امنیت سایبری

مراکز عملیات امنیتی (SOC) پرهزینه و پیچیده هستند. هیچ مدل کاملی برای همه موقعیت‌ها وجود ندارد، بنابراین تصمیم به منبع‌یابی، برون‌سپاری یا انتقال به یک مدل ترکیبی، مدلی است که برای هر سازمانی منحصر به فرد است. معیارهای تصمیم گیری کلیدی شامل الزامات نظارتی خاص شما، ابزار، نیروی انسانی و تخصص، نگرانی های هزینه، گردش کار واکنش به حادثه و موارد دیگر است.

با آن، تیم‌های امنیتی چالش‌های مهم مربوط به اجرای یک SOC داخلی را تشخیص می‌دهند، اما همچنین متوجه می‌شوند که مدل‌های SOC برون‌سپاری و ترکیبی به دلیل صرفه‌جویی در مقیاس، در هزینه‌ها صرفه‌جویی می‌کنند. هدف این مقاله کمک به تیم های InfoSec برای درک بهتر عوامل تصمیم گیری در هنگام انتخاب یک مدل SOC نسبت به مدل دیگر است، از جمله:

الزامات برای نظارت
دسترسی به کارکنان ماهر و ابزار.
مخارج سرمایه ای (CAPEX) در مقابل هزینه های عملیاتی (OPEX).
بررسی ها و پاسخ های بعدی چگونه انجام خواهد شد.

سه نوع مدل SOC

اساساً، سازمان ها می توانند از سه مدل مختلف برای SOC استفاده کنند:

کاملاً منبع‌دهی شده: در یک SOC کاملاً منبع‌دهی شده، کارمندان سازمان همه نظارت‌های امنیتی را خودشان انجام می‌دهند. مزیت اصلی آن حفظ مسئولیت و کنترل کامل سازمان بر عملیات است. متأسفانه، این نیز بزرگترین مسئولیت آن است. مدل SOC کاملاً منبع‌دهی شده، سازمان را ملزم می‌کند تا استعدادها را برای راه‌اندازی SOC، و همچنین تمام نرم‌افزار و سخت‌افزار مورد استفاده توسط SOC، کسب و حفظ کند. خرید مجوزهای سخت افزاری و نرم افزاری معمولاً به CAPEX در سال اول و OPEX در سال های بعد نیاز دارد. این مدل می تواند پرهزینه باشد، اما قابل تنظیم ترین چارچوب را برای نظارت فراهم می کند زیرا همه چیز تحت کنترل سازمان است.
کاملاً برون سپاری شده: در یک SOC کاملاً برون سپاری شده، نظارت بر امنیت به طور کامل توسط یک شرکت شخص ثالث انجام می شود. مزیت اصلی آن این است که در بیشتر موارد به سادگی وصل و پخش می شود. سازمان ارائه دهنده ای را برای کار و برنامه نظارتی متناسب با نیاز خود انتخاب می کند. این مدل معمولاً به هیچ CAPEX نیاز ندارد و می تواند به طور کامل از طریق OPEX تأمین مالی شود. نقطه ضعف اصلی آن این است که سازمان ها را ملزم می کند از میان مجموعه ای از گزینه های ارائه شده توسط یک ارائه دهنده خدمات، که ممکن است مستقیماً نیازها و بودجه آن را برآورده کند یا نداشته باشد، انتخاب کنند.
ترکیبی: در یک SOC هیبریدی، نظارت بر امنیت توسط مشارکت بین تیم داخلی و یک تیم خارجی انجام می شود. مزیت اصلی آن این است که توانایی کنترل تمام جنبه های عملکرد نظارت اصلی را بدون نیاز به بودجه داخلی برای تمام ساعات پوشش فراهم می کند. این مدل عموماً دارای OPEX کمتری نسبت به یک SOC کاملاً منبع‌دهی شده است، زیرا پرسنل قراردادی برای پوشش ساعات غیرفعال معمولاً ارزان‌تر از کارکنان تمام وقت و اختصاصی هستند. نقطه ضعف اصلی این مدل، سربار مدیریت اضافی مورد نیاز برای ترکیب دو تیم به شیوه‌ای کاربردی است که از پوشش منسجم بین تیم‌های منبع‌دهی و برون‌سپاری شده اطمینان حاصل می‌کند.

انتخاب مدل SOC

سازمان ها ممکن است کار را با یک SOC کاملاً برون سپاری شده شروع کنند. بسیاری از چالش‌های استقرار، آموزشی و عملیاتی با راه‌اندازی یک SOC همراه است. ممکن است تلاش برای ایجاد یک SOC داخلی (یا ترکیب SOCهای موجود از ادغام یا اکتساب) از پایه بدون کمک، منجر به ارزش پیشنهادی کمتر از حد انتظار شود.

برای سازمان هایی که قبلاً یک SOC داخلی دارند و در حال بررسی این هستند که آیا به طور کامل برون سپاری کنند یا به یک مدل ترکیبی بروند، بزرگترین ملاحظات سطح استقلال مورد نیاز (استقلال بالاتر به نفع یک مدل ترکیبی) و هزینه (هزینه کمتر به نفع یک مدل کاملاً برون سپاری شده است) است. .

اگر در حال ساخت یک SOC با منبع کامل هستید موارد زیر را در نظر بگیرید:

حدود 30 درصد بیش از حد بودجه را در نظر بگیرید.
قبل از اینکه SOC به طور کامل قادر به انجام ماموریت باشد، زمان بیشتری نسبت به بودجه اولیه در نظر بگیرید.

استفاده از یک SOC برون سپاری یا ترکیبی که در آن ارائه‌دهنده برون‌سپاری SIEM را مستقر می‌کند و حفظ می‌کند، عموماً این زمان و هزینه بیش از حد را کاهش می‌دهد. این کار در صورتی کار می‌کند که هزینه‌ها پیشاپیش توافق شود و ارائه‌دهنده برون‌سپاری تجربه در استقرار SIEM داشته باشد و به آن اجازه می‌دهد از دام‌های رایج جلوگیری کند.
عوامل تعیین کننده مدل SOC

انتخاب اینکه کدام مدل SOC اتخاذ شود نیز توسط چندین عامل مختلف در سازمان هدایت می شود. در حالی که مطمئناً عوامل دیگری وجود دارد که ممکن است بر انتخاب مدل SOC تأثیر بگذارد، موارد زیر را در نظر بگیرید:

الزامات برای نظارت
دسترسی به کارکنان ماهر و ابزار.
نگرانی های CAPEX در مقابل OPEX.
بررسی های بعدی و پاسخ چگونه انجام خواهد شد.
چند ملاحظه ثالث دیگر (معمولاً وزن کمتر) شامل موارد زیر است، اما به آنها محدود نمی شود:
عملیات شکار تهدید
جمع آوری داده ها
داده ها و مکان پرسنل نظارت