در سازمانهایی که از بستر فناوری اطلاعات استفاده میکنند، روزانه حجم عظیمی از رخدادنماها و هشدارها توسط تجهیزات و حسگرهای مختلف شبکهای و امنیتی تولید میشود که بررسی دقیق، ارزیابی و اهمیتدهی به موارد مهم، به صورت انسانی کاری بسیار پرزحمت، پرهزینه و همراه با اشتباه و چه بسا غیرممکن خواهد بود. در یک شبکه سازمانی با اندازه متوسط روزانه بیش از چند میلیون رخدادنما تولید میشود که تا اندازهای میتواند مشخص کننده مشکلات پردازش انسانی رخدادنماها باشد. همچنین تنوع رخدادنماها و قالبها و زبانهای مختلف به کار گرفته شده در آنها برای بیان یک اتفاق یکسان، مشکلات پردازش انسانی رخدادنماها را آشکارتر میسازد. به منظور حل این مشکل، راهکارهای مختلفی ارائه شده است. این راهکارها با نامهایی همچون مدیریت رخدادنما (Log Management)، مدیریت رویدادها و اطلاعات امنیتی (SIEM: Security Information & Event Management) و مرکز عملیات امنیت (SOC: Security Operations Center) ارائه میشوند.
NOC مخفف Network Operations Center یا مرکز عملیات شبکه و SOC مخفف Security Operations Center یا مرکز عملیات امنیت است. هر دو ساختار NOC و SOC امروزه یکی از حساسترین و مهمترین مواردی هستند که باید در شبکه های بزرگ امروزی وجود داشته باشد. معمولا در طی سالیان سال NOC ها و SOC ها هر کدام بصورت مجزا و برای انجام عملیات ها و وظایف منحصر به فردی فعالیت می کردند.
همیشه هدف از راه اندازی NOC در شبکه ها سه چیز بوده است : اطمینان از روشن بودن ، فعال بودن و سرویس دهی منابع و سرویس های اطلاعاتی بر اساس SLA های موجود سازمان ، برعکس NOC همیشه هدف از راه اندازی SOC در شبکه ها حفاظت ، شناسایی ، عکس العمل نشان دادن و بازیابی سرویس ها و منابع اطلاعاتی بر اساس زمان پاسخ موجود در SLA ها می باشد. تمامی این عملیات ها بصورت متمرکز و برای اطمینان از دسترسی پذیری و صحت دارایی های فناوری اطلاعاتی یک سازمان استفاده می شود. در دنیای امروزی انواع و اقسام ریسک ها منابع و دارایی های فناوری اطلاعاتی سازمان ها را تهدید می کنند ، خراب کردن اطلاعات ، خرابی یک دستگاه ، تغییرات غیر مجاز در اطلاعات ، مشکلات طبیعی و انواع و اقسام تهدیدات اطلاعات ما را تهدید می کنند. همه روزه فناوری های جدیدی به ساختارهای SOC و NOC اضافه می شود تا بتوانند نیازهای یک سازمان را از این دسته برآورده کنند. معمولا یک سازمان سعی می کند هزینه های خود را تا حد ممکن کاهش دهد بنابراین سعی در ایجاد یک تیم واحد برای فرآیند های SOC و NOC می کند.
ساختار SOC ها و NOC ها تا حدود زیادی شبیه به هم است ، هر دو دارای Call Center ، سیستم های مانیتورینگ و تیم incident response هستند. هم در SOC ها و هم در NOC ها شما فرآیند و ها و رخدادها را مانیتور می کنید و در صورت بروز مشکلات در برابر آنها عکس العمل نشان می دهید. یک نکته بسیار مهم که وجه تمایز SOC و NOC می باشد این است که برای اینکه شما بتوانید یک کارشناس NOC داشته باشید تخصصی در حوزه شبکه کفایت می کند اما در صورتیکه بخواهید به عنوان کارشناس SOC فعالیت کنید باید مهندس یا کارشناس امنیت اطلاعات باشید و دانش امنیتی لازمه یک SOC Specialist است. ابزارها و تکنیک هایی که برای آنالیز در SOC ها و NOC ها هم استفاده می شود متفاوت است و از خروجی هر کدام از این ابزارها بر حسب نوع ساختار خروجی متفاوتی بیرون می آید. برای مثال ممکن است یک NOC Analyst یک رویداد یا Event در شبکه را به عنوان یک مشکل سخت افزاری تشخیص دهد اما همان رویداد برای یک SOC Analyst به عنوان تلاش برای خرابکاری در سیستم های سخت افزاری تعبیر شود. در مثالی دیگر فرض کنید پهنای باند مصرفی سازمان برای یک کارشناس NOC به عنوان یک ابزار است که بایستی دسترسی پذیری بالایی داشته باشد ، برای یک NOC Analyst مشکلات در این ساختار صرفا باید برطرف شوند اما برای یک SOC Analyst باید صورت مسئله حل شود که چه چیزی باعث بروز اختلال شده است ؟ کی اختلال ایجاد شده است و نوع ترافیک و منبع آن از کجا بوده است ؟ این نزدیکی زیاد و شباهت کاری SOC و NOC باعث شده است که سازمان های امروزی پروژه های SOC خود را با NOC آمیخته کنند تا سرعت و هزینه ها را تا جای ممکن کاهش دهند ، در واقع یک SOC شامل یک NOC نیز می تواند باشد.
دیدگاهها