خانه  مقالات تخصصی  SOC چیست؟

SOC چیست؟

مقالات تخصصی
0

مرکز عملیات امنیت (SOC) چیست؟

در این مقاله به معرفی SOC  که مخفف عبارت security operations center است می‌پردازیم.

تهدیدات امنیتی شبکه­ ها همواره رو به افزایش است. مطالعات اخیر افزایش 300درصدی در تعداد بدافزارها را نشان می­دهد. یک مرکز عملیات امنیت، یک رویۀ امنیت اطلاعات درون سازمانی و یا جدا از سازمان است که وظیفه تحویل امنیت سرویسهای فناوری اطلاعات را به عهده دارد. مرکز عملیات امنیت تلاش در کشف دسترسی­های غیرمجاز برای جلوگیری و مدیریت رخدادهای مرتبط با آنها را دارد. ماموریت آن مدیریت ریسک سازمان از طریق آنالیز متمرکز اطلاعات منابع ترکیبی شامل پرسنل، سخت­افزارهای اختصاصی و نرم­افزارهای ویژه می­باشد. لزوم وجود یک مرکز عملیات امنیت زمانی آشکار می­شود که یک سازمان دچار مشکلات امنیتی مثل ویروس­ها، wormها، تروجان­ها، حملات DDoS و نفوذهای غیر مجاز قرار می­گیرد. در این زمان ضرورت وجود یک رویکرد پیشگیرانه و دفاعی که بصورت مستمر بر فعالیتها و رخدادهای جاری فناوری اطلاعات سازمان نظارت داشته باشد آشکار می­شود.

این پروسه شامل نظارت بر رخدادهای سیستم بصورت پیوسته و آنالیز ریسک برای شناسایی و کشف نفوذ برای تضمین محافظت در مقابل آن است. برون­سپاری پروژه مرکز عملیات امنیت  امکان کاهش هزینه­ها و زمان برای مدیریت فناوری اطلاعات و در نتیجه تمرکز بر روی رسالت اصلی سازمان را ممکن می­سازد. مرکز عملیات امنیت شامل نظارت و آنالیز تمام انواع رخدادهای سیستمها، تجهیزات، برنامه­های کاربردی مانند فعالیت­های کاربران، فعالیت­های فایروال، فعالیت­های سیستمهای کشف تهاجم (IDS)، فعالیتهای آنتی ویروسها، و آسیب­پذیریهای منفرد است. این تکنولوژی­ها و فرآیندها پایدار هستند و نیاز به توجه دائمی از سوی سازمان دارند.

علاوه بر موارد فوق، سازمانهای بزرگ و بلوغ­یافته به استفاده وسیع از انواع تکنولوژی­های امنیتی موجود روی آورده­اند. لذا، در چنین وضعیتی اگرچه سازمانها با صرف هزینه­های فراوان در تلاش برای افزایش سطح امنیتی خود می­باشند، ولیکن انتخاب راهکارهایی ناهمگون باعث شده تا این سازمانها هیچگاه دارای زیرساختی واحد و یکپارچه برای کنترل و پایش وضعیت امنیتی خود نبوده و در بسیاری موارد، اثربخشی کنترل­های امنیتی موجود، تحلیل و پاسخگویی متمرکز به وقایع امنیتی گزارش شده از طرف تمامی تکنولوژی­های مورد استفاده، سازمانها نیازمند استفاده از مراکز عملیات امنیت هستند

SOC چیست؟

SOC به معنای مرکز عملیات امنیت است.

امروزه با هدف جلوگیری از دهها هزار حملات مدرن، برآورده نمودن قوانین و مقررات سازمانهای بالاسری، پایش راه­ حلهای تلنولوژیک پیاده سازی شده و رسیدگی به فعل و انفعالات فراوان مابین کاربران و تلنولوژی­های بکار برده شده، سازمانهای بزرگ و بلوغ یافته به استفاده وسیع از انواع تلنولوژی­های امنیتی موجود روی آورده­اند. در چنین وضعیتی از جمله مهمترین چالشهای پیش روی سازمانها، حجم وسیع داده­های امنیتی است که روزانه توسط سیستمهای مختلف، برنامه­های کاربردی و پلت­فرمهای بعضأ نامتجانس تولید می­شوند. راه حل­های بیشماری شامل همچون نرم­افزارهای آنتی ویروس، فایروال­ها، سیستمهای تشخیص نفوذ(IDS) کنترل­های دسترسی، سیستمهای تشخیص هویت و غیره، اطلاعات امنیتی را در قالب و فرمهای مختلف ارائه و گزارش می­کنند. اغلب سازمانها روزانه با ملیونها پیغام­های تولیدی توسط تکنولوژی­های امنیتی ناسازگار سر و کار داشته، که این امر منجر به انباشتگی اطلاعات امنیتی می­شود. لذا مدیریت این حجم گسترده اطلاعات، اغلب موجب تضعیف مدل­های امنیتی و شکست پروسه­ی ممیزی می­شود.

OS

با توجه به چالشهای فوق­الذکر، اگرچه امروزه سازمانها با صرف هزینه­های فراوان در تلاش برای افزایش سطح امنیتی کسب و کار خود می­باشند، اما انتخاب راهکارهایی ناهمگون و بعضأ نامتجانس باعث ده تا این سازمانها هیچگاه دارای خط مشی و زیرساختی واحد و یکپارچه برای کنترل و پایش وضعیت امنیتی خود نبوده و در بسیاری از موارد به دلیل عدم جامع­نگری لازم در این حوزه، اثربخشی کنترل­های امنیتی پیاده­سازی شده کاهش و هزینه­ها در بلند مدت افزایش یابد. در چنین وضعیت پیچیده­ای سوالات زیر مطرح می­شود:

  • چگونه میلیونها واقعه­ای که روزانه توسط سیستمها، نرم­افزارهای کاربردی و کانال­های کسب و کار مختلف تولید می­شوند را جمع­آوری، نرمال و به یکدیگر مرتبط نماییم؟
  • چگونه این وقایع را اولویت­بندی نماییم؟
  • این سیل اطلاعات تولید شده­ی ناهمگن را چگونه مدیریت نماییم؟
  • چگونه می­توان از محافظت مناسب دارایی­های با ارزش سازمان اطمینان حاصل نمود؟
  • چگونه می­توان امنیت کارمندان، شرکای تجاری و مشتریان را تضمین نمود؟
  • چگونه می­توان اطمینان داشت که نقاط آسیب­پذیر در زمان مناسب و قبل از اینکه توسط دیگران مورد سوء استفاده واقع شود، مورد شناسایی قرار گرفته و بطور موثر ترمیم خواهند شد؟
  • چگونه می­توان بطور مستمر از میزان کارایی و اثربخشی کنترل­های موجود و به تبع آن تداوم کسب و کار سازمان اطمینان حاصل نمود؟

با هدف برطرف نمودن چالشهای فوق، افزایش اثربخشی کنترل­های امنیتی موجود، حفاظت موثر از عملیات جاری در کسب و کار سازمان و در واقع ایجاد و نگهداری مستمر از وضعیت امنیتی سازمان در سطحی قابل قبول، ناگزیر به ایجاد زیرساختی جهت پایش، تحلیل و پاسخگویی متمرکز به وقایع امنیتی گزارش شده از طرف تمامی تلنولوژی­های مورد استفاده خواهیم بود، که بخش عمده­ای از این زیرساخت در مرکز عملیات امنیت تحقق پیدا خواهند کرد.

مرکز عملیات امنیت تمامی جوانب مرتبط با امنیت سازمان را بصورت بلادرنگ و آنی و از یک نقطه متمرکز مدیریت نموده و مورد پایش قرار خواهد داد. این مرکز با شناسایی آنی حوادث و وقایع، بر اساس سطح ریسکی که هر یک از آنها ایجاد خواهند نمود، وقایع و حوادث را اولویت­بندی می­نماید.همچنین این مرکز دارایی­های متاثر شده از وقایع اتفاق افتاده را مشخص نموده و راهکارهای اصلاحی یا پیشگیرانه را پیشنهاد داده و در مواردی از پیش تعیین شده راهکارهای مذکور را اجرا می­نماید.

دستاوردهای مرکز عملیات امنیت

به طور خلاصه می­توان موارد زیر را به عنوان مهمترین دستاوردهای مرکز عملیات امنیت معرفی نمود.

  • به حداقل رساندن ریسک قطعی سیستمها
  • پایش روزمره و لحظه­ای امنیت بصورت 24 ساعته و در تمامی ایام سال
  • کنترل یکپارچه و مرکزی تهدیدات و جلوگیری از وقوع آنها
  • به حداقل رساندن هزینه­های مدیریت غیر متمرکز امنیت
  • ایجاد مکانیزم­های بررسی امنیتی تجهیزات سازمان بصورت خودکار
  • امکان پشتیبانی و بازرسی سیستمهای امنیتی
  • ایجاد بهبود در سیاستها و فرآیندهای امنیتی و همچنین شناسایی وارد نقض سیاستها
  • بهبود توانایی سازمان در مقابله با تهدیدات ترکیبی پیچیده (فیزیکی/منطقی)
  • پاسخگویی به حوادث امنیتی
  • کاهش منابع مورد نیاز جهت مدیریت حوادث امنیتی
  • بهبود گزارش دهی در سطوح مختلف
  • توانمند سازی و استمرار ممیزی­های امنیتی
  • نگهداری امن، بهینه و طولانی مدت سوابق رخدادهایی که توسط سامانه­های ختلف مورد استفاده در کسب و کار سازمان تولید شده­اند.
  • شناسایی نقاط آسیب­پذیر پیش از آنکه مورد سوء استفاده قرار گیرند.

ماژول­های تشکیل­دهنده مراکز عملیات امنیت

مرکز عملیات امنیت، یک واژه کلی و عمومی برای توصیف بخشی یا تمامی یک پلت­فرم است که با هدف فراهم آوردن سرویسهای شناسایی و واکنش در برابر حوادث و رویدادهای امنیتی طراحی می­شود. طبق این تعریف مراکز عملیات امنیت شامل پنج ماجول است:

  • E Box: مولد رخدادها
  • D Box: پایگاه داده رخدادها
  • R Box: واکنش در برابر رخدادها
  • A Box: تحلیل و آنالیز رخدادها
  • C Box: جمع­آوری و قالب­بندی رخدادها
  • K Box Knowledge Base

عملیات هر یک از باکس­های فق در قالب شکل مفهومی زیر می­باشد:

SOC-Flw

  • E Boxها: برای تولید رخدادها در نظر گرفته شده­اند. در عمل می­توان از بیشتر تجهیزات شبکه و نرم­افزاهای کاربردی موجود برای تولید اینگونه رخدادها استفاده کرد. ساختارهای مرکز عملیات امنیت امروزی از رنج گسترده ای از سخت­افزار و نرم افزار موجود برای گزارش­گیری و ثبت رخداد استفاده می­کنند. برای مثل ArcSight به عنوان یک راه­حل که بصورت گسترده در کمپانی­های بسیاری در جهان پیاده سازی و بهره­برداری شده است، از بسیاری از انواع نرم­افزارهای آنتی ویروس، نرم­افزارهای امنیت داده، Applicationها، فایروالها، سیستمهای تشخیص نفوذ، پایگا­ه­های داده­ای، mail Serverها، main frameها، سیستمهای عامل، روترها، سویچها، رادیوهای وایرل و، storageها پشتیبانی می­کند.
  • C Box و D Boxها: جهت جمع­آوری رخدادها از منابع تولید رخداد در نظر گرفته شده­اند. موتور SOC رخدادهای موجود در منابع تولید رخداد متنوع را با هدف گردآوری اطلاعات از انواع مختلفی از این سنسورها و تبدیل آنها به قالب استاندارد جمع­آوری می­کند. برای اینکار همچنین از connectotها و Agentهای موجود بر روی منابع تولید رخداد نیز استفاده می­شود. این رخدادها (در قالب logها) در Databaseهایی برای نگهداری اطلاعات historical و آنالیزهای بیشتر برای بررسی تاثیرات بلند مدت نگهداری می­شوند. تنها عملیات خاصی که توسط این ماژولها انجام می­شود، همبستگی در سطح ابتدایی به منظور تشخیص و یا ترکیب رخدادهای تکراری ار یک یا چندین منبع تولید رخداد می­باشد. علاوه بر مسائل متداول همچون دسترسی­پذیری، جامعیت، و محرمانگی که در مورد Databaseها قابل توجه است، به دلیل تولید میلیونها پیام در هر ثانیه، این ماژول­ها باید تا حد امکان به مشکلات کارایی فائق آیند. ملاحظاتی برای ذخیره، آنالیز و پردازش پیامها و رخدادهای تولیدی در کواهترین مدت برای واکنش مناسب و کارآمدی باید در نظر گرفته شود.
  • A Boxها و K Boxها: این ماژولها برای آنالیز و تحلیل رخدادهای ذخیره­شده در Databaseها به کار می­روند که برای اجرای عملیات و ارائه پیامهای هشدار مناسب هستند. بدیهی است که ورودی­های پروسه­ی تحلیل و آنالیز، داده­هایی هستند که در آنها مشخصات مسرهای نفوذ و تهاجمات به شبکه و کاربران آن مدل شده باشند.
  • R Box: واژه­ای کلی برای تعریف مجموعه­ای از ابزارها ایست که برای انجام عملیات گزارش­دهی و واکنش در مقابل رخدادهای مختل­کننده در سیستمهای نظارت و مانیتورینگ به کار می­روند. تجربه نشان می­دهد که این مفهوم عمومی کاملا به موقعیت سازمانی وابسته است، زیرا تمامی استراتژی­ها و سیاست­های امنیتی، محدودیت­های قانونی و قراردهای ارائه سرویس (SLA) که در ارتباط با مشتری هستند را تحت تاثیر قرار می­دهد.

SOC-flw2

شکل زیر معماری یک زیر ساخت مرکز عملیات امنیت در سطح کلان را نشان می­دهد. همانطور که مشاهده می­شود، تمامی Boxهایی که در بالا به آنها اشاره شد در این معماری بصورت یک پروسه از چرخه عملیاتی سیستم وجود دارد. رخدادهای تولیدی توسط سیستمهای تولید رخداد، توسط C Boxها (که در محیطهای عملیاتی به آن connector گفته می­شود) جمع آوریو ذخیره می­شوند. سپس برای آنالیز بیشتر و بازیابی اطلاعات آماری و یافتن correlation بین هر یک از رخدادها، و پیش­بینی تهدیدات بالقوه پیش­رو به A Boxها ارسال می­شوند. پس از آنالیز، سیستم با ارائه گزارشات در سطوح مختلف، شامل گزارشات فنی (گزارشات مبسوط) و گزارشات خلاصه مدیریتی، و در صورت لزوم و داشتن مجوزهای لازم از طرف سرپرست سیستم انجام عکس­العمل­های لازم (R Box) این چرخه را کامل می­کند.

SOC-Flw3

ارتباط NOC و SOC

یک مرکز عملیات امنیت که به شکل صحیحی مدیریت و پیکربندی شده باشد، به عنوان یک مغز هوشمند عمل خواهد کرد که اطلاعات را از تمامی نواحی شبکه جمع­ آوری کرده، هشدارهایی را به صورت اتوماتیک تولید نموده، ریسک­ها را اولویت­بندی و از اجرای حملات قبل از اینکه هرگونه خرابی گزافی به بار آورند جلوگیری می­کند. امروزه بسیاری از سازمانها با راه­اندازی مراکز عملیات شبکه (NOC) ترافیک خود را مانیتور و کنترل می­کنند، در حالیکه همچنان روشی برای مدیریت متمرکز رخدادهای امنیتی ندارند. بدین ترتیب این دو مرکز (NOC و SOC) دو موجودیت مستقل هستند و در صورتی که با یکدیگر مورد استفاده قرار گیرند، می­توانند موثر واقع شوند.

SOC-NOC

 بهنگام یکپارچه سازی NOC و SOC، سازمان قادر خواهد بود به سرعت در مقابل رخدادهای امنیتی واکنش نشان دهد. در واقع با بکارگیری و راه­اندازی این دو مرکز، یک کنسول مرکزی خواهیم داشت که تمامی اطلاعات شبکه و امنیت در آن نمایش داده می­شوند.

یک SOC اغلب در کنار و یا در داخل یک NOC معنا پیدا می­کند و این دو مرکز در کنار یکدیگر به طور موثری امنیت شبکه سازمان را در سطح گسترده­ای فراهم می­کنند. رخدادهای امنیتی می­توانند از سمت SOC به NOC فرستاده شوند، برای اینکه نتوان با ماهیت رخدادها ارتباط برقرار کرد. در نهایت NOC می­بایست دانش و قابلیت کافی برای اجرای سرویس­ها و پروسه­های امنیتی را دارا باشد. چنین ارتباط دو طرفه­ای به منظود پاسخگویی موثر به رخدادها و وقایع امنیتی و همچنین برقراری ارتباط میان گروه­های امنیت و شبکه در هر سازمانی ضروری است.

نویسنده : مهندس محمد آجورلو

https://adminpro.ir/?p=3596
admin

    دیدگاه‌ها