علیرضا تقی خانی
علیرضا تقی خانی
خواندن ۴ دقیقه·۳ سال پیش

بلوغ مرکز عملیات امنیت را با این فرآیند تضمین کنید..!

مسئله مهمی که ممکن است خیلی از مراکز عملیات امنیت با آن آشنا نباشند، ارزیابی سطح بلوغ و پختگی مرکز عملیات امنیت می باشد. ارزیابی سطح بلوغ کمک میکند تا ابعاد مختلف مرکز عملیات امنیت را سنجیده و بعد از آن، برنامه ای برای افزایش پختگی و بهره وری آن ایجاد کرد. در این بخش در مورد فریم ورک SOC-CMM، یکی از مدلهای ارزیابی سطح بلوغ مرکز عملیات امنیت صحبت خواهیم کرد. همچنین در انتهای صحبت ها، راهکاری جهت ایجاد برنامه مدون و عملیاتی نمودن آن داده می شود.

Mature SOC
Mature SOC

معرفی

مدل SOC-CMM یک ابزار مدیریت و سنجش بلوغ SOC است که می­تواند برای تعیین نقاط قوت و ضعف SOC مورد استفاده قرار گیرد و با ارزیابی و اندازه ­گیری توانایی و بلوغ SOC، می­توان بیشترین ارزش افزوده را برای سازمان فراهم کرد.

آشنایی بیشتر با این مدل

مدل بلوغ مرکز عملیات امنیت که در حال حاضر وجود دارد، تنها نمونه کاربردی و تخصصی برای بالغ سازی مرکز عملیات امنیت می‌باشد. این مدل تحت عنوان SOC-CMM ارائه شده است که به جنبه‌های مختلف یک مرکز عملیات امنیت می‌پردازد. در این مدل تمامی جنبه‌های یک مرکز عملیات امنیت مورد بررسی قرار می‌گیرد تا سطح فعلی مرکز مشخص گردد و براساس آن می‌توان اقدام به برنامه ریزی برای رفع نقاط ضعف فعلی و ارتقای سطح بلوغ مرکز عملیات امنیت گردد. این مدل برای ارزیابی و سنجش ویژگی‌ها و مشخصه‌های اصلی مرکز عملیات امنیت نظیر فرایندها و فناوری‌های مشخص، با ادبیات علمی ایجاد شده است. در این مدل به خوبی انطباق لازم بین نیازمندی‌های تئوری و کاربردی برقرار شده است.
https://www.linkedin.com/pulse/security-operation-center-capability-maturity-model-%D9%85%D8%AF%D9%84-rezza-adineh/

همانطور که در شکل زیر مشخص است، این مدل از 5 دامنه و 25 جنبه مختلف تشکیل شده است. دامنه ­های "سازمان" ، "افراد" و "فرایند" فقط برای بلوغ (رنگ آبی) و دامنه­ های "فناوری" و "خدمات" از نظر بلوغ و قابلیت (رنگ بنفش) ارزیابی می­شوند.

SOC-CMM
SOC-CMM


گام به گام تا ارزیابی

ارزیابی مرکز عملیات امنیت با استفاده از ابزار اکسل انجام می ­شود. این اکسل در دو نسخه Basic و Advanced طراحی شده است. تفاوت بین نسخه Basic و Advanced در وجود فیلد Importance(اهمیت) در نسخه Advanced می باشد. برای دانلود این فایل ها میتوانید از لینک های زیر کمک بگیرید. توصیه می شود ابتدا نسخه Basic را کامل کرده و سپس در صورت نیاز از نسخه Advanced استفاده نمائید.

Basic
Advanced

حال در مورد بخش های این فایل توضیحاتی داده می شود. برای شروع، در بخش Introduction توضیحاتی راجع به فریم ورک و بخش های مختلف آن وجود دارد.

Introduction
Introduction
SOC-CMM Model
SOC-CMM Model


در بخش Profile باید اطلاعاتی در خصوص تاریخ ارزیابی، نام ارزیاب، هدف بلوغ و قابلیت های SOC مشخص گردد.

SOC-CMM Profile
SOC-CMM Profile


در بخش Scope نیز اطلاعاتی نظیر SIEM، IDS، IPS و سرویس های درون SOC تکمیل می گردد. این اطلاعات در بخش های بعد مورد استفاده قرار گرفته که در آن به صورت جزئی تر تکمیل می شود.

SOC-CMM Scope
SOC-CMM Scope


پس از انجام مراحل اولیه، باید به سوالات موجود در فایل اکسل در 5 دامنه و 25 جنبه مختلف پاسخ های مناسب داده شود. برخی از سوالات جواب YES/NO داشته و برخی دیگر به صورت کیفی می باشند. همانطور که در شکل زیر مشاهده می شود، برای پاسخ به سوالات 6 حالت No, Partially, Averagely, Mostly, Fully و Not Required وجود دارد. هرچقدر یک ویژگی در مرکز شما قوی تر باشد، امتیاز بالاتری باید به آن داده شود. دقت شود که به صورت سختگیرانه به این سوالات پاسخ دهید. باتوجه به کیفی بودن این سوالات، هرچقدر سختگیرانه تر به آنها پاسخ داده شود، خروجی بهتری و واقعی تری خواهد داشت.

SOC-CMM Question's Type
SOC-CMM Question's Type


خروجی SOC-CMM

پس از اتمام ارزیابی، بخش نتایج SOC-CMM امتیازات حاصل را به دو صورت جدولی و گراف نمایش می دهد. بخش جدولی آن امتیازات بدست آمده را محاسبه کرده و سپس باتوجه به سطح بلوغ مورد نظر، در بخش overall به رنگ قرمز یا سبز نشان داده می شود. همچنین امتیازات هر دامنه و جنبه نیز به طور مجزا مشخص می باشد.

SOC-CMM Table Result
SOC-CMM Table Result


خروجی گراف آن نیز کمک میکند تا نقاط ضعف و قوت را بهتر شناسایی کرد. همچنین در دو بخش "سرویس ها" و "تکنولوژی" نمودار قابلیت وجود دارد که با رنگ متفاوت و سبز قابل مشاهده است.

SOC-CMM Result
SOC-CMM Result


در شکل سمت چپ، امتیازات محاسبه شده در 5 دامنه براساس سطح بلوغ مورد نظر و شکل سمت راست، امتیازات قابلیت را نشان می دهد.

Maturity and Capabilities Result
Maturity and Capabilities Result


مدل SOC-CMM همچنین همسویی با چارچوب امنیت سایبری NIST (CSF) را فراهم می­کند. این چارچوب از پنج مرحله شناسایی، محافظت، تشخیص، پاسخ و بازیابی تشکیل شده است.

NIST(CSF) Result
NIST(CSF) Result

گام بعدی چیست..؟!

حال که نقاط ضعف و قوت SOC مشخص گردید باید طی برنامه ای مدون و هدفمند، برنامه ای جهت حفظ نقاط قوت و تقویت نقاط ضعف ایجاد گردد. باتوجه به امتیازات داده شده در دامنه و جنبه های مدل CMM، می توان به سادگی مواردی که نیاز به بهبود و تقویت دارند را شناسایی کرد.

پیشنهاد بنده برای اجرای برنامه جهت بهبود بلوغ SOC، استفاده از Gantt Chart می باشد.

گانت چارت (Gantt Chart) یا نمودار گانت ابزاری برای مدیریت پروژه است و به ساده‌سازی پروژه‌های پیچیده کمک می‌کند. در واقع نمایه‌ای تصویری از کارهایی است که در طول پروژه، برنامه‌ریزی شده‌اند و بطور معمول برای برنامه‌ریزی، پیگیری و کنترل پروژه مورد استفاده قرار می‌گیرند.
Gantt Chart
Gantt Chart
soc
شاید از این پست‌ها خوشتان بیاید