بسم الله الرحمن الرحيم

في هذه التدوينة سوف نقوم بتوضيح الكثير من النقاط المهمه عن Security Operation Center (SOC) أو ما يعرف بمركز عمليات أمن المعلومات أو المراقبة هذه المقالة سوف تكون مبدئية توضح بعض التفاصيل الأساسية بعدها سوف ننتقل لمقالات تغطي جوانب مختلفة في مجال الأمن السيبراني وأيضاُ مراكز مراقبة الأحداث الأمنية مثل الأشخاص العاملين في هذي المراكز وبعض الأدوات والتقنيات المساعده وغيرها من الأمور الهامة.

لماذا نحتاج SOC

في الفترة الأخيرة ومع تزايد الهجمات السيبراني والإحتياج لمراكز لمتابعة جميع الأحداث  التي تحصل في المنظمة وبشكل مستمر , تولد إحتياج بشكل كبير لوجود مركز مراقبة للأحداث الأمنيه, يساعد على رؤية كاملة للأحداث الأمنية وأيضاً يساعد على كشف التسلل والإختراقات ولكن هناك بعض النقاط التي لابد أن نعرفها لتتوفر لدينا صورة مبسطة وشامله عن مراكز عمليات أمن المعلومات.

ماهي أهداف مركز عمليات أمن المعلومات

الأهداف من ناحية أمنية

  • زيادة القدرة والسرعة في كشف التهديدات.
  • زيادة القدرة والسرعة في الإستجابة.
  • تحسين ربط البيانات وكشف التحركات الغير مصرحة.
  • توفير مركزية لأمن المعلومات أو الأمن السيبراني ومراقبة كامله لجميع الأنشطة في المنظمة.

الأهداف من ناحية الأعمال أو الـ Business

  • تقليل انقطاع وتأثر العمل بسبب المشاكل الأمنية.
  • تقليل التأثير على موارد المنظمة بسبب الإختراقات الأمنية.
  • تقليل ومنع تسريب الوثائق الخاصة والحساسة قدر الإمكان.

FAHAD ALFAIFY


في البداية لابد أن نعرف أن الـ SOC بشكل عام لابد أن تحتوي على التالي ولا يمكنها العمل بشكل إحترافي ومميز بفقد عنصر اساسي

  • التقنيات Technology
  • السياسات Policy
  • التشغيل Operation
    • يندرج تحت التشغيل الأشخاص العاملين في هذه المراكز People
  • الإستخبارات الإلكترونية Threat Intelligence

FAHAD ALFAIFY

تصنيفات SOC الرئيسية

لايمكن حصر وتحديد الأقسام الرئيسية لمركز عمليات الأمن السيبراني وذلك لأن المجال واسع ولكل قطاع أو منظمة إعترافاتها وتصنيفاتها الخاصه ولكن يمكن أن نقسم مركز عمليات أمن المعلومات إلى قسمين رئيسيين

  • On-Premises SOC
  • Managed SOC

On-Premise SOC

هذا النوع يمثل مراكز مراقبة الأمن السيبراني التي يتم بنائها بشكل مستقل داخل مبنى المنظمة وهذا النوع يكون له إستقلاليته الكاملة دون تدخل طرف ثالث للإدارة أو التشغيل.

Managed SOC

هذا النوع يقوم مزودو الخدمة ببنائة في مؤسساتهم أو شركاتهم ثم يقومون بتقديم جميع خدمات مركز عمليات أمن المعلومات كطرف ثالث للعميل بجميع تفاصيلها وخدماتها مثل المراقبة المستمره 24×7 والإستجابة للحوادث والتحقيق الجنائي الرقمي وغيرها من الخدمات.

هل يوجد تصنيفات أخرى ؟

لايمكننا الحد من التصنيفات وتأكيد أنها تحتوى فقط على تصنيفين وذلك لإختلاف الإحتياجات للقطاعات ولكن يوجد تصنيف ثالث ويعتبر من التصنيفات الأكثر شيوعاً وعادة يكون بين الـ Managed SOC و بين الـ On-Premise SOC يطلق عليها Hybrid أو الهجين وذلك لأن الأنشطه تكون بين القسمين السابقين حيث لا تعتمد على قسم محدد سواء خدمة مدارة أو حتى خدمة محلية او داخليه.

FAHAD ALFAIFY

التقنيات Technology

تعد التقنيات وإستخدامها من الأشياء المهمه والمساعده في مراكز عمليات أمن المعلومات وهي من الأجزاء المهمه في SOC.
التقنيات بتعددها تساعد على إضافة رؤية شمولية للمنظمة ومن أهم التقنيات المستخدمة 

  • Vulnerability Scanner
  • Vulnerability Assessment
    • التقييم الخارجي : تقييم الضعف الموجود في الشبكة من الخارج.
    • التقييم الداخلي : تحديد الثغرات والمشاكل من داخل الشبكة.
    • الهندسة الإجتماعية : تحديد الضعف الموجود في المنظمة بشكل عام وتدريب وتطوير الموظفين للتصرف بشكل مناسبة في حال التعرض لأي محاولات جمع معلومات عن طريق الهندسة الإجتماعية.
    • تقييم الشبكات الاسلكية : تقييم الأمان المتوفر للإتصال اللاسلكي في المنظمة بشكل داخلي وخارجي والتأكد من أنه لا يمكن الوصول للإتصال اللاسلكي من خارج حدود المنظمة.
    • تقييم التطبيقات وقواعد البيانات: تحديد الضعف والثغرات الموجودة في التطبيقات وقواعد البيانات وإمكانية الوصول سواء من داخل الشبكة أو من خارجها.
  • Log Management
    يعد من الأنظمة المهمة ولابد من التأكد من أن الأنظمة المهمه أو حتى جميع الأنظمة في المنظمة تقوم بإرسال سجلات الأحداث (Logs) إلى نظام إدارة الأحداث ومن أهم هذه الأنظمة التي لابد أن نتأكد أنها ترسل السجلات إلى نظام إدارة السجلات التالي على الأقل:
    • Endpoint Protection Logs
    • IDS/IPS Logs
    • Firewall/UTM
    • Network Devices
    • Proxy Logs
    • Vulnerability Management Logs
  • SIEM
    يعد SIEM Security information and event management  من أهم التقنيات الموجودة في الـ SOC , احب أنوه إلى أنه بعض انظمة الـ SIEM يحتوي على Log Management , من المهام الرئيسية:
    • Evenet Collector
    • Flow Collect
    • Assets Database
    • Event and Flow Correlation
    • Log Parsing

لمعلومات أكثر عن الـ SIEM يمكنك زيارة المقالة التاليه ماهو SIEM وماهي إستخداماته .

يعد هذا جزء بسيط من التقنيات الموجودة والممكن إستخدامها والمجال جداً واسع مع إمكانية إضافة الكثير من الأنظمة الأمنية وأنظمة الكشف بحسب الحاجة وحسب حجم المنظمة وإحتياجها.

FAHAD ALFAIFY

السياسات Policy

تعد السياسات من الأجزاء الأساسية وذلك لأنها تنظم العمل بشكل أكبر وتبين السياسات الموجودة وماذا تغطي, هناك الكثير من الأشياء التي لابد أن يكون لها سياسات واضحة, سوف أضع بعض السياسات التي تعد مهمه وتساعد بشكل واضح في دعم عمل الـ SOC

  • سياسات جمع الأحداث Log Collect Policy
  • سياسات الإستجابة للحوادث Incident Response Policy
  • سياسات المراقبة Monitoring Policy
  • سياسات إدارة الثغرات Vulnerability Management Policy
  • سياسات الورديات Shifts Policy
  • سياسات التقارير Report Policy

هذه السياسات لا تعد نهائية أو أنها الوحيدة المطلوبة ولكن تعد من السياسات الأساسية التي تغطي أهم النقاط.

FAHAD ALFAIFY

التشغيل Operation

التشغيل يشمل اجزاء كثيرة ولكن أهم جزء في التشغيل هو الأشخاص People حيث أنهم لابد أن يقوموا بالتعامل مع العديد من الأنظمة المساعدة سواء في المراقبة أو حتى في الإستجابة للحوادث أو تحليل البرمجيات الخبيثة أو فحص الثغرات أو التحليل أو حتى تشغيل الأنظمة وضمان إتصالها, المجال واسع جداً لتغطية الأشخاص العاملين في مراكز مراقبة الأحداث الأمنية حيث أنها تختلف بإختلاف الحجم والعمليات المشمولة لذلك في هذه التدوينة سوف نقوم بالتركيز على أهم الأشخاص ثم بعد ذلك في مقالات أخرى قد نغطي بشكل تفصيلي أكثر الأشخاص العاملين في هذه المراكز.

بأخذ نظرة مبسطة نحتاج إلى التالي:

  • مدير مركز العمليات SOC Manager
  • مهندس أنظمة System Engineer
  • محللين SOC Analysts
    • Tier 1
    • Tier 2
    • Tier 3

بهذا الفريق تستطيع تغطية المتطلبات الأساسية لمراكز عمليات الأمن السيبراني ولكن بحسب الأحتياج , يمكن إضافة Threat Hunter أو Threat Intelligence specialist أو Forensics Expert أو SIEM Admin وغيرها من الإمكانيات.

FAHAD ALFAIFY

الإستخبارات الإلكترونية Threat Intelligence

صراحة لم أجد ترجمة عربية تناسب الـ Threat Intelligence ولكن قمت بتسمياتها الإستخبارات الرقمية أو الإلكترونية في حال وجود مسمى أفضل أو أقرب يرجى تنبيهي وشكراً.

تعد الإستخبارات الإلكترونية أو Threat Intelligence من الأشياء المهمه والمساعدة بإختلاف المنصات والأنظمة والأفكار حيث أنها توفر الكثير من الوقت والجهد وتزيد سرعة كشف التهديدات, هي لا تعد جزء أساسي من أساسيات مراكز عمليات أمن المعلومات ولكنها مهمه بشكل كبير لذلك أحببت أن أرفقها كجزء رئيسي يمكن الإعتماد على أنظمة كثيرة وخدمات بعضها مدفوع والآخر مجاني و البعض مفتوح المصدر قد نتطرق في موضوع آخر عن بعض الأدوات وشرح إستخدامها والإستفادة منها.

بعض منصات وأدوات الـ Threat Intelligence

  • AlienVault OTX
  • IBM X-Force Exchange
  • Palo Alto Networks AutoFocus
  • LogRhythm Threat Lifecycle Management (TLM) Platform
  • Maltego
  • Shodan

FAHAD ALFAIFY

الخاتمة

في النهاية أشكركم على الإطلاع وقراءة التدوينة أود التنبيه إلى أنه المواضيع المتعلقة بالـ SOC تختلف بشكل كبير من منظمة لمنظمة وأيضاً من منظمة لمزود خدمة لذلك حاولت حصر النقاط الأساسية قدر المستطاع أتطلع لقرائة التعليقات وذلك للمساعدة في تطوير وتحديث التدونية.

ولكم خالص الشكر والتقدير.