SOC là gì?
Security Operation Center (SOC) hay còn gọi là Trung tâm điều hành An toàn thông tin, là một đơn vị chịu trách nhiệm giám sát, xử lý các vấn đề về an toàn thông tin để phát hiện, phân tích, phản ứng, ngăn chặn và điều tra truy vết với các sự cố về an toàn thông tin, đảm bảm an toàn, an toàn thông tin cho một tổ chức.
S.O.C bao gồm 3 yếu tố: Quy trình, Con người và Công nghệ.
Trong đó:
- Con người: Là những chuyên gia trong lĩnh vực an toàn thông tin, được đào tạo bài bản để vận hành Trung tâm điều hành An toàn thông tin (SOC) để giám sát, phát hiện sự cố, ngăn chặn sự số, điều tra truy vết và phục hồi tổn thất mà một cuộc tấn công mạng gây ra.
- Quy trình: Là những quy trình chính sách, quy định, quy chế, khuyến nghị về công tác đảm bảo an toàn thông tin được một tổ chức ban hành.
- Công nghệ: Là những giải pháp kỹ thuật, công cụ chuyên môn, hỗ trợ việc giám sát, phát hiện, ngăn chặn và điều tra truy vết các sự cố về an toàn thông tin.
Sự cần thiết của SOC
Trong bối cảnh toàn cầu đang hướng đến một kỷ nguyên quốc gia thông minh, cuộc cách mạng công nghiệp 4.0 đang được đẩy mạnh trên khắp mọi nơi trên thế giới. Như một điều tất yếu, các tương tác trên mạng Internet đang ngày càng phát triển dẫn đến nguy cơ xảy ra mất an toàn thông tin càng lớn. Có thể kể đến các nguyên nhân xảy ra mất an toàn thông tin như:
- CNTT phát triển tạo môi trường lý tưởng cho các hacker tấn công các tổ chức.
- Các phương thức tấn công của hacker đang trở nên tinh vi hơn, khó lường hơn với quy mô lớn hơn.
- Nhận thức về ATTT của người dùng còn hạn chế.
- Sự đầu tư không bài bản, chắp vá của các tổ chức trong lĩnh vực ATTT
- Khó khăn trong việc tuân thủ các chính sách ATTT.
Các hoạt động của SOC
Các chức năng chính của SOC bao gồm:
- Giám sát và quản lý tình hình an ninh của một tổ chức.
- Phát triển và thực hiện các chính sách và thủ tục bảo mật.
- Cung cấp đào tạo nhận thức an ninh cho nhân viên.
- Ứng phó với các sự cố an ninh.
- Phân tích nhật ký, lưu lượng mạng và các nguồn dữ liệu khác để xác định các mối đe dọa và lỗ hổng tiềm ẩn.
- Thực hiện đánh giá lỗ hổng.
- Cung cấp các báo cáo tình báo về mối đe dọa.
- Thiết kế và triển khai các giải pháp bảo mật.
Nhóm SOC cũng cung cấp các dịch vụ ứng phó sự cố , chẳng hạn như phân tích pháp y, phân tích phần mềm độc hại và đánh giá lỗ hổng. Ngoài ra, họ có thể cung cấp các dịch vụ tình báo về mối đe dọa, chẳng hạn như báo cáo tình báo về mối đe dọa và tìm kiếm mối đe dọa.
Các vai trò trong SOC Team
SOC Team thường chia thành 3 loại, tương ứng với các cấp bậc và công việc khác nhau:
Tier 1 SOC – Triage
Phân loại là cấp độ đầu tiên của SOC. Nhân viên cấp 1 chịu trách nhiệm xử lý các sự cố bảo mật sắp xảy ra và xác định mức độ nghiêm trọng của sự cố. Điều này bao gồm xác định nguồn gốc của sự cố, xác định phạm vi của sự cố và đánh giá tác động của sự cố.
Nhân viên cấp 1 cũng chịu trách nhiệm cung cấp các biện pháp ngăn chặn và ứng phó ban đầu, cũng như chuyển sự cố lên cấp cao hơn nếu cần. Đây là nơi mà các nhà phân tích chứng khoán thường dành phần lớn thời gian của họ.
Các nhà phân tích cấp 1 thường là những nhà phân tích ít kinh nghiệm nhất và chức năng chính của họ là theo dõi nhật ký sự kiện để tìm hoạt động đáng ngờ. Khi họ cảm thấy điều gì đó cần điều tra thêm, họ sẽ thu thập càng nhiều thông tin càng tốt và chuyển vụ việc lên Cấp 2.
Tier 2 SOC – Incident Responder
Ứng cứu sự cố là cấp độ thứ hai của SOC. Nhân viên cấp 2 chịu trách nhiệm điều tra các sự cố bảo mật và xác định nguyên nhân gốc rễ của sự cố. Điều này bao gồm phân tích nhật ký, lưu lượng mạng và các nguồn dữ liệu khác để xác định nguồn gốc của sự cố. Nhân viên cấp 2 cũng chịu trách nhiệm cung cấp các báo cáo chi tiết về sự cố và đề xuất biện pháp khắc phục.
Tier 3 SOC – Threat Hunting
Săn mối đe dọa là cấp độ thứ ba của SOC. Nhân viên cấp 3 chịu trách nhiệm chủ động tìm kiếm các mối đe dọa và lỗ hổng trong môi trường của tổ chức. Điều này bao gồm phân tích nhật ký, lưu lượng truy cập mạng và các nguồn dữ liệu khác để xác định các mối đe dọa và lỗ hổng tiềm ẩn.
Nhân viên Cấp 3 cũng chịu trách nhiệm cung cấp các báo cáo tình báo về mối đe dọa chi tiết và các đề xuất để khắc phục. Các nhà phân tích giàu kinh nghiệm nhất hỗ trợ ứng phó với sự cố phức tạp và dành thời gian còn lại để xem qua dữ liệu pháp y và dữ liệu đo lường từ xa để tìm các mối đe dọa mà phần mềm phát hiện có thể không xác định là đáng ngờ. Công ty trung bình dành ít thời gian nhất cho các hoạt động tìm kiếm mối đe dọa, vì Cấp 1 và Cấp 2 tiêu tốn rất nhiều tài nguyên của nhà phân tích.