مرکز عملیات امنیت SOC

 

 

مرکز عملیات امنیت مرکزی است که با پایش 24 ساعته شبکه و رسیدگی به گزارش‌های رخدادهای امنیتی سعی می‌کند وقوع حوادث امنیتی در زیرساخت شبکه را در سریع‌ترین زمان ممکن شناسایی کرده و برای رفع آن اقدام نماید. راه‌اندازی مراکز عملیات امنیت راه‌کاری کارا جهت پیشگیری و مقابله با حوادث امنیت فضای تبادل اطلاعات است. موسسه چشم انداز توسعه و امنیت از معدود مراکز داخل کشور است که توانایی و تجربه پیاده‌سازی مراکز عملیات امنیت را در سطوح مختلف سازمانی و فراسازمانی دارد.

امروزه مديريت رخدادهاي امنيتي در دنياي تجاري، چالش‌‌‌‌هاي متعددي براي کارکنان معمولاً گرفتار فناوري اطلاعات در شرکت‌‌‌‌ها و سازمان‌‌‌‌هايشان پديد آورده است. حجم زيادي از اطلاعات امنيتي از سيستم‌‌‌‌ها، سکوها و برنامه‌‌‌‌هاي کاربردي متنوع و مختلف به صورت روزانه توليد مي‌‌‌‌شوند. راه‌‌حل‌‌‌‌هاي امنيتي متفاوت و چند لايه مانند آنتي‌‌‌‌ويروس‌‌‌‌ها، فايروال‌‌‌‌ها، سيستم‌‌‌‌هاي شناسايي و جلوگيري از نفوذ، کنترل دستيابي، مديريت هويت، سيستم‌‌‌‌هاي احراز هويت و غيره. همگي اطلاعات زيادي در قالب‌‌‌‌هاي متنوعي توليد مي‌‌‌‌کنند و در مکان‌‌‌‌هاي متفاوتي ذخيره يا گزارش مي‌‌‌‌کنند.

بيشتر مديران و تحليلگران امنيتي سيستم‌‌‌‌ها اعتراف مي‌‌‌‌کنند که در اين گونه موارد نمي‌‌‌‌توانند درک درستي از ميزان اهميت و ريسک هر يک از اين رخداد‌‌‌‌ها داشته باشند و در انتخاب و تصميم‌‌‌‌گيري موارد درست براي بررسي با مشکل مواجه مي‌‌‌‌شوند،حملات امنيتي بر روي سيستم‌‌‌‌ها به طور پيوسته در حال بيشتر شدن و پيچيده‌‌‌‌تر شدن هستند که همين موضوع باعث فشار بيشتر به توانايي‌‌‌‌هاي محدود سيستم‌‌‌‌هاي امنيتي موجود شده است، باعث شده است که شرکت‌‌‌‌هاي زيادي روزانه به معناي واقعي کلمه با ميليون‌‌‌‌ها گزارش و واقعه امنيتي از اين فناوري‌‌‌‌هاي ناسازگار با هم مواجه باشند، که نتيجه آن کار دوباره‌‌‌‌کاري و سربار قابل ملاحظه در بررسي اين گزارش‌‌ها و از طرفي عدم دستيابي به امنيت در سطح مورد انتظار و مناسب مي‌‌‌‌باشد.

در اين گونه مواقع براي حل اين معضل دو رويكرد پيش روي داريم:

رويكرد اول، يکسان‌‌سازي و يک‌‌دست کردن تمام اجزاء امنيتي مورد استفاده در شبکه از محصولات يک برند تجاري، به نوعي که امکان پيوستگي و ارتباط متقابل بين انواع قالب‌‌هاي گزارش‌‌‌‌دهي سيستم‌‌هاي مختلف امنيتي بواسطه امکانات تسهيلاتي فراهم شده توسط خود شرکت ارائه کننده فراهم شود.

رويكرد دوم، استفاده از نرم‌‌‌‌افزار طرف سومي براي دريافت گزارش‌‌‌‌ها و رخدادهاي امنيتي از کليه اجزاء تشکيل دهنده معماري امنيتي و همين‌‌‌‌طور اطلاعات ترافيکي و جانبي شبکه و اطلاعات عملکرد سيستم‌‌‌‌هاي متصل در شبکه و سپس ايجاد همبستگي متقابل بين اين رخدادها، حذف موارد افزونگي، اطلاعات زايد و تشخيص‌‌‌‌هاي نادرست، ارائه تحليل و خلاصه سازي و مجموع‌‌‌‌سازي اطلاعات به شکلي که بتواند ديدي کلي از شاخص عملکرد شبکه در اختيار مدير امنيت سازمان قرار دهد.

در اينجا به بررسي اين دو رويکرد مي‌‌‌‌پردازيم، در رويکرد اول براي بدست آمدن عملکرد مورد انتظار با چندين مشکل مواجه هستيم:

استفاده از محصولات امنيتي به صورت يکپارچه و تنها از يک برند يک ضعف بزرگ به حساب مي‌‌‌‌آيد. در اين روش شرکت در ازاي بدست آوردن قابليت تطبيق و يکسان‌‌‌‌سازي اطلاعات خود را منحصر به استفاده از محصولات نه چندان مطرح حوزه خاصي از امنيت به جاي در نظر گرفتن محصولات پيشرو در آن حوزه خاص مي‌کند.

بيشتر برندها تمامي طيف محصولات امنيتي را پوشش نداده‌‌‌‌اند و براي بعضي حوزه‌‌‌‌ها اصولاً راه‌‌حلي از سوي آن شرکت وجود ندارد.

با فرض موجود بودن راه‌‌حل مناسب و پيشرو از سوي برند مورد نظر براي کليه نيازهاي مطرح امنيتي، هنوز هم هيچ تضميني بر اين وجود نخواهد داشت که برند مورد نظر از قابليت يکپارچه‌‌سازي محصولات خود حمايت کرده باشد.

بنابراين براي آن که روش‌‌‌‌هاي فعلي مديريت رخداد را بهبود ببخشيم و امنيت عملکردهاي کسب و کار را تضمين کنيم، به سيستمي با توانايي مديريتي جامع و متمرکز نياز داريم. مراکز عمليات امنيتي شبکه SOC چنين قابليتي را فراهم مي‌‌‌‌کنند. مراکز عمليات امنيتي شبکه يک نماي زنده از وضعيت امنيتي شبکه را فراهم مي‌‌‌‌کنند و امکان واکنش همزمان و بلافاصله به رخدادهاي امنيتي را با قابليت هشدار خودکار، گزارش‌‌‌‌هاي تفصيلي و اصلاح همزمان فراهم مي‌‌‌‌کنند. راه‌‌كار SOC کليه جوانب امنيت اطلاعات و شبکه در يک شرکت تجاري بزرگ را بدست مي‌‌‌‌گيرد و کليه عمليات را از يک نقطه متمرکز مديريت مي‌‌‌‌کند. اين سيستم با شناسايي و اولويت‌‌‌‌بندي رخدادهاي امنيتي آغاز به کار مي‌‌‌‌کند و پس از حذف و ادغام رخداد‌‌‌‌هاي مرتبط سطح ريسک هر يک از آن‌‌‌‌ها و دارايي‌‌‌‌هايي که از اين تهديد متأثر مي‌‌‌‌شوند محاسبه مي‌‌‌‌شود و سيستم بنا به نحوه پياده‌‌‌‌سازي راه‌‌‌‌حل مناسبي را پيشنهاد يا اجرا مي‌‌‌‌کند.

نكته قابل‌‌توجه در طراحي يك SOC، انعطاف‌‌پذيريِ متدولوژي طراحي آن است كه به واسطه آن مي‌‌توان براي هر يك از مشتريان مطابق سرويس‌‌هاي مورد نيازشان راه‌حل خاصي براي مديريت امنيت شبكه ارائه نمود. در هر يك ازسطوح مطرح‌‌شده، ابزاري براي مديريت سيستم‌‌هاي امنيتي در نظر گرفته مي‌شود. اين ابزارها امنيت شبكه را از دو ديدگاه درون‌‌سازماني و برون‌‌سازماني موردبررسي قرار مي‌‌دهند. براي اين منظور، هر SOC داراي يكسري تجهيزات در داخل شبكه و يك سري تجهيزات در خود مركز مي‌باشد. همه سرويس‌‌هايي كه از مراكز SOC ارائه مي‌‌گردند، مانيتورينگ و مديريت شده هستند. ديگر سرويس‌‌هايي كه از طريق اين مراكز قابل‌‌ارائه مي‌‌باشند، سرويس‌‌هاي پيشرفته‌‌اي به شرح زير مي‌‌باشد:

  • توسعه سياست‌‌هاي امنيتي‌‌
  • آموزش مباحث امنيتي
  • طراحي ديواره‌‌هاي آتش‌‌
  • پاسخگويي آني‌‌
  • مقابله با خطرات و پياده‌‌سازي
  • تشخیص حملات چندگامی و چندمرحله ای
  • گزارشات بصری در سطوح مختلف انتزاع
  • همبستگی سنجی میان رخدادها
  • ارتباط روش مند با CERT