خواندن ۵ دقیقه·۳ سال پیش

فرایندها را قورت دهید..!

تهیه فرایندها معمولا بخش حوصله و زمان بر هر مرکز عملیات امنیتی هست. افراد فنی و متخصص باتوجه به اینکه علاقه دارند کارهای فنی و تخصصی را به صورت عملی انجام بدهند، اصولا از فرایندها دوری میکنند. فرایندها برای این افراد خسته کننده، حوصله سر بر، وقت گیر و بی فایده بنظر می رسد. برای همین من سعی دارم در این نوشته فرایندها را برای شما جذاب تر توضیح بدهم. همچنین مواردی را به شما بگویم که در محیط عملیاتی و واقعی بتوانید ازشون استفاده کنید.

ماهیت فرایندها خسته کننده و حوصله سر بر هست، اماحقیقت این است اگر بتوانیم فرایندها را اصولی و حرفه ای پیاده سازی کنیم، تنها یکبار از ما زمان میگیرد و بعد از آن، طبق روال تمامی کارها انجام می شود. تهیه فرایند و عملی کردن آن مزایای ویژه ای میتواند برای هر مرکز عملیات امنیتی داشته باشه. چند مورد از مزایای اینها میتواند شامل موارد زیر باشد:

منظم شدن کارها
امکان مدیریت آسان تر نیروها
مشخص بودن روال کاری مرکز عملیات امنیت
افزایش بهره وری تیمی با ایجاد شفافیت و مشخص بودن کارها

چه فرایندهایی در مرکز عملیات امنیت داریم..؟!!

پاسخ به این سوال میتواند خیلی از ابهامات و سردرگمی هایی که در حوزه فرایندها هستند را برطرف کند. من قصد دارم فرایندهایی که باید هر مرکز عملیات امنیتی داشته باشد را تیتروار بگویم و برای هرکدام توضیح مختصری داشته باشم تا اگر قصد پیاده سازی این فرایندها را دارید، بتوانید استفاده کنید.

قبل از آن شاید بهتر باشد سازمان مهمی را معرفی کنم که به صورت تخصصی مسئله امنیت سایبری را بررسی میکند. US-CERT آمریکا، بخشی از دپارتمان Homeland Security هست که به صورت تخصصی و ویژه فرایندهایی که مد نظر ما هست را دارد.

US-CERT: https://us-cert.cisa.gov/

خب بریم سراغ فرایندها..:

فرایند مدیریت آسیب پذیری: امان امان از آسیب پذیری با درجه اهمیت بالا!! امان امان از سردرگمی در وصله این آسیب پذیری ها!! امان امان از تعلل و فرصت سوزی در ارائه راهکار مناسب به این دسته از آسیب پذیری های مهم و خطرناک!! بیایید با به کارگیری درست فرایند US-CERT از این امر مهم مصون باشیم..!

https://us-cert.cisa.gov/sites/default/files/c3vp/crr_resources_guides/CRR_Resource_Guide-VM.pdf

فرایند مدیریت بلوغ: پشت لب مرکز عملیات امنیت شما هنوز سبز نشده؟ میخواهید بدانید چطور مرکز عملیات پخته تر، منظم تر، حرفه ای تر و جهانی تر داشته باشید؟ برای بلوغ مرکز عملیات امنیت میشه ساعت ها صحبت کرد. برای همین در نوشته دیگر ویرگول، نحوه ارزیابی، سنجش و ارتقا بلوغ مرکز عملیات امنیت خودتان را کامل توضیح خواهم داد..!

فرایند مدیریت دارایی: در این فرایند باید دارایی های سازمان شناسایی، الویت دهی، مستند سازی و مدیریت شوند. این فرایند برای بهبود مدیریت دارایی ها، اضافه شدن و یا حذف یک دارایی به شما کمک ویژه ای میکند. اطلاعات بیشتر در مورد این فرایند را میتوانید از لینک زیر مشاهده کنید:

https://us-cert.cisa.gov/sites/default/files/c3vp/crr_resources_guides/CRR_Resource_Guide-AM.pdf

فرایند مدیریت لاگ: لاگ ها چطور در SIEM دریافت می شوند؟ چه لاگ هایی را باید دریافت کنید؟ چطور لاگ ارسال کنیم؟ لاگ ها را برای چه مدت ذخیره کنیم؟ چه لاگ هایی باید ذخیره شوند؟ و بسیاری از سوالات دیگر در مورد لاگ ها در این فرایند پاسخ داده خواهند شد. لینک زیر از سازمان NIST به شما دید کاملا روشنی خواهد داد.

https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-92.pdf

فرایند مدیریت حادثه: تا حالا سازمان شما مورد حمله سایبری قرار گرفته است؟ اگر جواب شما بله هست، خب چطور این حادثه امنیتی را مدیریت کردید؟؟ آیا دارایی مورد حمله را سریع از مدار خارج کردید؟؟ آیا اشتباه رایج خاموش کردن سرور را نیز شما انجام داده اید؟؟ آیا میخواهید بدانید باید چطور هدفمند و حرفه ای حوادث را مدیریت کنید؟؟ پس از لینک زیر که مربوط به US-CERT هست کمک بگیرید.

https://us-cert.cisa.gov/bsi/articles/best-practices/incident-management/incident-management

فرایند مدیریت یوزکیس های امنیتی: توسعه Use Caseهای کارآمد و هدفمند می تواند بهره وری مرکز عملیات امنیت را ارتقا دهد. یوزکیس امنیتی از جمله مواردی است که مبتنی بر نیاز و شرایط سازمان/شرکت هدف طراحی و پیاده سازی می شود. به عنوان نمونه Use Caseهایی که برای یک سازمان در حوزه مالی طراحی می شود به گونه ای است که تنها خاص آن نوع کسب و کار خواهد بود و در سایر کسب و کارها با درصد احتمال بالا، کارآیی نخواهد داشت. برای پیاده سازی و مدیریت یوزکیس های امنیتی میتوانید از فریم ورک MaGMa استفاده کنید.

https://www.betaalvereniging.nl/en/safety/magma/

فرایند مدیریت شیفت: آیا نمیدانید چطور شیفت نیروهای مرکز عملیات باید چینده شود؟ آیا نیروهای شما از شیفت های سنگین خسته شده اند؟ آیا نیروها در شیفت توانمندی و بهره وری کافی را ندارند؟ آیا شیفت های شب به آنها سخت میگذرد؟ اگر جواب همه سوال های شما بله هست، باید سریعا اقدامی در این خصوص انجام دهید. برای مدیریت شیفت میتوانید از نوشته قبلی من در ویرگول استفاده کنید.

https://vrgl.ir/80MbC

فرایند مدیریت تغییرات: تغییرات بخش جدایی ناپذیر هر سازمانی هست. روزانه ممکن است تغییرات مختلف در سرورها، تجهیزات، فایروال ها و غیره انجام گیرد. در مرکز عملیات امنیت شما باید از تغییرات صورت گرفته مطلع باشید تا بتوانید تحلیل و ارزیابی بهتری در مورد سازمان خود انجام دهید. توجه شما را به سند US-CERT در این خصوص جلب می کنم.

https://us-cert.cisa.gov/sites/default/files/c3vp/crr_resources_guides/CRR_Resource_Guide-CCM.pdf

فرایند مدیریت دانش: دانش های مرکز عملیات تا حد قابل قبولی مشخص است. افرادی که در این مرکز مشغول به فعالیت هستند، می دانند که چه دانش هایی را باید یاد بگیرند و به چه دانش هایی نیاز ندارند. در فرایند مدیریت دانش باید مشخص شود، دانش چطور تولید می شود؟ چطور استفاده می شود؟ چطور ذخیره می شود؟ و چطور به اشتراک گذاشته می شود. فرایند مدیریت دانش می تواند با پرسش سوالات مختلف تکمیل شود اما برای واضح تر شدن آن، میتوانید از مقاله علمی زیر استفاده کنید.

https://sharifstrategy.org/knowledge-management/

فرایند مدیریت آموزش پرسنل و آگاه سازی: آیا فقط مهارت های فنی نیروهای خود را در نظر میگیرید؟ آیا به نیروهای خود آموزش هایی جهت بهبود زندگی و Soft Skillهای خودشون ارائه کرده اید؟ آیا پیوسته دانش نیروهای خود را اندازه گرفته و بهبود میدهید؟ اگر جواب شما خیر است، فرایند US-CERT به شما کمک شایانی می کند.

https://us-cert.cisa.gov/sites/default/files/c3vp/crr_resources_guides/CRR_Resource_Guide-TA.pdf

فرآیند soc soc مدیریت حوادث مرکز عملیات امنیت مدیریت امنیت

علیرضا تقی خانی

شاید از این پست‌ها خوشتان بیاید