مدل عملیاتی خدمات امنیت شبکه برای تیم‌های کوچک IT

بسیاری از سازمان‌ها تیم امنیت بزرگ ندارند. چند نفر در تیم IT باید هم شبکه را نگه دارند، هم کاربر را پشتیبانی کنند، هم تغییرات روزانه را انجام دهند و هم امنیت را جدی بگیرند. در چنین شرایطی، خدمات امنیت شبکه نباید شبیه نسخه کوچک‌شده SOCهای بزرگ طراحی شود. باید مدل عملیاتی سبک، قابل اجرا و قابل تکرار داشته باشد.

مدل عملیاتی یعنی بدانیم هر روز، هر هفته و هر ماه چه چیزهایی باید بررسی شود، چه کسی مسئول است، کدام alert واقعاً مهم است و چه کاری اگر انجام نشود ریسک بالا می‌رود. بدون این نظم، ابزارهای امنیتی نصب می‌شوند اما خروجی‌شان در عمل دیده نمی‌شود.

حداقل کارهای روزانه

در تیم کوچک، بهتر است کار روزانه کوتاه ولی ثابت باشد. لازم نیست هر روز همه logها خوانده شود، اما باید چند سیگنال مهم دیده شود: تلاش ورود ناموفق به تجهیزات مدیریتی، تغییر policy، قطع شدن tunnelهای مهم، بالا رفتن drop غیرعادی، alertهای WAF یا IPS و خطاهای HA. این‌ها اگر دیر دیده شوند، incident کوچک به مشکل جدی تبدیل می‌شود.

• وضعیت فایروال، VPN و لینک‌های حیاتی بررسی شود.
• تغییرهای policy و loginهای مدیریتی دیده شود.
• alertهای تکراری بی‌دلیل خاموش نشوند؛ ریشه‌شان بررسی شود.
• هر رخداد مهم در یک log ساده داخلی ثبت شود، حتی اگر ticketing حرفه‌ای وجود ندارد.

کارهای هفتگی و ماهانه

هفته‌ای یک بار باید وضعیت ruleها، backup config، لاگ‌های مهم، patchهای فوری و دسترسی‌های جدید بررسی شود. ماهانه هم بهتر است یک مرور کوچک روی ریسک‌های باقی‌مانده انجام شود: کدام rule موقت هنوز مانده، کدام حساب admin دیگر لازم نیست، کدام سرویس public شده و کدام تجهیز نسخه قدیمی دارد.

این مدل با CIS Controls هم‌راستا است، اما ساده‌تر اجرا می‌شود. هدف این نیست که سازمان کوچک را با فرم‌های سنگین خسته کنیم؛ هدف این است که کارهای امنیتی مهم از حافظه افراد خارج و به روند تکرارپذیر تبدیل شود.

مرز بین پشتیبانی و امنیت

در تیم کوچک، یک نفر ممکن است هم مشکل کاربر را حل کند و هم rule فایروال بزند. این اجتناب‌ناپذیر است، اما نباید بدون کنترل باشد. تغییر امنیتی باید دلیل، مالک، زمان اجرا و روش برگشت داشته باشد. حتی اگر ابزار change management کامل ندارید، یک فرم ساده یا ticket داخلی می‌تواند جلوی تصمیم‌های عجولانه را بگیرد.

چه زمانی باید کمک بیرونی گرفت؟

وقتی تغییرها زیاد می‌شود، alertها بررسی نمی‌شوند، ruleهای قدیمی روی هم جمع می‌شوند یا پروژه‌هایی مثل WAF، firewall migration و segmentation مطرح می‌شود، تیم کوچک بهتر است از مشاوره تخصصی استفاده کند. نقش مشاور خوب این نیست که همه چیز را پیچیده کند؛ باید مدل نگهداری را برای همان تیم قابل اجرا طراحی کند.

اتصال به مسیر خدمات

برای تعریف خروجی عملیاتی خدمات، مطلب خدمات امنیت شبکه دقیقاً چه خروجی‌هایی باید داشته باشد؟ مکمل این مقاله است. اگر نیاز به طراحی مسیر اجرایی دارید، صفحه مشاور امنیت شبکه نقطه شروع مناسب است.

ابزار کم، روند ثابت

تیم کوچک لازم نیست از روز اول ابزارهای زیاد داشته باشد. گاهی یک syslog درست، backup منظم، داشبورد ساده VPN و فایروال، و مرور هفتگی تغییرات از چند ابزار گران ولی رهاشده مفیدتر است. اصل کار این است که چند سیگنال مهم همیشه دیده شوند و کسی مسئول پیگیری آن‌ها باشد.

اگر بعداً ابزار SIEM یا SOAR اضافه شود، همین روندهای ساده پایه کار خواهند بود. بدون روند، ابزار فقط alert تولید می‌کند و alertهای زیاد هم بعد از مدتی نادیده گرفته می‌شوند.

شاخص‌های ماهانه

• تعداد تغییرهای فایروال با توضیح و مالک مشخص.
• تعداد login مدیریتی ناموفق یا غیرعادی.
• وضعیت backup config تجهیزات حساس.
• ruleهای موقت که هنوز حذف نشده‌اند.
• alertهایی که تکرار می‌شوند اما root cause ندارند.