مراکز عملیات امنیتی (SOC) پرهزینه و پیچیده هستند. هیچ مدل کاملی برای همه موقعیتها وجود ندارد، بنابراین تصمیم به منبعیابی، برونسپاری یا انتقال به یک مدل ترکیبی، مدلی است که برای هر سازمانی منحصر به فرد است. معیارهای تصمیم گیری کلیدی شامل الزامات نظارتی خاص شما، ابزار، نیروی انسانی و تخصص، نگرانی های هزینه، گردش کار واکنش به حادثه و موارد دیگر است.
با آن، تیمهای امنیتی چالشهای مهم مربوط به اجرای یک SOC داخلی را تشخیص میدهند، اما همچنین متوجه میشوند که مدلهای SOC برونسپاری و ترکیبی به دلیل صرفهجویی در مقیاس، در هزینهها صرفهجویی میکنند. هدف این مقاله کمک به تیم های InfoSec برای درک بهتر عوامل تصمیم گیری در هنگام انتخاب یک مدل SOC نسبت به مدل دیگر است، از جمله:
الزامات برای نظارت
دسترسی به کارکنان ماهر و ابزار.
مخارج سرمایه ای (CAPEX) در مقابل هزینه های عملیاتی (OPEX).
بررسی ها و پاسخ های بعدی چگونه انجام خواهد شد.
سه نوع مدل SOC
اساساً، سازمان ها می توانند از سه مدل مختلف برای SOC استفاده کنند:
کاملاً منبعدهی شده: در یک SOC کاملاً منبعدهی شده، کارمندان سازمان همه نظارتهای امنیتی را خودشان انجام میدهند. مزیت اصلی آن حفظ مسئولیت و کنترل کامل سازمان بر عملیات است. متأسفانه، این نیز بزرگترین مسئولیت آن است. مدل SOC کاملاً منبعدهی شده، سازمان را ملزم میکند تا استعدادها را برای راهاندازی SOC، و همچنین تمام نرمافزار و سختافزار مورد استفاده توسط SOC، کسب و حفظ کند. خرید مجوزهای سخت افزاری و نرم افزاری معمولاً به CAPEX در سال اول و OPEX در سال های بعد نیاز دارد. این مدل می تواند پرهزینه باشد، اما قابل تنظیم ترین چارچوب را برای نظارت فراهم می کند زیرا همه چیز تحت کنترل سازمان است.
کاملاً برون سپاری شده: در یک SOC کاملاً برون سپاری شده، نظارت بر امنیت به طور کامل توسط یک شرکت شخص ثالث انجام می شود. مزیت اصلی آن این است که در بیشتر موارد به سادگی وصل و پخش می شود. سازمان ارائه دهنده ای را برای کار و برنامه نظارتی متناسب با نیاز خود انتخاب می کند. این مدل معمولاً به هیچ CAPEX نیاز ندارد و می تواند به طور کامل از طریق OPEX تأمین مالی شود. نقطه ضعف اصلی آن این است که سازمان ها را ملزم می کند از میان مجموعه ای از گزینه های ارائه شده توسط یک ارائه دهنده خدمات، که ممکن است مستقیماً نیازها و بودجه آن را برآورده کند یا نداشته باشد، انتخاب کنند.
ترکیبی: در یک SOC هیبریدی، نظارت بر امنیت توسط مشارکت بین تیم داخلی و یک تیم خارجی انجام می شود. مزیت اصلی آن این است که توانایی کنترل تمام جنبه های عملکرد نظارت اصلی را بدون نیاز به بودجه داخلی برای تمام ساعات پوشش فراهم می کند. این مدل عموماً دارای OPEX کمتری نسبت به یک SOC کاملاً منبعدهی شده است، زیرا پرسنل قراردادی برای پوشش ساعات غیرفعال معمولاً ارزانتر از کارکنان تمام وقت و اختصاصی هستند. نقطه ضعف اصلی این مدل، سربار مدیریت اضافی مورد نیاز برای ترکیب دو تیم به شیوهای کاربردی است که از پوشش منسجم بین تیمهای منبعدهی و برونسپاری شده اطمینان حاصل میکند.
انتخاب مدل SOC
سازمان ها ممکن است کار را با یک SOC کاملاً برون سپاری شده شروع کنند. بسیاری از چالشهای استقرار، آموزشی و عملیاتی با راهاندازی یک SOC همراه است. ممکن است تلاش برای ایجاد یک SOC داخلی (یا ترکیب SOCهای موجود از ادغام یا اکتساب) از پایه بدون کمک، منجر به ارزش پیشنهادی کمتر از حد انتظار شود.
برای سازمان هایی که قبلاً یک SOC داخلی دارند و در حال بررسی این هستند که آیا به طور کامل برون سپاری کنند یا به یک مدل ترکیبی بروند، بزرگترین ملاحظات سطح استقلال مورد نیاز (استقلال بالاتر به نفع یک مدل ترکیبی) و هزینه (هزینه کمتر به نفع یک مدل کاملاً برون سپاری شده است) است. .
اگر در حال ساخت یک SOC با منبع کامل هستید موارد زیر را در نظر بگیرید:
حدود 30 درصد بیش از حد بودجه را در نظر بگیرید.
قبل از اینکه SOC به طور کامل قادر به انجام ماموریت باشد، زمان بیشتری نسبت به بودجه اولیه در نظر بگیرید.
استفاده از یک SOC برون سپاری یا ترکیبی که در آن ارائهدهنده برونسپاری SIEM را مستقر میکند و حفظ میکند، عموماً این زمان و هزینه بیش از حد را کاهش میدهد. این کار در صورتی کار میکند که هزینهها پیشاپیش توافق شود و ارائهدهنده برونسپاری تجربه در استقرار SIEM داشته باشد و به آن اجازه میدهد از دامهای رایج جلوگیری کند.
عوامل تعیین کننده مدل SOC
انتخاب اینکه کدام مدل SOC اتخاذ شود نیز توسط چندین عامل مختلف در سازمان هدایت می شود. در حالی که مطمئناً عوامل دیگری وجود دارد که ممکن است بر انتخاب مدل SOC تأثیر بگذارد، موارد زیر را در نظر بگیرید:
الزامات برای نظارت
دسترسی به کارکنان ماهر و ابزار.
نگرانی های CAPEX در مقابل OPEX.
بررسی های بعدی و پاسخ چگونه انجام خواهد شد.
چند ملاحظه ثالث دیگر (معمولاً وزن کمتر) شامل موارد زیر است، اما به آنها محدود نمی شود:
عملیات شکار تهدید
جمع آوری داده ها
داده ها و مکان پرسنل نظارت
تعداد صفحات : 0
درباره ما
موضوعات
اطلاعات کاربری
لینک دوستان
آرشیو
خبر نامه
پیوندهای روزانه
آمار سایت
کدهای اختصاصی