نحوه ارزیابی ارائه دهندگان SOC به عنوان یک سرویس

طی سالیان گذشته جهت ایجاد یک مرکز عملیات امنیتی یا SOC  (به انگلیسی: security operations center) در سازمان‌تان باید با توجه به مهارت‌های مورد نیاز و میزان بودجه‌ای که در اختیار داشتید یکی از روش‌های زیر را انتخاب و اجرا می‌کردید:

1. خودتان یک مرکز عملیات امنیتی می‌ساختید.
2. از یک مجموعه سرویس مدیریت شده استفاده می‌کردید.

اگرچه موارد بالا همچنان جزو راهکارهای اصلی برای ایجاد SOC هستند ولی در حال حاضر صنعت ارایه SOC به صورت یک سرویس یا SOCaaS (به انگلیسی: SOC-as-a-service) به حدی رشد و توسعه یافته که نقش فروشندگان این خدمات در این حوزه بسیار حیاتی شده است. با پیشرفت ابزارهای امنیت مبتنی بر ابر، برنامه‌های کاربردی و مراکز داده خاصی هم در این محیط‌ها شکل گرفته‌اند. بعضی از سرویس‌های معرفی شده در این مطلب خودشان را SOCaaS می‌دانند و بعضی دیگر از سایر اسامی مثل سرویس‌های مدیریت شده استفاده می‌کنند.

یکی از نشانه‌های این رشد و تکامل اکتساب‌ها و ادغام‌های زیادی هستند که طی سالیان اخیر در بازار صورت گرفته‌اند.  خرید AlienVault توسط شرکت AT&T نیز مقدمه شروع این اکتساب‌ها و ادغام‌ها بودند. پس از آن نیز CrowdStrike شرکت Humio، eSentire شرکت CyFIR، Sophos شرکت Braintrace، Rapid7 شرکت IntSights، HelpSystems شرکت Alert Logic و گوگل شرکت Mandiant را (پس از جدا شدن این شرکت از فایرآی) اکتساب کردند. این ادغام‌ها نشان می‌دهند که شاهد کمرنگ‌تر شدن مرزها در بازار خدمات امنیتی هستیم و ممکن است مرز بین MSS، MDR و SOCaaS مشخص نباشد.

شواهد دیگر از وقوع چنین تحولی در اصطلاحی تحت عنوان لبه سرویس دسترسی امن یا SASE (به انگلیسی: secure access service edge) مشهود است. این اصطلاح معمولاً نشان‌دهنده ابزارهای امنیتی یکپارچه مربوط به محیط‌های ابر ترکیبی است. در مجموع مشخصه اصلی این تحول قابلیت استفاده از همه این ابزارها در قالب یک مجموعه یکپارچه است که به شرکت‌ها کمک می‌کنند تا نیازی به بررسی انواع و اقسام هشدارهای امنیتی مختلف نداشته باشند. وجود یک SOCaaS به پر کردن خلأ موجود در بین این ابزارها کمک کرده و یک دید یکپارچه نسبت به چشم‌انداز امنیت ایجاد می‌نماید.

آنچه که منجر به افزایش پیچیدگی چنین شرایطی شده این است که هر ارایه‌دهنده راهکار، ریشه در یک کسب‌وکار متفاوت با تمرکز به یک حوزه امنیتی خاص دارد. زبان و اصطلاحات خاص این کسب‌وکارها به ابزارها، بازاریابی و شیوه پرداختن آنها به جزئیات هم نفوذ کرده است. شرکت‌ها معمولاً در قالب یکی از موارد زیر کار خود را شروع کردند:

• به عنوان ارایه‌دهنده راهکارهای رویدادهای امنیتی مدیریت شده (Alert Logic)؛
• به عنوان فروشنده راهکارهای تشخیص مدیریت شده (Network Technology Partners که در حال حاضر با Business System Solutions ادغام شده)؛
• به عنوان فروشنده راهکارهای امنیتی مدیریت شده برای نقاط پایانی (Symantec که امروزه بخشی از Broadcom و Trustwave است).

تعدادی از این سازمان‌ها کنسول‌های سبک SOC را برای مدیریت محصولات خودشان طراحی نموده و سپس آنها را به ابزارهای عمومی‌تر که امکان اتصال آنها به مجموعه‌ای وسیع از ابزارها وجود دارد تبدیل کردند (برای مثال Critical Start از یک نرم‌افزار همراه استفاده می‌کند و Arctic Wolf و DigitalHands ابزارهای خاص خودشان را طراحی کرده‌اند). بعضی از این شرکت‌ها در ابتدا بخش امنیتی شرکت‌های عظیم تولید کامپیوتر مثل آی‌بی‌ام، دل و اچ‌پی بوده‌اند و بعضی دیگر نیز این کار را با راه‌اندازی مراکز عملیات شبکه مدیریت خودشان شروع کرده و سپس وارد حوزه امنیت شدند (مثل AccountabilIT).

فروشندگان سرویس‌های امنیتی مدیریت شده

• AccountabillT تشخیص و واکنش مدیریت شده
• HelpSystems/Alert Logic کارشناسان/ ملزومات تشخیص و واکنش مدیریت شده
• AlienLabs/AT&T تشخیص و واکنش مدیریت شده
• Arctic Wolf تشخیص و واکنش مدیریت شده
• Critial Start  مرکز SOC سیار
• CrowdStrike/Humio مدیریت لاگ
• Dell Technologies MDR
• DigitalHands SOCaas
• eSentire تشخیص و واکنش مدیریت شده
• Google/Mandiant تشخیص و واکنش مدیریت شده
• HP Wolf Security Services تشخیص و واکنش توسعه یافته
• IBM سیستم SOAR و Security QRadar SIEM
• Network Technology Partners/ تشخیص و واکنش مدیریت شده/ راهکارهای سیستم‌های تجاری
• Rapid7/IntSights هوش تهدید
• Sophos/Braintrace تشخیص و واکنش توسعه یافته
• Symantec/Broadcom SOCaas
• Trustwave تشخیص و واکنش مدیریت شده

مدل مرکز عملیات امنیتی مدرن

در سال‌های اخیر مؤسسه گارتنر همواره در حال تلاش برای ایجاد نظم در این حوزه و اصلاح و بهبود مدل چند سطحی داخلی ترکیبی SOC خودش بوده است؛ بنا بر گزارشی که در سال 2021 میلادی توسط این شرکت منتشر شده: «یک SOC مدرن شامل کلیه موارد مورد نیاز مشتری است. این سرویس باید منعطف بوده و انواع ابزارهای پیشگیرانه برای بررسی جعل، نفوذ فیزیکی و مبتنی بر شبکه، نظارت بر روی رویدادهای امنیتی، تحلیل لاگ، اسکن آسیب‌پذیری و واکنش به حادثه را در برگیرد». بنا به گفته Charlotte Baker مدیرعامل شرکت ارایه‌دهنده سرویس‌های امنیتی مدرن DigitalHands: «امروزه بسیاری از مدیران حوزه فناوری اطلاعات یقین دارند که نمی‌توانند با جدیدترین تهدیدات و فناوری‌ها همگام باشند».

بنا بر توصیه گارتنر هر سازمان باید از خودش بپرسد که امکان انجام چه تعدادی از عملکردهای امنیتی به نحوی کارآمد در خود سازمان وجود دارد؟ پاسخ به این پرسش مستلزم شناسایی خلأهای موجود و همچنین ارزیابی میزان توانایی سرویس‌های مدیریت شده در رفع این خلاءها است. Andrew Dutton مدیرعامل شرکت مشاوره امنیت در تنسی آمریکا می‌گوید: «نمی‌توانید تقاضای موجود برای کارشناسان امنیت اطلاعات حرفه‌ای و مجرب را به صورت کامل رفع کنید. در حقیقت شما قادر به پرداخت دستمزد چنین کارشناسانی نیستید به ویژه اگر صاحب یک کسب‌وکار کوچک باشید».

براساس مقاله سفید Splunk: «هدف سازمان باید توانمندسازی کارمندان مرکز SOC برای پیشی گرفتن از تهدیدات باشد. به عبارتی کارمندان نیز باید همزمان با تغییر چشم‌انداز تهدیدات رشد و پیشرفت یابند». Splunk یک طرح 10 مرحله‌ای را که شامل تحلیل داده‌ها، تشخیص رویدادهای امنیتی، اتوماسیون و هماهنگ‌سازی واکنش و یکسری پیشنهادات و توصیه‌ها می‌باشد ارایه کرده است. اگر چنین مدلی با توجه به مدل‌های تأمین نیروی فعلی‌تان بیش از حد سنگین به نظر می‌رسد، شاید بهتر باشد در پی یک SOC مدیریت شده باشید.

مؤسسه گارتنر در راهنمای سرویس‌های تشخیص و واکنش مدیریت شده MDR (به انگلیسی:Managed Detection and Response) خودش برای سال 2021 میلادی توصیه کرده که کسب‌وکارها باید به جای تمرکز بر روی جمع‌آوری داده‌ها در مقیاس عظیم، ابتدا اهداف و ریسک‌های احتمالی را ارزیابی نموده و سپس اهدافشان را انتخاب کنند. براساس پیش‌بینی گارتنر: «تا سال 2025 نیمی از سازمان‌ها برای نظارت بر روی تهدید، تشخیص، واکنش و مقابله با تهدیدات از سرویس‌های MDR استفاده خواهند کرد. در این راهنما چند تفاوت در بین فروشندگان MDR و سایر سرویس‌های امنیتی مدیریت شده ذکر شده است. تعدادی از این تفاوت‌ها عبارتند از:

• این سرویس‌ها برای نظارت بر روی لاگ رویدادها از چه اطلاعات زمینه‌ای استفاده می‌کنند؛
• چگونه مدیریت دستگاه‌ها از راه دور را انجام می‌دهند؛
• آیا پورتالی برای سرویس خودشان دارند و واکنش به حادثه را چگونه انجام می‌دهند.

10 سوالی که باید از یک ارایه‌دهنده SOC به صورت سرویس بپرسید

وقتی پرسشنامه‌های ارزیابی سرویس‌ها را تهیه می‌کنید، باید سؤالاتی را که در ادامه مطرح می‌کنیم به دقت مورد بررسی و تحلیل قرار دهید:

1. هدف شما در زمینه SOC چیست و آیا با اهداف کلی کسب‌وکارتان برای کاهش ریسک همخوانی دارد؟ آیا مرکز SOC شما به خوبی به چشم‌انداز تهدیدات فعلی رسیدگی می‌کند؟ بنا به گفته Tom Gorup مدیر عملیات امنیتی Alert Logic: «امروزه شاهد حرکت از تمرکز بر روی امکانات یک SOC یا سرویس مدیریت شده به سمت و سوی درک مشکلاتی هستیم که باید توسط کسب‌وکارها حل و رفع شوند».
2. نحوه ترکیب سرویس SOC مدیریت شده با زیرساخت‌های امنیتی کنونی شما چگونه است؟ اگر پیش از این یک SOC درون سازمانی فیزیکی داشتید، آیا پس از مجازی‌سازی کامل SOC، نیاز به بازگشت کارمندان آن به محیط اداره وجود دارد؟ آیا برای نظارت بر روی تهدیداتی که ریشه در مجموعه نرم‌افزارهای محیط ابر دارند، به فناوری‌های جانبی نیاز دارید؟ این فناوری‌ها چگونه با ابزارهای کنونی شما برای تشخیص و رفع تهدیدات تعامل برقرار می‌کنند؟ شما چگونه رفتار عادی شبکه را تعریف و بر آن نظارت می‌کنید و همزمان نگاهی هم به تغییرات محیط کار دارید؟
3. چنین سرویسی چه تفاوتی با روش سرویس‌های نظارت شده خالص دارد؟ پاسخ این سوال باید به شما برای درک ظرافت‌های هر محصول و تفاوت آن با دیگران کمک کند. برای مثال Alert Logic با یک سیستم مدیریت اطلاعات و رویدادهای امنیتی یا  SIEM (به انگلیسی: Security information and event management) شروع کرده و سپس بر اساس داده‌های جهانی و طرح‌های نظارت بر روی تهدید خودش، سایر فناوری‌های حفاظتی را اضافه نمود.
4. این راهکار از چه تعداد SIEM و سیستم‌های میز خدمات قدیمی پشتیبانی می‌کند؟ بعضی از فروشندگان از شما می‌خواهند از راهکار مخصوص آنها استفاده کنید. بعضی دیگر (مثل DigitalHands) از سیستم‌های قدیمی‌تر هم پشتیبانی می‌کنند و تعدادی از فروشندگان نیز (مثل Network Technology Partners) یک مجموعه API دارند که شما یا خود آنها باید برنامه‌های مخصوصی برای استفاده از این مجموعه بنویسید.
5. مشتری باید چه سرورها و کارگزارهایی را در محیط سازمان خودش نصب کند؟ شرکت‌ها معمولاً از مشتریان‌شان می‌خواهند که برای نظارت بر روی زیرساخت آنها دو آیتم که شامل کارگزارها و یک سرور اختصاصی که ترافیک را جمع‌آوری نموده و یکسری نرم‌افزار اختصاصی را اجرا می‌کند نصب نمایند. بعضی از آنها برای انجام یکسری کارها مثل نظارت و رفع تهدید به کارگزار اختصاصی نیاز دارند.
6. فروشنده راهکار هر چند مدت یک بار زیرساخت‌های شما را ارزیابی می‌کند؟ مدل نظارتی ممکن است پیوسته باشد یا در فواصلی طولانی‌تر مثل فصلی انجام شود. همچنین احتمال دارد این شرایط برای تجهیزات درون سازمانی با محیط ابر متفاوت باشد. واضح است که هدف شما نظارت در بازه‌های زمانی کوتاه‌تر می‌باشد. همچنین باید بررسی کنید که آیا SOC بر کل داده‌های شما از جمله داده‌های حیاتی مشتریان و داده‌هایی که برای عملیات کسب‌وکارتان حیاتی هستند نظارت دارد یا خیر.
7. گزارش‌های لازم برای بازرسی‌های قانونی را چگونه تولید می‌کنید؟ بعضی از شرکت‌ها بازرسی را در مدل قیمت‌گذاری خودشان لحاظ می‌کنند، بعضی هزینه اضافه دریافت نموده و تعدادی از شرکت‌ها نیز شما را به یک شرکت ثالث معرفی می‌کنند تا بتوانید یک دید مستقل کامل از آنچه انجام می‌دهند داشته باشید. بعضی دیگر از شرکت‌ها مثل Bolton Labs هیچ سرویسی در این زمینه ارایه نمی‌دهند. هر رویکردی دلایل و انگیزه‌های خاص خود را دارد و شما حتماً باید در جریان باشید که برای چه محصولی هزینه پرداخت می‌کنید.
8. اندازه معمول شرکت‌های مشتری راهکار مدنظر چقدر است؟ یکسری از شرکت‌ها فقط بر روی کسب‌وکارهای متوسط یا کوچک تمرکز دارند. بعضی دیگر قابلیت رشد و افزایش مقیاس برای پوشش قاره‌های مختلف را دارند. همچنان شما باید وضعیت خودتان را مشخص کرده و بدانید که در چه صورت امکان رشد شرکت شما وجود دارد.
9. نیروی مرکز SOC چگونه تأمین می‌شود؟ باید با نوع آموزش‌ها، گواهینامه‌ها و سایر مهارت‌های افرادی که بر شبکه و نقاط پایانی شما نظارت دارند، آشنا باشید. افراد معمولاً از اهمیت بیشتری نسبت به ابزارها برخوردار هستند. در هر صورت دلیل اصلی استفاده از یک راهکار SOC عدم نیاز به کارمندان‌تان است.
10. قیمت راهکار مد نظر چقدر است؟ ممکن است شما در جریان نباشید که چه تعداد سرور، نقاط پایانی یا برنامه کاربردی باید تحت حفاظت و نظارت قرار بگیرند؟ شرکت‌ها معمولاً این حرکت را با گام‌های کوچک و با اثبات مفهوم شروع می‌کنند تا چند نقطه پایانی محدود را تحت نظر گرفته و عملکرد طرح را بررسی کنند و سپس آن را به محدوده‌ای وسیع‌تر اعمال نمایند. سازمان‌ها معمولاً از ذکر قیمت محصولاتشان به ما خودداری کردند. Alert Logic مجوز 250 نود مدل حرفه‌ای MDR را به قیمت 9 هزار دلار در ماه و مدل ملزومات MDR با 250 نود را به قیمت 550 دلار در ماه می‌فروشد. DigitalHands پکیج‌های ماهیانه با قیمت بین 2 تا 250 هزار دلار در ماه دارد که شامل مجموعه‌ای از ابزارهای مختلف با داشبوردها و گزارش‌های ادغام شده است. با چنین رویکردی شما می‌توانید بر حسب امکانات مورد نیاز خودتان، سطح مورد نظرتان را انتخاب کنید.

برای مطالعه سایر مقالات در حوزه امنیت سایبری اینجا کلیک کنید.

منبع: csoonline