مرکز عملیات امنیت مرکزی است که با پایش 24 ساعته شبکه و رسیدگی به گزارشهای رخدادهای امنیتی سعی میکند وقوع حوادث امنیتی در زیرساخت شبکه را در سریعترین زمان ممکن شناسایی کرده و برای رفع آن اقدام نماید. راهاندازی مراکز عملیات امنیت راهکاری کارا جهت پیشگیری و مقابله با حوادث امنیت فضای تبادل اطلاعات است. موسسه چشم انداز توسعه و امنیت از معدود مراکز داخل کشور است که توانایی و تجربه پیادهسازی مراکز عملیات امنیت را در سطوح مختلف سازمانی و فراسازمانی دارد.
امروزه مديريت رخدادهاي امنيتي در دنياي تجاري، چالشهاي متعددي براي کارکنان معمولاً گرفتار فناوري اطلاعات در شرکتها و سازمانهايشان پديد آورده است. حجم زيادي از اطلاعات امنيتي از سيستمها، سکوها و برنامههاي کاربردي متنوع و مختلف به صورت روزانه توليد ميشوند. راهحلهاي امنيتي متفاوت و چند لايه مانند آنتيويروسها، فايروالها، سيستمهاي شناسايي و جلوگيري از نفوذ، کنترل دستيابي، مديريت هويت، سيستمهاي احراز هويت و غيره. همگي اطلاعات زيادي در قالبهاي متنوعي توليد ميکنند و در مکانهاي متفاوتي ذخيره يا گزارش ميکنند.
بيشتر مديران و تحليلگران امنيتي سيستمها اعتراف ميکنند که در اين گونه موارد نميتوانند درک درستي از ميزان اهميت و ريسک هر يک از اين رخدادها داشته باشند و در انتخاب و تصميمگيري موارد درست براي بررسي با مشکل مواجه ميشوند،حملات امنيتي بر روي سيستمها به طور پيوسته در حال بيشتر شدن و پيچيدهتر شدن هستند که همين موضوع باعث فشار بيشتر به تواناييهاي محدود سيستمهاي امنيتي موجود شده است، باعث شده است که شرکتهاي زيادي روزانه به معناي واقعي کلمه با ميليونها گزارش و واقعه امنيتي از اين فناوريهاي ناسازگار با هم مواجه باشند، که نتيجه آن کار دوبارهکاري و سربار قابل ملاحظه در بررسي اين گزارشها و از طرفي عدم دستيابي به امنيت در سطح مورد انتظار و مناسب ميباشد.
در اين گونه مواقع براي حل اين معضل دو رويكرد پيش روي داريم:
رويكرد اول، يکسانسازي و يکدست کردن تمام اجزاء امنيتي مورد استفاده در شبکه از محصولات يک برند تجاري، به نوعي که امکان پيوستگي و ارتباط متقابل بين انواع قالبهاي گزارشدهي سيستمهاي مختلف امنيتي بواسطه امکانات تسهيلاتي فراهم شده توسط خود شرکت ارائه کننده فراهم شود.
رويكرد دوم، استفاده از نرمافزار طرف سومي براي دريافت گزارشها و رخدادهاي امنيتي از کليه اجزاء تشکيل دهنده معماري امنيتي و همينطور اطلاعات ترافيکي و جانبي شبکه و اطلاعات عملکرد سيستمهاي متصل در شبکه و سپس ايجاد همبستگي متقابل بين اين رخدادها، حذف موارد افزونگي، اطلاعات زايد و تشخيصهاي نادرست، ارائه تحليل و خلاصه سازي و مجموعسازي اطلاعات به شکلي که بتواند ديدي کلي از شاخص عملکرد شبکه در اختيار مدير امنيت سازمان قرار دهد.
در اينجا به بررسي اين دو رويکرد ميپردازيم، در رويکرد اول براي بدست آمدن عملکرد مورد انتظار با چندين مشکل مواجه هستيم:
استفاده از محصولات امنيتي به صورت يکپارچه و تنها از يک برند يک ضعف بزرگ به حساب ميآيد. در اين روش شرکت در ازاي بدست آوردن قابليت تطبيق و يکسانسازي اطلاعات خود را منحصر به استفاده از محصولات نه چندان مطرح حوزه خاصي از امنيت به جاي در نظر گرفتن محصولات پيشرو در آن حوزه خاص ميکند.
بيشتر برندها تمامي طيف محصولات امنيتي را پوشش ندادهاند و براي بعضي حوزهها اصولاً راهحلي از سوي آن شرکت وجود ندارد.
با فرض موجود بودن راهحل مناسب و پيشرو از سوي برند مورد نظر براي کليه نيازهاي مطرح امنيتي، هنوز هم هيچ تضميني بر اين وجود نخواهد داشت که برند مورد نظر از قابليت يکپارچهسازي محصولات خود حمايت کرده باشد.
بنابراين براي آن که روشهاي فعلي مديريت رخداد را بهبود ببخشيم و امنيت عملکردهاي کسب و کار را تضمين کنيم، به سيستمي با توانايي مديريتي جامع و متمرکز نياز داريم. مراکز عمليات امنيتي شبکه SOC چنين قابليتي را فراهم ميکنند. مراکز عمليات امنيتي شبکه يک نماي زنده از وضعيت امنيتي شبکه را فراهم ميکنند و امکان واکنش همزمان و بلافاصله به رخدادهاي امنيتي را با قابليت هشدار خودکار، گزارشهاي تفصيلي و اصلاح همزمان فراهم ميکنند. راهكار SOC کليه جوانب امنيت اطلاعات و شبکه در يک شرکت تجاري بزرگ را بدست ميگيرد و کليه عمليات را از يک نقطه متمرکز مديريت ميکند. اين سيستم با شناسايي و اولويتبندي رخدادهاي امنيتي آغاز به کار ميکند و پس از حذف و ادغام رخدادهاي مرتبط سطح ريسک هر يک از آنها و داراييهايي که از اين تهديد متأثر ميشوند محاسبه ميشود و سيستم بنا به نحوه پيادهسازي راهحل مناسبي را پيشنهاد يا اجرا ميکند.
نكته قابلتوجه در طراحي يك SOC، انعطافپذيريِ متدولوژي طراحي آن است كه به واسطه آن ميتوان براي هر يك از مشتريان مطابق سرويسهاي مورد نيازشان راهحل خاصي براي مديريت امنيت شبكه ارائه نمود. در هر يك ازسطوح مطرحشده، ابزاري براي مديريت سيستمهاي امنيتي در نظر گرفته ميشود. اين ابزارها امنيت شبكه را از دو ديدگاه درونسازماني و برونسازماني موردبررسي قرار ميدهند. براي اين منظور، هر SOC داراي يكسري تجهيزات در داخل شبكه و يك سري تجهيزات در خود مركز ميباشد. همه سرويسهايي كه از مراكز SOC ارائه ميگردند، مانيتورينگ و مديريت شده هستند. ديگر سرويسهايي كه از طريق اين مراكز قابلارائه ميباشند، سرويسهاي پيشرفتهاي به شرح زير ميباشد:
- توسعه سياستهاي امنيتي
- آموزش مباحث امنيتي
- طراحي ديوارههاي آتش
- پاسخگويي آني
- مقابله با خطرات و پيادهسازي
- تشخیص حملات چندگامی و چندمرحله ای
- گزارشات بصری در سطوح مختلف انتزاع
- همبستگی سنجی میان رخدادها
- ارتباط روش مند با CERT