SOC הם ראשי התיבות של Security operations center. מושג שחשוב להכיר בעולם הסייבר כאשר מדברים על הגנה על נתונים ומשאבים ארגוניים. זוהי פונקציית אבטחה קריטית בכל חברה וארגון.
פירוש הביטוי בעברית הוא – מרכז פעולות אבטחה – בארגונים גדולים מדובר בחדר פיזי או אזור ייעודי בו אנשי אבטחת מידע ובעיקר אנליסטים עוקבים אחרי תעבורת רשת, מידע והתראות, כדי לזהות ולהגיב לאיומים.
תפקיד צוות המרכז או המתקן המורכב ממומחי סייבר סקיוריטי הוא לזהות איומי סייבר, להגיב להתקפות סייבר ולחקור אירועי סייבר באופן שוטף.
הצוות של המרכז מופקד על נכסים שונים כמו מערכות עסקיות, קניין רוחני, יישומים, מכשירים, תהליכים והם משתמשים באוסף רחב ומגוון של כלים הגניים להבטחת ההגנה של הנכסים של הארגון.
מה עושה SOC?
ה-SOC מובל לרוב על ידי מנהל SOC ואנליסטים שמדווחים ל-CISO על פעולות חריגות, איומים פוטנציאליים, תובנות על בסיס החקר שבוצע בעקבות האירוע. לרוב המתקן מורכב ממנהל, אנליסטים, חוקרים ועוד, תלוי בגודל הארגון.
ל-SOC ידע ושליטה בכלי אבטחת סייבר והוא מבצע תהליכי הכנה, בקיא בעדכוני האבטחה האחרונים, מגמות בפשעי סייבר.
תהליכי העבודה השוטפת כוללים, בין היתר, ניטור איומים, ביצוע של תחזוקה מונעת כמו התקנת חומת אש וניטור מתמשך כדי להגיב בזריזות בזמן אמת. חברי הצוות מסייעים גם בהתוויית אסטרטגיית אבטחה ומספקים לארגון גם לעצב את מדיניות אבטחת המידע.
נהוג לסווג את הפעולות של ה-SOC לשלוש פעולות מרכזיות: ראשית, השקעה במניעת איומים תוך כדי ניטור מסביב לשעון. שנית, חקירת האיומים הפוטנציאליים כדי להבין מהם ואיך להתגונן מולם ושלישית, ניהול התגובה כנגד התוקפים והאיומים. חלק מהפעילות מוקדש גם לדירוג האיום כדי להבין מתי מדובר באיום קריטי ומתי נדרשת תגובה דחופה וכן פעילות לשחזור המידע שאבד, גיבויים וכדומה.
ארגונים רבים היום מקימים חדרי וצוותי SOC שיהיו אחראים על התפעול של אבטחת המידע הארגונית. גיבוש המרכז כולל הגדרת מדיניות כולל יעדים, יישום ההגנה על תשתיות שונות וכדומה.
למתקן צוות אבטחת פעולות האבטחה בארגון יתרונות רבים: ישנו מרכז שמאגד את כל מה שקשור לניטור וניתוח של פעילות הנתונים לרבות שרתים, רשתות, מסדי נתונים ובלי הפסקה כך שיש לארגון סיכוי טוב יותר להתמודד עם פריצות ותוקפים והם מבטיחים אבטחה רחבה יותר לארגון.
ישנם ארגונים שפונים למרכזי תפעול אבטחה SOC חיצוני בהיעדר של מומחים פנים ארגוניים שיספקו את ההגנה הנדרשת להגנת נתונים בסביבה מאובטחת. לעיתים על אף שיש לארגון צוות SOC פנימי, הארגון ישכור יועצים חיצוניים לסיוע בפרצות אבטחה משמעותיות, להבין מה השתבש ואיך למנוע בפעם הבאה.
מה הקשר בין SOC ל-SIEM?
חלק בלתי נפרד מהדרך שבה פועל מרכז תפעול אבטחה הוא באמצעות SIEM – פלטפורמת ניהול מידע ואירועי אבטחה, שהיא למעשה אוסף של רכיבי אבטחת סייבר המפקחים על המשאבים ותעבורת רשת כדי לזהות איומים והיא מסייעת לעובדי ה-SOC לזהות איומים ולהגיב ביעילות.
היום קיימים פתרונות SIEM המבוססים על בינה מלאכותית כדי לזהות התנהגות חריגה חשודה ולמנוע פריצות באמצעות מנגנוני אוטומציה. |
מדובר במערכת שלמעשה אוספת כמויות אדירות של נתונים מסביבת הרגשת ועל פי הנתונים האלה, ניתן לזהות מגמות, לגלות איומים, לקבל התראות המעידות על פרצות אבטחה.
באמצעות הטכנולוגיה מומחי סייבר יכולים לזהות פריצות ולהפיק דו”חות על אירועים ולהגן טוב יותר על מערכות ה-IT.
במסגרת קורס סייבר מקיף ומעשי בג’ון ברייס לומדים על הכישורים והמיומנויות להפעלה מקצועית של מערכות SOC עכשוויות כולל תרגול מעשי בסביבת סימולציה וירטואלית וכן לומדים כיצד מיישמים פתרון SOC כולל הנהלים הדרושים לפעילות מוצלחת בתחום.