بلوغ مرکز عملیات امنیت را با این فرآیند تضمین کنید..!

مسئله مهمی که ممکن است خیلی از مراکز عملیات امنیت با آن آشنا نباشند، ارزیابی سطح بلوغ و پختگی مرکز عملیات امنیت می باشد. ارزیابی سطح بلوغ کمک میکند تا ابعاد مختلف مرکز عملیات امنیت را سنجیده و بعد از آن، برنامه ای برای افزایش پختگی و بهره وری آن ایجاد کرد. در این بخش در مورد فریم ورک SOC-CMM، یکی از مدلهای ارزیابی سطح بلوغ مرکز عملیات امنیت صحبت خواهیم کرد. همچنین در انتهای صحبت ها، راهکاری جهت ایجاد برنامه مدون و عملیاتی نمودن آن داده می شود.

معرفی

مدل SOC-CMM یک ابزار مدیریت و سنجش بلوغ SOC است که می­تواند برای تعیین نقاط قوت و ضعف SOC مورد استفاده قرار گیرد و با ارزیابی و اندازه ­گیری توانایی و بلوغ SOC، می­توان بیشترین ارزش افزوده را برای سازمان فراهم کرد.

آشنایی بیشتر با این مدل

مدل بلوغ مرکز عملیات امنیت که در حال حاضر وجود دارد، تنها نمونه کاربردی و تخصصی برای بالغ سازی مرکز عملیات امنیت می‌باشد. این مدل تحت عنوان SOC-CMM ارائه شده است که به جنبه‌های مختلف یک مرکز عملیات امنیت می‌پردازد. در این مدل تمامی جنبه‌های یک مرکز عملیات امنیت مورد بررسی قرار می‌گیرد تا سطح فعلی مرکز مشخص گردد و براساس آن می‌توان اقدام به برنامه ریزی برای رفع نقاط ضعف فعلی و ارتقای سطح بلوغ مرکز عملیات امنیت گردد. این مدل برای ارزیابی و سنجش ویژگی‌ها و مشخصه‌های اصلی مرکز عملیات امنیت نظیر فرایندها و فناوری‌های مشخص، با ادبیات علمی ایجاد شده است. در این مدل به خوبی انطباق لازم بین نیازمندی‌های تئوری و کاربردی برقرار شده است.
https://www.linkedin.com/pulse/security-operation-center-capability-maturity-model-%D9%85%D8%AF%D9%84-rezza-adineh/

همانطور که در شکل زیر مشخص است، این مدل از 5 دامنه و 25 جنبه مختلف تشکیل شده است. دامنه ­های "سازمان" ، "افراد" و "فرایند" فقط برای بلوغ (رنگ آبی) و دامنه­ های "فناوری" و "خدمات" از نظر بلوغ و قابلیت (رنگ بنفش) ارزیابی می­شوند.

گام به گام تا ارزیابی

ارزیابی مرکز عملیات امنیت با استفاده از ابزار اکسل انجام می ­شود. این اکسل در دو نسخه Basic و Advanced طراحی شده است. تفاوت بین نسخه Basic و Advanced در وجود فیلد Importance(اهمیت) در نسخه Advanced می باشد. برای دانلود این فایل ها میتوانید از لینک های زیر کمک بگیرید. توصیه می شود ابتدا نسخه Basic را کامل کرده و سپس در صورت نیاز از نسخه Advanced استفاده نمائید.

Basic

Advanced

حال در مورد بخش های این فایل توضیحاتی داده می شود. برای شروع، در بخش Introduction توضیحاتی راجع به فریم ورک و بخش های مختلف آن وجود دارد.

در بخش Profile باید اطلاعاتی در خصوص تاریخ ارزیابی، نام ارزیاب، هدف بلوغ و قابلیت های SOC مشخص گردد.

در بخش Scope نیز اطلاعاتی نظیر SIEM، IDS، IPS و سرویس های درون SOC تکمیل می گردد. این اطلاعات در بخش های بعد مورد استفاده قرار گرفته که در آن به صورت جزئی تر تکمیل می شود.

پس از انجام مراحل اولیه، باید به سوالات موجود در فایل اکسل در 5 دامنه و 25 جنبه مختلف پاسخ های مناسب داده شود. برخی از سوالات جواب YES/NO داشته و برخی دیگر به صورت کیفی می باشند. همانطور که در شکل زیر مشاهده می شود، برای پاسخ به سوالات 6 حالت No, Partially, Averagely, Mostly, Fully و Not Required وجود دارد. هرچقدر یک ویژگی در مرکز شما قوی تر باشد، امتیاز بالاتری باید به آن داده شود. دقت شود که به صورت سختگیرانه به این سوالات پاسخ دهید. باتوجه به کیفی بودن این سوالات، هرچقدر سختگیرانه تر به آنها پاسخ داده شود، خروجی بهتری و واقعی تری خواهد داشت.

خروجی SOC-CMM

پس از اتمام ارزیابی، بخش نتایج SOC-CMM امتیازات حاصل را به دو صورت جدولی و گراف نمایش می دهد. بخش جدولی آن امتیازات بدست آمده را محاسبه کرده و سپس باتوجه به سطح بلوغ مورد نظر، در بخش overall به رنگ قرمز یا سبز نشان داده می شود. همچنین امتیازات هر دامنه و جنبه نیز به طور مجزا مشخص می باشد.

خروجی گراف آن نیز کمک میکند تا نقاط ضعف و قوت را بهتر شناسایی کرد. همچنین در دو بخش "سرویس ها" و "تکنولوژی" نمودار قابلیت وجود دارد که با رنگ متفاوت و سبز قابل مشاهده است.

در شکل سمت چپ، امتیازات محاسبه شده در 5 دامنه براساس سطح بلوغ مورد نظر و شکل سمت راست، امتیازات قابلیت را نشان می دهد.

مدل SOC-CMM همچنین همسویی با چارچوب امنیت سایبری NIST (CSF) را فراهم می­کند. این چارچوب از پنج مرحله شناسایی، محافظت، تشخیص، پاسخ و بازیابی تشکیل شده است.

گام بعدی چیست..؟!

حال که نقاط ضعف و قوت SOC مشخص گردید باید طی برنامه ای مدون و هدفمند، برنامه ای جهت حفظ نقاط قوت و تقویت نقاط ضعف ایجاد گردد. باتوجه به امتیازات داده شده در دامنه و جنبه های مدل CMM، می توان به سادگی مواردی که نیاز به بهبود و تقویت دارند را شناسایی کرد.

پیشنهاد بنده برای اجرای برنامه جهت بهبود بلوغ SOC، استفاده از Gantt Chart می باشد.

گانت چارت (Gantt Chart) یا نمودار گانت ابزاری برای مدیریت پروژه است و به ساده‌سازی پروژه‌های پیچیده کمک می‌کند. در واقع نمایه‌ای تصویری از کارهایی است که در طول پروژه، برنامه‌ریزی شده‌اند و بطور معمول برای برنامه‌ریزی، پیگیری و کنترل پروژه مورد استفاده قرار می‌گیرند.