מה עדיף – מרכז אבטחה פנים ארגוני או מנוהל חיצונית?

השכיחות הגבוהה של התקפות הסייבר והשפעתן הדרמטית על עסקים, הביאו לעליה בחשיבותו של מרכז SOC (ר"ת Security Operation Center) בארגון. מטרתו של ה-SOC הינה לנטר ולנתח אירועי סייבר אפשריים בארגון, לזהות, להתריע ולהגיב להם בכל רגע נתון ובזמן אמת.

ניהול SOC פנים ארגוני הפך בשנים האחרונות ליותר ויותר מורכב בשל השינויים התכופים בנוף האיומים, מגוון סוגי ההתקפות, ריבוי כלי תקיפה וזמינותם וכן בשל הצורך המתמיד ביישומי יכולות Threat intelligence ו-Incident Response מתקדמות. נתונים המתפרסמים על ידי מעבדות הסייבר של חברות אבטחת המידע מעידים על כך שמידי יום מופיעות מאות אלפי נוזקות חדשות סביב העולם. יתרה מכך, פושעי הסייבר יכולים כיום להשיג כלים אוטומטיים ומתוחכמים ברשת אינטרנט הרגילה והאפלה, דבר שמעלה עוד יותר את שכיחות ההתקפות.

אם כן, מרכז SOC דורש כיום צוות מאד מיומן וכוח אדם בעל מיומנות רחבה יותר, כמו גם משאבים טכנולוגיים גדולים יותר. מסיבה זאת, לאחרונה עולה דילמה לא פשוטה בפני מנהלי מערכות המידע ומנהלי אבטחת המידע בארגון – האם להקים או להמשיך לתחזק מרכז SOC פנים ארגוני או לבחור באופציית השרות המנוהל, ולשכור שירותי MSSP מנוהלים (Managed Security Service Provider).
הבחירה ב-SOC פנים ארגוני או ב- MSSP תלויה בסוג הארגון ובצרכיו.

מספר יתרונות בולטים

ל-SOC MSSP קיימים כיום מספר יתרונות בולטים שמומלץ להתייחס אליהם כאשר באים לבחון סוגיה זאת:

• ניטור מתקדם (Advanced Cybersecurity Monitoring) – בעבר, ה- SOC הפנים ארגוני ביסס את פעילותו על מודיעין סטטי, שבהחלט הספיק לצרכי הארגון. אולם כיום, כפי שציינו, השינויים בנוף האיומים הם כה תכופים ורבים, כך שמודיעין סטטי כבר אינו מספיק. SOC איכותי חייב להיות ניזון ממודיעין איומים דינמי בזמן אמת, דבר שמצריך כוח אדם רחב ומיומן מאד שהוא כולו מוקדש לנושא הזה.ארגון שאינו יכול לעמוד בדרישות הללו חייב לשקול מעבר ל- SOC MSSP, שכן זה נמצא עם היד על הדופק לגבי האיומים הקיימים במגוון רחב של ארגונים (ולא רק בארגון אחד) ונגיש לגופי מודיעין רשמיים המייצרים מודיעין סייבר איכותי בזמן אמת. מודיעין שנמצא רלוונטי עבור ארגון מסוים שה- MSSP משרת, יועיל לארגונים נוספים בעלי פרופיל דומה.
• תגובה להתקפות (Incident Response) – שירותי ה- SOC MSSP לרוב עובדים עם כלי Incident Response אוטומטיים שיודעים לנהל אירועי סייבר בצורה מתודולוגית ותבניתית על פי כללים ברורים ועל בסיס איסוף וניתוח ראיות. הכלים הללו מאפשרים ניהול תהליך מוסדר בעת האירוע והתמודדות מהירה ויעילה עם אירועי סייבר שונים ומגוונים רבים בו זמנית, כמו גם עם אירועים בלתי מוכרים וחדשים ואירועי zero day.
• היערכות כלכלית – הקמת מערך SOC פנים ארגוני דורשת גיוס מומחים והתקנת מערכות מתקדמות שיאפשרו יחד תגובה טובה לאירועי סייבר. מערכי SOC איכותיים מושתתים על מספר שכבות של מומחיות. השכבה הבסיסית ביותר ב- SOC כוללת את האנליסטים וצוותי ה- OPC, כאשר השכבות הגבוהות יותר כוללות אנליסטים ו- Threat Hunters ברמת מומחיות וניהול גבוהה יותר וכמובן את מנהל ה- SOC אשר חשופים למתודולוגיות ניהול עולמית של מרכזי SOC ומיישמים לפחות את חלקה. מעבר לכך, המיומנות של הצוות צריכה להיות מגוונת ומבוססת גם על פרופיל הארגון, ולאפשר התמחות באותו ענף בו הארגון פועל. הקמת מערך SOC עשוי להיות יקר מאד והוא דורש זמן רב לצורך תכנון הטכנולוגיה והכשרת הצוותים. עובדה זאת מובילה פעמים רבות את מקבלי ההחלטות לבצע פשרות, כך שבמרבית הארגונים שמקימים SOC פנימי מסתמכים רק על שכבה בסיסית של אנליסטים ולתפקיד מנהל ה- SOC בדרך כלל ממנים את מנהל אבטחת המידע או מנהל התשתיות, שיש לו תפקידים נוספים בארגון. בסופו של דבר אין ל- SOC הפנים ארגוני את היכולת לשרת בצורה מיטבית את הארגון והוא לרוב לא יוכל להציע את רמת המומחיות של ה- SOC MSSP המלא.
• ניטור 24 על 7 – האקרים עובדים גם מחוץ לשעות העבודה, למעשה, חלק גדול מההתקפות מתקיימות לא בשעות העבודה. ניטור 24/7 הוא הכרחי להגנת העסק, אולם רק ארגונים מועטים יכולים להרשות לעצמם להחזיק צוותים במשמרות סביב השעון, זמינים לנהל ולהתמודד עם מצבי חירום על מנת להבטיח המשכיות עסקית.

הקמת SOC פנים ארגוני היא משימה מורכבת ויקרה, והיא דורשת השקעת זמן רב. יתרה מכך, גם לאחר הקמתו הוא לא תמיד מאפשר ניטור והתמודדות אופטימליים עם אירועי הסייבר והיכולות שלו מוגבלות פעמים רבות משיקולי תקציב ועלויות

עם הזמן, יותר ארגונים מבינים כי קיים פער גדול בין הפעלת SOC פנימי לבין שירות SOC MSSP. בימים אלו, ככל שארגונים מתקדמים לעולמות מרובי פלטפורמות ומרובי עננים, וניהול מערכות המידע הופך מורכב יותר, שרות ה-SOC MSSP הופך להיות חיוני מאי פעם, כזרוע המאפשרת לארגון להמשיך לפעול בצורה יעילה תוך מניעה, זיהוי ותגובה לכל התקפה זדונית.

היתרון הבולט הנוסף של SOC MSSP הינו יצירת שרשרת שרותי ערך מוסף ללקוח בתחומי הגנת הסייבר, כגון מבדקי חדירה תקופתיים, Vulnerability Assessment, בניית ותחזוקת מדיניות ונהלי עבודה בתחום ללקוח, יעוץ בתחומי התקינה, שרותי CISO as a Service ועוד.

הכותב הוא מנהל תחום אבטחת מידע ומומחה הסייבר של Comm-IT.