מה זה SOC (Security Operations Center)?
בעולם האבטחה יש קשת רחבה מאוד של פתרונות הגנה שמטרתה להגן על המערכות נגד קשת רחבה של איומים וסכנות. בתחום האבטחה בעסקים, מונח אחד כזה שדווקא כדאי מאוד להכיר הוא SOC. מה זה אומר ומהי חשיבותו של השירות הזה? בואו נעשה סדר בעניינים.
הצוות לשמירה ותגובה מהירה
SOC הוא צוות מיוחד, אשר זמין ברציפות לשמירה על המערכות שלכם ולמתן תגובה מהירה למצבי סיכון. ראשי התיבות Security Operations Center או SOC מתארים את מרכז האבטחה בעסקים וארגונים. מצד אחד זהו הכינוי לצוות העושה את העבודה, ומצד שני המונח יכול להיות גם כינוי למקום (המרכז) הפיזי שבו הצוות והציוד שדרוש לו נמצאים.
מדוע השירות הזה נחוץ?
יש לא מעט פתרונות אבטחת מידע המיושמים בעסקים היום, אך לפעמים הם לא מצליחים לכסות הכול. עסק הסומך רק על כלי ספציפי שיציג התראה במקרה חירום, במוקדם או במאוחר כנראה ייפגע, והסיבה לכך היא שעולם האבטחה מורכב מאוד. כדי להגן על המערכות השונות ברמה גבוהה ובאמינות רבה דרוש שילוב רחב של אמצעים, וחייבים לנהל אותם בצורה מסודרת. יש לנטר בעזרתם את המתרחש בעסק, לחקור בזריזות ובאופן מקצועי מקרים חשודים, וכמובן חשוב במיוחד לזהות נכון ובזמן את המקרים המסוכנים באמת ולדווח להנהלה ולגורמים נוספים בארגון שצריכים לדעת על המתרחש ולספק להם הערכת מצב עדכנית ומדויקת. באופן אידיאלי יופקד צוות ייעודי על משימות כאלה, כמו קבוצת מומחי אבטחה אשר מתמחים ועוסקים ספציפית בתחום זה, וזה בדיוק מה ש-SOC עושים בשביל העסק שלכם – הם משלימים את מכלול אמצעי האבטחה בעסק, לצד מוצרים ושירותים כגון פתרונות אבטחת מידע בענן.
SOC מנקודת מבט עסקית
ל-SOC יש חשיבות עסקית רבה. השקעה באבטחה נראית בטווח המיידי רק כהוצאה בלי שום תועלת כספית, שהרי SOC לא "מייצר" עבור העסק רווח או מוצרים משופרים. עם זאת, אבטחה היא אולי עניין שולי בשוטף, אבל קריטי במיוחד במקרים ספציפיים, המתרחשים בכל עסק במוקדם או במאוחר. האם העסק יכול להרשות לעצמו משברים מסוג כזה? אם מדובר למשל בניסיונות להפריע לפעילות אתר העסק באמצעות התקפת מניעת שירות בודדת, העניין לא חמור בהכרח, וייתכן שמערכות האבטחה יגיבו לכך אוטומטית ודי בקלות ואיש לא יוטרד מזה יותר מדי. אך מה אם יש פריצה מתוחכמת יותר לאתר מכירות מצליח, אשר גם משתקת את מנגנון המכירות וגם מבצעת השחתה של תכני העמוד הראשי שלו? בטווח הקצר העניין עשוי להתבטא בהפסדים כספיים מיידיים בגלל עצירת ההכנסות מהאתר, ובטווח הארוך עלולה להיות פגיעה ניכרת בתדמית, עם נזקים לא מבוטלים, כולל להכנסות. עסק החושב באופן אסטרטגי ורחב ומנהל מערך ניהול סיכונים חכם בהחלט ישקיע באבטחה מתקדמת כמו SOC. עסק כזה גם יראה מכך החזר השקעה בדמות מניעת נזקים כספיים בזכות הגנה מול פריצות והשחתת מידע.
עוד היבטים חשובים ומעניינים
הינה עוד כמה פרטים חשובים שכדאי לכם להכיר על שירות SOC:
- מה מנטרים? – אנשי SOC מנטרים באופן שוטף מגוון מערכות ומספקים להן הגנה, למשל שרתים, המידע שעליהם ורשתות התקשורת. כמו כן הם מנטרים גם את מכשירי הקצה השונים בעסק, כיוון שהם ערוץ תקיפה בולט ו"כרטיס הכניסה" הנפוץ ביותר של האקרים, למשל מחשבים שולחניים, מחשבים ניידים, טאבלטים, סמארטפונים ומדפסות. כן, אפילו מדפסת עשויה להיות מטרה לתקיפה מרחוק!
- היכן SOC נמצא ומיהם העובדים שבו? – SOC יכול להיות פנימי או חיצוני וגם לשלב במקרה הצורך אנשי אבטחה פנימיים של העסק עם יועצים חיצוניים
- כיצד הם מגיבים? – SOC חייב להיות מסוגל לספק תגובה מהירה למקרי חירום. הצוות העוסק בכך מוכן ומתורגל לתגובה על פי נהלים רשמיים וידועים מראש. למעשה, SOC מסייע להבטיח שמדיניות האבטחה ונהלים רשמיים בעסק מיושמים ובמקביל שגם הוא עצמו פועל לפיהם
- כמה זמן זה לוקח? – זמן הוא היבט קריטי במקרים של פריצות ופגיעה במערכת, למשל במתקפות שבהן התוקפים לוחצים על הקורבנות לשלם סכום מוגדר עד מועד קרוב מאוד, אחרת הם ימחקו מידע רגיש מסוים שעליו הם השיגו שליטה. צוות SOC מתורגל להגיב מהר ומסייעים לו בכך עזרי מחשוב שונים. אותם עזרים מקלים את ניתוח המצב וגם את התגובה המהירה לבידוד גורמי נזק, לבלימת הנזקים עצמם ולהחזרת המצב לקדמותו
SOC או ISOC?
עבור עסקים וארגונים רבים המשמעות של המונח SOC שונה מעט או אפילו שונה מאוד מכל מה שדיברנו עליו עד כה. ראשית, בעסקים וארגונים שונים יש להבדיל בין SOC כללי ל-SOC של המחשוב. ה-SOC הכללי יטפל באבטחה הפיזית של המקום, כגון מניעת כניסה של אנשים שאינם מורשים לכך, ו-SOC של המחשוב יטפל כאמור בהגנת מערכות המידע ולכן שמו הוא Information Security Operations Center (ISOC).
SOC או NOC?
יש עוד מושג העשוי לבלבל בהקשר זה והוא NOC, או Network Operations Center. זהו צוות ניטור ותגובה מהירה, אשר מתמקד בפעילויות ברשת התקשורת של העסק. יש כמובן קשר בין מה שמתרחש ברשתות לבין נושא אבטחת המידע, ואכן התחומים השונים האלה פעמים רבות קרובים, חופפים ומשתפים פעולה, למשל במקרה שבו אדם נכנס פיזית באופן בלתי מורשה לחדר המחשבים בארגון רגיש ומבצע שם כמה פעולות הגורמות למערכות להדליף מידע עסקי רגיש לקולגות שלו דרך רשת האינטרנט. במקרה זה יש כשל ברמת האבטחה הפיזית בעסק וגם אבטחת המחשוב ולבסוף נזק המתרחש דרך רשת התקשורת.
לסיכום
בשורה התחתונה, SOC הוא כלי העזר האולטימטיבי לאבטחה. SOC הוא שדרוג קריטי מאוד של האבטחה בעסק או בארכון ומקור ליציבות ולצמצום סיכונים ניכר.