Search
Menu

راه‌اندازی و پیاده‌سازی SOC – بخش دوم: فاز طراحی

مرکز عملیات امنیت (SOC) بستری است که سرویس‌های کشف و پاسخ‌گویی در مقابل حوادث امنیتی را فراهم می‌آورد. گفتیم که به طور معمول، راه‌اندازی و پیاده‌سازی SOC شامل چهار فاز برنامه‌ریزی، طراحی، ساخت و اجرا است که برای تحقق هر یک از این فازها، لازم است فعالیت‌های متنوعی مطابق با نیازهای دقیق سازمان انجام شوند. در راه‌اندازی و پیاده‌سازی SOC- بخش اول: فاز برنامه‌ریزی، جزئیات فاز نخست یعنی فاز برنامه‌ریزی، مورد بررسی قرار گرفت. در ادامه به فاز دوم یعنی طراحی SOC پرداخته خواهد شد.

موارد مهم در طراحی SOC

بسیاری از سیستم‌های مورد استفاده در SOC حاوی اطلاعات محرمانه‌ای هستند که افشای آن‌ها، تاثیرات منفی زیادی بر سازمان خواهد گذاشت. در نتیجه، سرویس SOC باید به صورت امن و قابل‌اطمینان در دسترس باشد. با توجه به اهمیت این موضوع، در ادامه این مطلب عوامل تاثیرگذار بر طراحی SOC مورد بررسی قرار خواهد گرفت. قلمرو SOC، مدل عملیات، زمان‌بندی پیاده‌سازی SOC و سرویس‌­های SOC از جمله مواردی هستند که باید در طراحی SOC در نظر گرفته شوند. نوع امکانات، شبکه‌بندی، امنیت، محاسبه حافظه، همکاری، Ticketing و نیازمندی­‌های مدیریتی نیز برخی نواحی زیرساختی هستند که باید مورد توجه قرار گیرند.

  • امکانات: بحث امکانات، عوامل مرتبط با آماده‌سازی محیطی مناسب برای میزبانی تیم و خدمات SOC را دربرمی‌گیرد. به طور کلی، طراحی SOC باید به گونه‌­ای باشد که ضمن ایجاد یک محیط کار راحت، همکاری موثر بین اعضای SOC را تسهیل کند. علاوه‌براین، تمام سیستم‌ها و داده‌های نگهداری شده در SOC باید از امنیت مناسب برخوردار باشند.
  • سرویس‌های تحلیل‌گران SOC: تحلیل‌گران مستقر در مرکز SOC باید دارای کنسول‌هایی باشند که امکانات SOC را تکمیل کرده و دسترسی موثر به اطلاعات و فضای کاری راحتی را برای آن‌ها فراهم کند.
  • زیر ساخت فعال[۱]: زیرساخت فعال به سخت‌افزارها و نرم‌افزارهای زیربناییIT اشاره دارد که شبکه، امنیت، محاسبات، سیستم‌عامل، ذخیره‌سازی، همکاری و سرویس‌های مدیریت پرونده[۲] موردنیاز برای میزبانی از برنامه‌های SOC مانند جمع‌آوری و تجزیه و تحلیل داده‌ها، مدیریت آسیب‌پذیری و… را عرضه می‌کنند. یک راه‌حل کلی خوب میزبانی از مولفه‌های SOC در فضایی تحت مراقبت و خارج از شبکه با زیرساخت فیزیکی/منطقی امن اختصاص یافته به این محل است. مزیت اصلی جداسازی زیرساخت SOC، محافظت از سیستم­ها و اطلاعات از تاثیر حوادثی است که بر مولفه‌های مختلف تحت نظارت SOC اثرگذار هستند. سطح جداسازی به اهمیت SOC در سازمان و همچنین خطرات ایجاد شده در صورت عدم جداسازی بستگی دارد.
  • شبکه: شبکه SOC باید بخش‌بندی شود. این کار از داده‌های حساس محافظت کرده و در صورت به مخاطره افتادن یا وقوع دیگر اختلالات، خطر را به یک فضای محدود محصور می‌کند. تمام ابزارهای SOC باید در یک بخش اختصاصی قرار داشته باشد که از شبکه اصلی مجزا بوده اما اجازه دسترسی به ایستگاه‌های کاری تحلیل‌گران را می‌دهد. یک بخش مجزای دیگر نیز باید وجود داشته باشد که متصل به شبکه داخلی SOC نبوده و از آن برای سرویس‌های استاندارد سازمانی مانند ترافیک اینترنت و ایمیل استفاده شود. علاوه‌براین، بسیاری از SOCها به یک بخش اضافه برای کارهای مرتبط با بدافزار مانند مهندسی معکوس و Sandbox یا میزبانی سیستم­‌هایی که برای انجام کارهای با ریسک بالا مورد استفاده قرار می­گیرند، نیاز دارند.
  • امنیت در زمان طراحی SOC: حفاظت از شبکه SOC، هاست‌­ها و برنامه‌های کاربردی در بالاترین اولویت قرار دارند. به مخاطره افتادن شبکه و سیستم‌های SOC کل مساله ایجاد SOC را زیر سوال برده و اثرات منفی زیادی در قابلیت‌های تشخیص، اعتماد سازمان و توجیه سرمایه‌گذاری‌های آتی خواهد داشت. توسعه یک SOC امن با استفاده از جداسازی شبکه و کنترل‌های امنیتی می­تواند مانع وقوع Breach شود.
  • محاسبات: محاسبات به‌طور کلی به منابع پردازشی موجود در یک سیستم برحسب پردازنده‌ها، هسته‌ها و سرعت به گیگاهرتز (GHZ) اشاره دارد. مقدار و نوع منابع محاسباتی موردنیاز برای فعالیت زیرساخت SOC به عواملی چون سرویس‌های SOC، مدل جمع‌آوری داده، محل، نوع و مقدار داده‌هایی که باید جمع‌آوری، پردازش و ذخیره شوند و فناوری‌های مورد استفاده بستگی دارد. تمامی محاسبات منابع برای ایجاد مرکز SOC باید از قبل به ‌درستی انجام شده باشد.
  • انتخاب سیستم‌عامل: ابزارهای SOC به طور معمول به شکل بسته‌های نرم‌افزاری ارائه می‌شوند که از سیستم‌عامل‌های رایج مانند ویندوز و انواع پیاده‌سازی‌های یونیکس و لینوکس مانند Solaris، AIX، Red Hat و CentOS پشتیبانی می‌کنند. در هنگام بررسی یک سیستم‌عامل برای تحلیل‌گران SOC باید به برخی موارد توجه کرد. بهترین کار این است که در ابتدا سیستم‌عاملی مورد ارزیابی قرار گیرد که در حال حاضر در سطح سازمان استاندارد شده و استفاده می‌شود. علاوه‌براین، باید اطمینان حاصل شود که تمام برنامه­‌های اجرایی مورد نیاز، بر روی سیستم‌­عامل انتخاب شده پشتیبانی می‌شوند.
  • ذخیره‌سازی: یکی از عملکردهای فنی مهم یک SOC جمع­‌آوری، پردازش و ذخیره داده‌ها از منابع مختلف و با فرمت‌های متفاوت است. مقدار داده‌های جمع‌آوری و ذخیره شده می‌تواند از چند گیگابایت تا چند ترابایت یا حتی پتابایت در روز باشد که اندازه و توزیع این داده‌­ها روی فناوری و طراحی استفاده شده برای ذخیره­سازی موثر آن‌ها اثر می‌­گذارد. راه‌اندازی زیرساخت ذخیره‌­سازی می‌­تواند شامل گستره وسیعی از دیسک­‌های محلی تا یک راهکار ذخیره‌سازی خوشه‌بندی شده توزیع شده، باشد.
  • برنامه‌ریزی ظرفیت: برنامه‌ریزی ظرفیت بر اساس سیاست نگهداری داده‌های SOC و موارد مورد نیاز برای بررسی تهدیدات انجام می‌­شود. سیاست نگهداری داده‌ها به مدت زمان موردنیاز برای نگهداری داده‌های جمع‌آوری شده اشاره دارد. هر چه نرخ جمع‌آوری داده‌ها بیشتر باشد، مدت زمان ذخیره و نگهداری آنها کمتر خواهد بود. در صورتی که ظرفیت ذخیره‌سازی SOC پایین‌تر از نیازمندی مشخص شده توسط سیاست نگهداری داده‌ها ‌باشد، توصیه می­‌شود که راهکاری جهت پشتیبان‌گیری[۳] از داده‌­ها پیاده‌سازی شده یا SOC با راهکارهای پشتیبان‌گیری پیاده‌سازی شده موجود، ادغام شود.
  • همکاری: تیم SOC به دسترسی سریع و آسان به اطلاعات درباره سیستم‌ها، ابزارها، فرآیندها، سیاست‌­ها و… نیاز دارد. این مهم با تامین محیطی فراهم می‌شود که امکان ارسال اطلاعات و بحث و گفتگو به سادگی را دارا باشد. در هنگام انتخاب یک پلتفرم همکاری SOC گزینه‌­های مختلفی مانند استفاده از یک پلتفرم به سبک ویکی مانند ویکی‌مدیا[۴] یا یک برنامه اختصاصی طراحی شده برای سازمان را می‌توان در نظر گرفت. سیاست‌های امنیتی، طرح‌های پاسخ‌گویی به وقایع، فهرست دارایی­‌ها، اطلاعات تماس، نمودار‌های شبکه و غیره از جمله اطلاعاتی هستند که به طور کلی روی پلتفرم همکاری SOC به اشتراک گذاشته می‌شوند.

توجه شود که دسترسی به پلتفرم‌­های همکاری SOC باید با استفاده از مکانیزم‌هایی مانند احراز هویت کنترل شود.

سخن پایانی

همانطور که ذکر شد پیاده‌سازی SOC به طور معمول شامل ۴ فاز برنامه‌ریزی، طراحی، ساخت و اجرا است. در مطلب حاضر جزئیات مورد نیاز دومین فاز، یعنی فاز طراحی SOC، مورد بحث قرار گرفت. پس از تکمیل این فاز، باید فاز سوم یعنی ساخت SOC صورت گیرد که در مطلبی مجزا به آن پرداخته خواهد شد.

شرکت امن‌پردازان کویر (APK) از شرکت‌های پیشگام کشور در حوزه ارائه خدمات امنیت سایبری به سازمان‌ها و شرکت‌ها، با در اختیار داشتن مجموعه‌ای از حرفه‌ای‌ترین مهندسان امنیت سایبری، آماده ارائه خدمات در زمینه پیاده‌سازی SOC در شرکت‌ها و سازمان‌ها است. جهت کسب اطلاعات بیشتر در این زمینه می‌توانید با شماره ۰۲۱۴۲۲۳۸ تماس حاصل نمایید.

[۱] Active Infrastructure

[۲] Case Management Services

[۳] Backup

[۴] MediaWiki

کاتالوگ امن پردازان کویر
گزارش امنیتی
ایمیل خود را وارد کنید و عضو خبرنامه شوید.

آخرین اخبار

مقالات سایت

درباره شرکت

محصولات

خدمات

مقالات و منابع

ایمیل خود را وارد کنید تا از آخرین اخبار دنیای امنیت مطلع گردید.

تماس با ما
Telegram-plane Instagram Linkedin Eaparat

Info@apk-group.net

۴۲۲۷۳ - ۰۲۱

۳۶۲۹۰۹۹۰ - ۰۳۵

۴۵۸۱۲۳۹۶ (۰۲۱)

۳۶۲۹۰۹۹۲ (۰۳۵)

تهران - خیابان شهید بهشتی، خیابان صابونچی، کوچه ادایی، پلاک ۲، طبقه اول

یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان

تمامی حقوق وبسایت متعلق به شرکت امن‌پردازان کویر (APK) است.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.

در دنیای امنیت چه خبر؟
جهت دریافت آخرین اخبار دنیای امنیت شبکه و اطلاعات ایمیل خود را وارد کنید.