ابزارها و فناوری‌های مورد استفاده در SOC

 مرکز عملیات امنیت (SOC) بستری برای سرویس‌‌های کشف و پاسخ‌‌گویی در مقابل حوادث امنیتی است. در مرکز عملیات امنیت، مجموعه‌‌ای از ابزارها و فناوری‌‌های مورد استفاده در SOC جهت نظارت، پایش، تجزیه و تحلیل و انجام عکس‎‌‌العمل‎‌‌های مناسب به کار گرفته می‌شوند. به‌‌کارگیری ابزارها و فناوری‌‌های مناسب نقشی اساسی در اثربخشی SOC دارد. با توجه به این مهم، در ادامه این مطلب، ابزارها و فناوری‌‌هایی که به طور معمول در اغلب محیط‌‌های SOC بالغ به کار گرفته شده‌‌اند، بررسی خواهند شد.

ابزارها و فناوری‌های مورد استفاده در SOC: فایروال

فایروال‌‌ها ابزارهایی هستند که به منظور جلوگیری از دسترسی بدون احراز هویت به یک شبکه طراحی شده‌‌اند. انواع مختلفی از فایروال‌‌ها در بازار موجود است، از فایروال‌‌های Stateful ساده تا ابزارهایی با امکانات بسیار زیاد که قادر به فیلتر محتوا، کنترل برنامه‌‌های کاربردی، جلوگیری از نفوذ و غیره هستند. مورد استفاده اصلی یک فایروال، تفکیک‌‌سازی شبکه و کنترل دسترسی بین بخش‌‌ها است. روش مورد استفاده توسط یک فایروال برای تفکیک یک شبکه می‌‌تواند با توجه به پیکربندی مورد استفاده توسط آن و نوع تفکیک‌‌سازی مورد نیاز، متفاوت باشد. فایروال‌های برنامه‌های تحت وب (WAFها) از پرکاربرد‌ترین فایروال‌ها هستند. این فایروال‌ها از برنامه‌های در معرض عموم، مانند وب‌سایت‌ها و APIها در مقابل آسیب‌پذیری‌ها و حملات مخربی مانند حملات DDoS، SQL injection و XSS دفاع می‌کنند.

کنترل دسترسی شبکه

کنترل دسترسی شبکه (NAC) اساسا برای کنترل دسترسی کاربران و دستگاه‌‌های متفاوت به بخش‌‌های مختلف شبکه مورد استفاده قرار می‌‌گیرد. NACهای پیشرفته‌‌تر، خودکارسازی فرایند NAC و امکانات بیشتری مانند تهیه پروفایل از دستگاه‌‌ها و وضعیت شبکه را ارائه می‌‌دهند. فناوری NAC ممکن است از امکانات موجود بر روی دستگاه‌‌های دسترسی بوده یا محصولی باشد که با دستگاه‌‌های شبکه ارتباط برقرار می‌‌کند. فناوری‌‌های NAC نوین به طور معمول امکانات زیر را ارائه می‌‌دهند:

• کنترل دسترسی خودکار برای شبکه‌‌های LAN، VPN و Wireless
• دسترسی مهمان
• تهیه پروفایل برای دستگاه‌‌های شبکه
• ارزیابی وضعیت دستگاه‌‌ها
• گزینه‌‌های اصلاح، مانند به‌‌روزرسانی نرم‌‌افزار در صورتی که یک دستگاه با سیاست‌‌های شبکه همخوان نباشد
• محدودسازی یا جلوگیری از دسترسی به دستگاه‌‌ها با توجه به سیاست‌‌های انطباقی یا اقدامات مدیریتی.

فناوری NAC باید در تمام طول شبکه به کار گرفته شود و همه دستگاه‌‌ها و کاربران را تحت نظر بگیرد. در صورت عدم پشتیبانی از برخی نقاط پایانی، باید گزینه‌‌های جایگزین برای در بر گرفتن آن دستگاه‌‌ها در به‌‌کارگیری NAC وجود داشته باشد. نتیجه نهایی به‌‌کارگیری NAC باید کاربران و دستگاه‌‌های محتلف را بر اساس حداقل سرویس‌‌های موردنیاز آن‌‌ها برای انجام وظایف خود تفکیک کند. دستیابی به این سطح از تقسیم‌‌بندی باید به جای اعمال در آغاز به‌‌کارگیری سیستم، به تدریج حاصل شود.

وب‌‌پروکسی[۸]

به محض اجازه دسترسی به شبکه، کاربران به احتمال زیاد تلاش می‌‌کنند تا از طریق مرورگر یا ایمیل به اینترنت متصل شوند. اجازه دسترسی به اینترنت خطرات زیادی را برای سازمان‌‌ها ایجاد می‌‌کند. در نتیجه، باید از لایه‌‌های حفاظتی جهت پیش‌‌گیری از وقوع نقض[۹] امنیتی استفاده نمود. فیلترسازی منابع تحت وب که به طور بالقوه خطرناک یا نامناسب هستند، اولین لایه حفاظتی در این زمینه است. فیلتر محتوا به طور معمول از طریق یک وب‌‌پروکسی یا “فایروال لایه Application”  ارائه می‌گردد که به طور پیوسته با توجه به محیط فعلی اینترنت به‌‌روزرسانی می‌‌شود. به‌‌روزرسانی موردنظر می‌‌تواند شامل دسته‌‌بندی وب‌‌سایت‌‌ها بر اساس‌ ریسک‌‌های مربوطه و دیگر داده‌‌ها (مانند هوش تهدید درباره آن‌‌چه دیگر مشتریان در زمان دستیابی به آن منابع وب مشاهده می‌‌کنند) باشد. قمار  و هک از جمله دسته‌‌هایی هستند که به طور معمول توسط سازمان‌‌ها مسدود می‌‌شود.

ابزارها و فناوری‌های مورد استفاده در SOC: تشخیص/پیش‌‌گیری از نفوذ

شناسایی تهدیدها معمولا با استفاده از یک راهکار امنیتی مبتنی بر Signature و یا مبتنی بر رفتار صورت می‌‌گیرد. راهکارهای تشخیص نفوذ (IDS) قادر به شناسایی تهدیدات بوده و راهکارهای پیشگیری از نفوذ (IPS) علاوه بر نظارت، قادر به واکنش در برابر حملات هستند. لازم به ذکر است که راهکارهای IPS باید به صورت توکار به کار گرفته شود؛ در غیر این صورت، سیستم یک نسخه کپی از ترافیک را مشاهده کرده و در نتیجه تنها یک IDS خواهد بود.

تشخیص Breach

تشخیص نقض امنیتی یا Breach Detection به ابزارهایی اطلاق می‌‌شود که برای نظارت جهت یافتن تهدیداتی که از همه نقاط ایست بازرسی گذر کرده‌‌اند، طراحی شده‌‌اند. این ابزارها به عنوان جایگزینی برای آنتی‌‌ویروس‌‌ها یا سیستم‌‌های تشخیص نفوذ طراحی نشده‌‌اند، چرا که آنتی‌‌ویروس‌‌ها و سیستم‌‌های تشخیص نفوذ حملات شناخته شده را با استفاده از فناوری‌‌هایی متفاوت از ابزارهای Breach Detection برای شناسایی تهدیدات ناشناخته، هدف قرار می‌‌دهند.  فناوری‌‌های Breach Detection حداقل یکی از تکنیک‌‌های زیر را دنبال می‌‌کنند:

• شناسایی بدافزارها با استفاده از Signatureها یا تجزیه و تحلیل رفتار
• تجزیه و تحلیل محتوا، جریان و دیگر روندهای ترافیک شبکه
• استفاده از Sandboxها جهت تقلید دستگاه‌‌های داخلی واقعی
• شبیه‌‌سازی مرورگر

هانی‌‌پات[۱۲]، Sandbox، تشخیص نقض امنیتی در نقاط پایانی، Endpoint Detection and Response یا EDR  و Network Telemetry نمونه‌‌هایی از تکنیک‌‌های تشخیص Breach هستند.

ابزارها و فناوری‌های مورد استفاده در SOC: ابزار SIEM

راهکارهای امنیت اطلاعات و مدیریت رویدادها یا به اختصار SIEM اطلاعات ورود به سیستم و رویدادها را جمع‌آوری و بصورت Real-Time تجزیه و تحلیل کرده و از این طریق برای تیم SOC بینش و آگاهی از سابقه فعالیت‌های موجود در شبکه را فراهم می‌کنند.

ابزار SIEM لاگ‌ها را از زیرساخت شبکه شامل برنامه‌های کاربردی، دستگاه‌های امنیتی، نقاط پایانی و غیره جمع‌آوری کرده و با استفاده از این داده‌ها به شناسایی، دسته‌بندی و تحلیل رویدادهای امنیتی کمک می‌کند. ابزار SIEM یکی از مهمترین ابزارهای مورد استفاده در مرکز عملیات امنیت (SOC) محسوب می‌شود.

از کاربردهای SIEM می‌توان به موارد زیر اشاره کرد:

• مانیتورینگ امنیت
• جمع‌آوری و ذخیره داده‌ها
• شناسایی تهدیدات پیشرفته داخلی و خارجی
• جستجوی تهدیدات در شبکه
• پاسخگویی به رخدادها و حوادث
• بازرسی امنیت یا Forensic

Forensic شبکه

فارنزیک (Forensic) به معنی تحقیق و جستجو در مورد شواهد و کشف حقایق مرتبط با رویدادها است. بسیاری از سازمان‌‌ها مراحل اولیه تحقیقات را انجام می‌‌دهند و در ادامه و در صورت بزرگ و گسترده بودن رویداد واقع شده، از مراجع قانونی که آموزش‌‌ها و فناوری‌‌های مناسب برای تحقیقات دیجیتال را در اختیار دارند، کمک می‌‌گیرند. توصیه بسیار مهمی که در این زمینه وجود دارد این است که قبل از تجربه هر گونه رویداد امنیتی، اطلاعات تماس بخش‌‌های حقوقی مختلف شناسایی شود تا مرکز عملیات امنیت (SOC) بتواند پس از وقوع یک رویداد، به سرعت واکنش نشان دهد.

در صورتی که SOC قصد انجام تحقیقات فارنزیک را داشته باشد، جهت جلوگیری از تخریب شواهد، باید این کار را با پیروی از دستورالعمل‌‌های مشخص موجود انجام دهد. به عنوان مثال، بازرسان امنیتی هرگز نباید سیستم‌‌هایی که احتمالا شواهدی بر روی آن‌‌ها وجود دارد را خاموش کنند؛ چرا که چرخه خاموش و روشن کردن سیستم می‌‌تواند منجر به حذف شواهد مهم یا تخریب Log وقایع شود. همچنین توصیه می‌‌شود تنها به افرادی که به طور مناسب در زمینه فارنزیک دیجیتال آموزش دیده‌‌اند، اجازه مشارکت در تحقیقات داده شود.

ابزارهای زیادی برای فارنزیک دیجیتال وجود دارند. اولین دسته از این ابزارها که باید در نظر گرفته شوند چارچوب‌‌های بازرسی امنیتی دیجیتالی مانند Digital Forensics Framework، Open Computer Forensics Architecture و Autopsy هستند که به مستندسازی تحقیقات کمک می‌‌کنند. ابزارهای ضبط داده یا دیسک، ابزارهای تجزیه و تحلیل فایل، ایمیل، اینترنت، دستگاه‌‌های موبایل، ابزارهای نسخه‌‌برداری[۱۵] و ذخیره‌‌سازی از دیگر ابزارهایی هستند که باید در این زمینه در نظر داشت.

سخن پایانی

شرکت امن‌‌پردازان کویر (APK) از شرکت‌‌های پیشگام کشور در حوزه‌‌ی ارائه خدمات امنیت سایبری به سازمان‌‌ها و شرکت‌‌ها، با در اختیار داشتن مجموعه‌‌ای از حرفه‌‌ای‌‌ترین مهندسان امنیت سایبری، آماده ارائه خدمات در قالب مشاوره، نظارت و راه‌‌اندازی مراکز SOC در شرکت‌‌ها و سازمان‌‌ها است. جهت کسب اطلاعات بیشتر در این زمینه می‌‌توانید با شماره ۰۲۱۴۲۲۳۸ تماس حاصل نمایید.

[۱] Security operations center

[۲] Firewall

[۳] Segmentation

[۴] Web application firewall

[۵] Network access control

[۶] Access devices

[۷] Remediation

[۸] Web proxies

[۹] Breach

[۱۰] Intrusion Detection/Prevention

[۱۱] Inline

[۱۲] Honeypot

[۱۳] Endpoint detection and response

[۱۴] Network forensics

[۱۵] Duplication