مرکز عملیات امنیت SOC
مقدمه
امروزه بکارگیری مراکز داده برای مدیریت داده ها، خدمات و اتصال به اینترنت توسط شرکت ها و سازمان های مختلف در سراسر دنیا به یک نیاز اساسی تبدیل شده است .مدیریت رویدادهای امنیتی در چنین محیط های بزرگ و پیچیده ای یک مسأله اساسی برای محافظان امنیت است. اگرچه بکارگیری راهکارهای امنیتی نظیر استفاده از ضدبدافزارها، ها و سامانه های احراز هویت و IDS ها و IPS ها، فایروال ها، کنترل دسترسی تا حدی می تواند شبکه را از حالت انفعالی و بدون نظارت نجات داده و به تأمین امنیت آن کمک نماید، ولی باید به این نکته مهم توجه نمود که بکارگیری این تجهیزات امنیتی، خود باعث تولید حجم عظیمی از رخدادهای امنیتی در قالب های متفاوت می شود. این حجم بالای داده های امنیتی تولید شده، باعث سردرگمی و سلب امکان مدیریت و استفاده از آنها می شود.
در طی چند سال اخیر با توجه به افزایش قابل توجه ارزش و اهمیت دارایی های موجود در مراکز داده و پیرو آن افزایش انواع مختلفی از تهدیدهای امنیتی، استفاده از راهکارهای مدیریت و رصد امنیتی به ضرورتی اجتناب ناپدیر جهت افزایش امنیت و پایداری شبکه تبدیل شده است.
تعریف مرکز عملیات امنیت SOC
مخفف عبارت Security Operation Center به معنای مرکز عملیات امنیت می باشد. مرکز عملیات امنیت واحدی است متمرکز برای رسیدگی به حوادث امنیتی، کشف و اولویت دهی حوادث، تشخیص و واکنش سریع در برابر حوادث ، مدیریت و مانیتورینگ زوایای امنیتی سازمان و تعیین سطح ریسک ودارایی ها می باشد.
این مرکز از طریق یک کنسول مرکزی وضعیت آنچه را که در حال حاضر در شبکه در حال اتفاق است را نشان می دهد و تمامی زوایای امنیتی را به صورت بلادرنگ از یک نقطه مرکزی مدیریت و مانیتور می کند و راهکارهای مناسبی را متناسب با هر رویداد، اجرا یا پیشنهاد می نماید
سیستمهایی که در SOC جهت مدیریت امنیت شبکه نصب و راهاندازی میگردند، دارای مکانیزمهای بررسی تجهیزات شبکه به صورت خودکار می باشند. تجهیزاتی که توسط این سیستم موردبررسی قرار میگیرند، محدود به سیستمهای امنیتی نیستند، بلکه کلیه تجهیزات زیرساختی شبکه نیز توسط این سیستم مدیریت امنیت یکپارچه مورد بررسی قرار میگیرند.
این سیستم درحقیقت الگوهای ترافیکی ارسالی از کلیه تجهیزات شبکه از جمله سرورها، مسیریابها، فایروالها و سیستمهای امنیتی فیزیکی را مورد بررسی قرار داده و هرکدام از آنها که توان ایجاد یک ریسک امنیتی را دارند مشخص میسازد و راه نفوذ به آن سیستم را میبندد. هر الگوی ترافیکی غیرعادی مشاهده شده، توسط زیرسیستمهای آنالیزکننده مورد بررسی قرار میگیرد و متناسب با نوع خطای تشخیص دادهشده، اخطارهای لازم در شبکه برای هر یک از تجهیزات مربوطه ارسال میگردد.
دلایل نیاز به SOC
با وجود تجهیزات و نرم افزارهای امنیتی مانند فایروالها، سیستم های تشخیص نفوذ و آنتی ویروس ها باز هم نیاز به مرکزی یک پارچه که تمام فعالیت های امنیتی یک سازمان را مدیریت کند دیده می شود. مشکلاتی که این تجهیزات و نرم افزارها می توانند در حین فعالیت خود داشته باشند شامل موارد ذیل می باشد:
- امکان حمله به تجهیزات و نرم افزارهای امنیتی مورد استفاده در سازمان
- تاخیر در گرفتن Event های جدید از تجهیزات و نرم افزارهای امنیتی مورد استفاده در سازمان
- عدم یکپارچگی Event ها و تحلیل و پاسخ دهی مناسب
- تولید Event های بسیار زیاد که تحلیل آنها برای نیروی انسانی امکان پذیر نیست
- پیچیدگی بعضی حملات سایبری که درک مراحل مختلف آنها برای نیروی انسانی امکان پذیر نیست.
اهداف پیاده سازی مرکز عملیات امنیت SOC
- برخورد مناسب و موثر با رویدادهای امنیتی و تامین امنیت شبکه در مقابل تهدیدهای احتمالی در درون و بیرون سازمان
- ارتقاء امنیت و پایداری داده ها و خدمات به وسیله حفاظت از زیرساخت های اطلاعاتی ، ترافیک، سرویس ها و داده های مشتریان
- کاهش زمان اختلال در ارائه خدمات به مشتری
- بهبود و تسریع در پاسخ ها و واکنش ها امنیتی
- بهبود کارآیی شبکه
- کاهش هزینه های ناشی از تهدیدها و حملات امنیتی
مزایای پیاده سازی مرکز عملیات امنیت SOC
- مدیریت تهدید (Threat Management): این قابلیت باعث می شود حملات و رخدادهای امنیتی بصورت مرکزی مدیریت شده و بصورت هوشمندانه ای بر روی آنها کنترل صورت گیرد و امکان تحلیل تهدیداتی که در شبکه وجود دارد با استفاده از گزارشات میسر باشد.
- تشخیص آسیب پذیری (Vulnerability Assessment): یکی از بهترین روش های جلوگیری از حملات در شبکه، تشخیص نقاط آسیب پذیر، قبل از وقوع رخداد است.
- مدیریت تجهیزات امنیتی (Security Device management): این قابلیت باعث می شود برای انجام تنظیمات بر روی تجهیزات امنیتی داخل شبکه، نیاز به مراجعه به بخش های دیگر نبوده و تمامی تنظیمات بر روی نرم افزارها و سخت افزارهای موجود در شبکه به صورت مرکزی قابل انجام باشد.
- نمایشگر لحظه ای وضعیت امنیت شبکه (Online Security Dashboard): وضعیت رخدادها و خروجی بخش های اصلی SOC را نمایش می دهد تا نیروهای فنی بتوانند به صورت لحظه ای از تمامی وقایع در شبکه اطلاع یابند.
- سیستم پیگیری مشکلات (Trouble Ticket System): بعد از پیاده سازی SOC یکی از قابلیت هایی که ایجاد می شود، سیستم رهگیری مشکلات توسط تجهیزات مرکز عملیات است، به این صورت که بعد از وقوع رخداد در شبکه، سیستم این مشکل را به شخص تعریف شده ای اختصاص می دهد و شماره ای را برای آن ثبت می نماید تا هر زمان که یکی از مسئولین خواست مشکلات را پیگیری نماید، بتواند از روی شماره های ایجاد شده مراحل رفع مشکل را بررسی کند.
- سیستم اعلام گزارش (Reporting System): این قابلیت باعث می شود که گزارشاتی از عملکرد شبکه و اتفاقاتی که در آن در حال رخداد می باشند، ایجاد شده و در اختیار مسئولین و مدیران شبکه قرار گیرد. همچنین قابلیتی ایجاد می شود که در هر زمان نیاز باشد، بتوان در تاریخ های مورد نظر گزارشی را تهیه کرد.
وظایف مرکز عملیات امنیت SOC
وظیفه کلیدی SOC تهیه اطلاعات موقعیتی و ارائه تصویر متحد و جامع از وضعیت امنیت در شبکه بصورت لحظه ای می باشد SOC . با جمع آوری اطلاعات از ابزارهای مختلف مستقر در سراسر شبکه و سپس یکسان سازی این اطلاعات و یکپارچه نمودن آنها یک گزارش بلادرنگ از آنچه در حال رخ دادن در شبکه است تولید می نماید. . به طور کلی هر مرکز SOC به سه سطح عمده تقسیم می شود که هر یک وظایف خاصی را بر عهده دارند:
- سطح اول: نقطه تماس Clientها و مسئول پاسخ گویی به اخطارهای دریافتی ازClient هاست. در این سطح به کلیه اخطارهایی که از پیچیدگی پایینتری برخوردارند، پاسخ داده میشود
- سطح دوم: در حقیقت مکمل سطح اول است و مسئول پاسخگویی به مشکلات پیچیده تر در سیستمهای امنیتی شبکه میباشد. برای اخطارهایی که از اهمیت بالایی برخوردارند، سیستم های سطح دوم به طور کامل درگیر میشوند.
- سطح سوم: در این سطح کارشناسان ارشد و مشاوران امنیتی شبکه قرار دارند. این سطح در حقیقت پشتیبان دو سطح پایینتر است. در صورتی که به اشکالات امنیتی در دو سطح پایین پاسخ داده نشود، کارشناسان و سیستمهای این سطح، درگیر میشوند. کلیه تدابیر امنیتی و مدیریت امنیت شبکه، در این سطح اندیشیده میشود.
بخش های اصلی مرکز عملیات امنیت (SOC)
- تولید کننده وقایع (Event Generator): این ماژول، شامل تمامی تجهیزات امنیتی به صورت سخت افزاری و نرم افزاری می باشد که در بخش های مختلف شبکه قرار گرفته اند و وقایع امنیتی را شناسایی و برای تجهیزات مربوط به ماژول Event Collector ارسال می نمایند.
- جمع کننده وقایع (Event Collector): این ماژول، شامل تجهیزاتی است که مسئول دریافت وقایع از تجهیزات داخل شبکه یا تولید کننده های وقایع می باشند. تمامی وقایع برای Event Collector ها ارسال شده و بعد از دسته بندی وقایع، آنها را برای ماژول های دیگر ارسال می کنند.
- پایگاه داده وقایع (Event Database): این ماژول شامل پایگاه داده هایی می باشد که بعد از دریافت اطلاعات از جمع کننده وقایع، آنها را ذخیره کرده و در اختیار ماژول های دیگر قرار می دهد.
- تحلیلگر وقایع (Event Analysis): این ماژول شامل تجهیزاتی می باشد که بعد از ثبت وقایع در پایگاه داده، آنها را آنالیز و بررسی کرده و نتیجه آن را در اختیار ماژول های دیگر قرار می دهد. این تحلیل می تواند منجر به شناسایی رخداد در شبکه شده که با ارائه آن به ماژول واکنش دهنده از بروز رخداد جلوگیری نماید.
- واکنش دهنده وقایع (Event Reaction): این ماژول در صورت تشخیص رخداد توسط تحلیلگر وقایع، می تواند به تجهیزات امنیتی فرمان داده و از عبور ترافیک مخرب در شبکه جلوگیری نماید.
- گزارش دهنده وقایع (Event Reporting): این ماژول به منظور ارائه گزارش رخدادهای صورت گرفته در شبکه به مدیران شبکه و یا اپراتورهای بخش SOC می باشد. اطلاعات رخدادها توسط ماژول تحلیلگر، شناسایی گشته و توسط ماژول گزارش، اعلام خواهند شد.
سرویس های پیشرفته در مراکز SOC
سرویسهای پیشرفتهای که از طریق این مراکز قابلارائه میباشد، درحقیقت سرویسهایی است که به واسطه آن میتوان سیاستهای امنیتی را مطابق با نیازها پیشبینی نمود. در مراکز SOC علاوه بر مدیریت امنیت تجهیزات شبکه، زیرساختهای اطلاعاتی نیز از لحاظ امنیتی پشتیبانی میشوند. این زیرساختها به طور کلی شامل پرسنل، فرآیندها و روالهای کاری در شبکه میباشند. در استانداردهای تدوینشده برای امنیت نظیر استانداردهای ISO27001 نحوه پیادهسازی روالهای مدیریت امنیت در شبکهها مشخص شده است.
در بخش مدیریت امنیت فرآیندها در مرکز SOC مراحل مختلفی طی میشود تا بهواسطه آن یک روال در شبکه از هر لحاظ ایمن گردد. مرحله اول مرحله سیاستگذاری است. پس از تدوین سیاستها و تطبیق آنها با استانداردهای موجود در زمینه امنیت شبکه، روالهای استخراجشده جهت پیادهسازی به مسئولان تحویل میشوند. نکته دیگری که در این زمینه قابلبررسی است، آگاهی پرسنل SOC از تهدیدات امنیتی است. باتوجه به وجود طیف وسیعی از سختافزارهای امنیت شبکه، که هر کدام متناسب با شرکت سازنده خود نیاز به مهارتهای خاصی برای استفاده دارند، و همچنین تغییرات سریع تکنولوژی و نحوه حمله به تجهیزات شبکه، نیاز است پرسنل SOC از مهارتهای خاصی برخوردار بوده و همواره به کسب اطلاعات جدید مشغول باشند. برای بروز نگهداشتن اطلاعات پرسنل از کلاسهای آموزشی جهت تشخیص حملات جدید و نحوه برخورد با آنها استفاده میشود. با توجه به حساسیت وظایف در مراکز SOC، پرسنل این مراکز اهمیت بالایی دارند. به این ترتیب حفظ منافع و رضایت خاطر پرسنل از مهمترین مسئولیتهای صاحبان SOC میباشد.
اجزای تشکیل دهنده مرکز عملیات امنیت
- نیروی انسانی متخصص
- وظایف، روالها، فرآیندها
- تکنولوژی مورد استفاده در مرکز عملیات
نتیجه گیری
مرکز عملیات امنیت دید جامعی از معماری امنیتی شبکه ارائه می دهد، حملات را تحلیل کرده و از نتایج آن برای تشخیص تر بهره می برد، اطلاعات را به صورت دسته بندی شده و قابل استفاده به متخصصین ارائه و عکس العمل های لازم را در مواقع اضطرار انجام می دهد . تأمین امنیت پایدار فضای تبادل اطلاعات در زیرساخت های کشور بدون استفاده از این نقطه مدیریتی غیر ممکن است و عدم توجه به آن می تواند تبعات نامطلوبی در امنیت ملی کشور داشته باشد.
دیدگاه خود را ثبت کنید
Want to join the discussion?Feel free to contribute!