يعد مركز العمليات الأمنية جزءًا أساسيًا من استراتيجية احتواء التهديدات للمؤسسة، إلا أن هناك تحديات تواجهها مراكز العمليات الأمنية SOC.
ووجدت دراسة أعدها جون بورك محلل الأبحاث الرئيسي في "نمرتس" Nemertes لأبحاث السحابة والأمن السيبراني ، فإن وجود مركز عمليات أمان مرتبط بتحسين 43 % من القدرة على احتواء التهديدات، موضحا أن هناك تحديات يواجهها كل مركز عمليات أمنية SOC مع الأشخاص والعمليات والتقنيات ، بغض النظر عما إذا كانت تلك المراكز تدار داخليًا أو خارجيًا.
أوضاع التشغيل الجديدة أدت إلى تفاقم مشكلة نقص موظفي SOC
وتتضمن تلك التحديات:
1. نقص الموظفين
إن الشكاوى المتعلقة بصعوبة العثور على موظفين مدربين وذوي خبرة طويلة الأمد في مجال الأمن، إذ أدى التحول السريع إلى أوضاع التشغيل الجديدة والبنى التحتية السحابية إلى تفاقم مشكلة، العثور على موظفي SOC ذوي معرفة وخبرة ذات الصلة وقدرة على تحمل نفقاتهم.
2. نقص المهارات
نقص المهارات أيضا مشكلة، فعندما لا تتمكن منظمة ما من التوظيف لسد فجوة في محفظة المهارات الأمنية ، يُترك الموظفون الحاليون لملء الفراغ، وبالتالي فإنهم يصعدون ، دون خبرة للتدخل في التهديدات بشكل فعال ، أو على أقل تقدير باستجابات أبطأ أو فاشلة، ومن ثم فقدان القدرة الضرورية لوقف الهجوم.
فرق مركز العمليات الخاصة SOC تواجه ردود كاذبة بسبب نقص المعرفة عن بيئة الأنظمة المحمية
3. نقص المعرفة
تؤدي معرفة القليل جدًا عن بيئة الأنظمة المحميةإلى الفشل في التعرف على المشكلات أو زيادة فرصة الاستجابات غير الملائمة لمشاكل غير موجودة. وتواجه فرق مركز العمليات الخاصة SOC المزيد من الردود الإيجابية الكاذبة والمزيد من الردود السلبية الكاذبة وإضاعة الوقت في مطاردتهم. في النهاية ، سيفشل الموظفون في الرد على الهجمات الحقيقية.
4. زمن انتقال العملية
المكون للعملية وجهان، هما الأنظمة والبشر. يتمثل وجه الأنظمة في زمن انتقال العملية ، وتعاني عمليات SOC من إنها لا تتطور بسرعة كافية للتعامل مع التحولات في بيئة الأنظمة التي تراقبها SOC.
أما الوجه البشري هو أن البيئات والعمليات تتطور بشكل أسرع من فهم الناس لها. لذا ، فإن العمليات تتخلف عن البيئة ، والناس يتأخرون في العمليات.
قد لا يكون لدى SOC أي أدوات تتيح لها رؤية أدوات الأمان الجديدة
5. الافتقار إلى الأدوات المناسبة
الافتقار إلى الأدوات المناسبة للمراقبة والإدارة نتيجة متكررة للغاية للتحولات السريعة في بيئة الأنظمة التي يتم مراقبتها.
وقد تحتاج الأنظمة التي تم رفعها وتحويلها من مركز بيانات إلى بيئة سحابية إلى أدوات أمان جديدة أيضًا.
وتحتاج التطبيقات التي تم تطويرها ونشرها في الحاويات إلى الحماية ، ولكن قد لا يكون لدى SOC أي أدوات تتيح لها رؤية تلك الأنظمة أو أي وسيلة للتدخل في تلك البيئة.
6. عدم كفاية التحليلات والتصفية
التحليلات والتصفية هي أدوات ضرورية لمرصد عمليات التشغيل ، لكنها غالبًا ما تكون غير كافية. إن إلقاء طوفان مذهل من التنبيهات الأمنية الإيجابية الكاذبة في وجوه أولئك الموجودين في مركز العمليات - خاصة عندما يكون انتباه الموظفين هو أندر الموارد في مجال تكنولوجيا المعلومات - يمثل مشكلة مدمرة بشكل لا يصدق.
ولذلك فإن الأدوات التي تقوم بعمل أفضل بكثير في التعرف على الإيجابيات الخاطئة ، والتخلص من التكرارات وربط التنبيهات عبر الأنظمة للمساعدة في اكتشاف التهديدات ستكون ضرورية للحد من إجهاد التنبيه وإنشاء عمليات SOC المستدامة والحفاظ عليها.
تحويل الإنسان في مقعد SOC إلى نقطة تكامل عبر الأنظمة يؤدي لحدوث أخطاء بشرية
7. الافتقار إلى الأتمتة والتكامل
تحويل الإنسان في مقعد SOC إلى نقطة التكامل عبر الأنظمة - ويعرف أيضًا باسم تكامل الكرسي الدوار - يدعو إلى حدوث خطأ بشري. من خلال إقفال الموظفين في مهام متكررة أثناء قيامهم بإنشاء مثيل لتدفقات عمل الاستجابة القياسية للحوادث الأمنية ، تزيد المؤسسات من استنفاد الموظفين والإرهاق وتحد من سرعة الاستجابة للحوادث على المقاييس البشرية، وبالتالي فإن وقت إدراك الموظفين بالإضافة إلى وقت فهمهم واستجاباتهم مهم للغاية، ومن ثم تبرز أهمية الأتمتة والتكامل لتجنب هذه المشكلات.
ستستمر الظروف في إثبات الحاجة إلى SOC ، ولكن يجب على تقنية المعلومات معالجة هذه التحديات الثمانية - أو العمل مع مزود إذا تم الاستعانة بمصادر خارجية لـ SOC - للتأكد من حماية المؤسسة على النحو الأمثل.
وفي هذا الاطار طرحت كاسبرسكي العالمية المتخصصة في الأمن الإلكتروني والخصوصية الرقمية، برنامجًا تدريبيًا في الأمن الرقمي عبر الإنترنت، بهدف مساعدة المؤسسات على بناء مراكز العمليات الأمنية(SOC)، أو تطويرها، وتحسين مهارات فرق العمليات الأمنية في تعقّب التهديدات واكتشاف الحوادث والتحقيق فيها.
برنامج مطور لتعريف مسؤولي الأمن بهيكل مركز العمليات الأمنية ومعلومات التهديدات SOC
وطوّر خبراء كاسبرسكي البرنامج الذي يُعرّف مسؤولي الأمن بهيكل مركز العمليات الأمنية ومعلومات التهديدات والهجمات الرقمية الخطرة.
ويُقدَّم البرنامج مع المختبرات العملية الافتراضية بأسلوب يراعي وقت المتدرب ويلبي حاجاته الفردية.
ويتناول البرنامج التدريبي هجمات مثل سرقة بيانات اعتماد الدخول إلى حسابات "ويندوز" واستغلال ثغراتها من خلال الخدمات، وطلبات الخدمة الذهبية والفضية، وإساءة استخدام قدرات "لينكس"، والاحتيال، وغيرها الكثير.
ويُكسِب البرنامج المتدربين فهمًا واضحًا لدور مراكز العمليات الأمنيةضمن استراتيجيات الدفاع الرقمي، ويتعلّمون أيضًا سبل التخطيط للمراقبة الأمنية وتنظيمها، واستخدام معلومات التهديدات، واكتشاف الأنشطة التخريبية والتحقيق فيها
