في هذا المقال، سوف نتعرف على الدور الوظيفي لمحلل مركز العمليات الأمنية (SOC) وبعض الأسئلة الشائعة للمقابلات الوظيفية لهذا الدور. ويعمل محللو SOC عادة كأعضاء في فريق الأمن . يوجد ثلاثة مستويات (Tier) من محللي SOC، وقد تختلف المهام الخاصة بالوظيفة بناءاً على المنظمة التي تعمل بها.
مستويات المحللين الأمنيين
عادةً ما يراقب محللو SOC من (المستوى 1) أدوات الأمان، مثل أدوات اكتشاف نقاط النهاية والاستجابة لها (EDR) وإدارة معلومات الأمان والأحداث (SIEM)، لتحديد النشاط الشاذ المحتمل على الشبكات والأنظمة. إذا تم اكتشاف نشاط شاذ، فإنهم ينقلون الحالة إلى محللي المستوى 2.
يحقق محللو SOC من (المستوى 2) في السلوك الشاذ الذي تم تصعيده إليهم من (المستوى1). في بعض الحالات، قد يؤدون مهام الاستجابة للحوادث (IR) والتحليل الأولي للبرامج الضارة. كما يطورون كتيبات الاستجابة للحوادث وتنفيذ أتمتة المهام الروتينية. قد ترى أيضاً أن مهارات (المستوى 2) مطلوبة لوظائف المستجيب للحوادث. يساهم يقوم محلل مركز العمليات الأمنية من (المستوى 2) بأعمال الطب الشرعي الرقمي البسيطة.
يجري محللو مركز العمليات الأمنية من (المستوى 3) عمليات الاستجابة للحوادث والبحث عن التهديدات وتحديد ملفات تعريف التهديدات. قد ينفذون أيضاً ببعض الأعمال في الهندسة العكسية للبرامج الضارة والتحليل الجنائي الرقمي وفقاً لطبيعة مؤسستهم. يمكن أن ترى إعلانات مثل هذه الوظائف بمسميات مختلفة، كمستجيبين للحوادث أو صيادي تهديدات. يمكن اعتبار محلل مركز العمليات الأمنية كنقطة بداية في المسار المهني.
أسئلة شائعة في المقابلات – محلل مركز العمليات الأمنية
ما هو أمن المعلومات وكيف يتم تحقيقه؟
أمن المعلومات يعني ببساطة حماية سرية المعلومات وسلامتها وتوافرها. يتم تحقيقه من خلال إدارة المخاطر، حيث يمكنك تحديد المعلومات القيمة، وتحديد أي أصول مرتبطة بهذه المعلومات، وتحديد نقاط الضعف، وتحديد التهديدات التي تتعرض لها هذه المعلومات، وتحديد التأثير على المعلومات والمنظمة في حالة وقوع حادث.
ما هو منع فقدان البيانات (DLP)؟
تُستخدم أدوات منع فقدان البيانات للتأكد من عدم قيام المستخدمين بإرسال بيانات حساسة خارج الشبكة الداخلية. تتضمن أفضل الممارسات لمنع فقدان البيانات تحديد البيانات وتصنيفها وإعطائها الأولوية وفهم المخاطر التي تتعرض لها البيانات ومراقبة البيانات أثناء النقل وإنشاء عناصر تحكم لحماية البيانات.
ما هي خطة الاستجابة للحوادث؟
تضمن خطط الاستجابة للحوادث وجود الأشخاص والإجراءات المناسبة للتعامل مع التهديدات. يسمح ذلك لفريق الاستجابة للحوادث بإجراء تحقيق منظم في الأحداث لتحديد مؤشر الاختراق (IOC) والتكتيكات والتقنيات والإجراءات (TTPs) للجهات الفاعلة في التهديد. تشبه خطة الاستجابة للحوادث دليل الخطوات التي يجب اتباعها في حالة وقوع حادث؛ ومع ذلك، قد تتنقل عبر مراحل مختلفة من سلسلة القتل اعتمادًا على الحادث. يعد NIST 800-61 مرجعاً مهماً لتعلم المراحل المختلفة للتعامل مع الحوادث.
HIDS وNIDS – أيهما أفضل ولماذا؟
نظام اكتشاف التطفل على المضيف (HIDS). من عيوبه، أنه قد يستهلك طاقة معالجة أكبر كثيراً من نظام اكتشاف التطفل على الشبكة (NIDS). يؤدي كل من نظامي HIDS وNIDS ذات الإجراءات تقريباً، ولكن نظام HIDS يوفر رؤية أكبر للأنشطة المشبوهة على نقطة النهاية End point.
أسئلة مقابلات محلل مركز العمليات الأمنية
تحدث عن المخاطر والثغرات والتهديدات.
الثغرات هي نقاط ضعف في النظام. مما يعني أن هناك فجوة في حماية النظام. والتهديد هو مهاجم يحاول استغلال الثغرة لتحقيق مكاسب خاصة به. المخاطر هي مقياس الخسارة المحتملة عندما يتم استغلال الثغرة من قبل مرتكب التهديد. إذا فكرت في مثال متجر لبيع الأدوات المنزلية، فقد تكون الثغرة (الضعف) عدم دفع فاتورة شركة الحراسة الخاصة بك. قد يستخدم مرتكب التهديد (اللص في هذه الحالة) هذا الضعف للدخول إلى المتجر و سرقته. ستحتاج إلى تحليل المخاطر لمعرفة ما إذا كان لديك أشياء ثمينة داخل المتجر تبرر تكلفة دفع ثمن خدمة مراقبة الإنذار.
ما هو الفرق بين التشفير غير المتماثل والمتماثل، وأيهما أفضل؟
يستخدم التشفير المتماثل نفس المفتاح للتشفير وفك التشفير. يستخدم التشفير غير المتماثل مفاتيح مختلفة للتشفير وفك التشفير. لكل منهما مزايا وعيوب. التشفير المتماثل أسرع عادةً من غير المتماثل، ولكن يجب نقل المفتاح عبر قناة غير مشفرة. التشفير غير المتماثل أبطأ ولكنه أكثر أماناً. من الأفضل استخدام مزيج من الاثنين.
ما هو الفرق بين التشفير والتجزئة؟
التشفير قابل للعكس مما يعني أنه بمجرد تشفير شيء ما، يمكنك بعد ذلك فك تشفيره لرؤية البيانات في شكلها الأصلي. والتجزئة (hash) أحادية الاتجاه. يمكن اختراق التجزئة في بعض الحالات باستخدام جداول قوس قزح، ولكنها غير قابلة للعكس. تضمن التجزئة سلامة البيانات، ويضمن التشفير سرية البيانات.
ما هو الفرق بين الأمان المنطقي والأمان المادي؟ هل يمكنك إعطاء مثال لكليهما؟
الأمان المادي هو منع الكيانات غير المصرح لها من الوصول فعلياً إلى الأشياء التي لا ينبغي لها الوصول إليها. على سبيل المثال، يمكنك وضع سياج حول منزلك، وتركيب كاميرات مراقبة، والحصول على نظام إنذار. هذه كلها أمثلة على ضوابط الأمان المادي لمنع الوصول غير المصرح به. أما الأمان المنطقي فهو الشكل الإلكتروني لمنع الوصول غير المصرح به. يمكنك -مثلاً- تحقيق ذلك من خلال استخدام تشفير البيانات أثناء النقل والراحة (rest) حتى لا يتمكن أي شخص آخر من قراءة البيانات.
محلل مركز العمليات الأمنية -أسئلة عملية
ما هي أنواع عناصر التحكم الأمنية المختلفة؟
هناك ثلاثة أنواع رئيسية من الضوابط الأمنية:
- الفنية (المنطقية): وتتضمن أشياء مثل استخدام التشفير وقوائم التحكم في الوصول وجدران الحماية وIDS/IPS وأدوات SIEM وبرامج مكافحة الفيروسات.
- الإدارية (التشغيلية) : سياسات أو إجراءات أو إرشادات تساعد الشركة على إدارة مخاطرها. ويتم تنفيذ الضوابط الإدارية من قبل الأشخاص.
- المادية (الفيزيائية -المكانية): كاميرات المراقبة التلفزيونية وأنظمة الإنذار وحراس الأمن وأجهزة مسح الهوية والأقفال والبيانات الحيوية.
ما هو السبب الرئيسي وراء عدم قيام معظم الشركات بإصلاح نقاط الضعف لديها؟
قد يكون هناك عدد من الأسباب التي تمنع الشركة من إصلاح نقاط الضعف. ومنها أن تكلفة إصلاح نقاط الضعف أعلى من تكلفة خرق البيانات بالنسبة للشركة.و قد يكون سبب آخر هو أن الشركة تستخدم تطبيقات قديمة لا يمكن تحديثها إلى أحدث إصدار من نظام التشغيل. وهناك أيضاً مشكلة نقاط الضعف التي لا يمكن إصلاحها ونقاط الضعف التي لا تشكل خطراً كبيراً على الشركة (وفق مستوى المخاطر المقبولة فيها) .
ما هي بعض مسؤوليات محللي مركز العمليات الأمنية من المستويين 1 و2؟
تتضمن بعض مسؤوليات محلل مركز العمليات الأمنية من (المستوى 1) مراقبة السلوك الضار والشاذ في الشبكة والنظام من خلال أدوات مثل SIEMs وIDSs، و تصعيد النشاط المشبوه الذي تم العثور عليه إلى محللي المستوى 2 للمراجعة.
يفرز محللو مركز العمليات الأمنية من (المستوى 2) التنبيهات . و قد يضبطون أدوات جمع سجلات الأحداث الأمنية للمساعدة في تقليل الإيجابيات الخاطئة واستخدام إطار عمل MITRE ATT&CK -مثلاً- لتحديد الثغرات الأمنية في الموقف الدفاعي للمؤسسة. وتكون من مسؤوليات هذا المستوى أيضاً إزالة البرامج الضارة من أنظمة المستخدم النهائي وكتابة قواعد للكشف عن الهجمات المستقبلية وإيقافها.
كلمة أخيرة
كما رأينا، فإن العديد من أسئلة المقابلة كمحلل SOC تدور حول أنواع الهجمات والمعرفة الأساسية بأدوات SIEM. في الواقع، تبحث العديد من الشركات لدى المتقدمين لهذه الوظائف عن معرفة أساسية بالهجمات وكيف يتعامل مع الجهات الفاعلة في التهديد كمحلل SOC. كذلك، من المهم للمتقدمين لهذه المقابلات استكشاف إطار عمل MITRE ATT&CK للتفكير في كيفية استخدام المنظمات له من الناحية التشغيلية في أداة SIEM وكيف يمكن للمنظمة استخدامه لتحديد الثغرات في موقفها الأمني.