منو سایت

نحوه ارزیابی ارائه دهندگان SOC به عنوان یک سرویس

 تاریخ انتشار :
/
  اخبار استارتاپ
تصاویر پس زمینه از جولای 1401

نحوه ارزیابی ارائه دهندگان SOC به عنوان یک سرویس

در طول سال‌ها، برای راه‌اندازی یک مرکز عملیات امنیتی (SOC) در سازمان خود، باید یکی از روش‌های زیر را با توجه به مهارت‌های مورد نیاز و میزان بودجه‌ای که در اختیار دارید، انتخاب و اعمال کنید:

  1. شما خودتان در حال ساختن یک مرکز امنیتی عملیاتی هستید.
  2. شما از یک بسته سرویس مدیریت شده استفاده کردید.

اگرچه موارد فوق همچنان راهبردهای اصلی ایجاد SOC هستند، اما در حال حاضر صنعت ارائه SOC به عنوان یک سرویس یا SOCaaS (SOC-as-a-service) به حدی رشد و توسعه یافته است که نقش ارائه دهندگان این خدمات در این زمینه بسیار حیاتی شده اند. با توسعه ابزارهای امنیتی مبتنی بر ابر در این محیط ها، اپلیکیشن ها و مراکز داده ویژه در حال شکل گیری هستند. برخی از خدمات ارائه شده در این مقاله SOCaaS نامیده می شوند، در حالی که برخی دیگر از نام های دیگری مانند سرویس های مدیریت شده استفاده می کنند.

یکی از نشانه های این رشد و توسعه، خریدها و ادغام های فراوانی است که در سال های اخیر در بازار صورت گرفته است. خرید AlienVault توسط AT&T نیز آغاز این ادغام ها و ادغام ها بود. پس از آن CrowdStrike توسط Humio، eSentire توسط CyFIR، Sophos توسط Braintrace، Rapid7 توسط IntSights، HelpSystems توسط Alert Logic و Google توسط Mandiant (پس از جدا شدن شرکت از FireI) دنبال شد. این ادغام ها نشان می دهد که مرزهای بازار خدمات امنیتی در حال باریک شدن است و ممکن است مرزهای بین MSS، MDR و SOCAaS مشخص نباشد.

خرید اجباری توسط گوگل

گواه دیگری برای این امر در عبارت سرویس پایان دسترسی امن (SASE) مشهود است. این اصطلاح معمولاً به ابزارهای امنیتی یکپارچه برای محیط های ترکیبی اشاره دارد. به طور کلی، ویژگی اصلی این توسعه، امکان استفاده از همه این ابزارها در یک بسته یکپارچه است که به شرکت ها کمک می کند تا انواع سیگنال های امنیتی را در نظر نگیرند. وجود SOCaaS به پر کردن شکاف بین این ابزارها کمک می کند و دید یکپارچه از چشم انداز امنیتی را ارائه می دهد.

چیزی که وضعیت را پیچیده می کند این است که هر ارائه دهنده راه حل در یک تجارت متفاوت با تمرکز بر یک حوزه امنیتی خاص ریشه دارد. زبان و اصطلاحات خاص این مشاغل در ابزارها، بازاریابی و نحوه کار آنها نیز با جزئیات نفوذ کرده است. شرکت ها معمولا با یکی از موارد زیر شروع به کار می کنند:

  • به عنوان ارائه دهنده راه حل های امنیتی رویداد مدیریت شده (Alert Logic)؛
  • به‌عنوان ارائه‌دهنده عیب‌یابی مدیریت‌شده (شریک‌های فناوری شبکه قبلاً با راه‌حل‌های سیستم تجاری یکپارچه شده‌اند).
  • به عنوان ارائه‌دهنده راه‌حل‌های حفاظت از نقطه پایانی مدیریت شده (Symantec، اکنون بخشی از Broadcom و Trustwave).

برخی از این سازمان ها کنسول هایی به سبک SOC را برای مدیریت محصولات خود طراحی کردند و سپس آنها را به ابزارهای رایج تری تبدیل کردند که می تواند با طیف گسترده ای از ابزارها مرتبط باشد (به عنوان مثال، Critical Start از نرم افزار موبایل استفاده می کند و Arctic Wolf و DigitalHands ابزارهای خود را طراحی کرده اند. ). برخی از این شرکت‌ها در ابتدا بخش امنیتی شرکت‌های بزرگ رایانه‌ای مانند IBM، Dell و HP بودند، در حالی که برخی دیگر با ایجاد مراکز مدیریت عملیات شبکه‌ای خود شروع کردند و سپس به سمت امنیت (مانند AccountabilIT) رفتند.

مرکز عملیات امنیتی

ارائه دهندگان امنیت مدیریت شده

  • AccountabilT کشف و پاسخ مدیریت شده
  • HelpSystems / کارشناسان منطق هشدار / شناسایی کنترل شده و الزامات پاسخ
  • AlienLabs / AT&T شناسایی و پاسخ مدیریت شده
  • تشخیص و پاسخ کنترل شده گرگ قطبی
  • Critial Start Mobile SOC Center
  • مدیریت ورود به سیستم CrowdStrike / Humio
  • Dell Technologies MDR
  • DigitalHands SOCAas
  • کشف و پاسخ مبتنی بر eSentire
  • کشف و پاسخ مدیریت شده Google / Mandiant
  • تشخیص و پاسخ پیشرفته خدمات امنیتی HP Wolf
  • سیستم IBM SOAR و امنیت QRadar SIEM
  • شرکای فناوری شبکه / کشف و پاسخ مدیریت شده / راه حل های سیستم های تجاری
  • Rapid7 / IntSights Intelligence Threat
  • Sophos / Braintrace تشخیص و پاسخ را توسعه داد
  • Symantec / Broadcom SOCaas
  • Trustwave پاسخی را یافت و مدیریت کرد

شناسایی و پاسخ مدیریت شده

مدل مدرن مرکز عملیات امنیتی

در سال‌های اخیر، مؤسسه گارتنر برای ایجاد نظم در این زمینه و اصلاح مدل ترکیبی چند سطحی SOC کار کرده است. طبق گزارشی که این شرکت در سال 2021 منتشر کرد: “SOC مدرن شامل تمام نیازهای مشتری است. «این سرویس باید انعطاف‌پذیر باشد و شامل ابزارهای پیشگیری متنوعی برای تشخیص تقلب، نفوذ فیزیکی و شبکه، نظارت بر حوادث امنیتی، تجزیه و تحلیل فایل‌های گزارش، اسکن آسیب‌پذیری و پاسخ به رویداد باشد.» «بسیاری از مدیران فناوری اطلاعات امروز متقاعد شده‌اند که می‌توانند». شارلوت بیکر، مدیرعامل ModernHands، یک ارائه دهنده خدمات امنیتی، گفت: با آخرین تهدیدات و فناوری‌ها همراه باشید.

به گفته گارتنر، هر سازمانی باید از خود بپرسد که چند وظیفه امنیتی را می توان به طور موثر در خود سازمان انجام داد؟ پاسخ به این سوال مستلزم شناسایی شکاف های موجود و همچنین ارزیابی توانایی سرویس های مدیریت شده برای رفع این شکاف ها است. اندرو داتون، مدیر اجرایی مشاور امنیتی در تنسی گفت: «شما نمی توانید به طور کامل نیاز به کارشناسان حرفه ای و با تجربه امنیت اطلاعات را برآورده کنید. در واقع، شما نمی توانید به چنین کارشناسانی پول بپردازید، به خصوص اگر صاحب یک تجارت کوچک باشید.»

طبق مقاله سفید Splunk: “هدف سازمان باید این باشد که کارکنان SOC را قادر سازد بر تهدیدها غلبه کنند. به عبارت دیگر، زمانی که تهدیدها تغییر می کنند، کارکنان نیاز به رشد و شکوفایی دارند. Splunk یک طرح 10 مرحله ای را ارائه می دهد که شامل تجزیه و تحلیل داده ها، تشخیص رویدادهای امنیتی، اتوماسیون و هماهنگ سازی پاسخ، و مجموعه ای از پیشنهادات و توصیه ها می شود. اگر چنین مدلی خیلی سنگین به نظر می رسد، با توجه به مدل های برق فعلی شما، ممکن است بخواهید به دنبال یک SOC مدیریت شده باشید.

گارتنر در راهنمای MDR 2021 خود برای کشف و پاسخ مدیریت شده، توصیه می کند که کسب و کارها به جای تمرکز بر جمع آوری داده های در مقیاس بزرگ، ابتدا روی اهداف و خطرات احتمالی تمرکز کنند. سپس اهداف خود را انتخاب کنید. به گفته گارتنر: «تا سال 2025، نیمی از سازمان‌ها از خدمات MDR برای نظارت، شناسایی، پاسخگویی و پاسخ به تهدیدات استفاده خواهند کرد. این راهنما برخی از تفاوت های بین ارائه دهندگان MDR و سایر خدمات امنیتی مدیریت شده را فهرست می کند. برخی از این تفاوت ها عبارتند از:

  • این سرویس ها از چه اطلاعات اساسی برای نظارت بر گزارش های رویداد استفاده می کنند.
  • نحوه کنترل دستگاه ها از راه دور؛
  • آیا آنها درگاهی برای خدمات خود دارند و در صورت بروز حادثه چگونه واکنش نشان می دهند؟

10 سوال برای پرسیدن از یک سخنرانیاهدا کننده SOC به عنوان لطف بخواهید

هنگام تهیه پرسشنامه های ارزیابی خدمات، باید موارد زیر را به دقت در نظر بگیرید و تجزیه و تحلیل کنید:

  1. هدف SOC شما چیست و آیا اهداف کلی کاهش ریسک کسب و کار شما را برآورده می کند؟ آیا SOC شما با چشم انداز تهدید فعلی خوب عمل می کند؟ تام گوروپ، مدیر عملیات امنیتی Alert Logic می‌گوید: «امروز، ما از تمرکز بر ویژگی‌های یک SOC یا خدمات مدیریت‌شده به درک مسائلی که کسب‌وکارها باید به آن رسیدگی کنند، حرکت می‌کنیم.
  2. چگونه یک سرویس SOC مدیریت شده را با زیرساخت امنیتی فعلی خود ادغام کنیم؟ اگر قبلاً یک SOC فیزیکی در یک سازمان دارید، آیا لازم است کارمندان آن را پس از مجازی سازی کامل SOC به محیط اداری بازگردانید؟ آیا برای نظارت بر تهدیدات ریشه دار در بسته نرم افزاری ابری به فناوری های کمکی نیاز دارید؟ این فناوری‌ها چگونه با ابزارهای تشخیص تهدید و پاسخ فعلی شما تعامل دارند؟ وقتی به تغییرات در محیط کار نگاه می کنید، چگونه رفتار عادی شبکه را تعیین و نظارت می کنید؟
  3. تفاوت چنین سرویسی با روش خدمات کاملاً کنترل شده چیست؟ پاسخ به این سوال باید به شما در درک پیچیدگی های هر محصول و تفاوت آن با سایرین کمک کند. به عنوان مثال، Alert Logic با امنیت و مدیریت رویداد (SIEM) شروع شد و سپس سایر فناوری‌های امنیتی را بر اساس داده‌های جهانی و برنامه‌های نظارت بر تهدید خود اضافه کرد.
  4. این راه حل از چند سیستم دسکتاپ SIEM و قدیمی پشتیبانی می کند؟ برخی از فروشندگان از شما می خواهند که از راه حل خود استفاده کنید. سایرین (مانند DigitalHands) نیز از سیستم‌های قدیمی‌تر پشتیبانی می‌کنند، و برخی از ارائه‌دهندگان (مانند Network Technology Partners) یک بسته API دارند که شما یا آنها باید برنامه‌های خاصی را برای استفاده بنویسید.
  5. مشتری باید چه سرورها و سرورهایی را در محیط سازمانی خود نصب کند؟ شرکت ها معمولاً از مشتریان خود می خواهند که دو عنصر را برای نظارت بر زیرساخت های خود نصب کنند، از جمله کارگزاران و یک سرور اختصاصی که ترافیک را جمع آوری می کند و مجموعه ای از نرم افزارهای اختصاصی را مدیریت می کند. برخی از آنها برای انجام برخی کارها مانند نظارت و از بین بردن تهدیدات به یک کارگزار ویژه نیاز دارند.
  6. فروشنده چند بار زیرساخت شما را ارزیابی می کند؟ مدل تنظیمی می تواند پیوسته باشد یا در فواصل طولانی تری اجرا شود، مثلاً فصلی. این شرایط همچنین ممکن است برای تجهیزات داخلی با محیط ابری متفاوت باشد. بدیهی است که هدف شما مشاهده در فواصل زمانی کوتاهتر است. همچنین باید بررسی کنید که SOC همه داده‌های شما، از جمله داده‌های حیاتی مشتری و داده‌هایی را که برای عملیات کسب‌وکار شما حیاتی هستند، نظارت می‌کند.
  7. گزارش های بازرسی قانونی را چگونه تهیه می کنید؟ برخی از شرکت ها چک را در مدل قیمت گذاری خود گنجانده اند، برخی از آنها هزینه اضافی دریافت می کنند و برخی از شرکت ها شما را به شخص ثالث ارجاع می دهند تا دید کاملا مستقلی از آنچه انجام می دهند داشته باشید. برخی دیگر از شرکت ها مانند آزمایشگاه بولتون هیچ خدماتی در این زمینه ارائه نمی دهند. هر رویکردی دلایل و انگیزه های خاص خود را دارد و شما باید بدانید که برای چه محصولاتی هزینه می کنید.
  8. اندازه معمولی شرکت های مشتری چقدر است؟ برخی از شرکت ها فقط بر روی مشاغل کوچک یا متوسط ​​تمرکز می کنند. برخی دیگر توانایی رشد و مقیاس را برای پوشش قاره های مختلف دارند. شما همچنین باید وضعیت خود را تعیین کنید و بدانید که چگونه شرکت شما می تواند رشد کند.
  9. منبع تغذیه مرکز SOC چگونه است؟ شما باید با نوع آموزش، گواهینامه ها و سایر مهارت های افرادی که شبکه و نقاط پایانی شما را نظارت می کنند آشنا باشید. افراد معمولا مهمتر از ابزار هستند. در هر صورت، دلیل اصلی استفاده از راه حل SOC این است که شما به کارکنان خود نیاز ندارید.
  10. هزینه راه حل چقدر است؟ شاید نمی دانید چه تعداد سرور، نقطه پایانی یا برنامه باید محافظت و نظارت شوند؟ شرکت‌ها معمولاً با گام‌های کوچک و مبتنی بر مفهوم شروع می‌کنند تا چند نقطه پایانی محدود را مشاهده کنند و اثربخشی طراحی را ارزیابی کنند، سپس آن را در محدوده وسیع‌تری اجرا کنند. سازمان ها معمولا از ذکر قیمت محصولات خود خودداری می کنند. Alert Logic مجوزهای 250 نود مدل حرفه ای MDR را به قیمت 9000 دلار در ماه و یک مدل پایه 250 گره MDR را به قیمت 550 دلار در ماه می فروشد. DigitalHands بسته های ماهانه با قیمت بین 2000 تا 250000 دلار در ماه را ارائه می دهد که شامل طیف وسیعی از ابزارهای مختلف یکپارچه با داشبورد و گزارش است. با این رویکرد می توانید سطح مورد نظر خود را بر اساس ویژگی های مورد نیاز خود انتخاب کنید.

برای مطالعه سایر مقالات امنیت سایبری اینجا را کلیک کنید.

منبع: csoonline