Trung Tâm Điều Hành An Toàn Thông Tin (SOC) là gì?

SOC (Security Operations Center) là gì?

Trung tâm điều hành an toàn thông tin giám sát, phát hiện, phản hồi và khắc phục các mối đe dọa. SOC bao gồm một nhóm những chuyên gia an toàn thông tin giám sát applications, databases, devices, networks, servers và websites của công ty. Nhóm này đảm bảo các vấn đề về bảo mật sẽ được phát hiện 24/7/365.

SOC hoạt động như thế nào?

Một nhóm bảo mật sẽ quản lý SOC. Nhóm bảo mật có thể lớn hoặc nhỏ. Nhóm sẽ chịu trách nhiệm cho con người, quy trình, và các công nghệ cần thiết để có thể giám sát và bảo mật hệ thống thông tin của công ty.

Nhóm SOC sẽ hỗ trợ ở 3 mục:

1/ Threat Detection – Phát hiện các mối nguy hiểm

Các thành viên nhóm SOC dùng các công nghệ truy tìm các mối nguy hiểm để tìm kiếm và giải quyết cyberthreats.

2/ Security Event Investigation – Điều tra sự kiện liên quan đến bảo mật

Nhóm SOC sẽ tiến hành điều tra khi họ xác định có một cuộc tấn công tiềm ẩn. Tại thời điểm đó họ sẽ xem có mối đe dọa nào không. Nếu có họ sẽ đánh giá mức độ nghiêm trọng của mối nguy hiểm, hoàn cảnh và tìm cách giải quyết mối nguy hiểm.

3/ Incident Response – Ứng phó với sự cố

Sau khi điều tra an ninh mạng, nhóm SOC sẽ thực hiện khắc phục các sự cố bảo mật. họ sẽ cô lập các endpoint, dừng các tiến trình có thể làm ảnh hưởng hệ thống công ty và triển khai các backup.

Nhóm SOC có các vai trò và trách nhiệm

1/ Security Analyst

Nhà phân tích an toàn thông tin sẽ là người đầu tiên phản ứng với cuộc tấn công mạng. Nhà phân tích sẽ xác nhận các quá trình và quy trình SOC được triển khai đúng cách và cập nhật tình hình cho các bên liên quan về các nỗ lực phản ứng, khắc phục sự cố của nhóm SOC.

2/ Security Engineer

Kỹ sư an toàn thông tin làm việc với các lập trình viên để đảm bảo các phương thức an toàn mạng được tích hợp vào hệ thống công ty, giám sát tình trạng bảo mật doanh nghiệp và phản ứng kịp thời trước các cuộc tấn công.

3/ SOC Manager

Quản lý SOC cung cấp cho các thành viên SOC các chương trình đào tạo kỹ năng về an ninh mạng. Quản lý cũng sẽ tạo ra các quá trình và quy trình, đánh giá báo cáo sự cố, phát triển và thực hiện các kế hoạch truyền thông, viết báo cáo tuân thủ và thực hiện kiểm tra bảo mật.

4/ Chief Information Security Officer (CISO)

CISO là người có tiếng nói cuối cùng về các chính sách và chiến lược an ninh mạng của công ty và làm việc với các thành viên khác trong nhóm SOC để giải quyết các vấn đề bảo mật.

Tại sao lại cần SOC?

1/ Incident Reponse – Phản ứng với sự cố

Nhóm SOC sẽ tìm kiếm các dấu hiệu của tấn công, điều tra các hoạt động và ngăn các cuộc tấn công.

2/ Security Visibility – Khả năng theo dõi real-time

SOC sẽ giám sát cơ sở hạ tầng và giải quyết các sự cố về bảo mật ngay tức thì

3/ Risk Management – Quản lý rủi ro

SOC theo dõi các mối đe dọa, liên lac và cộng tác với các bên liên quan trong doanh nghiệp để thông báo về rủi ro. Họ cũng sẽ tạo các báo cáo về bảo mật và có thể giúp bạn phát triển, thực hiện chiến lược quản lý rủi ro một cách chính xác.

SOC hay NOC (a Network Operations Center), vai trò nào tốt hơn?

– Cả hai đều có vai trò quan trọng trong cách công ty quản lý tình hình an ninh mạng.

– SOC sẽ tập trung vào bảo mật. Còn NOC sẽ tập trung vào theo dõi hiệu suất network của công ty. NOC cũng sẽ hỗ trợ khi có sự cố về mạng có thể làm gián đoạn giữa công ty, nhân viên và khách hàng.

– Nhóm SOC và NOC có thể làm việc với nhau để giải quyết các sự cố. 

– Ví dụ: Nếu doanh nghiệp của bạn bị mất mạng. NOC có thể khôi phục lại mạng và đảm bảo mạng hoạt động theo SLA bạn muốn. Mặt khác, nếu cuộc tấn công mạng làm cho mạng của công ty bị sập, SOC có thể làm việc với NOC để tìm ra nguyên nhân. SOC và NOC có thể khắc phục và đưa mạng hoạt động trở lại bình thường.

Những khó khăn mà SOC hay gặp phải

1/ Staffing – Nhân viên

Nhóm SOC thường thiếu nhân lực hoặc thiếu kỹ năng và đào tạo bài bản. Điều này khiến cho nhóm SOC thường gặp khó khăn trong việc theo kịp các báo cáo và cảnh báo bảo mật. 

2/ Alert Fatigue – Quá nhiều cảnh báo

SOC có thể sử dụng rất nhiều công cụ nhưng những công cụ này không cần thiết cho SOC để phân biệt cảnh báo quan trọng với không quan trọng. Thành viên nhóm SOC có thể nhận rất nhiều cảnh báo cùng một lúc. Dẫn đến có nguy cơ bỏ lỡ các cảnh báo quan trọng.

3/ Overhead Costs – Chi phí

SOC yêu cầu các chuyên gia an ninh mạng phải có mặt để xác định và khắc phục vấn đề về bảo mật 24/7, đồng thời luôn cập nhật các công cụ mới. Để đáp ứng được 2 yêu cầu này có thể tốn kém.

5 loại công cụ và SOC cần

1/ Assest Discovery – Công cụ cho SOC biết rằng hệ thống IT nào đang được sử dụng và đang chạy những gì.

2/ Vulnerability Assessment – Công cụ đánh giá mức độ lỗ hổng bảo mật trên hệ thống và cảnh báo.

3/ Behavior Monitoring – Công cụ giám sát các hành vi bất thường trong hệ thống.

4/ Intrusion Detection – Công cụ phát hiện xâm nhập và ngăn chặn ngay tức thì.

5/ Security Information and Event Management (SIEM) – Công cụ quản lý các log của hệ thống.

Fan page: Công ty Cổ Phần DASS