مرکز عملیات امنیت (SOC) بستری است که سرویسهای کشف و پاسخگویی در مقابل حوادث امنیتی را فراهم میآورد. گفتیم که به طور معمول، راهاندازی و پیادهسازی SOC شامل چهار فاز برنامهریزی، طراحی، ساخت و اجرا است که برای تحقق هر یک از این فازها، لازم است فعالیتهای متنوعی مطابق با نیازهای دقیق سازمان انجام شوند. در راهاندازی و پیادهسازی SOC- بخش اول: فاز برنامهریزی، جزئیات فاز نخست یعنی فاز برنامهریزی، مورد بررسی قرار گرفت. در ادامه به فاز دوم یعنی طراحی SOC پرداخته خواهد شد.
موارد مهم در طراحی SOC
بسیاری از سیستمهای مورد استفاده در SOC حاوی اطلاعات محرمانهای هستند که افشای آنها، تاثیرات منفی زیادی بر سازمان خواهد گذاشت. در نتیجه، سرویس SOC باید به صورت امن و قابلاطمینان در دسترس باشد. با توجه به اهمیت این موضوع، در ادامه این مطلب عوامل تاثیرگذار بر طراحی SOC مورد بررسی قرار خواهد گرفت. قلمرو SOC، مدل عملیات، زمانبندی پیادهسازی SOC و سرویسهای SOC از جمله مواردی هستند که باید در طراحی SOC در نظر گرفته شوند. نوع امکانات، شبکهبندی، امنیت، محاسبه حافظه، همکاری، Ticketing و نیازمندیهای مدیریتی نیز برخی نواحی زیرساختی هستند که باید مورد توجه قرار گیرند.
- امکانات: بحث امکانات، عوامل مرتبط با آمادهسازی محیطی مناسب برای میزبانی تیم و خدمات SOC را دربرمیگیرد. به طور کلی، طراحی SOC باید به گونهای باشد که ضمن ایجاد یک محیط کار راحت، همکاری موثر بین اعضای SOC را تسهیل کند. علاوهبراین، تمام سیستمها و دادههای نگهداری شده در SOC باید از امنیت مناسب برخوردار باشند.
- سرویسهای تحلیلگران SOC: تحلیلگران مستقر در مرکز SOC باید دارای کنسولهایی باشند که امکانات SOC را تکمیل کرده و دسترسی موثر به اطلاعات و فضای کاری راحتی را برای آنها فراهم کند.
- زیر ساخت فعال[۱]: زیرساخت فعال به سختافزارها و نرمافزارهای زیربناییIT اشاره دارد که شبکه، امنیت، محاسبات، سیستمعامل، ذخیرهسازی، همکاری و سرویسهای مدیریت پرونده[۲] موردنیاز برای میزبانی از برنامههای SOC مانند جمعآوری و تجزیه و تحلیل دادهها، مدیریت آسیبپذیری و… را عرضه میکنند. یک راهحل کلی خوب میزبانی از مولفههای SOC در فضایی تحت مراقبت و خارج از شبکه با زیرساخت فیزیکی/منطقی امن اختصاص یافته به این محل است. مزیت اصلی جداسازی زیرساخت SOC، محافظت از سیستمها و اطلاعات از تاثیر حوادثی است که بر مولفههای مختلف تحت نظارت SOC اثرگذار هستند. سطح جداسازی به اهمیت SOC در سازمان و همچنین خطرات ایجاد شده در صورت عدم جداسازی بستگی دارد.
- شبکه: شبکه SOC باید بخشبندی شود. این کار از دادههای حساس محافظت کرده و در صورت به مخاطره افتادن یا وقوع دیگر اختلالات، خطر را به یک فضای محدود محصور میکند. تمام ابزارهای SOC باید در یک بخش اختصاصی قرار داشته باشد که از شبکه اصلی مجزا بوده اما اجازه دسترسی به ایستگاههای کاری تحلیلگران را میدهد. یک بخش مجزای دیگر نیز باید وجود داشته باشد که متصل به شبکه داخلی SOC نبوده و از آن برای سرویسهای استاندارد سازمانی مانند ترافیک اینترنت و ایمیل استفاده شود. علاوهبراین، بسیاری از SOCها به یک بخش اضافه برای کارهای مرتبط با بدافزار مانند مهندسی معکوس و Sandbox یا میزبانی سیستمهایی که برای انجام کارهای با ریسک بالا مورد استفاده قرار میگیرند، نیاز دارند.
- امنیت در زمان طراحی SOC: حفاظت از شبکه SOC، هاستها و برنامههای کاربردی در بالاترین اولویت قرار دارند. به مخاطره افتادن شبکه و سیستمهای SOC کل مساله ایجاد SOC را زیر سوال برده و اثرات منفی زیادی در قابلیتهای تشخیص، اعتماد سازمان و توجیه سرمایهگذاریهای آتی خواهد داشت. توسعه یک SOC امن با استفاده از جداسازی شبکه و کنترلهای امنیتی میتواند مانع وقوع Breach شود.
- محاسبات: محاسبات بهطور کلی به منابع پردازشی موجود در یک سیستم برحسب پردازندهها، هستهها و سرعت به گیگاهرتز (GHZ) اشاره دارد. مقدار و نوع منابع محاسباتی موردنیاز برای فعالیت زیرساخت SOC به عواملی چون سرویسهای SOC، مدل جمعآوری داده، محل، نوع و مقدار دادههایی که باید جمعآوری، پردازش و ذخیره شوند و فناوریهای مورد استفاده بستگی دارد. تمامی محاسبات منابع برای ایجاد مرکز SOC باید از قبل به درستی انجام شده باشد.
- انتخاب سیستمعامل: ابزارهای SOC به طور معمول به شکل بستههای نرمافزاری ارائه میشوند که از سیستمعاملهای رایج مانند ویندوز و انواع پیادهسازیهای یونیکس و لینوکس مانند Solaris، AIX، Red Hat و CentOS پشتیبانی میکنند. در هنگام بررسی یک سیستمعامل برای تحلیلگران SOC باید به برخی موارد توجه کرد. بهترین کار این است که در ابتدا سیستمعاملی مورد ارزیابی قرار گیرد که در حال حاضر در سطح سازمان استاندارد شده و استفاده میشود. علاوهبراین، باید اطمینان حاصل شود که تمام برنامههای اجرایی مورد نیاز، بر روی سیستمعامل انتخاب شده پشتیبانی میشوند.
- ذخیرهسازی: یکی از عملکردهای فنی مهم یک SOC جمعآوری، پردازش و ذخیره دادهها از منابع مختلف و با فرمتهای متفاوت است. مقدار دادههای جمعآوری و ذخیره شده میتواند از چند گیگابایت تا چند ترابایت یا حتی پتابایت در روز باشد که اندازه و توزیع این دادهها روی فناوری و طراحی استفاده شده برای ذخیرهسازی موثر آنها اثر میگذارد. راهاندازی زیرساخت ذخیرهسازی میتواند شامل گستره وسیعی از دیسکهای محلی تا یک راهکار ذخیرهسازی خوشهبندی شده توزیع شده، باشد.
- برنامهریزی ظرفیت: برنامهریزی ظرفیت بر اساس سیاست نگهداری دادههای SOC و موارد مورد نیاز برای بررسی تهدیدات انجام میشود. سیاست نگهداری دادهها به مدت زمان موردنیاز برای نگهداری دادههای جمعآوری شده اشاره دارد. هر چه نرخ جمعآوری دادهها بیشتر باشد، مدت زمان ذخیره و نگهداری آنها کمتر خواهد بود. در صورتی که ظرفیت ذخیرهسازی SOC پایینتر از نیازمندی مشخص شده توسط سیاست نگهداری دادهها باشد، توصیه میشود که راهکاری جهت پشتیبانگیری[۳] از دادهها پیادهسازی شده یا SOC با راهکارهای پشتیبانگیری پیادهسازی شده موجود، ادغام شود.
- همکاری: تیم SOC به دسترسی سریع و آسان به اطلاعات درباره سیستمها، ابزارها، فرآیندها، سیاستها و… نیاز دارد. این مهم با تامین محیطی فراهم میشود که امکان ارسال اطلاعات و بحث و گفتگو به سادگی را دارا باشد. در هنگام انتخاب یک پلتفرم همکاری SOC گزینههای مختلفی مانند استفاده از یک پلتفرم به سبک ویکی مانند ویکیمدیا[۴] یا یک برنامه اختصاصی طراحی شده برای سازمان را میتوان در نظر گرفت. سیاستهای امنیتی، طرحهای پاسخگویی به وقایع، فهرست داراییها، اطلاعات تماس، نمودارهای شبکه و غیره از جمله اطلاعاتی هستند که به طور کلی روی پلتفرم همکاری SOC به اشتراک گذاشته میشوند.
توجه شود که دسترسی به پلتفرمهای همکاری SOC باید با استفاده از مکانیزمهایی مانند احراز هویت کنترل شود.
سخن پایانی
همانطور که ذکر شد پیادهسازی SOC به طور معمول شامل ۴ فاز برنامهریزی، طراحی، ساخت و اجرا است. در مطلب حاضر جزئیات مورد نیاز دومین فاز، یعنی فاز طراحی SOC، مورد بحث قرار گرفت. پس از تکمیل این فاز، باید فاز سوم یعنی ساخت SOC صورت گیرد که در مطلبی مجزا به آن پرداخته خواهد شد.
شرکت امنپردازان کویر (APK) از شرکتهای پیشگام کشور در حوزه ارائه خدمات امنیت سایبری به سازمانها و شرکتها، با در اختیار داشتن مجموعهای از حرفهایترین مهندسان امنیت سایبری، آماده ارائه خدمات در زمینه پیادهسازی SOC در شرکتها و سازمانها است. جهت کسب اطلاعات بیشتر در این زمینه میتوانید با شماره ۰۲۱۴۲۲۳۸ تماس حاصل نمایید.
[۱] Active Infrastructure
[۲] Case Management Services
[۳] Backup
[۴] MediaWiki