن تظل فرق مركز العمليات الخاصة (SOC) متقدمًا بخطوة واحدة على المهاجمين، حيث أصبح هذا الأمر أكثر صعوبة، فيما يلي أهم ثلاثة تحديات يواجهها كل فريق من فريق SOC:
- النقص في مهارات الأمن السيبراني: يواجه 53٪ من شركات الأمان (SOC) صعوبات في تعيين موظفين مهرة، وهذا يعني أن العديد من فرق مركز العمليات الخاصة تعاني من نقص في الموظفين وتفتقر إلى المهارات المتقدمة اللازمة لتحديد التهديدات والاستجابة لها في الوقت المناسب وبطريقة فعالة، حيث قدرت دراسة القوى العاملة (ISC) وهي شهادة مستقلة في أمن المعلومات يعطيها الاتحاد الدولي لشهادات أمن نظم المعلومات أن القوى العاملة في مجال الأمن السيبراني بحاجة إلى النمو بنسبة 145٪ لسد فجوة المهارات والدفاع بشكل أفضل عن المنظمات في جميع أنحاء العالم، حيث “ISC” اختصار ل”Idle Speed Control”.
- عدد كبير جدًا من التنبيهات: نظرًا لأن المؤسسات تضيف أدوات جديدة لاكتشاف التهديدات، فإن حجم تنبيهات الأمان يتزايد باستمرار، نظرًا لأن فرق الأمن غارقة بالفعل في العمل اليوم، فإن العدد الهائل من تنبيهات التهديدات يمكن أن يتسبب في إجهاد التهديد، بالإضافة إلى ذلك، فإن العديد من هذه التنبيهات لا توفر معلومات استخباراتية أو سياقًا كافياً للتحقيق أو أنها إيجابية كاذبة، كما لا تؤدي الإيجابيات الكاذبة إلى استنزاف الوقت والموارد فحسب، بل يمكنها أيضًا تشتيت انتباه الفرق عن الحوادث الحقيقية.
- النفقات التشغيلية: تستخدم العديد من المؤسسات مجموعة متنوعة من أدوات الأمان غير المتصلة، هذا يعني أنه يجب على أفراد الأمن ترجمة التنبيهات والسياسات الأمنية بين البيئات، مما يؤدي إلى عمليات أمنية مكلفة ومعقدة وغير فعالة.
