مرکز عملیات امنیت SOC

مقدمه
امروزه بکارگیری مراکز داده برای مدیریت داده ها، خدمات و اتصال به اینترنت توسط شرکت ها و سازمان های مختلف در سراسر دنیا به یک نیاز اساسی تبدیل شده است .مدیریت رویدادهای امنیتی در چنین محیط های بزرگ و پیچیده ای یک مسأله اساسی برای محافظان امنیت است. اگرچه بکارگیری راهکارهای امنیتی نظیر استفاده از ضدبدافزارها، ها و سامانه های احراز هویت و IDS ها و IPS ها، فایروال ها، کنترل دسترسی تا حدی می تواند شبکه را از حالت انفعالی و بدون نظارت نجات داده و به تأمین امنیت آن کمک نماید، ولی باید به این نکته مهم توجه نمود که بکارگیری این تجهیزات امنیتی، خود باعث تولید حجم عظیمی از رخدادهای امنیتی در قالب های متفاوت می شود. این حجم بالای داده های امنیتی تولید شده، باعث سردرگمی و سلب امکان مدیریت و استفاده از آنها می شود.
در طی چند سال اخیر با توجه به افزایش قابل توجه ارزش و اهمیت دارایی های موجود در مراکز داده و پیرو آن افزایش انواع مختلفی از تهدیدهای امنیتی، استفاده از راهکارهای مدیریت و رصد امنیتی به ضرورتی اجتناب ناپدیر جهت افزایش امنیت و پایداری شبکه تبدیل شده است.

تعریف مرکز عملیات امنیت SOC
مخفف عبارت Security Operation Center به معنای مرکز عملیات امنیت می باشد. مرکز عملیات امنیت واحدی است متمرکز برای رسیدگی به حوادث امنیتی، کشف و اولویت دهی حوادث، تشخیص و واکنش سریع در برابر حوادث ، مدیریت و مانیتورینگ زوایای امنیتی سازمان و تعیین سطح ریسک ودارایی ها می باشد.
این مرکز از طریق یک کنسول مرکزی وضعیت آنچه را که در حال حاضر در شبکه در حال اتفاق است را نشان می دهد و تمامی زوایای امنیتی را به صورت بلادرنگ از یک نقطه مرکزی مدیریت و مانیتور می کند و راهکارهای مناسبی را متناسب با هر رویداد، اجرا یا پیشنهاد می نماید
سیستم‌هایی که در SOC جهت مدیریت امنیت شبکه نصب و راه‌اندازی می‌گردند، دارای مکانیزم‌های بررسی تجهیزات شبکه به صورت خودکار می باشند. تجهیزاتی که توسط این سیستم مورد‌بررسی قرار می‌گیرند، محدود به سیستم‌های امنیتی نیستند، بلکه کلیه تجهیزات زیرساختی شبکه نیز توسط این سیستم مدیریت امنیت یکپارچه مورد بررسی قرار می‌گیرند.
این سیستم در‌حقیقت الگوهای ترافیکی ارسالی از کلیه تجهیزات شبکه از جمله سرورها، مسیریاب‌ها، فایروال‌ها و سیستم‌های امنیتی فیزیکی را مورد بررسی قرار داده و هر‌کدام از آن‌ها که توان ایجاد یک ریسک امنیتی را دارند مشخص می‌سازد و راه نفوذ به آن سیستم را می‌بندد. هر الگوی ترافیکی غیرعادی مشاهده شده، توسط زیرسیستم‌های آنالیزکننده مورد بررسی قرار می‌گیرد و متناسب با نوع خطای تشخیص داده‌شده، اخطارهای لا‌زم در شبکه برای هر یک از تجهیزات مربوطه ارسال می‌گردد.

دلایل نیاز به SOC
با وجود تجهیزات و نرم افزارهای امنیتی مانند فایروالها، سیستم های تشخیص نفوذ و آنتی ویروس ها باز هم نیاز به مرکزی یک پارچه که تمام فعالیت های امنیتی یک سازمان را مدیریت کند دیده می شود. مشکلاتی که این تجهیزات و نرم افزارها می توانند در حین فعالیت خود داشته باشند شامل موارد ذیل می باشد:

      • امکان حمله به تجهیزات و نرم افزارهای امنیتی مورد استفاده در سازمان
      • تاخیر در گرفتن Event های جدید از تجهیزات و نرم افزارهای امنیتی مورد استفاده در سازمان
      • عدم یکپارچگی Event ها و تحلیل و پاسخ دهی مناسب
      • تولید Event های بسیار زیاد که تحلیل آنها برای نیروی انسانی امکان پذیر نیست
      • پیچیدگی بعضی حملات سایبری که درک مراحل مختلف آنها برای نیروی انسانی امکان پذیر نیست.

اهداف پیاده سازی مرکز عملیات امنیت SOC

      • برخورد مناسب و موثر با رویدادهای امنیتی و تامین امنیت شبکه در مقابل تهدیدهای احتمالی در درون و بیرون سازمان
      • ارتقاء امنیت و پایداری داده ها و خدمات به وسیله حفاظت از زیرساخت های اطلاعاتی ، ترافیک، سرویس ها و داده های مشتریان
      • کاهش زمان اختلال در ارائه خدمات به مشتری
      • بهبود و تسریع در پاسخ ها و واکنش ها امنیتی
      • بهبود کارآیی شبکه
      • کاهش هزینه های ناشی از تهدیدها و حملات امنیتی

 
مزایای پیاده سازی مرکز عملیات امنیت SOC

 

      • مدیریت تهدید (Threat Management): این قابلیت باعث می شود حملات و رخدادهای امنیتی بصورت مرکزی مدیریت شده و بصورت هوشمندانه ای بر روی آنها کنترل صورت گیرد و امکان تحلیل تهدیداتی که در شبکه وجود دارد با استفاده از گزارشات میسر باشد.
      • تشخیص آسیب پذیری (Vulnerability Assessment): یکی از بهترین روش های جلوگیری از حملات در شبکه، تشخیص نقاط آسیب پذیر، قبل از وقوع رخداد است.
      • مدیریت تجهیزات امنیتی (Security Device management): این قابلیت باعث می شود برای انجام تنظیمات بر روی تجهیزات امنیتی داخل شبکه، نیاز به مراجعه به بخش های دیگر نبوده و تمامی تنظیمات بر روی نرم افزارها و سخت افزارهای موجود در شبکه به صورت مرکزی قابل انجام باشد.
      • نمایشگر لحظه ای وضعیت امنیت شبکه (Online Security Dashboard): وضعیت رخدادها و خروجی بخش های اصلی SOC را نمایش می دهد تا نیروهای فنی بتوانند به صورت لحظه ای از تمامی وقایع در شبکه اطلاع یابند.
      • سیستم پیگیری مشکلات (Trouble Ticket System): بعد از پیاده سازی SOC یکی از قابلیت هایی که ایجاد می شود، سیستم رهگیری مشکلات توسط تجهیزات مرکز عملیات است، به این صورت که بعد از وقوع رخداد در شبکه، سیستم این مشکل را به شخص تعریف شده ای اختصاص می دهد و شماره ای را برای آن ثبت می نماید تا هر زمان که یکی از مسئولین خواست مشکلات را پیگیری نماید، بتواند از روی شماره های ایجاد شده مراحل رفع مشکل را بررسی کند.
      • سیستم اعلام گزارش (Reporting System): این قابلیت باعث می شود که گزارشاتی از عملکرد شبکه و اتفاقاتی که در آن در حال رخداد می باشند، ایجاد شده و در اختیار مسئولین و مدیران شبکه قرار گیرد. همچنین قابلیتی ایجاد می شود که در هر زمان نیاز باشد، بتوان در تاریخ های مورد نظر گزارشی را تهیه کرد.


وظایف مرکز عملیات امنیت SOC

وظیفه کلیدی SOC تهیه اطلاعات موقعیتی و ارائه تصویر متحد و جامع از وضعیت امنیت در شبکه بصورت لحظه ای می باشد SOC . با جمع آوری اطلاعات از ابزارهای مختلف مستقر در سراسر شبکه و سپس یکسان سازی این اطلاعات و یکپارچه نمودن آنها یک گزارش بلادرنگ از آنچه در حال رخ دادن در شبکه است تولید می نماید. . به طور کلی هر مرکز SOC به سه سطح عمده تقسیم می شود که هر یک وظایف خاصی را بر عهده دارند:

      • سطح اول: نقطه تماس Clientها و مسئول پاسخ گویی به اخطارهای دریافتی ازClient ‌هاست. در این سطح به کلیه اخطارهایی که از پیچیدگی پایین‌تری برخوردارند، پاسخ داده می‌شود
      • سطح دوم: در حقیقت مکمل سطح اول است و مسئول پاسخ‌گویی به مشکلات پیچیده تر در سیستم‌های امنیتی شبکه می‌باشد. برای اخطارهایی که از اهمیت بالایی برخوردارند، سیستم های سطح دوم به طور کامل درگیر می‌شوند.
      • سطح سوم: در این سطح کارشناسان ارشد و مشاوران امنیتی شبکه قرار دارند. این سطح در حقیقت پشتیبان دو سطح پایین‌تر است. در صورتی که به اشکالات امنیتی در دو سطح پایین پاسخ داده نشود، کارشناسان و سیستم‌های این سطح، درگیر می‌شوند. کلیه تدابیر امنیتی و مدیریت امنیت شبکه، در این سطح اندیشیده می‌شود.

بخش های اصلی مرکز عملیات امنیت (SOC)

      • تولید کننده وقایع (Event Generator): این ماژول، شامل تمامی تجهیزات امنیتی به صورت سخت افزاری و نرم افزاری می باشد که در بخش های مختلف شبکه قرار گرفته اند و وقایع امنیتی را شناسایی و برای تجهیزات مربوط به ماژول Event Collector ارسال می نمایند.
      • جمع کننده وقایع (Event Collector): این ماژول، شامل تجهیزاتی است که مسئول دریافت وقایع از تجهیزات داخل شبکه یا تولید کننده های وقایع می باشند. تمامی وقایع برای Event Collector ها ارسال شده و بعد از دسته بندی وقایع، آنها را برای ماژول های دیگر ارسال می کنند.
      • پایگاه داده وقایع (Event Database): این ماژول شامل پایگاه داده هایی می باشد که بعد از دریافت اطلاعات از جمع کننده وقایع، آنها را ذخیره کرده و در اختیار ماژول های دیگر قرار می دهد.
      • تحلیلگر وقایع (Event Analysis): این ماژول شامل تجهیزاتی می باشد که بعد از ثبت وقایع در پایگاه داده، آنها را آنالیز و بررسی کرده و نتیجه آن را در اختیار ماژول های دیگر قرار می دهد. این تحلیل می تواند منجر به شناسایی رخداد در شبکه شده که با ارائه آن به ماژول واکنش دهنده از بروز رخداد جلوگیری نماید.
      • واکنش دهنده وقایع (Event Reaction): این ماژول در صورت تشخیص رخداد توسط تحلیلگر وقایع، می تواند به تجهیزات امنیتی فرمان داده و از عبور ترافیک مخرب در شبکه جلوگیری نماید.
      • گزارش دهنده وقایع (Event Reporting): این ماژول به منظور ارائه گزارش رخدادهای صورت گرفته در شبکه به مدیران شبکه و یا اپراتورهای بخش SOC می باشد. اطلاعات رخدادها توسط ماژول تحلیلگر، شناسایی گشته و توسط ماژول گزارش، اعلام خواهند شد.

سرویس های پیشرفته در مراکز SOC
سرویس‌های پیشرفته‌ای که از طریق این مراکز قابل‌ارائه می‌باشد، در‌حقیقت سرویس‌هایی است که به واسطه آن می‌توان سیاست‌های امنیتی را مطابق با نیازها پیش‌بینی نمود. در مراکز SOC علاوه بر مدیریت امنیت تجهیزات شبکه، زیرساخت‌های اطلاعاتی نیز از لحاظ امنیتی پشتیبانی می‌شوند. این زیرساخت‌ها به طور کلی شامل پرسنل، فرآیندها و روال‌های کاری در شبکه می‌باشند. در استانداردهای تدوین‌شده برای امنیت نظیر استانداردهای ISO27001 نحوه پیاده‌سازی روال‌های مدیریت امنیت در شبکه‌ها مشخص شده است.
در بخش مدیریت امنیت فرآیندها در مرکز SOC مراحل مختلفی طی می‌شود تا به‌واسطه آن یک روال در شبکه از هر لحاظ ایمن گردد. مرحله اول مرحله سیاست‌گذاری است. پس از تدوین سیاست‌ها و تطبیق آن‌ها با استانداردهای موجود در زمینه امنیت شبکه، روال‌های استخراج‌شده جهت پیاده‌سازی به مسئولا‌ن تحویل می‌شوند. نکته دیگری که در این زمینه قابل‌بررسی است، آگاهی پرسنل SOC از تهدیدات امنیتی است. باتوجه به وجود طیف وسیعی از سخت‌افزارهای امنیت شبکه، که هر کدام متناسب با شرکت سازنده خود نیاز به مهارت‌های خاصی برای استفاده دارند، و همچنین تغییرات سریع تکنولوژی و نحوه حمله به تجهیزات شبکه، نیاز است پرسنل SOC از مهارت‌های خاصی برخوردار بوده و همواره به کسب اطلاعات جدید مشغول باشند. برای بروز نگه‌داشتن اطلاعات پرسنل از کلاس‌های آموزشی جهت تشخیص حملات جدید و نحوه برخورد با آن‌ها استفاده می‌شود. با توجه به حساسیت وظایف در مراکز SOC، پرسنل این مراکز اهمیت بالا‌یی دارند. به این ترتیب حفظ منافع و رضایت خاطر پرسنل از مهم‌ترین مسئولیت‌های صاحبان SOC می‌باشد.

اجزای تشکیل دهنده مرکز عملیات امنیت

      • نیروی انسانی متخصص
      • وظایف، روالها، فرآیندها
      • تکنولوژی مورد استفاده در مرکز عملیات

نتیجه گیری
مرکز عملیات امنیت دید جامعی از معماری امنیتی شبکه ارائه می دهد، حملات را تحلیل کرده و از نتایج آن برای تشخیص تر بهره می برد، اطلاعات را به صورت دسته بندی شده و قابل استفاده به متخصصین ارائه و عکس العمل های لازم را در مواقع اضطرار انجام می دهد . تأمین امنیت پایدار فضای تبادل اطلاعات در زیرساخت های کشور بدون استفاده از این نقطه مدیریتی غیر ممکن است و عدم توجه به آن می تواند تبعات نامطلوبی در امنیت ملی کشور داشته باشد.

0 پاسخ

دیدگاه خود را ثبت کنید

Want to join the discussion?
Feel free to contribute!

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *