הגנה אקטיבית סביב השעון – הכירו את חדר ה-SOC

פוטנציאל הנזק הגדול של מתקפת סייבר מדיר שינה מעיניהם של מנכ"לים, מנהלי מערכות מידע ומנהלי אבטחת מידע. משברים גלובליים, בצע כסף, חוסר יציבות פוליטית ולפעמים גם סתם שעמום של האקרים, דוחפים חברות רבות להשקיע תקציבי עתק בהגנה על מערכות המחשוב שלהם מחשש לאובדן מידע או פגיעה בתשתית. העלות הכספית, מצד הארגון, של התמודדות עם מתקפת סייבר – מניהול והתמודדות בזמן אמת ועד לשיקום המערכות – היא גבוהה מאוד ויכולה להגיע למיליוני דולרים לאירוע בודד.

התגוננות מבעוד מועד לעומת זאת, והשקעה בתרבות סייבר מניעתית, עשויה לקצר (או למנוע) את משך הטיפול במקרה של אירוע סייבר ולחסוך הוצאות רבות.

אחד הפתרונות המרכזיים בשרשרת ההגנה הארגונית הוא מרכז או חדר ה-SOC. אבל מה קורה בחדר הזה? כיצד מופעל על מנת לספק את המענה הראשוני במקרה של מתקפת סייבר? והאם אפשר להקים ולהפעיל אותו במהירות וביעילות? בואו נגלה.

מרכז ה-SOC – קווים לדמותו

SOC הוא קיצור של Security Operation Center. מדובר במרכז המאפשר שליטה ובקרה בשגרה ומענה ראשוני במקרה חירום של מתקפת סייבר. במרכז, כלל המידע שזורם מן מערכות המחשוב בארגון, מנוטר ומבוקר במערכת SIEM (Security Incident and Event Management), שהיא לב ליבו של חדר ה-SOC. מערכת זו מרכזת את כלל הפעולות והבדיקות שכלי הניטור השונים מבצעים במערכות השונות בארגון, והיא מספקת תצוגה אחידה (דשבורד) המאפשרת קבלת החלטת בזמן אמת.

במקרים רבים ניתן לזהות סימנים מקדימים לתקיפה, בייחוד במקרים של מתקפות מורכבות, וזה יתרונו של מרכז ה-SOC. באמצעות הניטור הרציף של המערכות והרכיבים הקריטיים של הארגון, התראות שונות, הניסיון והידע המקצועי של האנליסטים, ניתן לזהות סימנים אלה הכוללים שינויים בפרמטרים מסוימים או אנומליות שונות. מיד עם הגילוי ניתן להגיב ובכך למנוע, או למזער לכל הפחות, את המתקפה הפוטנציאלית.

חדר הבקרה מאויש במומחי אבטחת מידע ברמות שונות (tier 1-3) שמורכבים מציידי איומים המבצעים מחקר תדיר במטרה לאתר באופן אקטיבי איומים פוטנציאליים ומומחי פורנזיקה שאחראים על תחקור אירועים, שיחזור ושיקום בהתאם לדרגת החומרה שלו.

מרכז ה-SOC – מי צריך?

חדר ה-SOC נולד בארגונים ממשלתיים ובחברות שסיפקו שירותי אבטחת מידע, אולם כיום הוא משמש ארגונים רבים ברחבי העולם. מטבע הדברים ארגונים גדולים בעלי מסדי נתונים רבים ומספר גדול של מערכות מידע, מדגישים את הצורך בשליטה, בקרה וניטור, המרוכזים במקום אחד ומקלים על קבלת ההחלטות והתגובה במקרה של תקיפת סייבר.

לא רק גודל הארגון או מורכבות תשתית ה-IT שלו קובעים את הצורך במרכז ה-SOC. ככלל, כל ארגון מקטן ועד ענק, שפעילותו כוללת תעבורת נתונים (יש כאלה שלא?), יכול להפיק ערך רב מניטור התעבורה שמתבצע במרכז ה-SOC. בייחוד, חברות שבתחום פעילותן נעשה שימוש ומאוחסן מידע רגיש, כזה שעשוי להיות אטרקטיבי בעיני תוקפים עשויות למנוע נזקים משמעותיים באמצעות SOC. גם ארגונים שרמת האבטחה שלהם נתפסת בעיניי הלקוחות כחשובה במיוחד, עשויים להפיק תועלת עסקית ממרכז אבטחת מידע שכזה.

הצעד הראשון בדרך למרכז SOC ארגוני

הקמת חדר SOC היא פרוצדורה מורכבת הכוללת עלויות הקמה, הכשרה, הדרכה ועלויות תפעול אחרות. על מנת לעמוד בתקינה המחמירה (תעשייה, פרטיות, רגולציה ועוד) שתאפשר להסתמך על מרכז ה-SOC ולוודא שהוא מוגן בפני עצמו מפני מתקפות שונות, נדרש להשקיע הון משמעותי בתשתית. כמו כן , כדי להפעיל מרכז SOC כראוי נדרש כוח אדם איכותי, מוכשר ומיומן, ופיתוח של מתודות עבודה סדורות ונהלים המחייבים ידע מקצועי וניסיון בתחום.

דרך אחרת שעשויה לחסוך זמן יקר ועלויות משמעותיות בשלב הראשוני היא שכירות של שירותי SOC מנוהלים. במקרה זה, ארגונים יכולים להישען על טובי המומחים ועל הניסיון הרב שנצבר אצל חברות המתמחות בשירותים אלה. האחרונות מספקות פתרון כולל מקצה לקצה לארגון, 24/7, החל בשלב האפיון דרך הניטור והבקרה וכלה בתגובות נגד במקרה של מתקפה. בנוסף, בדרך זו הארגון זוכה גם לשקט נפשי בכל הקשור להדרכות מניעה, עמידה בתקני האבטחה ועוד. בכל מקרה, העלייה במספר התקיפות משנה לשנה מסמנת כי לא ירחק היום בו בכל בניין ארגוני, ימצא חדר SOC, בין אם מרכז פיסי של ממש ובין אם על בסיס שירותי SOC מנוהלים.