מה זה SOC?
מרכז ניטור פעולות אבטחה הינו מרכז אבטחת מידע ייעודי המנטר, מזהה ומגיב לאירועי הסייבר. מסיבה זו, הוא הגוף הראשון שיחווה את אירוע הסייבר בארגון ומטרתו היא לזהות ולנטר את האירועים בזמן אמת, לבצע חקירה ראשונית עמוקה יותר תוך ביצוע תגובה מהירה ובסופו, בידוד האירוע עד מיצוי והכלתו.
SOC איכותי דורש שיתוף פעולה ברמה התקשורתית בין פונקציות שונות ומרובות, מוצרי אבטחה שונים ותהליכים משתנים.
מרכז SOC הוא מתקן (חדר / אולם / סדרת חדרים) בו מערכות מידע ארגוניות מנוטרות, נבדקות ומגנות. מערכות המידע הארגוניות יכולות להיות:
- אתרי אינטרנט
- יישומים
- מסדי נתונים
- מרכזי נתונים ושרתים
- רשתות
- שולחנות עבודה
- נקודות קצה מנוטרות
SOC פועל כמו מרכז שליטה ובקרה, נוטל מידע מכל תשתיות ה- IT של הארגון, כולל רשתות, מכשירים, ואמצעים אחרים, בכל מקום בו נכסים אלה נמצאים. התהליך של איסוף הקשר ממקורות שונים, מסייע מאוד בהגנה בעידן של ריבוי האיומים המתקדמים.
כל אירוע שנרשם בארגון נרשם ומבוקר ב- SOC. בכל אחד מהאירועים הללו, על ה- SOC להחליט כיצד ינוהלו ויפעלו עליהם.
תפקידי צוות ה-SOC
כל ארגון יכול להחליט על גודל צוות ה-SOC בהתאם לארגון ולתעשייה, אולם לרובם יש אותם תפקידים ואחריות. מטרת העל המניעה את צוות ה-SOC הוא ניטור ושיפור רציף של מערך אבטחת המידע בארגון, תוך מניעה, זיהוי, ניתוח ותגובה לאירועים על ידי שילוב אנשים וטכנולוגיות.
רישום מלאי– ל-SOC שני סוגי משאבים שהוא אחראי עליהם-
- מכשירים, מעבדים ואפליקציות עליהם הוא אמון להגן
- מערכות ההגנה העומדות לרשותו
ה-SOC לא יכול להגן על מכשירים ומידע שהוא אינו מכיר, ולכן מטרה עליונה עבורו היא להשיג ראייה רחבה על מפת האיומים, הכוללים לא רק את הפגיעויות על נקדות הקצה, השרתים והתוכנות, אלא גם ממשקים צד שלישיים.
מניעה– בעולם אבטחת המידע, מניעה נחשבת ליעילה יותר מתגובה. במקום להגיב לאיומים בזמן שהם קורים, SOC פועל לנטר את המרכיבים הדיגיטליים מסביב לשעון. על ידי כך, צוות SOC יכול לזהות פעילויות זדוניות ולמנוע אותן לפני שהן עלולות לגרום נזק כלשהו. אם אנליסט ה-SOC מאתר פעילות חשודה, הצוות אוסף מידע רב ככל האפשר לחקירה מעמיקה יותר. פעולות המניעה יכולות להתחלק ל-2 סוגים:
- הכנה- חברי הצוות צריכים להישאר מעודכנים בחידושי האבטחה המתקדמים, ובמגמות האחרונות בפשעי סייבר. מחקר זה יכול לסייע ביצירת מפת דרכים שתספק כיוון למאמצי אבטחת הסייבר של החברה, ותוכנית התאוששות מאסון שתשמש כהנחיה מוכנה בתרחיש הגרוע ביותר.
- תחזוקה מונעת- שלב זה כולל את כל הפעולות שננקטו כדי להקשות על התקפות מוצלחות, כולל תחזוקה ועדכון שוטפים של מערכות קיימות-
- עדכון מדיניות חומת אש
- תיקון פגיעויות
- רשימה לבנה ושחורה של הרשאות
- אבטחת יישומים
ניטור– כלים המשמשים את ה-SOC סורקים את הרשת 24/7 כדי לסמן חריגות או פעילויות חשודות. ניטור הרשת מסביב לשעון מאפשר ל-SOC לקבל הודעה מיידית על איומים מתעוררים, מה שמעניק להם את הסיכוי הטוב ביותר למנוע או להפחית נזק. כלי ניטור יכולים לכלול SIEM EDR, SOAR או XDR, המתקדמים שבהם יכולים להשתמש בניתוח התנהגותי כדי "ללמד" מערכות את ההבדל בין פעולות יומיומיות רגילות להתנהגות איום בפועל, תוך מזעור הכמות של טריאז' וניתוח שחייבים להיעשות על ידי בני אדם.

חקירה– במהלך שלב החקירה מנתחים את הפעילות החשודה כדי לקבוע את מהות האיום והמידה שבה הוא חדר לתשתית. הצוות חוקר את הפעילו החשודה, ומנסה לחזות את הפעולות העתידיות של התוכנה הזדונית באמצעות מודיעין מעודכן על האיומים הרלוונטים ביותר בשוק הנוכחי.
תגובה– לאחר החקירה, צוות ה-SOC מתאם תגובה לתיקון הבעיה. ברגע שמאושר שמתקיים אירוע, ה-SOC פועל כמגיב ראשון, מבצע פעולות כגון בידוד נקודות קצה, הפסקת תהליכים מזיקים, מניעת ביצועים, מחיקת קבצים ועוד.
שחזור– לאחר תקריות, ה-SOC פועל לשחזור מערכות ומידע שאבד או נפגע. זה עשוי לכלול מחיקה והפעלה מחדש של נקודות קצה ומערכות. במקרה של התקפות כופר, יש צורך בפריסת גיבויים על מנת לעקוף את תוכנת הכופר.
טכנולוגיות של ה-SOC
ניהול לוגים הוא אחד מתפקידיו השוטפים של ה-SOC, שאחראי לאיסוף, תחזוקה ובדיקה קבועה של היומן של כל פעילות הרשת והתקשורת עבור הארגון.
נתונים אלה מסייעים להגדיר קו בסיס לפעילות רשת "רגילה", יכולים לחשוף קיומם של איומים, וניתן להשתמש בהם לתיקון וזיהוי פלילי לאחר אירוע.
הטכנולוגיה הבסיסית עליה צוות ה-SOC עובד היא מערכת SIEM, המאגדת את כל רישומי ה-LOG מכל מערכות ההגנה של של ארגון, לרבות חומות אש, אנטי וירוס, IDS ו-WAF.

יתרונות ה-SIEM לארגונים
- מבט פנימי על רשת הארגון- באמצעות פריסת Agents המותאמים לכל מערכת הפעלה
- מודיעין חיצוני על נכסי הארגון- דומיינים, כתובות IP, S3 Buckets, כתובות מייל ועוד
- שירות מנוהל- אפשרות לשירות מנוהל בתצורת SaaS או OnPrem
- כיסוי תמיכה ושירות
- מניעה וזיהוי של פישינג-המערכת משתמשת בקורלציות ובניתוח התנהגותי כדי לקבוע שמשתמש לחץ על קישור פישינג, שהופץ בדוא"ל או באמצעים אחרים.
- חקירות פנימיות- המערכת אוספת נתונים על כל פעילות בתחנות הקצה, כך שבמידה וצצה פעילות חשודה הקשורה להתנהלות עובדים ניתן להיכנס למערכת ולהסתייע.
- מיפוי נקודות לא בשימוש- לפי מחקר של Intermedia, הרוב המוחלט של העובדים(89%) שעוזבים את עבודתם שומרים על גישה לכמה מערכות ארגוניות ומשתמשים ב- Credentials כדי להיכנס אליהן. ה-SIEM יכול למפות את הארגון ולזהות אישורים שאינם בשימוש.
מערכת ה-SIEM גם הכרחית לעמידה בתקנים כגון GDPR או HIPAA, ומאפשרת לארגונים להתעייל באיתור ותגובה לפרצות אבטחת מידע.