با توجه به ضرورت جلوگیری از حوادث مهم سایبری، کاهش تهدیدات و درنتیجه، اجرای عملیات امنیتی متمرکز، مراکز عملیاتی سایبری میتوانند رویکرد جامعی را در تشخیص، جلوگیری و کاهش خطرات ارائه کنند. استفاده از یک SOC کارآمد سبب محافظت پیوسته و پایش مستمر فعالیتهای غیرمعمول میشود. همچنین SOC توانایی جلوگیری از تهدیدات احتمالی و شکار تهدید را با تحلیل و مدلسازی دارد. با آموزشگاه مهندسی کندو همراه باشید.
دلیل اهمیت SOC چیست؟
هدف SOC، دستیابی به نمایی کامل از چشمانداز تهدیدات یک کسبوکار شامل انواع مختلف دستگاههای نهایی، سرورها و نرمافزارها و همچنین سرویسهای واسط و جریان ترافیک میان این داراییها است.
کارکرد کلیدی SOC چیست؟
بهطورکلی مراکز عملیات امنیتی در طی 24 ساعت شبانهروز و هفت روز هفته فعالیت میکنند و کارکنان این واحدها بهصورت نوبتی جهت کاهش تهدیدات و مدیریت فعالیت لاگ، کار میکنند. همچنین در برخی مواقع، ارائهکنندگان واسط برای عرضه سرویسهای SOC سازمانها استخدام میشوند.
کارکردهای کلیدی یک SOC عبارتاند از:
- پایش و مدیریت موقعیت امنیتی یک شرکت
- ارائه و پیادهسازی رویهها و خطمشیهای امنیتی
- ارائه آموزش کافی در مورد اطلاعات امنیتی به کارکنان
- پاسخگویی به حوادث امنیتی
- تحلیل لاگ ها، ترافیک شبکه و منابع دادهای دیگر برای شناسایی تهدیدات و آسیبهای احتمالی
- اجرای ارزیابیهای آسیبپذیری
- ارائه گزارشهای اطلاعاتی در مورد تهدیدات
- طراحی و پیادهسازی راهکارهای امنیتی
تعریف تحلیلگر SOC چیست؟
یک تحلیلگر SOC، فردی است که بهصورت گروهی جهت پایش، تحلیل و پاسخگویی در برابر شرایط امنیتی، فعالیت میکند. هدف اصلی فعالیت یک تحلیلگر SOC، جلوگیری از بروز حملات بر روی یک شبکه است. تحلیلگران، شبکه را از حیث وجود نشانههای یک حمله پایش میکنند. با کشف یک حمله، تحلیلگران این تهاجم را با حضور اعضای دیگر تیم، بررسی میکنند.
وظیفه تحلیلگر SOC چیست؟
تحلیلگر SOC، مسئول پایش و ارزیابی کامل سیستمهای یک شرکت است. همچنین تحلیلگران به دنبال بررسی فعالیتهای شبکه و کسب اطمینان کافی در مورد عدم وقوع فعالیتهای مشکوک هستند. ازطرفی، تحلیلگر SOC با دپارتمانهای دیگر شرکت مانند واحدهای منابع انسانی یا فروش همکاری میکند تا از امنیت سیستم خود، اطمینان یابند. اگر فردی در یکی از این دپارتمانها، مسئلهای با رایانه از حیث مسائل امنیتی داشته باشد، وظیفه تحلیلگر SOC، حل این مسئله است. شاید بپرسید وظایف دیگر تحلیلگر SOC چیست؟ در این بخش وظایف دیگر او را مطرح میکنیم:
دانش کافی در مورد تازهترین تهدیدات امنیتی
تحلیلگران SOC موظف هستند که دانش خود را در مورد آخرین تهدیدات امنیتی برای امنیت سازمان خود، بهروز نگه دارند. وجود این اطلاعات سبب واکنش سریع آنها در برابر هرگونه مسئله احتمالی پیش از جدی شدن این مسئله برای یک شرکت میشود.
مشارکت در ارزیابیهای امنیتی
ارزیابی مسائل امنیتی برای حفظ امنیت یک سازمان اهمیت قابلتوجهی دارد و شما میتوانید آسیبها را پیش از هرگونه برداری اطلاعات توسط عوامل مخرب یا هکرها رفع کنید. تحلیلگر SOC بهطور مستقیم در این ارزیابیها شرکت کرده و به آمادهسازی و بررسی دادهها کمک میکند.
منظور از گواهیهای تحلیلگری SOC چیست؟
گواهیهای زیادی توسط مؤسسات مختلف در زمینه تحلیل SOC ارائه میشوند اما تنها تعداد کمی از آنها برای مشاغل امنیت سایبری مفید هستند. در این بخش، فهرستی از بهترین گواهیهای مناسب برای تحلیلگران را بیان میکنیم:
CompTIA Security+
این گواهی، یکی از بهترین گواهیهای سطوح اولیه امنیت سایبری برای تمامی کسانی محسوب میشود که قصد ورود به حوزه امنیت سایبری را دارند. در این دوره، مباحث کنترل دسترسی امنیتی، رمزنگاری و ریسکهای موجود در حوزه رایانش ابری مطرح میشود. همچنین این گواهی، یکی از بهترین گواهیها برای ورود به بسیاری از شرکتهای متخصص در حوزه امنیت سایبری محسوب میشود.
CompTIA CySA+
این گواهی متمرکز بر شبکه و امنیت برنامه است و در آن موضوعاتی همچون پیکربندی امن فایروالها و پروکسیها، ارزیابی آسیبپذیری و آزمون نفوذ مطرح میشود. این گواهی، مدرک بسیار معتبری برای تمامی افرادی است که قصد دارند در زمینه مدیریت و امنیت IT فعالیت کنند.
گواهی تحلیلگر SOC تائید شده (CSA) شورای EC
گواهی CSA شورای EC، انتخاب بسیار مطلوبی برای تمامی افرادی محسوب میشود که میخواهند در زمینه پاسخگویی فوری به تهدیدات در SOC سازمان خود، تخصص پیدا کنند. کسب گواهی CSA نیازمند تجربه و دانش کافی است.
مهارت فنی تحلیلگر SOC چیست؟
یکی از مهمترین پرسشهای علاقهمندان به حوزه SOC این است که منظور از مهارتهای فنی تحلیلگر SOC چیست؟ برخی از انواع مهارتهای فنی لازم یک تحلیلگر SOC عبارتاند از:
تشخیص نفوذ
تحلیلگر SOC باید بتواند نفوذ در سیستمهای رایانه یک سازمان را تشخیص دهد. این نفوذ شامل اختلال توسط بدافزارها تا نشت احتمالی دادهها در آینده در زمینه آموزش امنیت شبکه است.
واکنش فوری به یک رویداد
این قابلیت به معنای کاهش و از بین بردن اثر یک حمله بر روی سیستمهای یک شرکت است. برخی از اقدامات لازم در این حوزه عبارتاند از:
- بررسی علت ریشهای جهت تعیین آسیبهای فنی که باعث دسترسی هکرها به سیستم شده است.
- خاموش کردن دستگاههای در معرض خطر یا قطع ارتباط آنها از شبکه
- جداسازی نواحی در معرض خطر در شبکه یا روتینگ دوباره ترافیک شبکه
- متوقف کردن فعالیتهای فرآیندها یا برنامههای در معرض خطر
- حذف کردن فایلهای خراب شده یا آلوده شده
- اجرای نرمافزار ضد بدافزار و آنتیویروسها
- تعلیق گذرواژهها برای کاربران داخلی و خارجی
مهارتهای برنامهنویسی
هرچند که کارشناسان امنیت شبکه باید تسلط قابلتوجهی به مهارتهای فنی در زمینه تهدیدات داشته باشند، اما مهارت مهم دیگر، شناخت کامل زبانهای برنامهنویسی است. تحلیلگران SOC غالباً با مهندسان امنیت شبکه و کارشناسان امنیتی برای تعیین راهبردهای کاهش تهدیدات همکاری میکنند. مهارتهای کدنویسی و برنامهنویسی، اهمیت بسیار زیادی دارند. بهطور مثال دانش کافی از جاوا اسکریپت، آموزش C++ و آموزش پایتون، یکی از پیشنیازهای مهم یک کارشناس SOC محسوب میشود.
مدیریت ریسک
تحلیلگر SOC باید از ریسکهای خاص فعالیتها آگاهی داشته باشد و تصمیمگیری لازم را در مورد آنها اتخاذ کند. یک تحلیلگر باید بتواند فشارهای احتمالی در رویههای کاری را کنترل کند. توانایی کار تحتفشار در طی وقوع حادثه و برآورده کردن الزامات زمانی جهت ارزیابی منظم امنیت شبکه، ضروری است.
هک اخلاقی
منظور از این مهارت، توانایی هک کردن سیستمهای رایانه بدون نقض قوانین یا مقررات و استفاده از اطلاعات به دست آمده برای هدفی مطلوب. این فرآیند با نام تست نفوذ یا اسکن آسیبپذیری شناخته میشود.
بیشتر بخوانید: وبینار آشنایی با دنیای هک و امنیت – مهندس کدخدازاده
مهارتهای نرم تحلیلگر SOC چیست؟
در کنار مهارتهای فنی که در قسمت قبل به آنها اشاره شد، تحلیلگر SOC باید دارای برخی از مهارتهای نرم جهت موفقیت هر چه بیشتر خود در این عرصه باشد. برخی از این مهارتهای نرم شامل توانایی حل مسئله، مهارتهای سازمانی، تفکر نقاد و قابلیت انجام کار تیمی است.
وظیفه تیم SOC چیست؟
بهطورکلی، نقشهای اصلی تیم SOC عبارتاند از:
مدیر SOC
مدیر SOC فردی است که مدیریت تیم را بر عهده دارد و بر کلیه عملیات امنیتی نظارت کرده و به CISO (بازرس ارشد امنیت اطلاعات) سازمان گزارش میکند.
مهندسان امنیت
مسئولیت اصلی مهندسان امنیت، طراحی و مدیریت ساختار امنیتی یک سازمان است. بیشتر این فعالیت شامل ارزیابی، آزمایش، ارائه توصیههای لازم، پیادهسازی و حفظ ابزارها و فناوریهای امنیتی است. همچنین مهندسان امنیت با تیمهای توسعه یا DevOps/DevSecOps (آموزش دواپس) جهت اطمینان از اجرای معماری امنیتی در سطوح مختلف سازمان، همکاری میکنند.
تحلیلگران امنیت
وظیفه این کارشناسان، ارزیابی کامل مسئله امنیتی و پاسخگویی اضطراری در برابر تهدیدات یا حوادث است. وظایف کامل تحلیلگران، در قسمتهای قبل مورد اشاره قرار گرفتند.
شکارچیان تهدید
شکارچیان تهدید یا تحلیلگران متخصص امنیت، متخصص تشخیص و حذف تهدیدات پیشرفته هستند.
همچنین سمتها و متخصصان دیگری که میتوانند در تیم SOC حضور پیدا کنند، با توجه بهاندازه یک سازمان یا صنعت تحت فعالیت آنها تعیین میشوند. در شرکتهای بزرگتر، مدیر پاسخگویی به شرایط اضطراری مسئول ارتباط و هماهنگی در برابر شرایط اضطراری است. همچنین در برخی از SOC ها، کارشناسان دیگری در حوزه بازیابی دادهها و سرنخهای اطلاعات در دستگاههای تخریب شده یا در معرض خطر در یک حادثه امنیت سایبری، فعالیت میکنند.
تفاوت SOC2 و SOC چیست؟
تفاوتهای قابلتوجهی میان SOC در حوزه امنیت سایبری و SOC2 از حیث هدف و کاربرد آنها برای کاربران وجود دارند.
چارچوب SOC2 و SOC چیست؟
گزارش SOC2 مدیریت دادهها را توسط ارائهکنندگان سرویس واسط ارزیابی کرده و بر فرآیندهای امنیت اطلاعات برای واحدها یا سرویسهای مختلف کسبوکار، ارزیابی میکند. از طرف دیگر، SOC در حوزه امنیت سایبری، در پی ارزیابی برنامه مدیریت ریسک امنیت سایبری کل سازمان است.
معیار کنترل SOC2 و SOC چیست؟
در حال حاضر، SOC در حوزه امنیت سایبری، دارای هیچ معیار مشخصی جهت ارزیابی نیست و میتوان از هر نوع چارچوب امنیت سایبری موردنظر یک سازمان (مانند ISO 27001 یا چارچوب امنیت سایبری NIST) استفاده کرد. در مورد SOC2، صرفاً میتوان از معیار سرویس تراست AICPA استفاده کرد که مختص فریمورکهای COSO است.
مخاطب
SOC در حوزه امنیت سایبری برای استفاده کلی، اجرا میشود. SOC مخاطبان متنوع و گستردهای دارد و برای ذینفعان علاقهمند به شناخت اهداف و برنامههای امنیت سایبری یک شرکت، مناسب است. از طرف دیگر، هدف SOC2، کاربران فعال یک سازمان سرویسدهنده است که اطلاعات دقیقی در مورد فرآیندهای امنیت اطلاعات دارند، بنابراین مخاطب آن محدود و خاص است.
ریسکهای واسط
در یک گزارش امنیت سایبری SOC، لازم است تا کلیه ریسکهای واسط در نظر گرفته شده و در سطح بالا ارزیابی شود. گزارشهای SOC2 دارای تفاوتهای ظریفی هستند. اولاً، باید گروههای واسط در نظر گرفته شده تحت عنوان سازمانهای تحت سرویس بر اساس تعریف SOC2 در نظر گرفته شوند. مسئولیت این گروههای واسط، کمک به برآورده کردن معیارهای سرویسهای تراست SOC2 شما است. در گزارشهای SOC2، شما باید مستندات دقیقی را در مورد ارزیابی وضعیت و فرآیندهای مدیریت عرشه کننده برای کلیه سازمانهای تحت سرویس ارائه کنید. در برخی موارد، میتوانید کنترلهای واقعی را که توسط سازمانهای تحت سرویس خاص انجام میشوند، در نظر بگیرید.
اطلاعات حساس
یک گزارش SOC2 حاوی معیارهای سرویسهای تراست و نتایج حاصل از آزمونهای حسابرسان کنترلها است، بنابراین ممکن است اطلاعات حساسی جمعآوری شوند که صرفاً با مخاطب خاصی، به اشتراک گذاشته میشوند. از طرف دیگر، SOC دارای چارچوب گستردهتری است و مخاطبان بزرگتری را هدف میگیرد. بنابراین حاوی اطلاعات حساسی نیست. حتی میتوان این گزارش را در وبسایت یک شرکت برای مشاهده همگان، آپلود کرد.
SOC بهعنوان سرویس (SOCaaS)
SOCaaS یک مدل امنیتی است که به ارائهکنندگان واسط، امکان عملیات و حفظ SOC مدیریت شده را میدهد. این سرویس شامل کلیه کارکردها و وظایف امنیتی اجرا شده توسط یک SOC داخلی و قدیمی شامل پایش شبکه، مدیریت لاگ، تشخیص و شناسایی تهدید، ارزیابی حوادث و پاسخگویی مناسب، گزارشگری و ریسک و انطباق است.
راهکار SIEM در SOC چیست؟
راهکارهای اطلاعات امنیتی و مدیریت رویداد (SIEM)، نوعی راهکار امنیتی هستند که به کسبوکارها جهت پایش و تحلیل دادههای امنیتی بهصورت بلادرنگ کمک میکنند. راهکارهای SIEM، دادهها را از منابع مختلف شامل دستگاههای شبکه، برنامهها و فعالیتهای کاربران و ابزارهای تحلیلی کاربران برای تشخیص تهدیدات احتمالی، جمعآوری میکنند.
راهکارهای SIEM این امکان را به کسبوکارها میدهند تا بهسرعت به حوادث امنیتی واکنش نشان داده و اقدامات اصلاحی را اتخاذ کنند. در مورد بسیاری از SOC ها، این اقدامات شامل پایش، تشخیص و فناوری مناسب جهت پایش و تجمیع هشدارها و اندازهگیریها از نرمافزار و سختافزار بر روی شبکه و تحلیل دادهها در مورد تهدیدات احتمالی هستند.
سطوح مختلف SOC
وبینار آشنایی با مرکز عملیات امنیت SOC Tier 1
بازارکار در ایران
به دلیل حملات زیادی که در زیرساخت اینترنت و شبکههای ایران وجود دارد، تقاضا برای این شغل در سازمان های بزرگ و متوسط خصوصی و دولتی داخل کشور خیلی زیاد شده
در زمان تهیه این مقاله (اردیبهشت 1402) درآمد ماهیانه SOCکارها بین 15 تا 100 میلیون تومان در ماه است. میزان دریافتی یه متخصص با توجه به سطح تخصص، میزان توانایی و دانش فرد و تجربه ایشان متفاوت است.
در سایتهای کاریابی جابینجا و جابویژن لیست آگهی استخدامهای این حوزه قابل مشاهده است.
بازارکار خارج از ایران
بازار کار SOC خارج از ایران بسیار متنوع و رقابتی است. تقاضا برای حرفهایهای SOC در کشورهایی مانند ایالات متحده، کانادا، استرالیا و انگلستان بالاست. چون این کشورها صنعت امنیت سایبری خوبی دارند و فرصتهای شغلی زیادی برای تحلیلگران، مهندسین، مدیران و مشاوران SOC فراهم میکنند.
در ایالات متحده، شغل های SOC در صنایع مختلف از جمله مالی، بهداشت، سازمان های دولتی و شرکت های فناوری در دسترس است. حقوق متوسط یک تحلیلگر SOC در این کشور حدود 75,000 دلار در سال است.
کانادا نیز صنعت امنیت سایبری رو به رشد خود را دارد و فرصت های شغلی بسیاری برای حرفهایهای SOC فراهم می کند. متوسط حقوق یک تحلیلگر SOC 70,000 دلار کانادا در سال است.
استرالیا به دلیل اقتصاد دیجیتال رو به رشد خود، تقاضای زیادی برای حرفهایهای امنیت سایبری دارد. متوسط حقوق یک تحلیلگر SOC 100,000 دلار استرالیا در سال است.
انگلستان نیز با حقوق متوسط 40,000 پوند در سال، فرصت های شغلی زیادی برای حرفهای های SOC ارائه میکند.
کلام پایانی
در این مقاله از بلاگ کندو به پرسشهای اساسی در مورد SOC نظیر اهمیت SOC چیست؟ وظیفه تحلیلگر SOC چیست؟ و یا تفاوت بین SOC2 و SOC چیست؟ و بسیاری از پرسشهای دیگر، پاسخ دادیم. مرکز عملیات امنیتی نقش بسیار مهمی در سازمانها برای پایش، کشف و پاسخگویی سریع در برابر تهدیدات و حوادث دارد.