نحوه ارزیابی ارائه دهندگان SOC به عنوان یک سرویس
طی سالیان گذشته جهت ایجاد یک مرکز عملیات امنیتی یا SOC (به انگلیسی: security operations center) در سازمانتان باید با توجه به مهارتهای مورد نیاز و میزان بودجهای که در اختیار داشتید یکی از روشهای زیر را انتخاب و اجرا میکردید:
- خودتان یک مرکز عملیات امنیتی میساختید.
- از یک مجموعه سرویس مدیریت شده استفاده میکردید.
اگرچه موارد بالا همچنان جزو راهکارهای اصلی برای ایجاد SOC هستند ولی در حال حاضر صنعت ارایه SOC به صورت یک سرویس یا SOCaaS (به انگلیسی: SOC-as-a-service) به حدی رشد و توسعه یافته که نقش فروشندگان این خدمات در این حوزه بسیار حیاتی شده است. با پیشرفت ابزارهای امنیت مبتنی بر ابر، برنامههای کاربردی و مراکز داده خاصی هم در این محیطها شکل گرفتهاند. بعضی از سرویسهای معرفی شده در این مطلب خودشان را SOCaaS میدانند و بعضی دیگر از سایر اسامی مثل سرویسهای مدیریت شده استفاده میکنند.
یکی از نشانههای این رشد و تکامل اکتسابها و ادغامهای زیادی هستند که طی سالیان اخیر در بازار صورت گرفتهاند. خرید AlienVault توسط شرکت AT&T نیز مقدمه شروع این اکتسابها و ادغامها بودند. پس از آن نیز CrowdStrike شرکت Humio، eSentire شرکت CyFIR، Sophos شرکت Braintrace، Rapid7 شرکت IntSights، HelpSystems شرکت Alert Logic و گوگل شرکت Mandiant را (پس از جدا شدن این شرکت از فایرآی) اکتساب کردند. این ادغامها نشان میدهند که شاهد کمرنگتر شدن مرزها در بازار خدمات امنیتی هستیم و ممکن است مرز بین MSS، MDR و SOCaaS مشخص نباشد.
شواهد دیگر از وقوع چنین تحولی در اصطلاحی تحت عنوان لبه سرویس دسترسی امن یا SASE (به انگلیسی: secure access service edge) مشهود است. این اصطلاح معمولاً نشاندهنده ابزارهای امنیتی یکپارچه مربوط به محیطهای ابر ترکیبی است. در مجموع مشخصه اصلی این تحول قابلیت استفاده از همه این ابزارها در قالب یک مجموعه یکپارچه است که به شرکتها کمک میکنند تا نیازی به بررسی انواع و اقسام هشدارهای امنیتی مختلف نداشته باشند. وجود یک SOCaaS به پر کردن خلأ موجود در بین این ابزارها کمک کرده و یک دید یکپارچه نسبت به چشمانداز امنیت ایجاد مینماید.
آنچه که منجر به افزایش پیچیدگی چنین شرایطی شده این است که هر ارایهدهنده راهکار، ریشه در یک کسبوکار متفاوت با تمرکز به یک حوزه امنیتی خاص دارد. زبان و اصطلاحات خاص این کسبوکارها به ابزارها، بازاریابی و شیوه پرداختن آنها به جزئیات هم نفوذ کرده است. شرکتها معمولاً در قالب یکی از موارد زیر کار خود را شروع کردند:
- به عنوان ارایهدهنده راهکارهای رویدادهای امنیتی مدیریت شده (Alert Logic)؛
- به عنوان فروشنده راهکارهای تشخیص مدیریت شده (Network Technology Partners که در حال حاضر با Business System Solutions ادغام شده)؛
- به عنوان فروشنده راهکارهای امنیتی مدیریت شده برای نقاط پایانی (Symantec که امروزه بخشی از Broadcom و Trustwave است).
تعدادی از این سازمانها کنسولهای سبک SOC را برای مدیریت محصولات خودشان طراحی نموده و سپس آنها را به ابزارهای عمومیتر که امکان اتصال آنها به مجموعهای وسیع از ابزارها وجود دارد تبدیل کردند (برای مثال Critical Start از یک نرمافزار همراه استفاده میکند و Arctic Wolf و DigitalHands ابزارهای خاص خودشان را طراحی کردهاند). بعضی از این شرکتها در ابتدا بخش امنیتی شرکتهای عظیم تولید کامپیوتر مثل آیبیام، دل و اچپی بودهاند و بعضی دیگر نیز این کار را با راهاندازی مراکز عملیات شبکه مدیریت خودشان شروع کرده و سپس وارد حوزه امنیت شدند (مثل AccountabilIT).
فروشندگان سرویسهای امنیتی مدیریت شده
- AccountabillT تشخیص و واکنش مدیریت شده
- HelpSystems/Alert Logic کارشناسان/ ملزومات تشخیص و واکنش مدیریت شده
- AlienLabs/AT&T تشخیص و واکنش مدیریت شده
- Arctic Wolf تشخیص و واکنش مدیریت شده
- Critial Start مرکز SOC سیار
- CrowdStrike/Humio مدیریت لاگ
- Dell Technologies MDR
- DigitalHands SOCaas
- eSentire تشخیص و واکنش مدیریت شده
- Google/Mandiant تشخیص و واکنش مدیریت شده
- HP Wolf Security Services تشخیص و واکنش توسعه یافته
- IBM سیستم SOAR و Security QRadar SIEM
- Network Technology Partners/ تشخیص و واکنش مدیریت شده/ راهکارهای سیستمهای تجاری
- Rapid7/IntSights هوش تهدید
- Sophos/Braintrace تشخیص و واکنش توسعه یافته
- Symantec/Broadcom SOCaas
- Trustwave تشخیص و واکنش مدیریت شده
مدل مرکز عملیات امنیتی مدرن
در سالهای اخیر مؤسسه گارتنر همواره در حال تلاش برای ایجاد نظم در این حوزه و اصلاح و بهبود مدل چند سطحی داخلی ترکیبی SOC خودش بوده است؛ بنا بر گزارشی که در سال 2021 میلادی توسط این شرکت منتشر شده: «یک SOC مدرن شامل کلیه موارد مورد نیاز مشتری است. این سرویس باید منعطف بوده و انواع ابزارهای پیشگیرانه برای بررسی جعل، نفوذ فیزیکی و مبتنی بر شبکه، نظارت بر روی رویدادهای امنیتی، تحلیل لاگ، اسکن آسیبپذیری و واکنش به حادثه را در برگیرد». بنا به گفته Charlotte Baker مدیرعامل شرکت ارایهدهنده سرویسهای امنیتی مدرن DigitalHands: «امروزه بسیاری از مدیران حوزه فناوری اطلاعات یقین دارند که نمیتوانند با جدیدترین تهدیدات و فناوریها همگام باشند».
بنا بر توصیه گارتنر هر سازمان باید از خودش بپرسد که امکان انجام چه تعدادی از عملکردهای امنیتی به نحوی کارآمد در خود سازمان وجود دارد؟ پاسخ به این پرسش مستلزم شناسایی خلأهای موجود و همچنین ارزیابی میزان توانایی سرویسهای مدیریت شده در رفع این خلاءها است. Andrew Dutton مدیرعامل شرکت مشاوره امنیت در تنسی آمریکا میگوید: «نمیتوانید تقاضای موجود برای کارشناسان امنیت اطلاعات حرفهای و مجرب را به صورت کامل رفع کنید. در حقیقت شما قادر به پرداخت دستمزد چنین کارشناسانی نیستید به ویژه اگر صاحب یک کسبوکار کوچک باشید».
براساس مقاله سفید Splunk: «هدف سازمان باید توانمندسازی کارمندان مرکز SOC برای پیشی گرفتن از تهدیدات باشد. به عبارتی کارمندان نیز باید همزمان با تغییر چشمانداز تهدیدات رشد و پیشرفت یابند». Splunk یک طرح 10 مرحلهای را که شامل تحلیل دادهها، تشخیص رویدادهای امنیتی، اتوماسیون و هماهنگسازی واکنش و یکسری پیشنهادات و توصیهها میباشد ارایه کرده است. اگر چنین مدلی با توجه به مدلهای تأمین نیروی فعلیتان بیش از حد سنگین به نظر میرسد، شاید بهتر باشد در پی یک SOC مدیریت شده باشید.
مؤسسه گارتنر در راهنمای سرویسهای تشخیص و واکنش مدیریت شده MDR (به انگلیسی:Managed Detection and Response) خودش برای سال 2021 میلادی توصیه کرده که کسبوکارها باید به جای تمرکز بر روی جمعآوری دادهها در مقیاس عظیم، ابتدا اهداف و ریسکهای احتمالی را ارزیابی نموده و سپس اهدافشان را انتخاب کنند. براساس پیشبینی گارتنر: «تا سال 2025 نیمی از سازمانها برای نظارت بر روی تهدید، تشخیص، واکنش و مقابله با تهدیدات از سرویسهای MDR استفاده خواهند کرد. در این راهنما چند تفاوت در بین فروشندگان MDR و سایر سرویسهای امنیتی مدیریت شده ذکر شده است. تعدادی از این تفاوتها عبارتند از:
- این سرویسها برای نظارت بر روی لاگ رویدادها از چه اطلاعات زمینهای استفاده میکنند؛
- چگونه مدیریت دستگاهها از راه دور را انجام میدهند؛
- آیا پورتالی برای سرویس خودشان دارند و واکنش به حادثه را چگونه انجام میدهند.
10 سوالی که باید از یک ارایهدهنده SOC به صورت سرویس بپرسید
وقتی پرسشنامههای ارزیابی سرویسها را تهیه میکنید، باید سؤالاتی را که در ادامه مطرح میکنیم به دقت مورد بررسی و تحلیل قرار دهید:
- هدف شما در زمینه SOC چیست و آیا با اهداف کلی کسبوکارتان برای کاهش ریسک همخوانی دارد؟ آیا مرکز SOC شما به خوبی به چشمانداز تهدیدات فعلی رسیدگی میکند؟ بنا به گفته Tom Gorup مدیر عملیات امنیتی Alert Logic: «امروزه شاهد حرکت از تمرکز بر روی امکانات یک SOC یا سرویس مدیریت شده به سمت و سوی درک مشکلاتی هستیم که باید توسط کسبوکارها حل و رفع شوند».
- نحوه ترکیب سرویس SOC مدیریت شده با زیرساختهای امنیتی کنونی شما چگونه است؟ اگر پیش از این یک SOC درون سازمانی فیزیکی داشتید، آیا پس از مجازیسازی کامل SOC، نیاز به بازگشت کارمندان آن به محیط اداره وجود دارد؟ آیا برای نظارت بر روی تهدیداتی که ریشه در مجموعه نرمافزارهای محیط ابر دارند، به فناوریهای جانبی نیاز دارید؟ این فناوریها چگونه با ابزارهای کنونی شما برای تشخیص و رفع تهدیدات تعامل برقرار میکنند؟ شما چگونه رفتار عادی شبکه را تعریف و بر آن نظارت میکنید و همزمان نگاهی هم به تغییرات محیط کار دارید؟
- چنین سرویسی چه تفاوتی با روش سرویسهای نظارت شده خالص دارد؟ پاسخ این سوال باید به شما برای درک ظرافتهای هر محصول و تفاوت آن با دیگران کمک کند. برای مثال Alert Logic با یک سیستم مدیریت اطلاعات و رویدادهای امنیتی یا SIEM (به انگلیسی: Security information and event management) شروع کرده و سپس بر اساس دادههای جهانی و طرحهای نظارت بر روی تهدید خودش، سایر فناوریهای حفاظتی را اضافه نمود.
- این راهکار از چه تعداد SIEM و سیستمهای میز خدمات قدیمی پشتیبانی میکند؟ بعضی از فروشندگان از شما میخواهند از راهکار مخصوص آنها استفاده کنید. بعضی دیگر (مثل DigitalHands) از سیستمهای قدیمیتر هم پشتیبانی میکنند و تعدادی از فروشندگان نیز (مثل Network Technology Partners) یک مجموعه API دارند که شما یا خود آنها باید برنامههای مخصوصی برای استفاده از این مجموعه بنویسید.
- مشتری باید چه سرورها و کارگزارهایی را در محیط سازمان خودش نصب کند؟ شرکتها معمولاً از مشتریانشان میخواهند که برای نظارت بر روی زیرساخت آنها دو آیتم که شامل کارگزارها و یک سرور اختصاصی که ترافیک را جمعآوری نموده و یکسری نرمافزار اختصاصی را اجرا میکند نصب نمایند. بعضی از آنها برای انجام یکسری کارها مثل نظارت و رفع تهدید به کارگزار اختصاصی نیاز دارند.
- فروشنده راهکار هر چند مدت یک بار زیرساختهای شما را ارزیابی میکند؟ مدل نظارتی ممکن است پیوسته باشد یا در فواصلی طولانیتر مثل فصلی انجام شود. همچنین احتمال دارد این شرایط برای تجهیزات درون سازمانی با محیط ابر متفاوت باشد. واضح است که هدف شما نظارت در بازههای زمانی کوتاهتر میباشد. همچنین باید بررسی کنید که آیا SOC بر کل دادههای شما از جمله دادههای حیاتی مشتریان و دادههایی که برای عملیات کسبوکارتان حیاتی هستند نظارت دارد یا خیر.
- گزارشهای لازم برای بازرسیهای قانونی را چگونه تولید میکنید؟ بعضی از شرکتها بازرسی را در مدل قیمتگذاری خودشان لحاظ میکنند، بعضی هزینه اضافه دریافت نموده و تعدادی از شرکتها نیز شما را به یک شرکت ثالث معرفی میکنند تا بتوانید یک دید مستقل کامل از آنچه انجام میدهند داشته باشید. بعضی دیگر از شرکتها مثل Bolton Labs هیچ سرویسی در این زمینه ارایه نمیدهند. هر رویکردی دلایل و انگیزههای خاص خود را دارد و شما حتماً باید در جریان باشید که برای چه محصولی هزینه پرداخت میکنید.
- اندازه معمول شرکتهای مشتری راهکار مدنظر چقدر است؟ یکسری از شرکتها فقط بر روی کسبوکارهای متوسط یا کوچک تمرکز دارند. بعضی دیگر قابلیت رشد و افزایش مقیاس برای پوشش قارههای مختلف را دارند. همچنان شما باید وضعیت خودتان را مشخص کرده و بدانید که در چه صورت امکان رشد شرکت شما وجود دارد.
- نیروی مرکز SOC چگونه تأمین میشود؟ باید با نوع آموزشها، گواهینامهها و سایر مهارتهای افرادی که بر شبکه و نقاط پایانی شما نظارت دارند، آشنا باشید. افراد معمولاً از اهمیت بیشتری نسبت به ابزارها برخوردار هستند. در هر صورت دلیل اصلی استفاده از یک راهکار SOC عدم نیاز به کارمندانتان است.
- قیمت راهکار مد نظر چقدر است؟ ممکن است شما در جریان نباشید که چه تعداد سرور، نقاط پایانی یا برنامه کاربردی باید تحت حفاظت و نظارت قرار بگیرند؟ شرکتها معمولاً این حرکت را با گامهای کوچک و با اثبات مفهوم شروع میکنند تا چند نقطه پایانی محدود را تحت نظر گرفته و عملکرد طرح را بررسی کنند و سپس آن را به محدودهای وسیعتر اعمال نمایند. سازمانها معمولاً از ذکر قیمت محصولاتشان به ما خودداری کردند. Alert Logic مجوز 250 نود مدل حرفهای MDR را به قیمت 9 هزار دلار در ماه و مدل ملزومات MDR با 250 نود را به قیمت 550 دلار در ماه میفروشد. DigitalHands پکیجهای ماهیانه با قیمت بین 2 تا 250 هزار دلار در ماه دارد که شامل مجموعهای از ابزارهای مختلف با داشبوردها و گزارشهای ادغام شده است. با چنین رویکردی شما میتوانید بر حسب امکانات مورد نیاز خودتان، سطح مورد نظرتان را انتخاب کنید.
برای مطالعه سایر مقالات در حوزه امنیت سایبری اینجا کلیک کنید.
منبع: csoonline