سازمانها در گوشه و کنار جهان در حال سرمایه گذاری روی تواناییهای دفاع سایبری فناوری اطلاعات برای محافظت از داراییهای حیاتی خود هستند. اینکه سازمانها از برند، سرمایههای فکری و اطلاعات مشتری محافظت میکنند یا کنترلهایی را برای زیرساختهای حیاتی فراهم میکنند، همگی چند مولفه عمومی دارند: نیروی انسانی، فرآیندها و فناوری. بلوغ این مولفهها در میان سازمانها و صنعتهای مختلف متفاوت است. شرکت اچ پی تواناییها، دروس آموخته شده و سطوح کارآیی عملیات امنیت را که مبتنی بر ارزیابیهای بلوغ روی سازمانهای مختلف در جهان انجام داده است، در غالب گزارشی منتشر کرده است. در زیر بخش هایی از این گزارش را مشاهده می کنید.
SIOC اچ پی از سال 2008، تواناییها و بلوغ 69 مرکز عملیات امنیت (SOC) خوب را طی 93 ارزیابی، مشخص کرده است. ارزیابیهای بلوغ، سازمانهایی در بخش خصوصی و عمومی، سازمانهای بزرگ در تمامی صنایع و ارائه دهندگان خدمات امنیت مدیریت شده (MSSP) را شامل میشود. این ارزیابیها از نظر جغرافیایی شامل SOCهای 13 کشور است.
روش HP برای ارزیابی مبتنی بر مدل «بلوغ توانایی مجتمع سازی تهیه شده توسط موسسه مهندسی نرم افزار دانشگاه کارنگی ملون (SEI-CMMI)» است. تمرکز این نوع ارزیابی بر روی جنبه های تطابق با کسب و کار، نیروی انسانی، فرآیند و فناوریِ عملیات ارزیابی شده میباشد. تشخیص قابل اطمینان فعالیت و تهدیدات مخرب روی سازمان، و رهیافت ساختارمند برای مدیریت این تهدیدات، مهمترین معیار موفقیت یک توانایی عملیات امنیت بالغ است.
هزینه نشت داده در طی سالهای 2010 تا 2013، هفتاد و هشت درصد افزایش یافته است و هم چنین زمانی که برای برطرف سازی یک حمله سایبری صرف میشود 130 درصد رشد داشته است. در نتیجه برای محدود کردن پیامدها و افزایش سرعت رفع چنین رویدادهایی، نیاز به بهبود کارایی عملیات امنیت وجود دارد.
براساس گزارش اچ پی، 24 درصد از سازمانهای عملیات امنیت ارزیابی شده، حداقل الزامات برای فراهم کردن مانیتورینگ مداوم امنیت را برآورده نمیکنند. تنها 30 درصد از سازمانهای ارزیابی شده اهداف تجاری و الزامات تطابقی را برآورده میکنند. با وجود این یافتهها، دادهها نشان میدهد که بهبود عملکرد در محدودههای مختلفی در حال وقوع است:
- شرکتها درحال به رسمیت شناختن اثر فناوری اطلاعات روی کسب و کار خود هستند و به همین جهت در حال ایجاد SOCها برای محافظت از سرمایههای شرکت می باشند.
- آگاهی مدیران اجرایی از امنیت فناوری اطلاعات در حال افزایش است. در سازمانها کارشناسان امنیت فناوری اطلاعات در حال کسب پختگی درباره فهم تهدیدات و الزامات مورد نیاز دفاعی هستند.
- فروشندگان امنیت باید در قبال فراهم کردن راه حلهای کارا و شفافی که مدیریت و یکپارچگی آنها ساده باشد، پاسخگو باشند.
- SOCها در حال ساخت انجمنهای رسمی و غیررسمی هستند و شروع به اشتراک گذاری آزادتر اطلاعات کردهاند.
در حالی که حضور SOCها در حال افزایش می باشد و سطح توانایی آنها نمایانگر بهبود است، ارزیابیهای HP نشان میدهد که سطح بلوغ SOCها زیر سطح ایده آل است.
برخی از یافتههایی که از ارزیابیهای SOC حاصل شده است به شرح زیر می باشد:
- کلمه "عملیات" منجر به سردرگمی درباره ماموریت SOC و ایجاد انتظارات اشتباه از یک SOC شده است -- SOCهای کارا شامل جمع آوری، تحلیل و انتشار هستند و ذاتاً ماهیت تحلیلی دارند. این جنبهها منجر به تمایز SOCها از دیگر سازمانهای عملیاتی میشود که فقط روی دسترس پذیری، تعیین مشکل و بازیابی متمرکز هستند. همین مساله یکی از دلایل تبدیل نام SOC به مرکز دفاع سایبری است.
- پایههای امنیت فناوری اطلاعات خیلی مهم هستند و عموماً نادیده گرفته میشوند -- مدیریت دارایی، مدیریت ID کاربر (user ID administration)، طبقه بندی اطلاعات و مدیریت آسیب پذیری تماماً مولفههای کلیدی می باشند که برای رسیدن SOC به اهداف بالاتر الزامی هستند.
- عدم توانایی اولویت بندی کردن فعالیتها در SOC منجر به بلوغ و توانایی کمتر میشود -- محافظت از همه دارایی ها کاری مشکل و هزینه بر است. SOCهای موفق از رهیافتی مبتنی بر مخاطره برای اولویت بندی و تمرکز روی اهداف مهمتر استفاده میکنند.
- مدل های Follow-the-sun (این مدل نوعی از گردش کاری جهانی است که در آن وظایف روزانه میان سایتهای کاری که در ناحیه های زمانی متفاوت قرار دارند، به گردش در میآید) و تیمهای توزیع شده از نظر جغرافیایی مشخصاً کارایی کمتری نسبت به تیمهایی که در یک محل مستقر هستند دارند -- تغییر جغرافیایی و محدودههای تیم، محدودیتی برای برقراری فرهنگ و ارتباطی کارا میان تیمها است. مراکز عملیات همجوار کارایی بیشتری در توسعه تواناییهای بلوغ دارند.
- چارچوبهای کاری مبتنی بر کارآیی، ظرفیت و دسترس پذیری - مانند ITIL- برای توسعه SOC بالغ کافی نیستند -- عملیات امنیت نیازمند ابزارهای فرآیندی بیشتری هستند و باید از رهیافت تحلیلی استفاده کنند. در عملیات امنیت، مدل CMMI، روشهای Agile و پارامترهای محوری موفقیت برای مدیریت، کاراتر هستند.
- اتکای بیش از حد به فناوری وجود دارد -- بسیاری از سازمانها هزینه زیادی روی فناوری میکنند و نیروی انسانی و مهارتهای لازم برای رسیدن به اهداف را در نظر نمیگیرند. در SOCها، این کار منجر به سرمایه گذاری حداقلی روی گرانترین CPU که تحلیلگر است میشود! برخلاف تحلیلگران، سیستم ها نمی توانند در برخی موارد برای رسیدن به فرضیه درست از تفکر غیرخطی استفاده نمایند در نتیجه توانایی تحلیل نیروی انسانی برای شناسایی و پاسخ به تهدیدات مدرن الزامی است.
- افزایش توانایی عملیات امنیت از طریق خدمات امنیت مدیریت شده (MSS) نیازمند عملیات بالغ در سمت مشتری است – مدلهای MSS بسیار کمی وجود دارند که میتوانند کاملاً بار مخاطره یا مسئولیت تشخیص تهدید و پاسخگویی را از مشتری بردارند. سازمانهایی که با ارائه دهنده MSSها کار میکنند هم چنان برای حفظ مشارکت ارائه دهنده سرویس نیازمند تواناییهای تحلیل رویداد و پاسخگویی به رخداد هستند.
- سریع ترین راه برای رسیدن به یک SOC توانا وجود یک نقض سیاست امنیتی عمومی است -- شرکتهایی که به واسطه نقض سیاست امنیتی، تجربه ضرر را دارند، دید بهتری نسبت به سرمایه گذاری روی یک SOC توانا دارند.
- موارد کاربرد (use case) پیشرفته به خوبی عملیاتی نشدهاند -- فرآیندهای ناکافی مدیریت محتوا(دادههای جمع آوری شده) منجر به توسعه موارد کاربرد پیشرفتهای شده است که فاقد کنترل برای حصول اطمینان از مزیتهای استفاده از این موارد کاربرد است. این مورد بیشتر به واسطه عدم برقراری ارتباط بین تیمهای مهندسی که محتوای سیستم را ایجاد میکنند و تیمهای تحلیلی که از محتوا استفاده میکنند بوجود آمده است. SOCهای کارا از فرآیندهای توسعه محتوای تکرار شونده استفاده میکنند.
- در SOC فعالیتهای اداری که روی فعالیتهای تحلیلی قرار میگیرد، منجر به تنزل رتبه نتایج مورد انتظار از SOC میشود -- سازمانها اغلب بر این باور هستند تعداد رویدادهایی که در SOC تشخیص داده میشوند کافی نیستند و به همین جهت یکسری فعالیت های غیرمرتبط به تحلیلگران اختصاص میدهند. این درحالی است که پاسخگویی بالغتر، عبارت است از کشف علت وجود عدم تشخیص و پیاده سازی طرحی برای بهبود توانایی تشخیصی SOC.
