مرکز عملیات امنیت (SOC)

مرکز عملیات امنیت (SOC)

تهدیدات امنیتی شبکه­ ها همواره رو به افزایش است. مطالعات اخیر افزایش ۳۰۰درصدی در تعداد بدافزارها را نشان می­دهد. یک مرکز عملیات امنیت، یک رویۀ امنیت اطلاعات درون سازمانی و یا جدا از سازمان است که وظیفه تحویل امنیت سرویسهای فناوری اطلاعات را به عهده دارد. مرکز عملیات امنیت تلاش در کشف دسترسی­های غیرمجاز برای جلوگیری و مدیریت رخدادهای مرتبط با آنها را دارد. ماموریت آن مدیریت ریسک سازمان از طریق آنالیز متمرکز اطلاعات منابع ترکیبی شامل پرسنل، سخت­افزارهای اختصاصی و نرم­افزارهای ویژه می­باشد. لزوم وجود یک مرکز عملیات امنیت زمانی آشکار می­شود که یک سازمان دچار مشکلات امنیتی مثل ویروس­ها، wormها، تروجان­ها، حملات DDoS و نفوذهای غیر مجاز قرار می­گیرد. در این زمان ضرورت وجود یک رویکرد پیشگیرانه و دفاعی که بصورت مستمر بر فعالیتها و رخدادهای جاری فناوری اطلاعات سازمان نظارت داشته باشد آشکار می­شود.

این پروسه شامل نظارت بر رخدادهای سیستم بصورت پیوسته و آنالیز ریسک برای شناسایی و کشف نفوذ برای تضمین محافظت در مقابل آن است. برون­سپاری پروژه مرکز عملیات امنیت  امکان کاهش هزینه­ها و زمان برای مدیریت فناوری اطلاعات و در نتیجه تمرکز بر روی رسالت اصلی سازمان را ممکن می­سازد. مرکز عملیات امنیت شامل نظارت و آنالیز تمام انواع رخدادهای سیستمها، تجهیزات، برنامه­های کاربردی مانند فعالیت­های کاربران، فعالیت­های فایروال، فعالیت­های سیستمهای کشف تهاجم (IDS)، فعالیتهای آنتی ویروسها، و آسیب­پذیریهای منفرد است. این تکنولوژی­ها و فرآیندها پایدار هستند و نیاز به توجه دائمی از سوی سازمان دارند.

علاوه بر موارد فوق، سازمانهای بزرگ و بلوغ­یافته به استفاده وسیع از انواع تکنولوژی­های امنیتی موجود روی آورده­اند. لذا، در چنین وضعیتی اگرچه سازمانها با صرف هزینه­های فراوان در تلاش برای افزایش سطح امنیتی خود می­باشند، ولیکن انتخاب راهکارهایی ناهمگون باعث شده تا این سازمانها هیچگاه دارای زیرساختی واحد و یکپارچه برای کنترل و پایش وضعیت امنیتی خود نبوده و در بسیاری موارد، اثربخشی کنترل­های امنیتی موجود، تحلیل و پاسخگویی متمرکز به وقایع امنیتی گزارش شده از طرف تمامی تکنولوژی­های مورد استفاده، سازمانها نیازمند استفاده از مراکز عملیات امنیت هستند

SOC

امروزه با هدف جلوگیری از دهها هزار حملات مدرن، برآورده نمودن قوانین و مقررات سازمانهای بالاسری، پایش راه­حلهای تلنولوژیک پیاده سازی شده و رسیدگی به فعل و انفعالات فراوان مابین کاربران و تلنولوژی­های بکار برده شده، سازمانهای بزرگ و بلوغ یافته به استفاده وسیع از انواع تلنولوژی­های امنیتی موجود روی آورده­اند. در چنین وضعیتی از جمله مهمترین چالشهای پیش روی سازمانها، حجم وسیع داده­های امنیتی است که روزانه توسط سیستمهای مختلف، برنامه­های کاربردی و پلت­فرمهای بعضأ نامتجانس تولید می­شوند. راه حل­های بیشماری شامل همچون نرم­افزارهای آنتی ویروس، فایروال­ها، سیستمهای تشخیص نفوذ(IDS) کنترل­های دسترسی، سیستمهای تشخیص هویت و غیره، اطلاعات امنیتی را در قالب و فرمهای مختلف ارائه و گزارش می­کنند. اغلب سازمانها روزانه با ملیونها پیغام­های تولیدی توسط تکنولوژی­های امنیتی ناسازگار سر و کار داشته، که این امر منجر به انباشتگی اطلاعات امنیتی می­شود. لذا مدیریت این حجم گسترده اطلاعات، اغلب موجب تضعیف مدل­های امنیتی و شکست پروسه­ی ممیزی می­شود.

OS

با توجه به چالشهای فوق­الذکر، اگرچه امروزه سازمانها با صرف هزینه­های فراوان در تلاش برای افزایش سطح امنیتی کسب و کار خود می­باشند، اما انتخاب راهکارهایی ناهمگون و بعضأ نامتجانس باعث ده تا این سازمانها هیچگاه دارای خط مشی و زیرساختی واحد و یکپارچه برای کنترل و پایش وضعیت امنیتی خود نبوده و در بسیاری از موارد به دلیل عدم جامع­نگری لازم در این حوزه، اثربخشی کنترل­های امنیتی پیاده­سازی شده کاهش و هزینه­ها در بلند مدت افزایش یابد. در چنین وضعیت پیچیده­ای سوالات زیر مطرح می­شود:

  • چگونه میلیونها واقعه­ای که روزانه توسط سیستمها، نرم­افزارهای کاربردی و کانال­های کسب و کار مختلف تولید می­شوند را جمع­آوری، نرمال و به یکدیگر مرتبط نماییم؟
  • چگونه این وقایع را اولویت­بندی نماییم؟
  • این سیل اطلاعات تولید شده­ی ناهمگن را چگونه مدیریت نماییم؟
  • چگونه می­توان از محافظت مناسب دارایی­های با ارزش سازمان اطمینان حاصل نمود؟
  • چگونه می­توان امنیت کارمندان، شرکای تجاری و مشتریان را تضمین نمود؟
  • چگونه می­توان اطمینان داشت که نقاط آسیب­پذیر در زمان مناسب و قبل از اینکه توسط دیگران مورد سوء استفاده واقع شود، مورد شناسایی قرار گرفته و بطور موثر ترمیم خواهند شد؟
  • چگونه می­توان بطور مستمر از میزان کارایی و اثربخشی کنترل­های موجود و به تبع آن تداوم کسب و کار سازمان اطمینان حاصل نمود؟

با هدف برطرف نمودن چالشهای فوق، افزایش اثربخشی کنترل­های امنیتی موجود، حفاظت موثر از عملیات جاری در کسب و کار سازمان و در واقع ایجاد و نگهداری مستمر از وضعیت امنیتی سازمان در سطحی قابل قبول، ناگزیر به ایجاد زیرساختی جهت پایش، تحلیل و پاسخگویی متمرکز به وقایع امنیتی گزارش شده از طرف تمامی تلنولوژی­های مورد استفاده خواهیم بود، که بخش عمده­ای از این زیرساخت در مرکز عملیات امنیت تحقق پیدا خواهند کرد.

مرکز عملیات امنیت تمامی جوانب مرتبط با امنیت سازمان را بصورت بلادرنگ و آنی و از یک نقطه متمرکز مدیریت نموده و مورد پایش قرار خواهد داد. این مرکز با شناسایی آنی حوادث و وقایع، بر اساس سطح ریسکی که هر یک از آنها ایجاد خواهند نمود، وقایع و حوادث را اولویت­بندی می­نماید.همچنین این مرکز دارایی­های متاثر شده از وقایع اتفاق افتاده را مشخص نموده و راهکارهای اصلاحی یا پیشگیرانه را پیشنهاد داده و در مواردی از پیش تعیین شده راهکارهای مذکور را اجرا می­نماید.

دستاوردهای مرکز عملیات امنیت

به طور خلاصه می­توان موارد زیر را به عنوان مهمترین دستاوردهای مرکز عملیات امنیت معرفی نمود.

  • به حداقل رساندن ریسک قطعی سیستمها
  • پایش روزمره و لحظه­ای امنیت بصورت ۲۴ ساعته و در تمامی ایام سال
  • کنترل یکپارچه و مرکزی تهدیدات و جلوگیری از وقوع آنها
  • به حداقل رساندن هزینه­های مدیریت غیر متمرکز امنیت
  • ایجاد مکانیزم­های بررسی امنیتی تجهیزات سازمان بصورت خودکار
  • امکان پشتیبانی و بازرسی سیستمهای امنیتی
  • ایجاد بهبود در سیاستها و فرآیندهای امنیتی و همچنین شناسایی وارد نقض سیاستها
  • بهبود توانایی سازمان در مقابله با تهدیدات ترکیبی پیچیده (فیزیکی/منطقی)
  • پاسخگویی به حوادث امنیتی
  • کاهش منابع مورد نیاز جهت مدیریت حوادث امنیتی
  • بهبود گزارش دهی در سطوح مختلف
  • توانمند سازی و استمرار ممیزی­های امنیتی
  • نگهداری امن، بهینه و طولانی مدت سوابق رخدادهایی که توسط سامانه­های ختلف مورد استفاده در کسب و کار سازمان تولید شده­اند.
  • شناسایی نقاط آسیب­پذیر پیش از آنکه مورد سوء استفاده قرار گیرند.

ماژول­های تشکیل­دهنده مراکز عملیات امنیت

مرکز عملیات امنیت، یک واژه کلی و عمومی برای توصیف بخشی یا تمامی یک پلت­فرم است که با هدف فراهم آوردن سرویسهای شناسایی و واکنش در برابر حوادث و رویدادهای امنیتی طراحی می­شود. طبق این تعریف مراکز عملیات امنیت شامل پنج ماجول است:

  • E Box: مولد رخدادها
  • D Box: پایگاه داده رخدادها
  • R Box: واکنش در برابر رخدادها
  • A Box: تحلیل و آنالیز رخدادها
  • C Box: جمع­آوری و قالب­بندی رخدادها
  • K Box Knowledge Base

عملیات هر یک از باکس­های فق در قالب شکل مفهومی زیر می­باشد:

SOC-Flw

  • E Boxها: برای تولید رخدادها در نظر گرفته شده­اند. در عمل می­توان از بیشتر تجهیزات شبکه و نرم­افزاهای کاربردی موجود برای تولید اینگونه رخدادها استفاده کرد. ساختارهای مرکز عملیات امنیت امروزی از رنج گسترده ای از سخت­افزار و نرم افزار موجود برای گزارش­گیری و ثبت رخداد استفاده می­کنند. برای مثل ArcSight به عنوان یک راه­حل که بصورت گسترده در کمپانی­های بسیاری در جهان پیاده سازی و بهره­برداری شده است، از بسیاری از انواع نرم­افزارهای آنتی ویروس، نرم­افزارهای امنیت داده، Applicationها، فایروالها، سیستمهای تشخیص نفوذ، پایگا­ه­های داده­ای، mail Serverها، main frameها، سیستمهای عامل، روترها، سویچها، رادیوهای وایرل و، storageها پشتیبانی می­کند.
  • C Box و D Boxها: جهت جمع­آوری رخدادها از منابع تولید رخداد در نظر گرفته شده­اند. موتور SOC رخدادهای موجود در منابع تولید رخداد متنوع را با هدف گردآوری اطلاعات از انواع مختلفی از این سنسورها و تبدیل آنها به قالب استاندارد جمع­آوری می­کند. برای اینکار همچنین از connectotها و Agentهای موجود بر روی منابع تولید رخداد نیز استفاده می­شود. این رخدادها (در قالب logها) در Databaseهایی برای نگهداری اطلاعات historical و آنالیزهای بیشتر برای بررسی تاثیرات بلند مدت نگهداری می­شوند. تنها عملیات خاصی که توسط این ماژولها انجام می­شود، همبستگی در سطح ابتدایی به منظور تشخیص و یا ترکیب رخدادهای تکراری ار یک یا چندین منبع تولید رخداد می­باشد. علاوه بر مسائل متداول همچون دسترسی­پذیری، جامعیت، و محرمانگی که در مورد Databaseها قابل توجه است، به دلیل تولید میلیونها پیام در هر ثانیه، این ماژول­ها باید تا حد امکان به مشکلات کارایی فائق آیند. ملاحظاتی برای ذخیره، آنالیز و پردازش پیامها و رخدادهای تولیدی در کواهترین مدت برای واکنش مناسب و کارآمدی باید در نظر گرفته شود.
  • A Boxها و K Boxها: این ماژولها برای آنالیز و تحلیل رخدادهای ذخیره­شده در Databaseها به کار می­روند که برای اجرای عملیات و ارائه پیامهای هشدار مناسب هستند. بدیهی است که ورودی­های پروسه­ی تحلیل و آنالیز، داده­هایی هستند که در آنها مشخصات مسرهای نفوذ و تهاجمات به شبکه و کاربران آن مدل شده باشند.
  • R Box: واژه­ای کلی برای تعریف مجموعه­ای از ابزارها ایست که برای انجام عملیات گزارش­دهی و واکنش در مقابل رخدادهای مختل­کننده در سیستمهای نظارت و مانیتورینگ به کار می­روند. تجربه نشان می­دهد که این مفهوم عمومی کاملا به موقعیت سازمانی وابسته است، زیرا تمامی استراتژی­ها و سیاست­های امنیتی، محدودیت­های قانونی و قراردهای ارائه سرویس (SLA) که در ارتباط با مشتری هستند را تحت تاثیر قرار می­دهد.

SOC-flw2

شکل زیر معماری یک زیر ساخت مرکز عملیات امنیت در سطح کلان را نشان می­دهد. همانطور که مشاهده می­شود، تمامی Boxهایی که در بالا به آنها اشاره شد در این معماری بصورت یک پروسه از چرخه عملیاتی سیستم وجود دارد. رخدادهای تولیدی توسط سیستمهای تولید رخداد، توسط C Boxها (که در محیطهای عملیاتی به آن connector گفته می­شود) جمع آوریو ذخیره می­شوند. سپس برای آنالیز بیشتر و بازیابی اطلاعات آماری و یافتن correlation بین هر یک از رخدادها، و پیش­بینی تهدیدات بالقوه پیش­رو به A Boxها ارسال می­شوند. پس از آنالیز، سیستم با ارائه گزارشات در سطوح مختلف، شامل گزارشات فنی (گزارشات مبسوط) و گزارشات خلاصه مدیریتی، و در صورت لزوم و داشتن مجوزهای لازم از طرف سرپرست سیستم انجام عکس­العمل­های لازم (R Box) این چرخه را کامل می­کند.

SOC-Flw3

ارتباط NOC و SOC

یک مرکز عملیات امنیت که به شکل صحیحی مدیریت و پیکربندی شده باشد، به عنوان یک مغز هوشمند عمل خواهد کرد که اطلاعات را از تمامی نواحی شبکه جمع­آوری کرده، هشدارهایی را به صورت اتوماتیک تولید نموده، ریسک­ها را اولویت­بندی و از اجرای حملات قبل از اینکه هرگونه خرابی گزافی به بار آورند جلوگیری می­کند. امروزه بسیاری از سازمانها با راه­اندازی مراکز عملیات شبکه (NOC) ترافیک خود را مانیتور و کنترل می­کنند، در حالیکه همچنان روشی برای مدیریت متمرکز رخدادهای امنیتی ندارند. بدین ترتیب این دو مرکز (NOC و SOC) دو موجودیت مستقل هستند و در صورتی که با یکدیگر مورد استفاده قرار گیرند، می­توانند موثر واقع شوند.

SOC-NOC

 بهنگام یکپارچه سازی NOC و SOC، سازمان قادر خواهد بود به سرعت در مقابل رخدادهای امنیتی واکنش نشان دهد. در واقع با بکارگیری و راه­اندازی این دو مرکز، یک کنسول مرکزی خواهیم داشت که تمامی اطلاعات شبکه و امنیت در آن نمایش داده می­شوند.

یک SOC اغلب در کنار و یا در داخل یک NOC معنا پیدا می­کند و این دو مرکز در کنار یکدیگر به طور موثری امنیت شبکه سازمان را در سطح گسترده­ای فراهم می­کنند. رخدادهای امنیتی می­توانند از سمت SOC به NOC فرستاده شوند، برای اینکه نتوان با ماهیت رخدادها ارتباط برقرار کرد. در نهایت NOC می­بایست دانش و قابلیت کافی برای اجرای سرویس­ها و پروسه­های امنیتی را دارا باشد. چنین ارتباط دو طرفه­ای به منظود پاسخگویی موثر به رخدادها و وقایع امنیتی و همچنین برقراری ارتباط میان گروه­های امنیت و شبکه در هر سازمانی ضروری است.

نویسنده : مهندس محمد آجورلو

برگرفته از وب سایت تخصصی ادمین پرو   https://www.adminpro.ir

لینک مستقیم مقاله  https://goo.gl/c5jYgs

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *