مرکز عملیات امنیت[۱] مکانی است جهت پایش و کنترل ۲۴ ساعته امنیت ورود و خروج اطلاعات در قلمروی فضای تبادل اطلاعات با نگرش تشخیص تهدیدات امنیتی.
با توجه به رشد روزافزون تعداد و پیچیدگی حملات سایبری و همچنین عواقب نشت اطلاعات، ضروری است تا سازمانها به اقدامات پیشگیرانه و توسعه سیستمهای نظارتی هوشمند و یکپارچه در قالب برنامههای پاسخ به رویداد[۲] بپردازند. توسعه مرکز عملیات امنیت (SOC) اقدامی است که در پاسخ به این نیاز انجام میگیرد.
SOC، با تکیه بر مجموعهای از تجهیزات سختافزاری و نرمافزاری، گزارشهای سیستمها و سرویسهای امنیتی شبکههای ارتباطی، سیستمعاملها، نرمافزارهای مختلف و همچنین تجهیزات مختلف امنیت شبکه را جمعآوری نموده و با همگونسازی و تلفیق گزارشهای مختلف و بهرهگیری از نرمافزارهای پیشرفته و سختافزارها و متخصصین امر، آنها را تحلیل مینماید. مرکز عملیات امنیت برای شناسایی و اعلام رخداد، دارای مکانیزمهایی جهت رصد خودکار تجهیزات شبکه، سختافزارها و نرمافزارها بوده و قادر است از نفوذ هکرها، بدافزارها و تهدیدات امنیتی از طریق منابع داخلی و خارجی جلوگیری کند.
به طور کلی، SOC یک سیستم با هدف ارتقاء هوشمندی امنیت سازمان است که با توجه به سه پارامتر زیر به این هدف دست مییابد.
- اثرپذیری: SOC تمامی وقایع رخ داده در سطوح مختلف سیستمهای اطلاعاتی را رصد و ذخیره کرده و مورد تجزیه و تحلیل قرار میدهد. علاوهبراین، SOC میتواند نقاط ضعف، حفرههای امنیتی و رفتارهای غیرمعمول موجود در سیستم را شناسایی کند.
- اثرگذاری: پس از شناسایی حفرههای امنیتی و رفتارهای مشکوک، سیاستهای کنترل دسترسی و تنظیمات امنیتی متناسب با رخدادهای امنیتی مشاهده شده بر روی هر کدام از تجهیزات موجود در شبکه و در سرتاسر سیستم اطلاعاتی اعمال میشود. عملیات مذکور متناسب با سطح مرکز عملیات امنیت، میتواند به صورت خودکار و یا به صورت دستی و با کمک نیروی متخصص امنیت صورت پذیرد.
- یادگیری: مرکز عملیات امنیت پس از شناسایی حفرههای امنیتی و ارائه راهکار مناسب جهت مقابله با رخدادهای امنیتی، پایگاه دانش خود را بهروز نموده و بدین طریق قادر به انجام اقدامات سریع و مناسب در برابر حملات مشابهی که در آینده رخ میدهند، است.
مزایای راهاندازی و پیادهسازی SOC
راهاندازی و پیادهسازی SOC در حالت کلی مزایای ذیل را در پی خواهد داشت:
- کاهش هزینه زمانی موردنیاز برای جمعآوری اطلاعات و رخدادها و هشدارها در مواقع اضطراری
- کاهش هزینههای نگهداری، پردازش و تحلیل اطلاعات رخدادها و هشدارها و همچنین کشف ارتباط بین آنها
- کاهش هزینه ارزیابی و بررسی رخدادها و حوادث
- کاهش هزینه نیروی منابع انسانی در رسیدگی به حوادث
- کاهش هزینه ناشی از قطع سرویسدهی
ابزارها و فناوریهای مورد استفاده در مرکز SOC
SOC فناوری، فرایندها و افراد را به عنوان سه عنصر کلیدی برای کاهش خطرات امنیتی به کار میگیرد. در ادامه، به توصیف این عناصر پرداخته میشود:
- فناوری: استفاده از تجهیزات سختافزاری و نرمافزاری متناسب با نیاز کارفرما جهت مانیتورینگ، پایش، تجزیه و تحلیل و انجام عکسالعملهای مناسب از ضروریات یک SOC است. یکی از ابزارهای مهم که در مرکز عملیات امنیت به کار گرفته میشود راهکار SIEM است، به بیان دیگر SIEM مغز متفکر مرکز عملیات امنیت محسوب میشود. از این رو انتخاب محصول مناسب در موفقیت و کارایی مرکز عملیات امنیت بسیار تأثیرگذار است. APKSIEM محصولی بومی است که با تأمین نمای کلی از وضعیت امنیت اطلاعات و شبکه سازمان به جمعآوری رویدادها از کاربران و تجهیزات مختلف شبکه پرداخته و آنها را ذخیرهسازی میکند. سپس با شناسایی و اولویتبندی حوادث و رویدادها از میان حملات اینترنتی و رویدادهای شبکه، تشخیص سریع حوادث را ممکن میسازد.
- فرآیندها: بهکارگیری مکانیزمها و فرآیندهای مناسب و بهینه به منظور کاهش زمان پاسخگویی و انجام اقدامات امنیتی مناسب و سریع در برابر تهدیدات امنیتی از موارد مهم در طراحی و پیادهسازی اثربخش مراکز عملیات امنیت است.
- افراد: مدیریت منابع انسانی SOC نقش بسیار مهمی داشته و مسئول اجرای صحیح فرآیندها و روالهای امنیتی است. به منظور ایجاد هماهنگی و مدیریت متمرکز SOC، طراحی و پیادهسازی ساختار سازمانی امری ضروری است. با ایجاد ساختار سازمانی، میتوان شرح وظایف و مسئولیتهای هر یک از کارکنان را مشخص نمود تا در صورت بروز حادثه امنیتی، هر یک از کارکنان طبق شرح وظایف خود عمل نموده و در اسرع وقت اقدام متقابل صورت بگیرد.
چرخه کار SOC
چرخه کار SOC مبتنی بر روش OODA[۳] بوده و از مراحل زیر تشکیل شده است:
- مشاهده: نظارت، جمعآوری و ذخیره دادهها از نقاط مختلف در شبکه.
- بررسی: تجزیه و تحلیل دادههای جمعآوری شده و جستجوی دادههای مشکوک.
- تصمیمگیری: تبیین اقدامی عملی بر اساس نتایج فاز قبل و تجربهای که از تکرار چرخه OODA قبلی به دست آمده است.
- اقدام: بهکارگیری اقدامی که در فاز قبلی تعیین شده است.
مراحل پیادهسازی SOC
پیادهسازی یک SOC از چهار مرحله کلی برنامهریزی، طراحی، ساخت و اجرا تشکیل شده است:
- برنامهریزی: راهاندازی مرکز SOC نیازمند یک برنامهریزی دقیق است. فاز برنامهریزی SOC به تمرکز بر روی اجزای موردنیاز SOC و همچنین تهیه یک نقشه راه برای پیادهسازی SOC کمک کرده و در هر مرحله امکان پیگیری مراحل انجام شده را میسر میکند.
- طراحی: سرویس SOC باید به صورت امن و قابل اعتماد، در دسترس باشد. بسیاری از سیستمهای SOC شامل اطلاعات محرمانهای هستند که در صورت افشا، تاثیرات منفی زیادی بر سازمان خواهند گذاشت. محدوده پیادهسازی، مدل اجرا، زمانبندی پیادهسازی و سرویسهای SOC مواردی هستند که در طراحی SOC باید موردنظر قرار داد. علاوهبراین، در این مرحله باید ساختارهایی مانند انواع فعالیتها، شبکه، امنیت، محاسبه حافظه، Ticketing و نیازمندیهای مدیریتی را نیز مورد توجه قرار داد.
- ساخت: در مرحله ساخت SOC باید در مورد پیادهسازی داخلی یا مجازی SOC تصمیمگیری کرده و الزامات تکنولوژیک موجود در ایجاد SOC مانند شبکه سازمان، اجزا نیازمند قابلیت دسترسی بالا[۴]، امنیت در زمان اجرا، کنترل دسترسی شبکه، احراز هویت، رمزگذاری دادهها، سیستمها، تشخیص خرابی در نقاط پایانی، سرورها، پیشگیری از نشت دادهها[۵] و امنسازی تجهیزات شبکه را درنظر گرفت.
- اجرا: برای اجرای SOC، نیاز است که برنامهریزی شفافی برای SOC وجود داشته باشد و تمام بخشهای اصلی آن به درستی پیادهسازی شده باشند. استفاده از افراد با توجه به مواردی مانند زمینههای مرتبط با بلوغ و توجیه سازمان، ساختار، تجربه، آموزش و مدارک در پست صحیح و مدیریت چالشها از جمله نکاتی هستند که در راستای پیادهسازی یک SOC موفق باید در نظر گرفته شوند.
پاسخگویی به حوادث امنیتی در SOC
هسته SOC تشخیص و پاسخگویی به حوادث امنیتی است. در این راستا لازم است تا تیم مسئول عملیات امنیت بر داراییهای سازمان نظارت داشته و با استفاده از فرایندهایی از پیش طراحی شده به حوادث و رویدادهای امنیتی واکنش نشان دهد. فرآیندهای موردنظر را میتوان به سه دسته کلی تقسیم نمود:
- شناسایی، تحلیل و پاسخگویی به رخدادهای امنیتی: Handling مجموعهای از روشهای انجام شده برای غلبه بر انواع مختلف حوادث ناشی از آسیبهای مختلف است. Incident Handling شامل سه عملکرد اساسی گزارش حادثه، تحلیل حادثه و پاسخ به حادثه است.
- مدیریت آسیبپذیری در SOC: در صورت وجود آسیبپذیری در سیستم، مهاجمان برای دسترسی به شبکه تنها باید از این آسیبپذیریها بهرهبرداری کنند. در ادامه و پس از قرار گرفتن داخل شبکه، آنها میتوانند Backdoor به بیرون ایجاد کنند که در نتیجه این اقدامات، شناسایی و رفع نقص به شدت دشوار میشود.یکی از چالشهای SOC شناسایی و از بین بردن آسیبپذیریها قبل از سوءاستفاده از آنهاست. مدیریت مناسب آسیبپذیری میتواند تهدیدات را حذف کرده یا اثربخشی SOC را در مبارزه با آنها افزایش دهد.
- بازرسی[۶] و مدیریت جرایم امنیتی: هدف اصلی بازرسی، درک بهتر نسبت به وقایع مورد علاقه از طریق جستجو و تحلیل واقعیتهای مرتبط با آنهاست. بازرسی باید با استفاده از فرایند چهار مرحلهای جمعآوری، بررسی، تجزیه و تحلیل و گزارشدهی انجام شود. در مرحله جمعآوری، اطلاعات مربوط به یک رویداد خاص شناسایی، برچسبگذاری، ضبط و جمعآوری شده و یکپارچگی آن حفظ میشود. در مرحله بررسی، ابزارهای بازرسی و تکنیکهای متناسب با انواع دادههایی که برای شناسایی و استخراج اطلاعات مربوطه، جمعآوری شدهاند بهگونهای که یکپارچگی آنها حفظ شود، به کار میروند. این مرحله ممکن است با ترکیبی از ابزارهای خودکار و فرایندهای دستی انجام شود. مرحله بعد شامل تجزیه و تحلیل نتایج برای استخراج اطلاعات مفید است. در نهایت، مرحله گزارشدهی قرار دارد که میتواند شامل توصیف اقدامات انجام شده، تعیین اقدامات نیازمند انجام و توصیههایی برای بهبود سیاستها، دستورالعملها، رویهها، ابزارها و سایر جنبههای بازرسی باشد.
سخن پایانی
شرکت امنپردازان کویر (APK) از شرکتهای پیشگام کشور در حوزهی ارائه خدمات امنیت سایبری به سازمانها و شرکتها، با در اختیار داشتن مجموعهای از حرفهایترین مهندسان امنیت سایبری، آماده ارائه خدمات در قالب مشاوره، نظارت و راهاندازی مراکز SOC در شرکتها و سازمانها است. جهت کسب اطلاعات بیشتر در این زمینه میتوانید با شماره ۰۲۱۴۲۲۳۸ تماس حاصل نمایید.
[۱] Security operation center
[۲] Incident Response Program
[۳] Observe, Orient, Decide, Act
[۴] High Availability
[۵] Data Loss Prevention
[۶] Forensic