מרכז תפעול אבטחת מידע

מרכז תפעול אבטחה (SOC) הוא מרכז המציע שירותי אבטחת IT: נוהל למניעה והתמודדות עם אירועי סייבר בלתי צפויים. המשימה של תשתית זו היא למנוע את הסיכון הגלום בכל פעילות אבטחת ה-IT בעזרת ריכוז וניתוח של כלל משאבי האנוש וכן החומרה והתוכנה לניהול מערכת האבטחה. הוא משלב את שלושת התחומים של אנשים, תהליכים וטכנולוגיות על מנת לשלוט ולשפר את מצב האבטחה של ארגון.^[1] מבנה מסוג זה מוגן ומאויש 24 שעות ביממה, 365 ימים בשנה על ידי כוח אדם מיומן המבטיח את ביצועי המערכות ומנתח ומסכם את המידע. התהליכים התפעוליים השולטים ב-SOC נמצאים במקום כדי לנתח כל הזמן את הסיכון השיורי וגם להציע הגנה מפני פריצות באמצעות הערכות סיכוני אבטחה מעת לעת. מכיוון שניהול אבטחת רשתות מחשבים היא משימה שגוזלת זמן ומשאבי כוח אדם, חברות מעדיפות לא פעם לבצע מיקור חוץ של השירות או לחברות אחרות המתמחות באבטחת מידע. הפקדת שותף כזה בניהול האבטחה של רשת החברה שלך מובילה להפחתה ניכרת בעלויות ולאפשרות לרכז את המאמצים שלך בעסקי הליבה. עם זאת, שותף האבטחה חייב לספק את השירות על ידי אנשי אבטחת מידע מוסמכים ביותר. השירות מורכב ממעקב רציף אחר פעילות חומת האש, IDS ואנטי וירוס, זיהוי נקודות תורפה קריטיות וכו'. מדובר בתהליכי עבודה מאוד מיוחדים ולכן יש צורך שהעובדים יהיו מעודכנים כל הזמן על מנת לשמר ולהעמיק את הידע שלהם בטכנולוגיות ובשיטות הנהוגות.

שירותים אפשריים המוצעים על ידי ה-SOC[עריכת קוד מקור | עריכה]

ניתוח וניהול יזום של מערכות וטכניקות אבטחת IT
ניהול מכשירי אבטחה
דיווח
אזעקת אבטחה
בקרת נזקי DoS
הערכת נזקי וסיכוני אבטחת מידע
עזרה טכנית

ניתוח וניהול יזום של מערכות וטכניקות אבטחת IT[עריכת קוד מקור | עריכה]

מטרת שירות זה היא ניתוח יזום של מערכות וטכניקות אבטחת IT 24 שעות ביממה (IDS, IPS, חומת אש וכו'). מערכות האנטי-פריצה מאפשרות ניהול מרכזי של שיטות אבטחת מידע, כך שניתן לזהות התקפות פוטנציאליות מהמחשב ומהאינטרנט והאינטראנט. הצוות המוזמן לכך הוא בדרך כלל מאוד מיוחד ומוסמך.

מנתחי אבטחה יודעים רק את הפונקציות של כלי הניטור במקום הציוד הכולל הנרחב של אמצעי הזהירות. המדרגיות של הכלים של ה-SOC היא גורם קריטי נוסף; למשל, קל יחסית להוסיף IDS (מערכת זיהוי חדירות) חדשה לקיימים. לעיתים קרובות ה-SOC מנהל גם חלק הקשור לניהול מדיניות, למשל נלקחת בחשבון התצורה מחדש של ציוד הבטיחות. יש לעדכן כל הזמן את התצורה המקורית של המכשירים ומדיניות האבטחה על ידי מעקב אחר התפתחות הרשת של הלקוח.

ניהול מכשירי אבטחה[עריכת קוד מקור | עריכה]

ניהול התקני אבטחה (SDM) מתפתח במיוחד סביב שני התהליכים החשובים ביותר:

ניהול שגיאות
ניהול תצורה.

ניהול שגיאות[עריכת קוד מקור | עריכה]

המטרה העיקרית של ניהול תקלות היא להבטיח תפעול מיטבי ורציף של תשתית הבטיחות. הפעילויות כוללות:

הפיקוח המתמיד על ציוד הבטיחות של הלקוח על ידי ה-SOC
זיהוי ואזעקה במקרה של תקלות (כרטיס תקלה בהפעלה)
קבע איזו פעולה לנקוט כדי לתקן את המצב
יישום אמצעי התיקון המתאימים
שחזור תצורות במקרה של אובדן לאחר תקלה

ניהול תצורה[עריכת קוד מקור | עריכה]

המטרה העיקרית של ניהול התצורה היא להבטיח שמבני חומת האש יהיו מותאמים כל הזמן לצורכי הלקוח. זה מכסה את כל המכשירים המנוהלים על ידי ה-SOC. ניהול תצורה כולל את פעילויות התצורה ומתאים מסנני מדיניות או הרשאות לזרימת תעבורת נתונים ממקור חיצוני למקור פנימי (או להפך), בהתבסס על:

כתובת המקור
כתובת משרד היעד
פרוטוקול רשת
יומן שירות
רישום נתוני תנועה.

דיווח[עריכת קוד מקור | עריכה]

היומנים מהקונסולות או מהמכשירים הפרוסים מנותחים בדרך כלל בקפידה ומעובדים מחדש כך שניתן יהיה להבין אותם בקלות על ידי הלקוח. דיווח זה חשוב במיוחד מכיוון שבנוסף לפרטי ניסיונות חדירה אפשריים של יחידות לא מורשות או קשיים בלתי צפויים שנראו בתקופת הדיווח, הלקוח יכול לנקוט באמצעי זהירות.

אזעקת אבטחה[עריכת קוד מקור | עריכה]

שירות התראת אבטחה פותח על מנת להודיע ללקוחות על גילוי פערי אבטחה חדשים במהירות האפשרית על מנת ליצור מיידית את אמצעי הנגד הנדרשים כדי למתן או לנטרל את ההשפעות של הפגיעויות החדשות.

בקרת נזקים DDoS[עריכת קוד מקור | עריכה]

מטרת הגבלת הנזק של DDoS היא לצמצם את ההשלכות של מתקפה מסוג "מניעת שירות מבוזרת". המשימה של שירות זה היא להבטיח התחלה נכונה של האמצעים הדרושים לסגירת פער האבטחה אם לקוח קיבל אות אזעקה. אמצעי הנגד שיש ליישם מוערכים ותהליך "ניקוי" ואפשרי תעבורת הנתונים מנותבת מחדש. הודעה מונפקת כשההתקפה הסתיימה.

הערכת אבטחה[עריכת קוד מקור | עריכה]

כמה מרכיבים שהם בדרך כלל חלק מפעילויות ניהול האבטחה הם: הערכת הפגיעות ובדיקת החדירה.

הערכת הפגיעות פותחה כדי לזהות חולשות שזוהו במערכות ובשירותים המותקנים עליהן. פעילות כזו מתקיימת בעזרת טכנולוגיות ספציפיות; הם מוגדרים בנפרד, משופרים ומותאמים אישית לכל הערכה.

בדיקת החדירה מתבצעת כדי לזהות חולשות ידועות או לא ידועות עדיין במערכת, בשירותים ובאפליקציות הרשת הפועלות עליה. תהליך בדיקת החדירה מסוגל להדגיש ביעילות רבה את רמתו של איום אבטחה מסוים ואת ההערכה המתאימה של השפעתו. פעילות כזו מתבצעת בעזרת מספר רב של טכנולוגיות המוגדרות, משופרות ומותאמות אישית לכל הערכה, אך גם באופן ידני לכל שירות, מערכת ואפליקציה.

עזרה טכנית[עריכת קוד מקור | עריכה]

באופן כללי, ה-SOC יכול גם להציע ללקוח תמיכה טכנית מיוחדת לכל הבעיות התפקודיות, הפרות מערכת, אך גם חידושים ותצורות לחומרה ותוכנה אבטחה. הסיוע הטכני לפתרון הבעיות הנזכרות יכול להתבצע מרחוק או באתר, בהתאם לבעיה ולתנאי ההתקשרות בין הצדדים המתקשרים.

ראו גם[עריכת קוד מקור | עריכה]

הערות שוליים[עריכת קוד מקור | עריכה]

^ Security Operations Center: A Systematic Study and Open Challenges. Vol. 8. 2020. pp. 227756–227779. doi:10.1109/ACCESS.2020.3045514. ISSN 2169-3536.

[1] Security Operations Center: A Systematic Study and Open Challenges. Vol. 8. 2020. pp. 227756–227779. doi:10.1109/ACCESS.2020.3045514. ISSN 2169-3536.

[1]

	ערך מחפש מקורות
	רובו של ערך זה אינו כולל מקורות או הערות שוליים, וככל הנראה, הקיימים אינם מספקים. אנא עזרו לשפר את אמינות הערך באמצעות הבאת מקורות לדברים ושילובם בגוף הערך בצורת קישורים חיצוניים והערות שוליים. אם אתם סבורים כי ניתן להסיר את התבנית, ניתן לציין זאת בדף השיחה.

	יש לערוך ערך זה. ייתכן שהערך סובל מבעיות ניסוח, סגנון טעון שיפור או צורך בהגהה, או שיש לעצב אותו, או מפגמים טכניים כגון מיעוט קישורים פנימיים.
	אתם מוזמנים לסייע ולערוך את הערך. אם לדעתכם אין צורך בעריכת הערך, ניתן להסיר את התבנית.	עריכה

יש לערוך ערך זה. ייתכן שהערך סובל מבעיות ניסוח, סגנון טעון שיפור או צורך בהגהה, או שיש לעצב אותו, או מפגמים טכניים כגון מיעוט קישורים פנימיים.
אתם מוזמנים לסייע ולערוך את הערך. אם לדעתכם אין צורך בעריכת הערך, ניתן להסיר את התבנית.