يعمل مركز العمليات الأمنية (SOC) على تحسين قدرات المؤسسات في اكتشاف التهديدات والاستجابة لها والوقاية منها من خلال التنسيق بين جميع تقنيات وعمليات الأمن الإلكتروني.
مركز العمليات الأمنية (SOC) -والذي يُنطق عادةً "سوك" وأحيانًا يُعرَف باسم مركز عمليات أمن المعلومات (ISOC)- هو فريق داخلي أو خارجي من خبراء أمن تكنولوجيا المعلومات مخصص لمراقبة البنية التحتية بأكملها لتكنولوجيا المعلومات في المؤسسة على مدار الساعة طوال أيام الأسبوع. ومهمته هي اكتشاف الحوادث الأمنية وتحليلها والاستجابة لها في الوقت الفعلي. يمكِّن هذا التنسيق في وظائف الأمن الإلكتروني فريق مركز العمليات الأمنية (SOC) من الحفاظ على اليقظة المستمرة على شبكات المؤسسة وأنظمتها وتطبيقاتها، وضمان موقف دفاعي استباقي ضد التهديدات الإلكترونية.
يعمل مركز العمليات الأمنية (SOC) أيضًا على اختيار تقنيات الأمن الإلكتروني الخاصة بالمؤسسة وتشغيلها وصيانتها، ويحلل باستمرار بيانات التهديدات للبحث عن سبل تحسين الوضع الأمني للمؤسسة.
عندما لا يكون موجودًا داخل المؤسسة، يكون مركز العمليات الأمنية (SOC) غالبًا جزءًا من الخدمات الأمنية المُدارة (MSS) المستعان بها التي يقدِّمها مقدِّم الخدمات الأمنية المُدارة (MSSP). الفائدة الرئيسية من تشغيل مركز العمليات الأمنية (SOC) داخليًا أو الاستعانة به خارجيًا هي أنه يوحِّد وينسِّق نظام الأمن في المؤسسة، بما في ذلك الأدوات الأمنية والممارسات والاستجابة للحوادث الأمنية. يؤدي ذلك عادةً إلى تحسين الإجراءات الوقائية والسياسات الأمنية، وتسريع اكتشاف التهديدات، والاستجابة للتهديدات الأمنية بشكل أسرع وأكثر فاعلية وبتكلفة أقل. يمكن لمركز العمليات الأمنية أيضًا تحسين ثقة العملاء، وتبسيط وتعزيز امتثال المؤسسة للوائح الخصوصية الصناعية والوطنية والعالمية.
النشرة الإخبارية الخاصة بالمجال
ابقَ على اطلاع دومًا بأهم—اتجاهات المجال وأكثرها إثارة للفضول—بشأن الذكاء الاصطناعي والأتمتة والبيانات وغيرها الكثير مع نشرة Think الإخبارية. راجع بيان الخصوصية لشركة IBM.
سيتم تسليم اشتراكك باللغة الإنجليزية. ستجد رابط إلغاء الاشتراك في كل رسالة إخبارية. يمكنك إدارة اشتراكاتك أو إلغاء اشتراكك هنا. راجع بيان خصوصية IBM لمزيد من المعلومات.
تنقسم أنشطة ومسؤوليات مركز العمليات الأمنية (SOC) إلى ثلاث فئات عامة.
جرد الأصول: يحتاج مركز العمليات الأمنية (SOC) إلى الاحتفاظ بجرد شامل لكل ما يتعين حمايته، سواء داخل مركز البيانات أم خارجه (مثل التطبيقات وقواعد البيانات والخوادم والخدمات السحابية ونقاط النهاية وغير ذلك)، وجميع الأدوات المستخدمة لحمايتها (مثل جدران الحماية وأدوات مكافحة الفيروسات/البرامج الضارة/برامج الفدية، وبرمجيات المراقبة، وغير ذلك). غالبًا ما يستخدم العديد من مراكز العمليات الأمنية (SOCs) حلول اكتشاف الأصول للقيام بهذه المهمة.
الصيانة الروتينية والاستعداد: لزيادة فاعلية الأدوات والتدابير الأمنية المطبَّقة، يُجري مركز العمليات الأمنية (SOC) أعمال الصيانة الوقائية مثل تطبيق التحديثات والترقيات البرمجية، وتحديث جدران الحماية، وقوائم السماح والحظر، بالإضافة إلى السياسات والإجراءات الأمنية باستمرار. يمكن لمركز العمليات الأمنية (SOC) أيضًا إنشاء نسخ احتياطية للنظام أو المساعدة على وضع سياسات أو إجراءات النسخ الاحتياطي؛ لضمان استمرارية الأعمال في حال حدوث خرق للبيانات أو هجوم فدية أو أي حادث أمن إلكتروني آخر.
تخطيط الاستجابة للحوادث: يتحمّل مركز العمليات الأمنية (SOC) مسؤولية وضع خطة الاستجابة للحوادث للمؤسسة، والتي تحدِّد الأنشطة والأدوار والمسؤوليات في حال حدوث تهديد أو حادث، وكذلك المقاييس التي سيتم من خلالها قياس نجاح الاستجابة لأي حادث.
الاختبار المنتظم: يُجري فريق مركز العمليات الأمنية تقييمات للثغرات الأمنية - وهي تقييمات شاملة تحدِّد مدى تعرّض كل مورد للتهديدات المحتملة أو الناشئة وتقِدّر التكاليف المرتبطة بها. كما يُجري المركز أيضًا اختبارات الاختراق التي تُحاكي هجمات محددة على نظام واحد أو أكثر. يعمل الفريق على معالجة أو تعديل التطبيقات والسياسات الأمنية وأفضل الممارسات وخطط الاستجابة للحوادث استنادًا إلى نتائج هذه الاختبارات.
مواكبة المستجدات: يحرص مركز العمليات الأمنية (SOC) على متابعة أحدث الحلول والتقنيات الأمنية، بالإضافة إلى أحدث استعلامات التهديدات - الأخبار والبيانات المتعلقة بالهجمات الإلكترونية والمتسللين، التي يتم جمعها من وسائل التواصل الاجتماعي ومصادر الصناعة والشبكة الخفية.
المراقبة الأمنية المستمرة على مدار الساعة: يراقب مركز العمليات الأمنية (SOC) البنية التحتية لتكنولوجيا المعلومات بأكملها -التطبيقات والخوادم وبرمجيات النظام وأجهزة الحوسبة وأعباء العمل السحابية والشبكة- على مدار الساعة وطوال أيام السنة، لرصد أي استغلالات معروفة أو أي نشاط مشبوه.
بالنسبة للعديد من مراكز العمليات الأمنية (SOCs)، كانت التقنية الأساسية للمراقبة والكشف والاستجابة هي إدارة المعلومات والأحداث الأمنية (SIEM). تعمل SIEM على مراقبة وتجميع التنبيهات والبيانات المستمدة من البرمجيات والأجهزة على الشبكة في الوقت الفعلي، ثم تحلل هذه البيانات لتحديد التهديدات المحتملة. وفي الآونة الأخيرة، اعتمدت بعض مراكز العمليات الأمنية (SOCs) أيضًا تقنية الكشف والاستجابة الموسَّعة (XDR)، التي توفِّر بيانات تشغيلية ومراقبة أكثر تفصيلًا، وتمكِّن من أتمتة عملية الكشف عن الحوادث والاستجابة لها.
إدارة السجلات: تُعَد إدارة السجلات -جمع وتحليل بيانات السجلات الناتجة عن كل حدث شبكي- جزءًا مهمًا من عملية المراقبة. بينما تجمع معظم أقسام تكنولوجيا المعلومات بيانات السجلات، فإن التحليل هو الذي يحدِّد النشاط الطبيعي أو الأساسي ويكشف عن الحالات الشاذة التي تُشير إلى نشاط مشبوه. في الواقع، يعتمد العديد من المتسللين على أن الشركات لا تعمل دائمًا على تحليل بيانات السجلات، ما قد يسمح لفيروساتهم وبرامجهم الضارة بالعمل دون اكتشاف لأسابيع أو حتى شهور على أنظمة الضحية. تتضمن معظم حلول SIEM قدرات لإدارة السجلات.
كشف التهديدات: يعمل فريق مركز العمليات الأمنية (SOC) على تمييز الإشارات الحقيقية للتهديدات الإلكترونية ونشاط المتسللين عن الإشارات الخاطئة، ثم يرتّب التهديدات حسب شدتها. تتضمن حلول SIEM الحديثة الذكاء الاصطناعي (AI) الذي يعمل على أتمتة هذه العمليات، ويتعلّم من البيانات ليصبح أكثر دقة في كشف النشاط المشبوه مع مرور الوقت.
الاستجابة للحوادث: عند مواجهة تهديد أو حادث فعلي، يتدخل مركز العمليات الأمنية (SOC) للحد من الأضرار. يمكن أن تشمل الإجراءات ما يلي:
تتيح العديد من حلول XDR لمراكز العمليات الأمنية أتمتة وتسريع عمليات الاستجابة للحوادث هذه وغيرها.
الاسترداد والمعالجة: بعد احتواء الحادث، يعمل مركز العمليات الأمنية (SOC) على القضاء على التهديد، ثم استعادة الأصول المتأثرة إلى حالتها قبل الحادث، مثل مسح واستعادة وإعادة توصيل الأقراص وأجهزة المستخدم ونقاط النهاية الأخرى، واستعادة حركة الشبكة، وإعادة تشغيل التطبيقات والعمليات. في حال حدوث اختراق لأمن البيانات أو هجوم برامج فدية، قد يشمل الاسترداد أيضًا التحوّل إلى أنظمة النسخ الاحتياطي، وإعادة تعيين كلمات المرور وبيانات الاعتماد الخاصة بالمصادقة.
التحليل بعد الحادث والتحسين: لمنع تكرار الحوادث، يستخدم مركز العمليات الأمنية (SOC) أي معلومات جديدة تم الحصول عليها من الحادث لمعالجة الثغرات الأمنية بشكل أفضل، وتحديث العمليات والسياسات، واختيار أدوات أمنية جديدة أو مراجعة خطة الاستجابة للحوادث. على مستوى أعلى، قد يسعى فريق SOC أيضًا لتحديد إذا ما كان الحادث يكشف عن توجُّه جديد أو متغيّر في الأمن الإلكتروني يحتاج الفريق إلى الاستعداد له.
إدارة الامتثال: من مهام مركز العمليات الأمنية (SOC) التأكد من امتثال جميع التطبيقات والأنظمة والأدوات والإجراءات الأمنية للوائح حماية البيانات، مثل اللائحة العامة لحماية البيانات (GDPR) وقانون خصوصية المستهلك في كاليفورنيا (CCPA) ومعيار أمن بيانات صناعة بطاقات الدفع (PCI DSS) وقانون إخضاع التأمين الصحي لقابلية النقل والمساءلة (HIPAA). بعد وقوع الحادث، يتأكد مركز العمليات الأمنية (SOC) من إخطار المستخدمين والجهات التنظيمية وأجهزة إنفاذ القانون والأطراف الأخرى وفقًا للوائح، ومن الاحتفاظ بالبيانات المتعلقة بالحادث كدليل ولأغراض التدقيق.
يوفر مركز العمليات الأمنية العديد من الفوائد للمؤسسات، بما في ذلك:
حماية الأصول: تساعد قدرات المراقبة الاستباقية والاستجابة السريعة لمراكز العمليات الأمنية (SOCs) على منع الوصول غير المصرح به وتقليل خطر اختراقات أمن البيانات. سيؤدي ذلك إلى حماية الأنظمة الحيوية والبيانات الحساسة والملكية الفكرية من الاختراقات الأمنية والسرقة.
استمرارية الأعمال: من خلال الحد من الحوادث الأمنية وتقليل تأثيرها إلى أدنى حد ممكن، تضمن مراكز العمليات الأمنية استمرارية عمليات الأعمال دون انقطاع. يساعد ذلك في الحفاظ على الإنتاجية وتدفقات الإيرادات ورضا العملاء.
الامتثال التنظيمي: تساعد مراكز العمليات الأمنية المؤسسات على تلبية المتطلبات التنظيمية ومعايير الصناعات للأمن الإلكتروني من خلال تنفيذ تدابير أمنية فعَّالة والاحتفاظ بسجلات تفصيلية للحوادث والاستجابات لها.
توفير التكاليف: يمكن أن يؤدي الاستثمار في إجراءات أمنية استباقية عبر مركز العمليات الأمنية (SOC) إلى تحقيق وفورات كبيرة من خلال منع اختراقات أمن البيانات والهجمات الإلكترونية المكلِّفة. غالبًا ما يكون الاستثمار المبدئي أقل بكثير من الأضرار المالية والمخاطر على السمعة التي قد يسببها حادث أمني، وإذا تم الاستعانة بمقدِّم خدمات خارجي، فإنه يُلغي الحاجة إلى توظيف خبراء أمنيين داخليًا.
ثقة العملاء: يُعزز إظهار الالتزام بالأمن الإلكتروني من خلال تشغيل مركز العمليات الأمنية (SOC) الثقة والاطمئنان لدى العملاء والأطراف المعنية.
تعزيز الاستجابة للحوادث: تقلِّل قدرات الاستجابة السريعة لمراكز العمليات الأمنية (SOCs) من فترات التعطل والخسائر المالية من خلال احتواء التهديدات واستعادة العمليات الطبيعية بسرعة لتقليل أي تعطيل.
تحسين إدارة المخاطر: من خلال تحليل الأحداث والتوجهات الأمنية، يمكن لفرق مركز العمليات الأمنية تحديد الثغرات الأمنية المحتملة في المؤسسة. ويمكنهم بعد ذلك اتخاذ إجراءات استباقية للتخفيف من هذه التهديدات قبل استغلالها.
الكشف الاستباقي عن التهديدات: من خلال المراقبة المستمرة للشبكات والأنظمة، يمكن لمراكز العمليات الأمنية تحديد التهديدات الأمنية والتخفيف من حدتها بسرعة أكبر. وهذا يقلل من الأضرار المحتملة واختراق أمن البيانات ويساعد المؤسسات على البقاء في صدارة مشهد التهديدات المتطور.
بشكل عام، تشمل الأدوار الرئيسية في فريق مركز العمليات الأمنية (SOC) ما يلي:
مدير مركز العمليات الأمنية (SOC): يدير مدير SOC الفريق، ويشرف على جميع العمليات الأمنية، ويرفع التقارير إلى المدير التنفيذي لأمن المعلومات (CISO) في المؤسسة.
مهندسو الأمن: يعمل هؤلاء الأفراد على تصميم البنية التحتية الأمنية للمؤسسة وإدارتها. يشمل معظم هذا العمل تقييم الأدوات والتقنيات الأمنية واختبارها والتوصية بها وتنفيذها والحفاظ على تشغيلها. يعمل مهندسو الأمن أيضًا مع فرق التطوير أو فرق DevOps/DevSecOps لضمان دمج البنية الأمنية للمؤسسة ضمن دورات تطوير التطبيقات.
المحللون الأمنيون: يُطلق عليهم أيضًا اسم المحققين الأمنيين أو المستجيبين للحوادث، المحللون الأمنيون هم في الأساس أول المستجيبين لتهديدات أو حوادث الأمن الإلكتروني. يعمل المحللون على اكتشاف التهديدات والتحقيق فيها وفرزها (تحديد أولوياتها)؛ ثم تحديد المضيفين ونقاط النهاية والمستخدمين المتأثرين. ثم يتخذون الإجراءات المناسبة للتخفيف من التأثير أو التهديد أو الحادث واحتوائه. في بعض المؤسسات، يتم الفصل بين أدوار المحققين والمستجيبين للحوادث، مع تصنيف المحققين كمحللين من المستوى 1 ومستجيبي الحوادث كمحللين من المستوى 2.
صائدو التهديدات: يُطلق عليهم أيضًا محللو الأمن الخبراء أو محللو SOC، ويتخصصون في اكتشاف واحتواء التهديدات المتقدمة - أي صيد التهديدات للتهديدات الجديدة أو المتغيّرات التي تتجاوز الدفاعات المؤتمتة.
قد يضم فريق SOC متخصصين آخرين، حسب حجم المؤسسة أو نوع الصناعة. قد تضم الشركات الكبرى مديرًا للاستجابة للحوادث، يكون مسؤولًا عن التواصل وتنسيق إجراءات الاستجابة للحوادث. كما يشمل بعض مراكز العمليات الأمنية (SOCs) محققين جنائيين متخصصين في استرجاع البيانات (الأدلة) من الأجهزة المتضررة أو المخترقة أثناء حادثة الأمن الإلكتروني.