مهارت یا جایگاه شغلی SOC چیست؟

با توجه به ضرورت جلوگیری از حوادث مهم سایبری، کاهش تهدیدات و درنتیجه، اجرای عملیات امنیتی متمرکز، مراکز عملیاتی سایبری می‌توانند رویکرد جامعی را در تشخیص، جلوگیری و کاهش خطرات ارائه کنند. استفاده از یک SOC کارآمد سبب محافظت پیوسته و پایش مستمر فعالیت‌های غیرمعمول می‌شود. همچنین SOC توانایی جلوگیری از تهدیدات احتمالی و شکار تهدید را با تحلیل و مدل‌سازی دارد. با آموزشگاه مهندسی کندو همراه باشید.

دلیل اهمیت SOC چیست؟

هدف SOC، دستیابی به نمایی کامل از چشم‌انداز تهدیدات یک کسب‌وکار شامل انواع مختلف دستگاه‌های نهایی، سرورها و نرم‌افزارها و همچنین سرویس‌های واسط و جریان ترافیک میان این دارایی‌ها است. 

کارکرد کلیدی SOC چیست؟

به‌طورکلی مراکز عملیات امنیتی در طی 24 ساعت شبانه‌روز و هفت روز هفته فعالیت می‌کنند و کارکنان این واحدها به‌صورت نوبتی جهت کاهش تهدیدات و مدیریت فعالیت لاگ، کار می‌کنند. همچنین در برخی مواقع، ارائه‌کنندگان واسط برای عرضه سرویس‌های SOC سازمان‌ها استخدام می‌شوند. 

کارکردهای کلیدی یک SOC عبارت‌اند از: 

• پایش و مدیریت موقعیت امنیتی یک شرکت 
• ارائه و پیاده‌سازی رویه‌ها و خط‌مشی‌های امنیتی 
• ارائه آموزش کافی در مورد اطلاعات امنیتی به کارکنان 
• پاسخگویی به حوادث امنیتی 
• تحلیل لاگ ها، ترافیک شبکه و منابع داده‌ای دیگر برای شناسایی تهدیدات و آسیب‌های احتمالی 
• اجرای ارزیابی‌های آسیب‌پذیری
• ارائه گزارش‌های اطلاعاتی در مورد تهدیدات 
• طراحی و پیاده‌سازی راهکارهای امنیتی 

تعریف تحلیلگر SOC چیست؟

یک تحلیلگر SOC، فردی است که به‌صورت گروهی جهت پایش، تحلیل و پاسخگویی در برابر شرایط امنیتی، فعالیت می‌کند. هدف اصلی فعالیت یک تحلیلگر SOC، جلوگیری از بروز حملات بر روی یک شبکه است. تحلیلگران، شبکه را از حیث وجود نشانه‌های یک حمله پایش می‌کنند. با کشف یک حمله، تحلیلگران این تهاجم را با حضور اعضای دیگر تیم، بررسی می‌کنند. 

وظیفه تحلیلگر SOC چیست؟

تحلیلگر SOC، مسئول پایش و ارزیابی کامل سیستم‌های یک شرکت است. همچنین تحلیلگران به دنبال بررسی فعالیت‌های شبکه و کسب اطمینان کافی در مورد عدم وقوع فعالیت‌های مشکوک هستند. ازطرفی، تحلیلگر SOC با دپارتمان‌های دیگر شرکت مانند واحدهای منابع انسانی یا فروش همکاری می‌کند تا از امنیت سیستم خود، اطمینان یابند. اگر فردی در یکی از این دپارتمان‌ها، مسئله‌ای با رایانه از حیث مسائل امنیتی داشته باشد، وظیفه تحلیلگر SOC، حل این مسئله است. شاید بپرسید وظایف دیگر تحلیلگر SOC چیست؟ در این بخش وظایف دیگر او را مطرح می‌کنیم: 

دانش کافی در مورد تازه‌ترین تهدیدات امنیتی 

تحلیلگران SOC موظف هستند که دانش خود را در مورد آخرین تهدیدات امنیتی برای امنیت سازمان خود، به‌روز نگه دارند. وجود این اطلاعات سبب واکنش سریع آن‌ها در برابر هرگونه مسئله احتمالی پیش از جدی شدن این مسئله برای یک شرکت می‌شود. 

مشارکت در ارزیابی‌های امنیتی 

ارزیابی مسائل امنیتی برای حفظ امنیت یک سازمان اهمیت قابل‌توجهی دارد و شما می‌توانید آسیب‌ها را پیش از هرگونه برداری اطلاعات توسط عوامل مخرب یا هکرها رفع کنید. تحلیلگر SOC به‌طور مستقیم در این ارزیابی‌ها شرکت کرده و به آماده‌سازی و بررسی داده‌ها کمک می‌کند. 

منظور از گواهی‌های تحلیلگری SOC چیست؟

گواهی‌های زیادی توسط مؤسسات مختلف در زمینه تحلیل SOC ارائه می‌شوند اما تنها تعداد کمی از آن‌ها برای مشاغل امنیت سایبری مفید هستند. در این بخش، فهرستی از بهترین گواهی‌های مناسب برای تحلیلگران را بیان می‌کنیم: 

CompTIA Security+

این گواهی، یکی از بهترین گواهی‌های سطوح اولیه امنیت سایبری برای تمامی کسانی محسوب می‌شود که قصد ورود به حوزه امنیت سایبری را دارند. در این دوره، مباحث کنترل دسترسی امنیتی، رمزنگاری و ریسک‌های موجود در حوزه رایانش ابری مطرح می‌شود. همچنین این گواهی، یکی از بهترین گواهی‌ها برای ورود به بسیاری از شرکت‌های متخصص در حوزه امنیت سایبری محسوب می‌شود. 

CompTIA CySA+

این گواهی متمرکز بر شبکه و امنیت برنامه است و در آن موضوعاتی همچون پیکربندی امن فایروال‌ها و پروکسی‌ها، ارزیابی آسیب‌پذیری و آزمون نفوذ مطرح می‌شود. این گواهی، مدرک بسیار معتبری برای تمامی افرادی است که قصد دارند در زمینه مدیریت و امنیت IT فعالیت کنند. 

گواهی تحلیلگر SOC تائید شده (CSA) شورای EC

گواهی CSA شورای EC، انتخاب بسیار مطلوبی برای تمامی افرادی محسوب می‌شود که می‌خواهند در زمینه پاسخگویی فوری به تهدیدات در SOC سازمان خود، تخصص پیدا کنند. کسب گواهی CSA نیازمند تجربه و دانش کافی است. 

مهارت فنی تحلیلگر SOC چیست؟

یکی از مهم‌ترین پرسش‌های علاقه‌مندان به حوزه SOC این است که منظور از مهارت‌های فنی تحلیلگر SOC چیست؟ برخی از انواع مهارت‌های فنی لازم یک تحلیلگر SOC عبارت‌اند از: 

تشخیص نفوذ 

تحلیلگر SOC باید بتواند نفوذ در سیستم‌های رایانه یک سازمان را تشخیص دهد. این نفوذ شامل اختلال توسط بدافزارها تا نشت احتمالی داده‌ها در آینده در زمینه آموزش امنیت شبکه است. 

واکنش فوری به یک رویداد

این قابلیت به معنای کاهش و از بین بردن اثر یک حمله بر روی سیستم‌های یک شرکت است. برخی از اقدامات لازم در این حوزه عبارت‌اند از:

• بررسی علت ریشه‌ای جهت تعیین آسیب‌های فنی که باعث دسترسی هکرها به سیستم شده است. 
• خاموش کردن دستگاه‌های در معرض خطر یا قطع ارتباط آن‌ها از شبکه 
• جداسازی نواحی در معرض خطر در شبکه یا روتینگ دوباره ترافیک شبکه 
• متوقف کردن فعالیت‌های فرآیندها یا برنامه‌های در معرض خطر
• حذف کردن فایل‌های خراب شده یا آلوده شده 
• اجرای نرم‌افزار ضد بدافزار و آنتی‌ویروس‌ها 
• تعلیق گذرواژه‌ها برای کاربران داخلی و خارجی 

مهارت‌های برنامه‌نویسی 

هرچند که کارشناسان امنیت شبکه باید تسلط قابل‌توجهی به مهارت‌های فنی در زمینه تهدیدات داشته باشند، اما مهارت مهم دیگر، شناخت کامل زبان‌های برنامه‌نویسی است. تحلیلگران SOC غالباً با مهندسان امنیت شبکه و کارشناسان امنیتی برای تعیین راهبردهای کاهش تهدیدات همکاری می‌کنند. مهارت‌های کدنویسی و برنامه‌نویسی، اهمیت بسیار زیادی دارند. به‌طور مثال دانش کافی از جاوا اسکریپت، آموزش C++ و آموزش پایتون، یکی از پیش‌نیازهای مهم یک کارشناس SOC محسوب می‌شود. 

مدیریت ریسک 

تحلیلگر SOC باید از ریسک‌های خاص فعالیت‌ها آگاهی داشته باشد و تصمیم‌گیری لازم را در مورد آن‌ها اتخاذ کند. یک تحلیلگر باید بتواند فشارهای احتمالی در رویه‌های کاری را کنترل کند. توانایی کار تحت‌فشار در طی وقوع حادثه و برآورده کردن الزامات زمانی جهت ارزیابی منظم امنیت شبکه، ضروری است. 

هک اخلاقی 

منظور از این مهارت، توانایی هک کردن سیستم‌های رایانه بدون نقض قوانین یا مقررات و استفاده از اطلاعات به دست آمده برای هدفی مطلوب. این فرآیند با نام تست نفوذ یا اسکن آسیب‌پذیری شناخته می‌شود. 

بیشتر بخوانید: وبینار آشنایی با دنیای هک و امنیت – مهندس کدخدازاده

مهارت‌های نرم تحلیلگر SOC چیست؟

در کنار مهارت‌های فنی که در قسمت قبل به آن‌ها اشاره شد، تحلیلگر SOC باید دارای برخی از مهارت‌های نرم جهت موفقیت هر چه بیشتر خود در این عرصه باشد. برخی از این مهارت‌های نرم شامل توانایی حل مسئله، مهارت‌های سازمانی، تفکر نقاد و قابلیت انجام کار تیمی است. 

وظیفه تیم SOC چیست؟

به‌طورکلی، نقش‌های اصلی تیم SOC عبارت‌اند از: 

مدیر SOC

مدیر SOC فردی است که مدیریت تیم را بر عهده دارد و بر کلیه عملیات امنیتی نظارت کرده و به CISO (بازرس ارشد امنیت اطلاعات) سازمان گزارش می‌کند. 

مهندسان امنیت 

مسئولیت اصلی مهندسان امنیت، طراحی و مدیریت ساختار امنیتی یک سازمان است. بیشتر این فعالیت شامل ارزیابی، آزمایش، ارائه توصیه‌های لازم، پیاده‌سازی و حفظ ابزارها و فناوری‌های امنیتی است. همچنین مهندسان امنیت با تیم‌های توسعه یا DevOps/DevSecOps (آموزش دواپس) جهت اطمینان از اجرای معماری امنیتی در سطوح مختلف سازمان، همکاری می‌کنند. 

تحلیلگران امنیت 

وظیفه این کارشناسان، ارزیابی کامل مسئله امنیتی و پاسخگویی اضطراری در برابر تهدیدات یا حوادث است. وظایف کامل تحلیلگران، در قسمت‌های قبل مورد اشاره قرار گرفتند. 

شکارچیان تهدید 

شکارچیان تهدید یا تحلیلگران متخصص امنیت، متخصص تشخیص و حذف تهدیدات پیشرفته هستند. 

همچنین سمت‌ها و متخصصان دیگری که می‌توانند در تیم SOC حضور پیدا کنند، با توجه به‌اندازه یک سازمان یا صنعت تحت فعالیت آن‌ها تعیین می‌شوند. در شرکت‌های بزرگ‌تر، مدیر پاسخگویی به شرایط اضطراری مسئول ارتباط و هماهنگی در برابر شرایط اضطراری است. همچنین در برخی از SOC ها، کارشناسان دیگری در حوزه بازیابی داده‌ها و سرنخ‌های اطلاعات در دستگاه‌های تخریب شده یا در معرض خطر در یک حادثه امنیت سایبری، فعالیت می‌کنند. 

تفاوت SOC2 و SOC چیست؟

تفاوت‌های قابل‌توجهی میان SOC در حوزه امنیت سایبری و SOC2 از حیث هدف و کاربرد آن‌ها برای کاربران وجود دارند. 

چارچوب SOC2 و SOC چیست؟

گزارش SOC2 مدیریت داده‌ها را توسط ارائه‌کنندگان سرویس واسط ارزیابی کرده و بر فرآیندهای امنیت اطلاعات برای واحدها یا سرویس‌های مختلف کسب‌وکار، ارزیابی می‌کند. از طرف دیگر، SOC در حوزه امنیت سایبری، در پی ارزیابی برنامه مدیریت ریسک امنیت سایبری کل سازمان است. 

معیار کنترل SOC2 و SOC چیست؟

در حال حاضر، SOC در حوزه امنیت سایبری، دارای هیچ معیار مشخصی جهت ارزیابی نیست و می‌توان از هر نوع چارچوب امنیت سایبری موردنظر یک سازمان (مانند ISO 27001 یا چارچوب امنیت سایبری NIST) استفاده کرد. در مورد SOC2، صرفاً می‌توان از معیار سرویس تراست AICPA استفاده کرد که مختص فریم‌ورک‌های COSO است. 

مخاطب

SOC در حوزه امنیت سایبری برای استفاده کلی، اجرا می‌شود. SOC مخاطبان متنوع و گسترده‌ای دارد و برای ذی‌نفعان علاقه‌مند به شناخت اهداف و برنامه‌های امنیت سایبری یک شرکت، مناسب است. از طرف دیگر، هدف SOC2، کاربران فعال یک سازمان سرویس‌دهنده است که اطلاعات دقیقی در مورد فرآیندهای امنیت اطلاعات دارند، بنابراین مخاطب آن محدود و خاص است. 

ریسک‌های واسط 

در یک گزارش امنیت سایبری SOC، لازم است تا کلیه ریسک‌های واسط در نظر گرفته شده و در سطح بالا ارزیابی شود. گزارش‌های SOC2 دارای تفاوت‌های ظریفی هستند. اولاً، باید گروه‌های واسط در نظر گرفته شده تحت عنوان سازمان‌های تحت سرویس بر اساس تعریف SOC2 در نظر گرفته شوند. مسئولیت این گروه‌های واسط، کمک به برآورده کردن معیارهای سرویس‌های تراست SOC2 شما است. در گزارش‌های SOC2، شما باید مستندات دقیقی را در مورد ارزیابی وضعیت و فرآیندهای مدیریت عرشه کننده برای کلیه سازمان‌های تحت سرویس ارائه کنید. در برخی موارد، می‌توانید کنترل‌های واقعی را که توسط سازمان‌های تحت سرویس خاص انجام می‌شوند، در نظر بگیرید. 

اطلاعات حساس

یک گزارش SOC2 حاوی معیارهای سرویس‌های تراست و نتایج حاصل از آزمون‌های حسابرسان کنترل‌ها است، بنابراین ممکن است اطلاعات حساسی جمع‌آوری شوند که صرفاً با مخاطب خاصی، به اشتراک گذاشته می‌شوند. از طرف دیگر، SOC دارای چارچوب گسترده‌تری است و مخاطبان بزرگ‌تری را هدف می‌گیرد. بنابراین حاوی اطلاعات حساسی نیست. حتی می‌توان این گزارش را در وب‌سایت یک شرکت برای مشاهده همگان، آپلود کرد. 

SOC به‌عنوان سرویس (SOCaaS) 

SOCaaS یک مدل امنیتی است که به ارائه‌کنندگان واسط، امکان عملیات و حفظ SOC مدیریت شده را می‌دهد. این سرویس شامل کلیه کارکردها و وظایف امنیتی اجرا شده توسط یک SOC داخلی و قدیمی شامل پایش شبکه، مدیریت لاگ، تشخیص و شناسایی تهدید، ارزیابی حوادث و پاسخگویی مناسب، گزارشگری و ریسک و انطباق است. 

راهکار SIEM در SOC چیست؟

راهکارهای اطلاعات امنیتی و مدیریت رویداد (SIEM)، نوعی راهکار امنیتی هستند که به کسب‌وکارها جهت پایش و تحلیل داده‌های امنیتی به‌صورت بلادرنگ کمک می‌کنند. راهکارهای SIEM، داده‌ها را از منابع مختلف شامل دستگاه‌های شبکه، برنامه‌ها و فعالیت‌های کاربران و ابزارهای تحلیلی کاربران برای تشخیص تهدیدات احتمالی، جمع‌آوری می‌کنند. 

راهکارهای SIEM این امکان را به کسب‌وکارها می‌دهند تا به‌سرعت به حوادث امنیتی واکنش نشان داده و اقدامات اصلاحی را اتخاذ کنند. در مورد بسیاری از SOC ها، این اقدامات شامل پایش، تشخیص و فناوری مناسب جهت پایش و تجمیع هشدارها و اندازه‌گیری‌ها از نرم‌افزار و سخت‌افزار بر روی شبکه و تحلیل داده‌ها در مورد تهدیدات احتمالی هستند. 

سطوح مختلف SOC

• SOC Tier1
• SOC Tier2
• SOC Tier3

وبینار آشنایی با مرکز عملیات امنیت SOC Tier 1

بازارکار در ایران

به دلیل حملات زیادی که در زیرساخت اینترنت و شبکه‌های ایران وجود دارد، تقاضا برای این شغل در سازمان های بزرگ و متوسط خصوصی و دولتی داخل کشور خیلی زیاد شده

در زمان تهیه این مقاله (اردیبهشت 1402) درآمد ماهیانه SOCکارها بین 15 تا 100 میلیون تومان در ماه است. میزان دریافتی یه متخصص با توجه به سطح تخصص، میزان توانایی و دانش فرد و تجربه ایشان متفاوت است.

در سایت‌های کاریابی جابینجا و جاب‌ویژن لیست آگهی‌ استخدام‌های این حوزه قابل مشاهده است.

بازارکار خارج از ایران

بازار کار SOC خارج از ایران بسیار متنوع و رقابتی است. تقاضا برای حرفه‌ای‌های SOC در کشورهایی مانند ایالات متحده، کانادا، استرالیا و انگلستان بالاست. چون این کشورها صنعت امنیت سایبری خوبی دارند و فرصت‌های شغلی زیادی برای تحلیلگران، مهندسین، مدیران و مشاوران SOC فراهم می‌کنند.

در ایالات متحده، شغل های SOC در صنایع مختلف از جمله مالی، بهداشت، سازمان های دولتی و شرکت های فناوری در دسترس است. حقوق متوسط یک تحلیلگر SOC در این کشور حدود 75,000 دلار در سال است.

کانادا نیز صنعت امنیت سایبری رو به رشد خود را دارد و فرصت های شغلی بسیاری برای حرفه‌ای‌های SOC فراهم می کند. متوسط حقوق یک تحلیلگر SOC 70,000 دلار کانادا در سال است.

استرالیا به دلیل اقتصاد دیجیتال رو به رشد خود، تقاضای زیادی برای حرفه‌ای‌های امنیت سایبری دارد. متوسط حقوق یک تحلیلگر SOC 100,000 دلار استرالیا در سال است.

انگلستان نیز با حقوق متوسط 40,000 پوند در سال، فرصت های شغلی زیادی برای حرفه‌ای های SOC ارائه می‌کند.

کلام پایانی 

در این مقاله از بلاگ کندو به پرسش‌های اساسی در مورد SOC نظیر اهمیت SOC چیست؟ وظیفه تحلیلگر SOC چیست؟ و یا تفاوت بین SOC2 و SOC چیست؟ و بسیاری از پرسش‌های دیگر، پاسخ دادیم. مرکز عملیات امنیتی نقش بسیار مهمی در سازمان‌ها برای پایش، کشف و پاسخگویی سریع در برابر تهدیدات و حوادث دارد.