پیاده سازی راهکار های SOC

آشنایی با مرکز عملیات امنیتی Security Operation center) SOC)

  • Information Security Risk
  • Why we need SOC
  • SOC Component
  • Incident Management
  • Sample SOC workflow

 

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای SOC را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

Information Security Risk

آشنایی با مفهوم CIA Triad

ازنظر سیستم های اطلاعاتی ما باید مثلث CIA را برای برقراری امنیت پیاده سازی کنیم.در واقع با پیاده سازی مثلث CIA ما در سیستم  شبکه خود امکان دسترسی مجاز، تغییرات مجاز و در زمان مورد نیاز  به سیستم دسترسی لازم را داریم.هدف ما از برقراری این مثلث ۳گانه امنیت میباشد. در سیستم های امنیتی به این مثلث ۳ گانه Asset Value  یا ارزش یک داده نیز گفته میشود.

 

 

در واقع باید محرمانگی ،یکپارچگی و دسترسی به Asset Value یا همان ارزش داده حفظ شود. در سیستم های اطلاعاتی باید هر سه عامل مورد توجه قرار گیرد.

 

تعریف Risk Definition

در سیستم های اطلاعاتی هر عاملی که باعث نقص عوامل سه گانه یکپارچگی، محرگانی و در دسترس بودن شود را ریسک امنتیتی می نامند .به طور مثال اگر نام کاربری و پسورد و شما لو رود Confidentiality شما نقض گردیده است و برای شما یک ریسک ایجاد شده که توسط آن میتوان به Asset Value یا داده شما دسترسی غیر مجاز ایجاد کرد یا در زمان سرویس دهی شبکه شما در حوزه سرویس های حساس مثل ایمیل یا وب سایت آنلاین پرداخت مثل سایت بانک ها قطع باشد Availability شما نقض گردیده است.در نتیجه هر عاملی که باعث نقض هر یک از این موارد مثلث سه گانه شود را ریسک امنیتی می گویند.

Security Role

استانداردهای COBIT) Control Objectives for Information and Related) در امنیت اطلاعات:

COBIT  یک چارچوب ایجاد شده توسط  ISACA برای مدیریت فناوری اطلاعات میباشد.این چارچوب مجموعه ای ابزارهایی است که مدیر اجازه میدهد تا بین شکاف کنترل نیازها ، مشکلات تکنولوژی و ریسک اقتصادی ارتباط برقرار نمایید.

ISACA برای اولین بار COBIT را در سال ۱۹۹۶ منتشر کرد و ورژن کنونی آن نسخه COBIT میباشد که در سال ۲۰۱۲ ویرایش گردید.

ارتقا یکپارچگی امنیت اطلاعات در سازمان (Improve Integration of information security):

از نظر استاندارد COBIT اولین وظیفه شما یکپارچه سازی امنیت اطلاعات در سیستم سازمانی میباشد.در واقع می بایستی در زمان پیاده سازی خود سیستم امنیت آن نیز پیاده سازی  و همراه آن یکپارچه گردند.اما چون همیشه امنیت باعث محدویت و Cost در سیستم می شود به سرور پیاده سازی میگردد.

شناسایی ریسک و تصمیم مناسب (Informed Risk Decision and Risk Awareness)

هدف بعدی از دیدگاه  COBIT شناسایی ریسک ها

ارتقا عوامل جلوگیری ، شناسایی و ریکاوری(Improve Prevention,detection and Recovery)

در سیستم های امنیتی بایستی هر عاملی که باعث تغییر درCIA  میگرددرا جلوگیری نمایید و در صورتی که موفق به این کار نشده اید و اطلاعات شما تغییر کرد بتوانید آنها را ریکاوری کنید تا به حالت اول برگردد.

کاهش تاثیر رخدادهای امنیتی(Reduced impact of security Incident)

Information Security Risk management

چرخه مدیریت ریسک:

در چرخه مدیریت ریسک اولین کاری که صورت می‌گیرد شناسایی ریسک های یک سازمان می باشد. در موقعیت های دارای سازمان Asset را مشخص می کنیم. یعنی هر آن چیزی که بتواند CIA داده را به هم بزنند.

آنالیز ریسک ها

در گام بعدی باید درس‌های شناسایی شده اند در مرحله قبل را آنالیز کرد در واقع باید بررسی کنیم این ریسک چه تغییرات در سیستم اطلاعاتی ما می‌تواند به وجود آورد وسیستم چه خدمات قبل این ریسک خواهد داشت.

برنامه ریزی

در این مرحله باید راهکارهایی جهت جلوگیری از رخدادها ریسکها انجام داد. این برنامه ریزی باید قبل از رخداد ریسک ها صورت گیرد.

مانیتورینگ

باید در سیستم های اطلاعاتی علائم و هشدارهایی جهت رخداد امنیتی قرار داد تا در صورت اتفاق مدیر سیستم از آن با خبر گردد.

پاسخگویی

در صورت رخ دادن یک اتفاق در سیستم اطلاعاتی شما باید یک پاسخ مناسب برای آن داشته باشید.

شناسایی ریسک در شبکه های کامپیوتری

Vulnerability

نقص و نقاط آسیب پذیر سیستم ما که می توان از طریق آنها به سیستم اطلاعاتی آسیب رساند. در واقع بسیاری از این نقص ها را خودمان در این شبکه به وجود می آوریم مثلا پسورد های ساده کاربران و نبود سیستم های حفاظتی در سیستم اطلاعاتی.

Exploit

Exploit یا همان کدهای مخربی که توسط هکرها جهت آسیب رساندن به سیستم استفاده می گردد. این کدها علاوه بر اهداف خرابکارانه در امور تحقیقاتی و آموزشی نیز مورد استفاده قرار میگیرند.

در سیستم های اطلاعاتی شما دارای داده های Asset هستند که هر کدام دارای ارزش های مختلفی و بسیار مهم هستند. قدم بعدی شما شناسایی ریسک های سیستمی باشد برای شناسایی ریسک های یک سیستم شما باید در سیستم خود را ابتدا شناسایی کنید و سپس برای آن یک راهکار دفاعی طراحی کنید. و همین کار باعث کاهش اثر ریسک میشود. شما در مقابل خود تعدادی هکر و سود جو دارید که آنها نیز در تلاشند تا نقاط ضعف سیستم شما را یاد گیرند که میتوانند با کد های مخرب در سیستم شما باعث صدمه اطلاعات شوند.

چرا به SOC در شبکه نیازمندیم؟

SOC یک مبحث جدید نمی باشد و حدود دو دهه از ایجاد آن می گذرد.SOC بر مبنای متمرکز کردن و هماهنگ کردن برخی از قابلیت های امنیتی ایجاد شده است.

تقسیم بندی عملیات  امنیتی Security Operation:

عملیات کنترلی

وظیفه عملیات های کنترلی بررسی وضعیت امنیت سیستمی میباشد مانند تست نفوذ Penetration Test یا ارزیابی آسیب پذیری  Vulnerability Assessmentو سپس از بررسی ریسک های سیستم شما را محاسبه میکند.

عملیات  مانیتورینگ

این عملیات بر روی Event و Incident و تشخیص آنها در سیستم اتفاق می افتد . مانند عملکرد سیستم های  SIM

(Security Information Management)

عملیات عملیاتی

این عملیات از طریق یک نرم افزار امنیتی انجام می شود و مانندSIM  و یا یک فایروال توسط همه نرم افزارها و سخت افزارهای که وظیفه نظارت و کنترل در سیستم  بر روی آن میباشد.

تفاوت Event و Incident

تعریف Event

در واقع رخدادی باشد که بر اساس رفتار طبیعی یک سیستم، محیط ،پروژه و یا فرآیند یک شخص ایجاد میگردد و هیچگونه تاثیر منفی بر روی محیط سیستم ندارد.

تعریف Incident

به رخ دادی که بر روی مثلث CIA سیستم شما تاثیر منفی گذارد که در نهایت تاثیر بر روی بیزنس شما قرار میدهد را Incidentمیگویند .در واقع Incident ما قابل پیش بینی نیستند و به یکباره در سیستم رخ میدهد.