Search
Menu

مرکز عملیات امنیت چیست و نحوه کار آن چگونه است

مرکز عملیات امنیت[۱] مکانی است جهت پایش و کنترل ۲۴ ساعته امنیت ورود و خروج اطلاعات در قلمروی فضای تبادل اطلاعات با نگرش تشخیص تهدیدات امنیتی.

با توجه به رشد روزافزون تعداد و پیچیدگی حملات سایبری و همچنین عواقب نشت اطلاعات، ضروری است تا سازمان‌ها به اقدامات پیش‌گیرانه و توسعه سیستم­‌های نظارتی هوشمند و یکپارچه در قالب برنامه‌های پاسخ به رویداد[۲] بپردازند. توسعه مرکز عملیات امنیت (SOC) اقدامی است که در پاسخ به این نیاز انجام می­‌گیرد.

SOC، با تکیه بر مجموعه‌­ای از تجهیزات سخت‌افزاری و نرم‎‌افزاری، گزارش‌­های سیستم­‌ها و سرویس‌­های امنیتی شبکه­‌های ارتباطی، سیستم­‌عامل­‌ها، نرم‌­افزارهای مختلف و همچنین تجهیزات مختلف امنیت شبکه را جمع­‌آوری نموده و با همگون‌­سازی و تلفیق گزارش­‌های مختلف و بهره­‌گیری از نرم­‌افزارهای پیشرفته و سخت‎افزارها و متخصصین امر، آن‌ها را تحلیل می‌نماید. مرکز عملیات امنیت برای شناسایی و اعلام رخداد، دارای مکانیزم‌هایی جهت رصد خودکار تجهیزات شبکه، سخت‌افزارها و نرم‎ا‌فزارها بوده و قادر است از نفوذ هکرها، بدافزارها و تهدیدات امنیتی از طریق منابع داخلی و خارجی جلوگیری کند.

به طور کلی، SOC یک سیستم با هدف ارتقاء هوشمندی امنیت سازمان است که با توجه به سه پارامتر زیر به این هدف دست می‌یابد.

  • اثرپذیری: SOC تمامی وقایع رخ داده در سطوح مختلف سیستم­‌های اطلاعاتی را رصد و ذخیره کرده و مورد تجزیه و تحلیل قرار می­دهد. علاوه‌براین، SOC می‌تواند نقاط ضعف، حفره‌های امنیتی و رفتارهای غیرمعمول موجود در سیستم را شناسایی کند.
  • اثرگذاری: پس از شناسایی حفره­‌های امنیتی و رفتارهای مشکوک، سیاست­‌های کنترل دسترسی و تنظیمات امنیتی متناسب با رخدادهای امنیتی مشاهده شده بر روی هر کدام از تجهیزات موجود در شبکه و در سرتاسر سیستم اطلاعاتی اعمال می‌شود. عملیات مذکور متناسب با سطح مرکز عملیات امنیت، می­‌تواند به صورت خودکار و یا به صورت دستی و با کمک نیروی متخصص امنیت صورت پذیرد.
  • یادگیری: مرکز عملیات امنیت پس از شناسایی حفره‌های امنیتی و ارائه راهکار مناسب جهت مقابله با رخدادهای امنیتی، پایگاه دانش خود را به­روز نموده و بدین طریق قادر به انجام اقدامات سریع و مناسب در برابر حملات مشابهی که در آینده رخ می‌دهند، است.

مزایای راه‌اندازی و پیاده‌سازی SOC

راه‌­اندازی و پیاده‌­سازی SOC در حالت کلی مزایای ذیل را در پی خواهد داشت:

  • کاهش هزینه زمانی موردنیاز برای جمع­‌آوری اطلاعات و رخدادها و هشدارها در مواقع اضطراری
  • کاهش هزینه‌­های نگهداری، پردازش و تحلیل اطلاعات رخدادها و هشدارها و همچنین کشف ارتباط بین آن­ها
  • کاهش هزینه ارزیابی و بررسی رخدادها و حوادث
  • کاهش هزینه نیروی منابع انسانی در رسیدگی به حوادث
  • کاهش هزینه ناشی از قطع سرویس­‌دهی

ابزارها و فناوری‌های مورد استفاده در مرکز SOC

SOC فناوری، فرایندها و افراد را به عنوان سه عنصر کلیدی برای کاهش خطرات امنیتی به کار می‌گیرد. در ادامه، به توصیف این عناصر پرداخته می‌شود:

  • فناوری: استفاده از تجهیزات سخت‌­افزاری و نرم­ا‌فزاری متناسب با نیاز کارفرما جهت مانیتورینگ، پایش، تجزیه و تحلیل و انجام عکس‎العمل‎های مناسب از ضروریات یک SOC است. یکی از ابزارهای مهم که در مرکز عملیات امنیت به کار گرفته می‌شود راهکار SIEM است، به بیان دیگر SIEM مغز متفکر مرکز عملیات امنیت محسوب می‌شود. از این رو انتخاب محصول مناسب در موفقیت و کارایی مرکز عملیات امنیت بسیار تأثیرگذار است. APKSIEM محصولی بومی است که با تأمین نمای کلی از وضعیت امنیت اطلاعات و شبکه سازمان به جمع‌آوری رویدادها از کاربران و تجهیزات مختلف شبکه پرداخته و آنها را ذخیره‌سازی می‌کند. سپس با شناسایی و اولویت‌بندی حوادث و رویدادها از میان حملات اینترنتی و رویدادهای شبکه، تشخیص سریع حوادث را ممکن می‌سازد.
  • فرآیندها: به‌کارگیری مکانیزم­‌ها و فرآیندهای مناسب و بهینه به منظور کاهش زمان پاسخ‌گویی و انجام اقدامات امنیتی مناسب و سریع در برابر تهدیدات امنیتی از موارد مهم در طراحی و پیاده­‌سازی اثربخش مراکز عملیات امنیت است.
  • افراد: مدیریت منابع انسانی SOC نقش بسیار مهمی داشته و مسئول اجرای صحیح فرآیندها و روال­‌های امنیتی است. به منظور ایجاد هماهنگی و مدیریت متمرکز SOC، طراحی و پیاده­‌سازی ساختار سازمانی امری ضروری است. با ایجاد ساختار سازمانی، می­توان شرح وظایف و مسئولیت­‌های هر یک از کارکنان را مشخص نمود تا در صورت بروز حادثه امنیتی، هر یک از کارکنان طبق شرح وظایف خود عمل نموده و در اسرع وقت اقدام متقابل صورت بگیرد.

چرخه کار SOC

چرخه کار SOC مبتنی بر روش OODA[۳] بوده و از مراحل زیر تشکیل شده است:

  • مشاهده: نظارت، جمع­آوری و ذخیره داده‌­ها از نقاط مختلف در شبکه.
  • بررسی: تجزیه و تحلیل داده­های جمع­‌آوری شده و جستجوی داده­‌های مشکوک.
  • تصمیم‌گیری: تبیین اقدامی عملی بر اساس نتایج فاز قبل و تجربه‌­ای که از تکرار چرخه OODA قبلی به دست آمده است.
  • اقدام: به­‌کارگیری اقدامی که در فاز قبلی تعیین شده است.

مراحل پیاده‌سازی SOC

پیاده‌سازی یک SOC از چهار مرحله کلی برنامه‌ریزی، طراحی، ساخت و اجرا تشکیل شده است:

  • برنامه‌ریزی: راه­‌اندازی مرکز SOC نیازمند یک برنامه­‌ریزی دقیق است. فاز برنامه‌­ریزی SOC به تمرکز بر روی اجزای موردنیاز SOC و همچنین تهیه یک نقشه راه برای پیاده‌­سازی SOC کمک کرده و در هر مرحله امکان پیگیری مراحل انجام شده را میسر می‌کند.
  • طراحی: سرویس SOC باید به صورت امن و قابل اعتماد، در دسترس باشد. بسیاری از سیستم‌­های SOC شامل اطلاعات محرمانه­‌ای هستند که در صورت افشا، تاثیرات منفی زیادی بر سازمان خواهند گذاشت. محدوده پیاده­‌سازی، مدل اجرا، زمان‌بندی پیاده‌­سازی و سرویس‌­های SOC مواردی هستند که در طراحی SOC باید موردنظر قرار داد. علاوه‌براین، در این مرحله باید ساختارهایی مانند انواع فعالیت‌­ها، شبکه، امنیت، محاسبه حافظه، Ticketing و نیازمندی­‌های مدیریتی را نیز مورد توجه قرار داد.
  • ساخت: در مرحله ساخت SOC باید در مورد پیاده‌سازی داخلی یا مجازی SOC تصمیم‌گیری کرده و الزامات تکنولوژیک موجود در ایجاد SOC مانند شبکه سازمان، اجزا نیازمند قابلیت دسترسی بالا[۴]، امنیت در زمان اجرا، کنترل دسترسی شبکه، احراز هویت، رمزگذاری داده‌ها، سیستم‌ها، تشخیص خرابی در نقاط پایانی، سرورها، پیشگیری از نشت داده‌ها[۵] و امن‌سازی تجهیزات شبکه را درنظر گرفت.
  • اجرا: برای اجرای SOC، نیاز است که برنامه­‌ریزی شفافی برای SOC وجود داشته باشد و تمام بخش‌­های اصلی آن به درستی پیاده‌­سازی شده باشند. استفاده از افراد با توجه به مواردی مانند زمینه‌های مرتبط با بلوغ و توجیه سازمان، ساختار، تجربه، آموزش و مدارک در پست صحیح و مدیریت چالش‌ها از جمله نکاتی هستند که در راستای پیاده‌سازی یک SOC موفق باید در نظر گرفته شوند.

پاسخ‌گویی به حوادث امنیتی در SOC

هسته SOC تشخیص و پاسخ‌گویی به حوادث امنیتی است. در این راستا لازم است تا تیم مسئول عملیات امنیت بر دارایی‌های سازمان نظارت داشته و با استفاده از فرایندهایی از پیش طراحی شده به حوادث و رویدادهای امنیتی واکنش نشان دهد. فرآیندهای موردنظر را می‌توان به سه دسته کلی تقسیم نمود:

  • شناسایی، تحلیل و پاسخگویی به رخدادهای امنیتی: Handling مجموع‌ه­ای از روش­‌های انجام شده برای غلبه بر انواع مختلف حوادث ناشی از آسیب­‌های مختلف است. Incident Handling شامل سه عملکرد اساسی گزارش حادثه، تحلیل حادثه و پاسخ به حادثه است.
  • مدیریت آسیب‌پذیری در SOC: در صورت وجود آسیب‌­پذیری در سیستم، مهاجمان برای دسترسی به شبکه تنها باید از این آسیب­پذیری‌ها بهره­برداری کنند. در ادامه و پس از قرار گرفتن داخل شبکه، آن‌ها می‌توانند Backdoor به بیرون ایجاد کنند که در نتیجه این اقدامات، شناسایی و رفع نقص به شدت دشوار می‌شود.یکی از چالش‌های SOC شناسایی و از بین بردن آسیب­پ‌ذیری‌­ها قبل از سوء‌استفاده از آن‌هاست. مدیریت مناسب آسیب‌پذیری می‌تواند تهدیدات را حذف کرده یا اثربخشی SOC را در مبارزه با آن‌ها افزایش دهد.
  • بازرسی[۶] و مدیریت جرایم امنیتی: هدف اصلی بازرسی، درک بهتر نسبت به وقایع مورد علاقه از طریق جستجو و تحلیل واقعیت­‌های مرتبط با آن‌هاست. بازرسی باید با استفاده از فرایند چهار مرحل‌ه­ای جمع‌آوری، بررسی، تجزیه و تحلیل و گزارش‌دهی انجام شود. در مرحله جمع‌آوری، اطلاعات مربوط به یک رویداد خاص شناسایی، برچسب‌گذاری، ضبط و جمع‌آوری شده و یکپارچگی آن حفظ می‌شود. در مرحله بررسی، ابزارهای بازرسی و تکنیک‌های متناسب با انواع داده­ه‌ایی که برای شناسایی و استخراج اطلاعات مربوطه، جمع‌­آوری شده­‌اند به‌گونه‌ای که یکپارچگی آن‌ها حفظ شود، به کار می‌روند. این مرحله ممکن است با ترکیبی از ابزارهای خودکار و فرایندهای دستی انجام شود. مرحله بعد شامل تجزیه و تحلیل نتایج برای استخراج اطلاعات مفید است. در نهایت، مرحله گزارش‌دهی قرار دارد که می‌تواند شامل توصیف اقدامات انجام شده، تعیین اقدامات نیازمند انجام و توصیه‌هایی برای بهبود سیاست‌ها، دستورالعمل‌ها، رویه‌ها، ابزارها و سایر جنبه‌های بازرسی باشد.

سخن پایانی

شرکت امن‌پردازان کویر (APK) از شرکت‌های پیشگام کشور در حوزه‌ی ارائه خدمات امنیت سایبری به سازمان‌ها و شرکت‌ها، با در اختیار داشتن مجموعه‌ای از حرفه‌ای‌ترین مهندسان امنیت سایبری، آماده ارائه خدمات در قالب مشاوره، نظارت و راه‌اندازی مراکز SOC در شرکت‌ها و سازمان‌ها است. جهت کسب اطلاعات بیشتر در این زمینه می‌توانید با شماره ۰۲۱۴۲۲۳۸ تماس حاصل نمایید.

[۱] Security operation center

[۲] Incident Response Program

[۳] Observe, Orient, Decide, Act

[۴] High Availability

[۵] Data Loss Prevention

[۶] Forensic

کاتالوگ امن پردازان کویر
گزارش امنیتی
ایمیل خود را وارد کنید و عضو خبرنامه شوید.

آخرین اخبار

مقالات سایت

درباره شرکت

محصولات

خدمات

مقالات و منابع

ایمیل خود را وارد کنید تا از آخرین اخبار دنیای امنیت مطلع گردید.

تماس با ما
Telegram-plane Instagram Linkedin Eaparat

Info@apk-group.net

۴۲۲۷۳ - ۰۲۱

۳۶۲۹۰۹۹۰ - ۰۳۵

۴۵۸۱۲۳۹۶ (۰۲۱)

۳۶۲۹۰۹۹۲ (۰۳۵)

تهران - خیابان شهید بهشتی، خیابان صابونچی، کوچه ادایی، پلاک ۲، طبقه اول

یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان

تمامی حقوق وبسایت متعلق به شرکت امن‌پردازان کویر (APK) است.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.

در دنیای امنیت چه خبر؟
جهت دریافت آخرین اخبار دنیای امنیت شبکه و اطلاعات ایمیل خود را وارد کنید.