مسئله مهمی که ممکن است خیلی از مراکز عملیات امنیت با آن آشنا نباشند، ارزیابی سطح بلوغ و پختگی مرکز عملیات امنیت می باشد. ارزیابی سطح بلوغ کمک میکند تا ابعاد مختلف مرکز عملیات امنیت را سنجیده و بعد از آن، برنامه ای برای افزایش پختگی و بهره وری آن ایجاد کرد. در این بخش در مورد فریم ورک SOC-CMM، یکی از مدلهای ارزیابی سطح بلوغ مرکز عملیات امنیت صحبت خواهیم کرد. همچنین در انتهای صحبت ها، راهکاری جهت ایجاد برنامه مدون و عملیاتی نمودن آن داده می شود.
مدل SOC-CMM یک ابزار مدیریت و سنجش بلوغ SOC است که میتواند برای تعیین نقاط قوت و ضعف SOC مورد استفاده قرار گیرد و با ارزیابی و اندازه گیری توانایی و بلوغ SOC، میتوان بیشترین ارزش افزوده را برای سازمان فراهم کرد.
مدل بلوغ مرکز عملیات امنیت که در حال حاضر وجود دارد، تنها نمونه کاربردی و تخصصی برای بالغ سازی مرکز عملیات امنیت میباشد. این مدل تحت عنوان SOC-CMM ارائه شده است که به جنبههای مختلف یک مرکز عملیات امنیت میپردازد. در این مدل تمامی جنبههای یک مرکز عملیات امنیت مورد بررسی قرار میگیرد تا سطح فعلی مرکز مشخص گردد و براساس آن میتوان اقدام به برنامه ریزی برای رفع نقاط ضعف فعلی و ارتقای سطح بلوغ مرکز عملیات امنیت گردد. این مدل برای ارزیابی و سنجش ویژگیها و مشخصههای اصلی مرکز عملیات امنیت نظیر فرایندها و فناوریهای مشخص، با ادبیات علمی ایجاد شده است. در این مدل به خوبی انطباق لازم بین نیازمندیهای تئوری و کاربردی برقرار شده است.
https://www.linkedin.com/pulse/security-operation-center-capability-maturity-model-%D9%85%D8%AF%D9%84-rezza-adineh/
همانطور که در شکل زیر مشخص است، این مدل از 5 دامنه و 25 جنبه مختلف تشکیل شده است. دامنه های "سازمان" ، "افراد" و "فرایند" فقط برای بلوغ (رنگ آبی) و دامنه های "فناوری" و "خدمات" از نظر بلوغ و قابلیت (رنگ بنفش) ارزیابی میشوند.
ارزیابی مرکز عملیات امنیت با استفاده از ابزار اکسل انجام می شود. این اکسل در دو نسخه Basic و Advanced طراحی شده است. تفاوت بین نسخه Basic و Advanced در وجود فیلد Importance(اهمیت) در نسخه Advanced می باشد. برای دانلود این فایل ها میتوانید از لینک های زیر کمک بگیرید. توصیه می شود ابتدا نسخه Basic را کامل کرده و سپس در صورت نیاز از نسخه Advanced استفاده نمائید.
Basic
Advanced
حال در مورد بخش های این فایل توضیحاتی داده می شود. برای شروع، در بخش Introduction توضیحاتی راجع به فریم ورک و بخش های مختلف آن وجود دارد.
در بخش Profile باید اطلاعاتی در خصوص تاریخ ارزیابی، نام ارزیاب، هدف بلوغ و قابلیت های SOC مشخص گردد.
در بخش Scope نیز اطلاعاتی نظیر SIEM، IDS، IPS و سرویس های درون SOC تکمیل می گردد. این اطلاعات در بخش های بعد مورد استفاده قرار گرفته که در آن به صورت جزئی تر تکمیل می شود.
پس از انجام مراحل اولیه، باید به سوالات موجود در فایل اکسل در 5 دامنه و 25 جنبه مختلف پاسخ های مناسب داده شود. برخی از سوالات جواب YES/NO داشته و برخی دیگر به صورت کیفی می باشند. همانطور که در شکل زیر مشاهده می شود، برای پاسخ به سوالات 6 حالت No, Partially, Averagely, Mostly, Fully و Not Required وجود دارد. هرچقدر یک ویژگی در مرکز شما قوی تر باشد، امتیاز بالاتری باید به آن داده شود. دقت شود که به صورت سختگیرانه به این سوالات پاسخ دهید. باتوجه به کیفی بودن این سوالات، هرچقدر سختگیرانه تر به آنها پاسخ داده شود، خروجی بهتری و واقعی تری خواهد داشت.
پس از اتمام ارزیابی، بخش نتایج SOC-CMM امتیازات حاصل را به دو صورت جدولی و گراف نمایش می دهد. بخش جدولی آن امتیازات بدست آمده را محاسبه کرده و سپس باتوجه به سطح بلوغ مورد نظر، در بخش overall به رنگ قرمز یا سبز نشان داده می شود. همچنین امتیازات هر دامنه و جنبه نیز به طور مجزا مشخص می باشد.
خروجی گراف آن نیز کمک میکند تا نقاط ضعف و قوت را بهتر شناسایی کرد. همچنین در دو بخش "سرویس ها" و "تکنولوژی" نمودار قابلیت وجود دارد که با رنگ متفاوت و سبز قابل مشاهده است.
در شکل سمت چپ، امتیازات محاسبه شده در 5 دامنه براساس سطح بلوغ مورد نظر و شکل سمت راست، امتیازات قابلیت را نشان می دهد.
مدل SOC-CMM همچنین همسویی با چارچوب امنیت سایبری NIST (CSF) را فراهم میکند. این چارچوب از پنج مرحله شناسایی، محافظت، تشخیص، پاسخ و بازیابی تشکیل شده است.
حال که نقاط ضعف و قوت SOC مشخص گردید باید طی برنامه ای مدون و هدفمند، برنامه ای جهت حفظ نقاط قوت و تقویت نقاط ضعف ایجاد گردد. باتوجه به امتیازات داده شده در دامنه و جنبه های مدل CMM، می توان به سادگی مواردی که نیاز به بهبود و تقویت دارند را شناسایی کرد.
پیشنهاد بنده برای اجرای برنامه جهت بهبود بلوغ SOC، استفاده از Gantt Chart می باشد.
گانت چارت (Gantt Chart) یا نمودار گانت ابزاری برای مدیریت پروژه است و به سادهسازی پروژههای پیچیده کمک میکند. در واقع نمایهای تصویری از کارهایی است که در طول پروژه، برنامهریزی شدهاند و بطور معمول برای برنامهریزی، پیگیری و کنترل پروژه مورد استفاده قرار میگیرند.