در ماه‌های اخیر، درخواست‌های متعددی برای دریافت مستندات بلوغ SOCبه دست ما رسیده است. اما در بررسی این درخواست‌ها، یک الگوی نگران‌کننده کاملاً مشهود بود:

در بسیاری از موارد، خودِ مفهوم بلوغ SOC به‌درستی درک نشده و صرفاً درخواست مجموعه‌ای از مستندات انجام شده است.

انگار هنوز این تصور وجود دارد که داشتن چند فایل PDF، چند Policy یا Procedure آماده یا حتی نصب یک SIEM قدرتمند به‌تنهایی می‌تواند یک SOC بالغ بسازد.

واقعیت این است:
❌ این رویکرد نه‌تنها کمکی نمی‌کند، بلکه باعث اتلاف زمان، انرژی و منابع می‌شود.

🎯 رویکرد درست در طراحی و توسعه SOC چیست؟

ما از ابتدا یک اصل را شفاف اعلام کرده‌ایم:

🔹  مرحله اول: تعیین سطح بلوغ SOC

🔹  مرحله دوم: طراحی مستندات و اقدامات متناسب با همان سطح

چرا این موضوع حیاتی است؟

زیرا مستندات بدون شناخت سطح بلوغ، یا بیش‌ازحد پیچیده هستند. یا آن‌قدر ابتدایی‌اند که هیچ ارزشی اضافه نمی‌کنند، یا کاملاً نامرتبط با واقعیت عملیاتی SOC نوشته شده‌اند

🔍  SOC-CMM چیست؟

 SOC-CMM (Security Operations Center – Capability Maturity Model)مدلی برای سنجش بلوغ واقعی SOC است. نه روی کاغذ، بلکه در عمل.

این مدل بررسی می‌کند:

SOC ✔  شما چگونه Incident را شناسایی می‌کند؟

✔ واکنش‌ها چقدر ساختارمند و قابل تکرار هستند؟

✔ تصمیم‌ها وابسته به افراد است یا فرآیند؟

✔ آیا شاخص‌های عملکرد وجود دارد یا نه؟

📌 نکته کلیدی:
SOC-CMM تمرکزش روی عملکرد، فرآیند و هماهنگی تیمی است. نه صرفاً ابزار.

🧩  سطوح بلوغ SOC بر اساس SOC-CMM

1️ Initial  | آغازین

✔ واکنشی و بدون فرآیند مشخص

✔ وابستگی شدید به افراد کلیدی

✔ نبود Playbook و سناریوهای رسمی

✔ تصمیم‌گیری لحظه‌ای و غیرقابل تکرار

📍  معمولاً SOCهایی که فقط «ابزار دارند» در این سطح هستند.

2️Repeatable  | قابل تکرار

✔ وجود فرآیندهای اولیه

✔ سناریوهای محدود Incident

✔ مستندات پایه (Policy / SOP ساده)

✔ اما همچنان وابستگی زیاد به تجربه افراد

3️ Defined  |  تعریف‌شده

Playbook ✔ های مشخص برای Incidentها

✔ سناریوهای امنیتی تعریف‌شده

✔ تیونینگ SIEM

✔ گزارش‌گیری ساختارمند و قابل تحلیل

📍  این سطح، نقطه‌ای است که SOC واقعاً قابل اتکا می‌شود.

4️ Managed  | مدیریت‌شده

✔ تعریف KPI و KRI

✔ پایش مستمر عملکرد SOC

\Incident Response ✔هماهنگ با تیم‌های IT، Network و Management

✔ تصمیم‌گیری مبتنی بر داده، نه حدس

5️ Optimized  | بهینه‌شده

✔ اتوماسیون (SOAR)

Threat Hunting ✔فعال

✔ بهبود مستمر فرآیندها

✔ یادگیری از Incidentها و کاهش Mean Time to Detect/Respond

📍  این سطح، SOC بالغ واقعی است،  نه نمایشی.

🚨  یک سوءتفاهم رایج: ما Splunk داریم، پس SOC داریم

اگر فقط SIEM نصب کرده‌اید و لاگ جمع می‌کنید ولی سناریو ندارید، آلارم دارید ولی Playbook ندارید،  شما تکنولوژی دارید، نه SOC بالغ

فرمول واقعی SOC این است:

SOC = People + Process + Technology

حذف هرکدام، کل سیستم را ناکارآمد می‌کند.

📎 چرا فایل ارزیابی SOC-CMM را آماده کرده‌ایم؟

برای اینکه:

✔ سازمان‌ها خودارزیابی واقعی انجام دهند

✔ بدون تعصب و بدون اغراق

✔ بدانند دقیقاً در کدام سطح قرار دارند

این فایل اکسل به شما کمک می‌کند سطح بلوغ فعلی SOC را مشخص کنید، شکاف‌ها (Gaps) را شفاف ببینید و قبل از درخواست مستندات، مسیر درست را بشناسید

🔔 گام بعدی چیست؟

1️ فایل ارزیابی SOC-CMM را دانلود کنید
2️ آن را به‌صورت واقعی و صادقانه تکمیل کنید
3️ سطح بلوغ SOC خود را مشخص نمایید

📢  بعد از آن ما دقیقاً و هدفمند به شما می‌گوییم:

✔ چه مستنداتی نیاز دارید

✔ چه فرآیندهایی باید اصلاح شوند

✔ چه نقشه راهی برای ارتقای SOC مناسب شماست

نه بیشتر، نه کمتر. دقیقاً متناسب با سطح بلوغ شما.

📥  دانلود فایل ارزیابی SOC-CMM

لینک دانلود