• ساعت : ۱۳:۵۳:۵۴
  • تاريخ :
     ۱۳۹۸/۰۲/۲۸ 
  • تعداد بازدید : 280
  • کد خبر : ۲۳۱۸
مركز عملیات امنیت هوشمند

سفر به SOC هوشمند ...
در این مقاله، ویژگی هایی را که SOC را هوشمند می سازند مورد بررسی قرار داده ایم. یک SOC هوشمند می تواند اساس و پایه ی تلاش گسترده تر سازمان شما برای مدیریت ریسک های دیجیتال باشد. یک SOC هوشمند به صورت یکپارچه تمام ابزار و فعالیت های امنیتی را ادغام می کند، که موقعیت سازمان را برای دفاع در برابر تهدیدات پیشرفته و دشمنان تعیین می کند. این رویکرد از یک SIEM تکامل یافته نیرو می گیرد، که ترکیبی از دیدگاه جامع، تجزیه و تحلیل پیشرفته، و توانایی های ارکستراسیون غنی و اتوماسیون است، و ارزش امنیت را با پشتیبانی دو طرفه برای کسب و کار و ریسک که راهبرد استراتژی سازمان را هدایت می کند، افزایش می دهد. یک SOC هوشمند سازمان شما در تشخیص و پاسخ دادن به تهدیدات در زمان کمتری، بهتر می سازد، و در عین حال حداکثر ارزش از همه سرمایه گذاری های امنیتی خود را در مردم، روند و فن آوری را ایجاد میکند.


البته، تغییرات گسترده ای در سبک های SOC انتخاب یک رویکرد واحد که برای همه مناسب باشد را مشکل می سازد. برای بسیاری از CISO ها و مدیران مرکز عملیات امنیت، اصول SOC هوشمند همچنان آرمانی هستند. در حالی که این امر می تواند بسیار عالی باشد - و تمام مزایای استفاده از آن - آتش سوزی هایی وجود دارد که می بایست خاموش شوند، و برای در نظر گرفتن تغییرات در امنیت برنامه ریزی، بودجه بندی و ارزیابی لازم برای تغییرات امنیتی لازم هستند.
در این معنا، این برای سازمان هایی که مایل به دستیابی به یک SOC هوشمند هستند یک سفر است... فقط فکر کنید که چقدر SOC (و چشم انداز تهدید کلی) در طی پنج سال گذشته تکامل یافته است.


بنابراین، سفر شما چگونه است؟ شما احتمالا دورتر از انچه فکر می کنید هستید. خبر خوب این است که یک SOC هوشمند از تمام سرمایه گذاری های امنیتی فعلی شما بهره می گیرد، با SIEM تکامل یافته به عنوان مرکز اصلی SOC حال حاضر شما.
بیایید نگاهی به الزامات SOC هوشمند کنیم.


دید، دید و دید بیشتر
SIEM تکامل یافته اطلاعات داده شده از سرورها، راه حل ها و سیستم عامل ها را در بین لاگ ها، شبکه، Netflow و منابع داده های انتهایی، چه در محل، در ابر و / یا در ظروف مجازی، میزبانی شوند را بلعیده و نرمال سازی می کند. اگر زیاد به نظر می رسد ، واقعا همین طور است.
دو دلیل وجود دارد که دید بسیار مهم است. بدیهی است، اولین مزیت این است که می توانید فعالیت هایی را مشاهده کنید که در غیر این صورت برای شما امکان پذیر نیست. برای مثال، اگر شما فقط لاگ ها را نظارت کنید، نمیتوانید جلسات را بازبینی کنید تا بررسی کنید که چه اتفاقی افتاده است. به طور مشابه، اگر شما نمی توانید به داده ها در ابر یا نقاط انتهایی دسترسی پیدا کنید، هر شاخصی را که وجود دارد، از دست خواهید داد.


سود دوم در شاخص های متفاوت مرتبط است. لاگ ها برای هشدار تلاش برای نفوذ بسیار مهم هستند. با این حال، لاگ ها را می توان با دید بیشتر از سوی داده ها، مانند بسته های شبکه و نقطه پایانی افزایش یافته تکمیل کرد. یک قاعده همبستگی استاندارد که پنج تلاش ناموفق ورود به سرور ویندوز را نشان می دهد، ممکن است نشان دهنده ی حدس رمز عبور یا حملات خشونت آمیز باشد.


اضافه کردن دید در شبکه برای نشان دادن اینکه کاربر فایلی را فشرده کرده و آن را به یک IP در لک لیست منتقل کرده است که به وسیله ی هوش زنده نمایش داده می شود، دید بسیار واضح تر و قابل قبول تر از آنچه رخ می دهد را ارائه می دهد.
نکته اساسی این است که به منظور شناسایی و واکنش به تهدیدها به طور قابل توجهی نیاز به دید دارید. در این قسمت از سفر شما سؤالاتی را مطرح می کنید که در مورد انواع دید موجود و امکان بهبود با اضافه کردن اجزایی مانند نظارت بر شبکه یا شناسایی نقطه پایان و پاسخ (EDR) هستند.


تجزیه و تحلیل موثر
البته، گرفتن تمام داده ها مفید نیست اگر شما نتوانید آن را به طور مناسب تجزیه و تحلیل کنید. این مشکل نسل اول SIEM ها است: اگر تعداد زیادی هشدار وجود داشته باشد، هشدارها بی ارزش هستند، به خصوص اگر شما نمی توانید آنها را به شیوه ای معقول تر تعیین کنید.
علم اطلاعات برای متوقف کردن این شکاف تلاش کرده است. با استفاده از تکنیک های جدید پیشرفته در یادگیری ماشین، تجزیه و تحلیل رفتار کاربر و نهاد (UEBA) و هوش تهدید در زمان واقعی، یک SIEM تکامل یافته می تواند داده ها را به بینش تبدیل کند و زمان متوسط تشخیص (MTTD) را فشرده کند تا تهدیدات را قبل از اینکه باعث آسیب شود پیدا کند.
همان طور که سفر خود را طراحی می کنید، بررسی کنید که میزان توانایی تجزیه و تحلیل SOC شما چقدر کارایی بالایی دارد. به طور خاص، پلت فرم SIEM خود را مقیاس پذیری کنید و این که آیا به اندازه کافی برای اداره منابع و انواع داده های متفاوت در یک موتور واحد تکامل یافته است یا خیر - زیرا اگر شما راه حل های چندگانه و رابط کاربری را داشته باشید، احتمالا قابلیت همبستگی شما محدود است.


اتوماسیون و ارکستراسیون یک ابرقدرت امنیتی است.
یافتن تهدیدها مهم است، اما این فقط آغاز است. با افزایش حجم و سرعت تهدیدها، یک SOC هوشمند ممکن است خود را همچنان در معرض خستگی هشدار قرار دهد. حتی با توجه به اولویت بندی، بسیاری از سازمان ها به طور موثری برای ترویج، تحقیق و پاسخ به تهدیدهای مداوم که با آنها مواجه هستند، تلاش می کنند.
SOC هوشمند ویژگی های قابلیت های ارکستراسیون، اتوماسیون و پاسخ (SOAR) است که به طور چشمگیری کارایی SOC و افراد آن را افزایش می دهد. در نظر بگیرید که اکثر تهدیدها ناشناخته نیستند، بلکه تکراری از (اغلب با تغییر اندکی) سوء استفاده های شناخته شده اند: درهای پشتی، باج افزار، بات نت و غیره. هربار که یکی از این ها شناسایی می شود، مجموعه ای از مراحل تحقیق و اصلاحی انجام میشود. یک راه حل کامل SOAR این فعالیت های مشترک را خودکار می کند، در حالیکه ارکستراسیون فرآیند تیم شما را از طریق تحقیقات بهبود می بخشد. در این بعد از SOC هوشمند، بررسی کنید که چگونه ابزارها و فرآیندها، در فرایند بسیار مهم برای مقابله با تهدیدات کمک می کند، زمانی که آنها را شناسایی کنید.


مدیریت خطر دیجیتالی با یک SOC هوشمند
سرانجام، SOC هوشمند، از نقش حیاتی آن در فعالیت های مدیریت استراتژیک ریسک یک سازمان مدرن دارد. SOC سیلو ها را بین گروه های مدیریت امنیت و ریسک تقسیم می کند و این بدین معنی است که آنها دو طرف یک سکه هستند. امنیت دیجیتال یکی از بزرگترین خطراتی است که هر سازمان دارد، در حالی که سیاست های ریسک یک لایه حیاتی برای فعالیت های امنیتی شما فراهم می کند. پاسخی که ارزش نسبی دارایی ها را نادیده می گیرد ذاتا کم است. به عنوان مثال، یک کامپیوتر که حاوی حقوق و دستمزد یا اطلاعات قیمت گذاری است، توجه بیشتری نسبت به یک سرور HTTP ساده که منو کافه تریای شما و دیگر دارایی های غیر بحرانی را میزبانی می کند، لازم دارد. شما مطمئنا می خواهید هر دو را نظارت کنید، اما برای تهدیدی که در هر دو مورد کشف شده است، سیستم مهم تر از اولویت بالاتری برخوردار خواهد بود. 


در این مورد، سفر نیاز به ارزیابی رابطه بین ریسک تجاری و عملکرد امنیتی دارد. این مرز بعدی در امنیت سایبری است. در یک مطالعه اخیر 82 درصد از پاسخ دهندگان نقض امنیتی را به عنوان یک خطر تجاری، و نه فقط یک خطر امنیتی عنوان می کنند، در حالی که 73 درصد از پاسخ دهندگان موافقت کردند که ارتباط بین امنیت فناوری اطلاعات و تیم های ریسک کسب و کار به منظور هماهنگی میتواند دشوار باشد. SOC هوشمند این اختلاف را از طریق یکپارچگی متفکرانه مورد خطلب قرار می دهد.


یک سفر با یک مرحله آغاز می شود
در واقع نقل قول Tao Te Ching این است که "یک سفر هزار مایلی با یک قدم شروع می شود." سفر شما ممکن است بطور قابل توجهی کمتر از آن باشد، چرا که اجزای SOC هوشمند شامل مواردی است که در حال حاضر دارید.
مهم شروع سفر است. همانطور که SOC خود را به یک SOC هوشمند تبدیل می کنید، ارزیابی کنید که ابعاد دید، تجزیه و تحلیل، اتوماسیون و ریسک کاهش یابد. با استفاده از این دانش شما می توانید نقشه راه خود را در یک دنباله ای که حداکثر اثر و هزینه بهره وری را به ارمغان می آورد، ایجاد کنید. 

امتیاز :  ۳.۳۳ |  مجموع :  ۳

برچسب ها

    © تمامی حقوق این پورتال محفوظ و در اختیار گروه دوران می باشد.

    5.3.4.0
    V5.3.4.0