اقرأ في هذا المقال
- تعريف مركز عمليات أمن المعلومات
- كيف يعمل مركز عمليات أمن المعلومات
- الأدوار داخل مركز عمليات أمن المعلومات
- أفضل الممارسات لتشغيل مركز عمليات الأمان
- أنواع مراكز العمليات الأمنية
تراقب مراكز العمليات الأمنية وتحلل النشاط على الشبكات والخوادم ونقاط النهاية وقواعد البيانات والتطبيقات ومواقع الويب والأنظمة الأخرى وتبحث عن نشاط غير طبيعي يمكن أن يشير إلى حادث أمني أو حل وسط، مركز العمليات الأمنية (SOC) مسؤول عن ضمان تحديد الحوادث الأمنية المحتملة وتحليلها والدفاع عنها والتحقيق فيها والإبلاغ عنها بشكل صحيح.
تعريف مركز عمليات أمن المعلومات
مركز العمليات الأمنية (SOC) هو منشأة تضم فريقًا لأمن المعلومات مسؤولاً عن مراقبة وتحليل الوضع الأمني للمؤسسة بشكل مستمر، هدف فريق (SOC) هو الكشف عن حوادث الأمن السيبراني وتحليلها والاستجابة لها باستعمال العديد من الحلول التقنية ومجموعة قوية من العمليات، عادة ما يتم تزويد مراكز العمليات الأمنية بموظفين من المحللين والمهندسين الأمنيين والمديرين ايضا الذين يكونون مسؤولين على العمليات الأمنية، كما يعمل موظفو (SOC) بشكل وثيق مع فرق الاستجابة للحوادث التنظيمية لضمان معالجة المشكلات الأمنية بسرعة عند اكتشافها.
- “SOC” اختصار ل”Security Operation Center”.
كيف يعمل مركز عمليات أمن المعلومات
بدلاً من التركيز على تطوير استراتيجية أمنية أو تصميم بنية أمنية أو تنفيذ تدابير وقائية، فإن فريق (SOC) مسؤول عن المكون التشغيلي المستمر لأمن معلومات المؤسسة، يتكون موظفو مركز العمليات الأمنية في المقام الأول من محللي الأمن الذين يعملون معًا لاكتشاف حوادث الأمن السيبراني وتحليلها والاستجابة لها والإبلاغ عنها ومنعها، كما يمكن أن تشمل القدرات الإضافية لبعض مراكز العمليات الخاصة التحليل الجنائي المتقدم وتحليل التشفير والهندسة العكسية للبرامج الضارة لتحليل الحوادث، حيث تتمثل الخطوة الأولى في إنشاء (SOC) للمؤسسة في التحديد الواضح للاستراتيجية التي تتضمن أهدافًا خاصة بالعمل من مختلف الإدارات بالإضافة إلى المدخلات والدعم من المديرين التنفيذيين، حيث بمجرد تطوير الاستراتيجية، يجب تنفيذ البنية التحتية المطلوبة لدعم تلك الاستراتيجية.
الأدوار داخل مركز عمليات أمن المعلومات
يأتي إطار عمليات الأمان الخاصة من كل من أدوات الأمان مثل البرامج، التي يتم استخدامها والأفراد الذين يشكلون فريق (SOC)، أعضاء فريق (SOC) هم:
- المدير: يمكن لقائد المجموعة أن يتدخل في أي دور بينما يشرف أيضًا على أنظمة وإجراءات الأمان الشاملة.
- المحلل: يقوم المحللون بتجميع البيانات وتحليلها، إما من فترة زمنية في الوقت السابق، على سبيل المثال أو بعد حدوث خرق.
- المحقق: بمجرد حدوث الخرق، يكتشف المحقق ما حدث ولماذا ويعمل بجد مع المستجيب، حيث غالبًا ما يؤدي شخص واحد دور المحقق او المستجيب.
- المستجيب: هناك عدد من المهام التي تأتي مع الاستجابة لخرق أمني، حيث لا غنى عن شخص مطلع على هذه المتطلبات أثناء الأزمة.
- المدقق: التشريعات الحالية والمستقبلية تأتي مع تفويضات الامتثال، هذا الدور يواكب هذه المتطلبات ويضمن أن المؤسسة تلبيها.
أفضل الممارسات لتشغيل مركز عمليات الأمان
يقوم العديد من قادة الأمن بتحويل تركيزهم إلى العنصر البشري أكثر من عنصر التكنولوجيا لتقييم التهديدات والتخفيف من حدتها بشكل مباشر بدلاً من الاعتماد على نص، يدير عملاء (SOC) باستمرار التهديدات المعروفة والحالية أثناء العمل على تحديد المخاطر الناشئة، كما أنها تلبي احتياجات الشركة والعملاء وتعمل ضمن مستوى تحمل المخاطر، في حين أن أنظمة التكنولوجيا مثل جدران الحماية أو (IPS) الذي يقوم بقراءة حزم الشبكة ومقارنة المحتويات بقاعدة بيانات التهديدات المعروفة قد تمنع الهجمات الأساسية، فإن التحليل البشري مطلوب لوضع حد للحوادث الكبرى.
للحصول على أفضل النتائج، يجب على مركز العمليات الأمنية مواكبة أحدث معلومات التهديدات والاستفادة من هذه المعلومات لتحسين آليات الكشف والدفاع الداخلي، حيث تتضمن هذه الاستخبارات الإلكترونية الخارجية موجز الأخبار وتحديثات التوقيع وتقارير الحوادث وموجزات التهديدات وتنبيهات نقاط الضعف التي تساعد مركز عمليات الأمن في مواكبة التهديدات السيبرانية المتطورة، كما يجب على موظفي مركز عمليات الأمن (SOC) تقديم معلومات استخباراتية عن التهديدات باستمرار إلى أدوات مراقبة مركز عمليات الأمن (SOC) لمواكبة التهديدات ويجب أيضا أن يكون لدى مركز عمليات العمليات (SOC) عمليات قائمة للتمييز بين التهديدات الحقيقية وغير التهديدات.
تستخدم مراكز عمليات الأمان الناجحة حقًا أتمتة الأمان لتصبح فعالة وكفؤة، وذلك من خلال الجمع بين محللي الأمان ذوي المهارات العالية والأتمتة الأمنية، كما تزيد المؤسسات من قوتها التحليلية لتعزيز تدابير الأمان والدفاع بشكل أفضل ضد انتهاكات البيانات والهجمات الإلكترونية، حيث ان العديد من المنظمات التي لا تملك الموارد الداخلية لإنجاز هذا التحول إلى موفري خدمات الأمن المُدارة الذين يقدمون خدمات (SOC).
أنواع مراكز العمليات الأمنية
- شركة نفط الجنوب مخصصة أو ذاتية الإدارة: يحتوي هذا النموذج على منشأة محلية مع موظفين داخليين.
- الموزعة (SOC): يُعرف هذا النموذج أيضًا باسم (SOC) المدار بشكل مشترك ويحتوي على أعضاء فريق شبه مكرسين بدوام كامل أو بدوام جزئي يتم تعيينهم داخليًا للعمل جنبًا إلى جنب مع مزود خدمة أمان مُدار من جهة خارجية (MSSP) الذي يوفر معلومات عن البرامج، حيث “MSSP” اختصار ل”Managed Security Service Providers”.
- المدارة (SOC): يحتوي هذا النموذج على (MSSPs) يوفرون جميع خدمات (SOC) للمؤسسة.
- القيادة (SOC): يوفر هذا النموذج رؤى استخباراتية للتهديدات وخبرة أمنية لمراكز عمليات أمنية أخرى مخصصة عادةً، حيث لا تشارك قيادة عمليات الأمن الداخلي في العمليات أو العمليات الأمنية الفعلية، بل في الجانب الاستخباراتي فقط.
- مركز الانصهار: يشرف هذا النموذج على أي منشأة أو مبادرة تركز على الأمان، بما في ذلك الأنواع الأخرى من مراكز العمليات أو أقسام تكنولوجيا المعلومات، كما تعتبر مراكز الاندماج (SOCs) متقدمة وتعمل مع فرق المؤسسات الأخرى، مثل عمليات تكنولوجيا المعلومات و (DevOps) وهي الأدوات التي تزيد من قدرة المؤسسة على تقديم التطبيقات والخدمات بسرعة عالية وتطوير المنتجات، حيث “DevOps” اختصار ل”Development and Operation”.
- متعددة الوظائف (SOC): يحتوي هذا النموذج على منشأة مخصصة وموظفين داخليين، لكن أدواره ومسؤولياته تمتد إلى مجالات مهمة أخرى لإدارة تكنولوجيا المعلومات، مثل مراكز عمليات الشبكة ( NOCs )وهو موقع مركزي يقوم من خلاله مسؤولو الشبكة بإدارة شبكة واحدة أو أكثر والتحكم فيها ومراقبتها، حيث “NOCs” اختصار ل”network operations center “.
- الظاهري (SOC): لا يحتوي هذا النموذج على مرفق داخلي مخصص، حيث يمكن أن تكون (SOC) الافتراضية مدارة من قبل المؤسسة أو مدارة بالكامل، كما يتم تشغيل (SOC) التي تديرها المؤسسة بشكل عام من قبل موظفين داخليين أو مزيج من الموظفين الداخليين وعند الطلب والمقدمين عبر السحابة، حيث لا يوجد موظفون داخليون في شركة (SOC) الافتراضية المُدارة بالكامل، والمعروفة أيضًا باسم (SOC) أو كخدمة (SOCaaS).
- (SOCaaS): يستعين هذا النموذج القائم على الاشتراك أو النموذج القائم على البرامج بمصادر خارجية لبعض أو كل وظائف (SOC) إلى موفر السحابة.
