حساب کاربری

ورود به حساب کاربری

ساخت یک SOC یا انتخاب یک MSSP کدام اثربخش تر است

ساخت یک SOC یا انتخاب یک MSSP کدام اثربخش تر است؟

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

ساخت یک SOC یا انتخاب یک MSSP کدام اثربخش تر است؟

چکیده:

تصمیم‌گیری درباره ایجاد یک SOC داخلی یا انتخاب یک MSSP برای رفع نگرانی‌ها در مورد امنیت اطلاعات می‌تواند برای شرکت‌هایی که به دنبال بهبود وضعیت امنیتی خود هستند، فرآیندی دشوار و زمان‌بر باشد. در این مطلب مزایا و معایب انتخاب هر یک از این دو گزینه را بررسی خواهیم کرد.
در ادامه به بررسی انتخاب SOC یا یک MSSP، خواهیم پرداخت.

 

سوالات:

- نیازمندی‌های یک سازمان برای ساخت یک SOC چه هستند؟
- چه سازمان‌هایی باید از MSSP استفاده کنند؟
- مزایای ساخت SOC چیست؟
- مزایای استفاده از سرویس‌های MSSP چیست؟
- ساخت یک SOC بهتر است یا استفاده از سرویس‌های یک MSSP ؟
- هزینه ساخت یک SOC شامل چه مواردی می‌شود؟
- استفاده از سرویس‌های یک MSSP چه هزینه‌هایی را در بر دارد؟
- تفاوت‌های SOC و MSSP چه هستند؟

تصمیم‌گیری درباره ایجاد یک SOC داخلی یا انتخاب یک MSSP برای رفع نگرانی‌ها در مورد امنیت اطلاعات می‌تواند برای شرکت‌هایی که به دنبال بهبود وضعیت امنیتی خود هستند، فرآیندی دشوار و زمان‌بر باشد. در این مطلب مزایا و معایب انتخاب هر یک از این دو گزینه را بررسی خواهیم کرد.


ایجاد یک SOC:


یک SOC (Security Operation center) مجموعه‌ای متمرکز است که در سطح فنی با رخدادهای امنیتی در یک سازمان سر و کار دارد. به طور معمول یک SOC از مجموعه‌ای از ابزارها، فرایندها و کارکنان تشکیل شده که فعالیت این واحدها متمرکز بر کشف، ارزیابی و بررسی حوادث امنیتی است. برای تخمین قطعات کلیدی مورد نیاز در ساخت یک SOC، لازم است درک کافی در مورد بخش‌های اصلی سازنده آن وجود داشته باشد. مثالی از عملیات‌های سه‌گانه امنیتی یک SOC در شکل زیر آورده شده است:

 

از  عملیات‌های سه‌گانه امنیتی یک SOC
از عملیات‌های سه‌گانه امنیتی یک SOC

در سطحی بالا، عملیات سه‌گانه امنیتی از اجزا زیر تشکیل شده است:

  • افراد: کارکنانی که به فعالیت در زمینه رخدادهای امنیتی می‌پردازند، مانند تحلیلگران SOC و پاسخ‌دهندگان به رویدادهای امنیتی.
  • فرایندها: به کارکنان کمک می‌کنند تا به طور کارا در مورد رخدادهای امنیتی تحقیق کرده و اطمینان از انجام موفق همه کارها، در زمان مناسب، را ایجاد می‌کنند.
  • تکنولوژی‌ها: قابلیت رویت (visibility) شبکه و ابزارهای مناسب برای نظارت و شناسایی علائم خرابکارانه را در اختیار کارکنان قرار می‌دهند.


با توجه به اینکه ساخت یک SOC می‌تواند هزینه زیادی داشته باشد، ضروری است قبل از آغاز کار میزان بودجه‌ای که از طرف سازمان برای این هدف در اختیار است، مشخص شود. یک بودجه امنیتی خوب باید حداقل 5 درصد کل بودجه IT سازمان باشد. در ادامه باید یک نقشه‌راه با مراحل ساختاریافته که قصد انجام آن‌ها در دوره‌های سه ماهه (یا هر مدت مناسب دیگری) وجود دارد، تهیه شود .به عنوان مثال، یک مرحله می‌تواند بهبود قابلیت رویت شبکه و افزایش توانایی تحلیل در راستای کشف فعالیت‌های خرابکارانه با پیاده‌سازی یک SIEM مانند APK SIEM باشد که این مرحله به شکل‌گیری هسته SOC از منظر تکنولوژی کمک می‌کند. یک مرحله دیگر می‌تواند ایجاد مجموعه‌ای از Use Case ها و کتاب‌های آموزشی جهت کمک به تحلیلگران جهت شناسایی و پاسخ به فعالیت‌های مخرب باشد. تهیه این نقشه‌راه به شناسایی و اولویت‌بندی قسمت‌های کلیدی برای پیاده‌سازی کمک می‌کند. مراحل در نظر گرفته شده باید بر ایجاد یا تکمیل تیم‌های تشکیل‌دهنده SOC مانند تیم‌های نظارت و کشف (Monitoring And Detection)، جرم‌یابی (Forensics)، جلوگیری از از دست دادن داده (Loss Data Prevention) و هوش تهدید (Threat Intelligence) متمرکز باشند.

در ادامه برخی از مزایای یک SOC در مقایسه با یک MSSP ذکر شده است:

 

SOC

MSSP

قابلیت شخصی‌سازی SIEM.

شخصی‌سازی محدود، هر چند ممکن است برخی از ارائه‌دهندگان قابلیت مدیریت SIEM را در اختیار قرار دهند.

ذخیره Logها به صورت محلی.

Logها ممکن است به صورت محلی ذخیره نشده و مشتریان ممکن است به Console Analyst دسترسی نداشته باشند.

کارکنان اختصاصی.

کارکنان مسئول نظارت بر چندین شبکه هستند.

 

درصورتی که SOC به طور مناسب پیاده‌سازی و تحلیلگران SOC به خوبی آموزش دیده باشند ، تا حد زیادی زمان مورد نیاز برای رسیدگی به مشکلات امنیتی را کاهش می‌دهد، اما یک معیار کلیدی برای ارزیابی یک SOC زمان رفع مشکلات امنیتی است که در آغاز ساخت، این زمان زیاد بوده و در طول زمان با بهبود SOC کاهش خواهد یافت.

در صورت وجود امکانات زیر ساخت یک SOC می‌تواند گزینه مناسبی برای یک سازمان باشد:

  • فرایندها و سیاست‌های عملیاتی مناسب: تحلیلگران محتوای مستند شده را بررسی کرده و تایید کنند که مراحل در نظر گرفته شده فاقد اشتباه هستند.
  • بودجه مناسب: حداقل 5 درصد از کل بودجه IT سازمان در اختیار باشد.
  • تحلیلگران SOC و پاسخ‌دهندگان به وقایع امنیتی به خوبی آموزش دیده:دوره‌های آموزشی داخلی جهت توسعه مجموعه مهارت‌های تحلیلگران برگزار شده یا بودجه‌ای مازاد برای در دسترس قرار دادن آموزش‌های مورد نیاز از خارج از سازمان (مثلا موسسه SANS) موجود باشد.
  • قابلیت رهبری فنی، مدیریت SOC: توانایی دنبال کردن مراحل مشخص شده در نقشه‌راه به دست آمده وجود داشته باشد.


انتخاب یک MSSP:


سازمان ها با برون سپاری مدیریت امنیت به یک MSSP (Managed Security Service Provider) که صرفا بر تامین امنیت و کاهش خطرات ساختارIT، متمرکز است تضمین مضاعفی دارند که محیطشان امن باشد.MSSP ها به خاطر اینکه مشتریان متعددی دارند به آن ها این امکان را می دهند که دید بیشتری نسبت به تهدیدات یک سازمان داشته باشند و نیز اجازه می دهند که تهدیدات را همبسته سازی کنند ، همچنین به خاطر وجود مشتریانشان فرایندهای ثابتی برای مانیتور کردن و مدیریت امنیت رخداد ها دارند.

انتخاب یک MSSP یک تصمیم سخت برای هر کسی است. MSSP می‌تواند باعث تقویت SOC شود اما در سازمان های بزرگ هرگز جایگزینی برای واحد امنیت داخلی نیست. قبل از انتخاب یک MSSP، بهتر است ابتدا نیازهای سازمان شناسایی شود. مثال‌هایی از دلایل ترغیب سازمان‌ها به انتخاب یک MSSP برای پشتیبانی عملیات امنیت عبارت است از:

  • تیم امنیت اطلاعات سازمان نیروی کمی داشته و به کمک برای Monitoring شبکه نیاز دارد.
  •  سازمان نیاز به پیاده‌سازی محیطی 24×7×365 داشته باشد.
  •  سازمان از عهده ساخت یک SOC بر نیاید.

در هنگام انتخاب یک MSSP، لیست کردن نیازهای سازمان برای کسب آگاهی در مورد مناسب‌ترین سرویس MSSP رویکردی مناسب است. نمونه‌هایی از سرویس‌هایی که توسط MSSP ها ارائه می‌شود را در ادامه خواهید دید:

  • نظارت: هشدار و مشاوره در مورد رخدادهای امنیتی.
  •  نظارت و مدیریت: نظارت بر logها با قابلیت تغییر در محیط مشتری.
  •  مدیریت محصول: قابلیت تغییر در دستگاه‌های امنیتی مانند فایروال.


تهیه لیستی از سوالات برای ارسال به یک MSSP شروع خوبی برای کمک به آن‌ها برای درک نیازهای سازمان است. در ادامه، ممکن است MSSP فرم‌های خود را برای کسب اطلاعات بیشتر و دقیق‌تر در مورد شبکه سازمان (سخت‌افزارها، حجم log ها و ...) به شما ارسال کند. پس از تحلیل مناسب از نیازمندی‌های شما، سرویس‌های مناسبی که نیازمندی‌های شما را برآورده سازد از طرف MSSP به شما پیشنهاد خواهد شد. هزینه هر سرویس بسته به تعداد دستگاه و حجم logهای مورد نیاز به نظارت و مدیریت متغیر خواهد بود. مثالی از هزینه‌های پیاده‌سازی و نگهداری مداوم یک SIEM در مقابل هزینه انتخاب یک MSSP در جدول زیر آورده شده است:

 

هزینه‌های آغازین (راه‌اندازی) به ریال

ریز هزینه

SIEM

MSSP

درصد صرفه‌جویی

پلت‌فرم SIEM (شامل ذخیره‌سازی داده‌ها)

60%

شامل شده

 

هزینه نیروی کار مورد نیاز برای پیاده‌سازی SIEM

25%

شامل شده

 

کامپیوترها و نرم افزارهای مورد نیاز برای نیروهای جدید

10%

شامل شده

 

آموزش ابتدایی SIEM

5%

شامل شده

 

هزینه‌های MSSP

0

25%

 

کل هزینه اولیه

100%

25%

75%

همانطور که جدول بالا نشان می‌دهد، هزینه اولیه استفاده از سرویس‌های یک MSSP بسیارکمتر می‌باشد و هزینه های راه اندازی(License) و نگهداری صرفه جویی خواهد شد.

در ادامه، برخی از مزیت‌های یک MSSP در مقایسه با یک SOC آورده شده است:

 

 مزایای MSSP نسبت به SOC

شاخص

MSSP

SOC

نیروی انسانی

دسترسی به تخصص امنیت و هوشمندی لازم جهت تحلیل تهدیدات.

به سختی می‌توان تحلیلگر SOC با کیفیت یافته و استخدام کرد.

پشتیبانی

وجود SOCهای 24×7×365 آماده برای شناسایی و هشدار دادن درباره تهدیدهای امنیتی بالقوه.

پیاده‌سازی یک محیط SOC 24×7×365 با قابلیت فعالیت مناسب بسیار سخت است.

هزینه

هزینه کمتر نسبت به ساخت یک SOC داخلی.

به سرمایه اولیه بیشتری نیاز دارد.

 

سخن پایانی:

تصمیم‌گیری درباره ساخت یک SOC داخلی، استفاده از سرویس‌های ارائه شده توسط یک MSSP و یا استفاده همزمان از هر دو رویکرد مساله‌ای چالشی برای هر سازمانی است. اما، صحبت درباره این موضوع در سازمان بدین معنی است که شما قصد بهبود برنامه امنیتی سازمان خود را دارید که خود قدمی مثبت در این راستا است. قبل از تصمیم‌گیری در مورد این مساله، لازم است سازمان‌ها از بودجه، تخصص، وضعیت امنیت و ... خود اطلاع داشته باشند. به نظر متخصصان، از آن‌جا که استفاده از سرویس‌های یک MSSP سریع‌ترین بازدهی را نسبت به هزینه صرف شده خواهد داشت، برای اغلب سازمان‌ها بهتر است از سرویس‌های یک MSSP استفاده کنند. ساخت یک SOC یک سرمایه‌گذاری بلند مدت است که مزیت‌های مهمی را در درازمدت برای سازمان‌ها خواهد داشت. اما، با توجه به شناخت سریع‌تر و کم‌هزینه‌تر میزان سلامت شبکه در صورت انتخاب یک MSSP، این گزینه برای اغلب سازمان‌ها عملیاتی‌تر است. پس از انتخاب یک MSSP، هر ساله باید اهداف بازنویسی شده تا مطمئن شد که هنوز استفاده از یک MSSP گزینه خوبی برای سازمان است. در غیر این صورت، باید شروع به برنامه‌ریزی جهت ساخت یک SOC نمایید. امید است این مطلب برای سازمان‌هایی که در حال تصمیم‌گیری برای ساخت یک SOC یا استفاده از خدمات یک MSSP هستند، مفید واقع شود.

 

 تست نفوذ چیست؟

مرکز عملیات امنیت (SOC) چیست؟

آسیب پذیری در OpenSSL مربوط به CVE-2016-2108

حمله سایبری در خاورمیانه: بهره برداری از CVE-2017-11882

تهران - بلوار كشاورز، خيابان شهيد نادري پائين تر از خيابان ايتاليا، پلاك ۲ واحد ۵۰۵
۲۷۳ ۴۲ (۰۲۱)
۴۲۲۳۸۰۰۰ (۰۲۱)
۱۴۱۶۶۱۳۶۶۹
info{at}apk-group.net
یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان
۳۶۲۹۰۹۹۰ (۰۳۵)
۸۹۱۶۷۱۵۹۵۷

 امن پردازان کویر