Security Operations Center (CSOC) הוא מרכז אבטחת סייבר שמרכז את כל פעילות ההגנה, הניטור והתגובה
של ארגון כנגד איומים וסיכוני סייבר. תפקידו המרכזי הוא לנטר, לזהות, לנתח ולהגיב
לאיומים בזמן אמת תוך שימוש בטכנולוגיות מתקדמות הקיימות לארגון, נהלים מסודרים, Playbook's, כוח אדם מקצועי ומיומן.
המוקד פועל כמרכז שליטה ובקרה על כל פעילות הסייבר בארגון והוא הגורם המנהל את
אירועי הסייבר, אחראי לניטור מערכות ומידע ומבצע תכנון לתגובה מתאימה בהתאם
לאירועים השונים.
בשנים האחרונות, אנו עדים לכך
שהאיומים בעולם הסייבר הופכים להיות מתוחכמים, ממוקדים ותקיפים יותר. האקרים בין
אם מדובר בבודדים או בקבוצות אינם מתמקדים רק בפרצות טכניות אלא משתמשים בטכניקות
מתקדמות כמו התקפות פישינג ממוקדות וניצול חולשות Zero-Day. כל אלה מחייבים את
הארגון להיות במצב מתמיד של מוכנות יחד עם עיניים על מירב המערכות ובשאיפה למתן
תגובה מהירה ויעילה כחלק קריטי ממערך ההגנה.
השיטה הישנה בארגונים רבים מתמקדת על
רכישת מוצרי וכלי הגנה מתקדמים כשהמוטו הוא להגן ולהגן כמה שיותר בכל שכבה, שיטה
זו זונחת את החשיבות של ניטור ותגובה מתמשכת. הראייה הנכונה יותר מקנה לנו דרך לראות
את האירוע כמעט מכל זווית ויכולת להבין את דרכי הפעולה והתפשטות אירוע מתגלגל באמצעות
עיניים מתוך המערכות (על ידי לוגים).
שירות זה הכרחי כיום לאור מורכבות האיומים
בסייבר והצורך להגיב לאיומים אלו באופן מהיר ויעיל. השירות יכול להינתן כ On Prem (בבית הלקוח) או SAAS – שירות מנוהל מרחוק
(בענן או במוקד אחר).
מוקד שירות ה CSOC מספק לנו מענה לשינויים
המתמידים בסביבת האיומים.. על ידי
ניטור, זיהוי ותחקור איומים – הצוות מנטר את כלל הפעילות הארגונית ומאפשר לזהות איומים
פוטנציאליים.
תגובה מהירה ויעילה – זמינות הצוות באה יחד עם היכולת להגיב במהירות לאירועים בזמן אמת,
בידול התקיפה, הפחתת נזק והחזרת המערכת לפעילות תקינה.
הגנה כוללת ומתקדמת – למוקד שירות קיימת מערכת איסוף וניתוח לוגים (SIEM
– Security Information and Event Management)
ויכולת שליטה והגנה רב שכבתית (בהתאם למסגרת האחריות וההרשאות).
תחקור, ניתוח והפקת לקחים – מאחר ומערכת הליבה הינה המערכת המאגדת לתוכה את מירב הלוגים היא
מאפשרת בכך את הניתוח והתחקור לכל אירוע ומתוך זה מספקת הבנה על דפוסי התקיפה
שיאפשרו לנו להתמודד טוב יותר עם אירועים עתידיים.
מוקד השירות מאפשר לנו ניטור מקיף
והתאמה דינמית לצרכים המשתנים, ניתוח וזיהוי איומים בזמן אמת המלווים חקירה מתקדמת,
תגובה ממוקדת, אינטגרציה (ממשק כולל) עם מערכות הארגון.
חשוב לזכור
כדי להעמיד את המוקד על הצד הטוב ביותר
יש צורך בתכנון קפדני הכולל סקירת כלל המערכות והאפליקציות, הוצאת לוגים מתאימים
והתאמתם אל ממשק מערכת הניטור, כתיבת חוקים וקורולציות בהתאם לצורך העולה מאותו
התהליך, כתיבת נהלים ותרשימי זרימה לפיהם יעבוד הצוות, הדרכה והרשאות מתאימות,
צוות שזמין בהתאם לרמת הסיכון ומגובה על ידי צוות IR.
חובה להגדיר למוקד השירות מסגרת עבודה וסמכויות מאחר והם יכולים לבצע תפקידים נוספים כמו פורנזיקה ומתן מענה בזמן אמת באופן תפעולי כפעילות הגנה אקטיבית (חסימת כתובות, בידול אלמנטים ועוד..).