Search
Menu

راه‌اندازی و پیاده‌سازی SOC – بخش سوم: فاز ساخت

گفتیم که مرکز عملیات امنیت (SOC) بستری است که سرویس‌های کشف و پاسخ‌گویی در مقابل حوادث امنیتی را فراهم می‌آورد و به طور معمول، راه‌اندازی و پیاده‌سازی SOC به چهار فاز برنامه‌ریزی، طراحی، ساخت و اجرا نیاز دارد. تحقق هر یک از این فازها، نیازمند فعالیت‌های متنوعی است که لازم است مطابق با نیازهای دقیق سازمان انجام شوند. در راه‌اندازی و پیاده‌سازی SOC بخش اول: فاز برنامه‌ریزی و راه‌اندازی و پیاده‌سازی SOC بخش دوم: فاز طراحی، جزئیات دو فاز نخست، یعنی برنامه‌ریزی و طراحی مورد بررسی قرار گرفت. در ادامه به فاز سوم یعنی ساخت SOC پرداخته خواهد شد و مواردی که باید مورد توجه معماران SOC در زمان ارزیابی فناوری‌های قرار گیرد و ملاحظات بهترین روش‌ها در طراحی فناوری‌های کلی مانند شبکه، امنیت، سیستم‌ها، همکاری و ذخیره‌سازی بیان خواهد شد.

قبل از ارزیابی فناوری‌ها، در ابتدا محیط‌های متفاوت SOC یعنی SOC داخلی و SOC مجازی را بررسی می‌کنیم.

SOC مجازی و SOC داخلی چه تفاوت‌هایی دارند

در SOC داخلی فرض می­‌شود که قابلیت­‌های فناوری‌ها، فرآیندها و افراد، فارغ از مکان، اندازه و سایر ویژگی­‌ها، توسط بخشی که تیم و سرویس­‌های SOC در آن قرار دارند، توسعه یافته و ارائه ­شود. مزیت این روش آشنایی با محیط ساخت SOC است که افراد و فناوری‌های محلی را در خود جای داده است. در یک SOC مجازی، همه یا بخشی از خدمات SOC به یک ارائه‌دهنده خارجی برون‌سپاری می­شود. این کار سرعت ایجاد SOC را افزایش داده و همچنین قابلیت‌هایی را ارائه می‌دهد که ممکن است به صورت محلی قابل‌دسترس نباشند.

مدل SOC بر روی فناوری‌هایی مورداستفاده در عملیات‌های روزانه اثرگذار است. یک SOC داخلی با توجه به مسئولیت خرید و نگهداری محصولات، هزینه بیشتری دارد. در سوی مقابل، برون‌سپاری SOC به معنی برون‌سپاری برخی ابزارهاست. با این حال، حتی محیط یک SOC کاملا مجازی نیز دارای فناوری‌هایی محلی خواهد بود که باید به طور مناسب طراحی و مدیریت شوند. در ادامه، با تمرکز بر توسعه یک SOC داخلی، موضوعات رایج فناوری که در محیط‌های بالغ SOC یافت می‌شوند بررسی خواهند شد.

فناوری‌های رایج در ساخت SOC

شبکه

پایه و اساس هر SOC، شبکه‌ای است که بر روی آن عمل می‌کند. جزئیات طراحی و جنبه­‌های مسئولیت برای هر محیط متفاوت است اما برخی مفاهیم کلی در اکثر شبکه‌ها رایج هستند. شبکه‌ای که SOC از آن محافظت می­کند داخل، و هر چیزی که بخشی از شبکه سازمان نیست، خارج در نظر گرفته می‌شود. بدیهی است که ابتدا باید شبکه داخلی سازمان تعریف شود تا ابزارهای نظارتی قادر به شناسایی IPهای ناشناخته ‌در شبکه داخلی باشند. معمولا، شبکه داخلی به بخش‌های مختلفی تقسیم شده و سطوح مختلفی از اعتماد به آن‌ها اختصاص می‌یابد. شایع‌ترین تقسیم‌بندی دارای سه ناحیه[۱] بیرونی، DMZ و داخلی است که این نواحی به ترتیب کاملا غیرقابل‌اعتماد، کمی قابل‌اعتماد و کاملا قابل‌اعتماد هستند. ایده پشت این معماری پایه، سیستم‌هایی مانند وب‌سرورها که باید هم به داخل و هم به بیرون متصل باشند را در DMZ قرار داده و سطح کمی از اعتماد به آن‌ها اختصاص می‌یابد. بهتر است شبکه داخلی نیز به نواحی متفاوت امنیتی تقسیم شود تا لایه‌بندی اعتماد دقیق‌تری ایجاد شود. علاوه‌براین، استفاده از انواع مختلف LANهای مجازی، لیست‌های کنترل دسترسی[۲] (ACL) و برچسب‌های گروه امنیتی[۳] (SGT) برای پیاده‌سازی کنترل‌های ترافیکی درون نواحی امنیتی داخلی مختلف، اهمیت زیادی دارد.

امنیت

امنیت یک نیاز اساسی برای تمامی محیط­‌های SOC است. ایجاد امنیت در یک محیط شبکه باید به صورت یک فرایند مداوم در نظر گرفته شود. قبلا در مورد تقسیم‌بندی شبکه صحبت شد اما علاوه بر VLAN‌ها، ACL‌ها و SGT‌ها می‌توان از طریق ابزارهای امنیتی نیز به این مهم دست یافت. فایروال­‌ها، فیلترهای محتوا، و راه‌حل‌های کنترل دسترسی به شبکه از جمله فناوری‌های امنیتی هستند که می‌توانند تقسیم‌­بندی و کنترل ترافیک را ارائه دهند.

سیستم­ها

SOC بر ترافیک منابع زیادی، از جمله سیستم‌­های مورد استفاده توسط کارکنان سازمان و سرورهای مرکز داده نظارت می‌کند. با توجه به اندازه سازمان، امن‌­سازی سیستم‌­ها می‌­تواند بر عهده “پشتیبان پای میز”[۴]، “مدیریت مرکز داده” و یا بخش SOC باشد. در صورتی که SOC مسئول وضعیت امنیتی سیستم‌ها و سرورهای میزبان نباشد، باید بین تیم مسئول و جمع‌آوری Log وقایع در سیستم‌های نظارتی SOC همکاری وجود داشته باشد تا SOC چگونگی اثرگذاری این سیستم‌ها بر وضعیت کلی امنیت سازمان را درک کند. در غیر این صورت، باید مجموعه‌ای مشترک از اصول امنیتی برای تقویت همه سیستم‌ها ایجاد شود. استانداردسازی سخت‌افزار و سیستم عامل، اولین توصیه در این زمینه است. همچنین، در صورت نیاز به پشتیبانی از چند نوع دستگاه، خودکارسازی فرایند برپایی و اجرای یک سیاست استاندارد (فارغ از نوع دستگاه) بهترین روش است.

ذخیره‌سازی

سرویس‌های SOC برای تشخیص و پیش‌گیری از تهدیدها به شدت بر تجزیه و تحلیل داده‌ها تمرکز دارند. در نتیجه، باید حجم بسیار زیادی از داده‌ها شامل اطلاعات درباره کسب‌وکار، اطلاعات شخصی (درباره کارکنان، مشتریان و همکاران) و… جمع‌آوری و ذخیره شوند. علاوه‌براین، برای ممکن‌سازی انجام تحقیقات قانونی در صورت وقوع یک رویداد، برخی قواعد نظارتی ایجاب می‌کنند تا داده‌ها حداقل به مدت یک سال بایگانی شوند. این موارد و دیگر نیازهای عملیاتی ایجاب می‌کنند تا ذخیره‌سازی به گونه‌ای صورت گیرد که از داده‌ها در تمام طول چرخه عمر آن‌ها حفاظت کند. اولین گام برای ایمن‌سازی داده‌ها این است که تعیین شود که چه داده‌هایی باید ذخیره‌سازی شوند و ارزش آن‌ها برای سازمان چقدر است. با توجه به ارزش، SOC می‌تواند سطح خاصی از حفاظت را برای سیستم‌های ذخیره‌کننده داده‌های SOC، درخواست کند. علاوه‌براین، ممکن است لازم باشد تا معمار SOC تصمیم‌های زیادی را در راستای متعادل‌سازی امنیت و دسترس‌پذیری سیستم‌های ذخیره‌سازی اتخاذ کند. به‌کارگیری مفهوم “حداقل اختیارات”[۵] برای مجاز کردن فقط سرویس‌های لازم و دسترسی کاربر، توصیه ارائه شده در این زمینه است که این امر از طریق تقسیم‌بندی شبکه و مفاهیم امنیتی، که قبلا در مورد آن‌ها صحبت شد، قابل پیاده‌سازی است. یک مفهوم امنیتی مهم دیگر برای سیستم‌های ذخیره‌سازی اجرای یک مکانیزم حفاظت از فقدان داده است.

همکاری

یک SOC موفق با گروه‌های متفاوتی شامل اعضا درونی SOC، منابع انسانی، پشتیبان پای میز، ارائه‌دهندگان بیرونی، اعضای تیم مدیریت و… همکاری می‌کند. جهت همکاری باید امکان تعامل مناسب برای کارهای روزمره و موارد اضطراری وجود داشته باشد. معمولا بیشتر ابزارهای تعامل، از قبل در سازمان وجود دارند. ایمیل و وب‌سایت‌های داخلی مثال‌هایی در این زمینه هستند که می‌توانند برای اهداف مشخص SOC مورد استفاده قرار گیرند. با این حال، ممکن است نیاز به سفارشی‌سازی این ابزارها برای SOC باشد. علاوه‌براین، احتمالا مجموعه‌ای از اسناد باید بین گروه‌های مختلف به اشتراک گذاشته شود. گزینه‌های در دسترس بدین منظور شامل برنامه‌های تخصصی مثل Microsoft SharePoint، ذخیره‌سازی ابری و ایجاد یک صفحه ویکی- مانند است. VoIP و ویدئو نیز از جمله فناوری‌های تعاملی مبتنی بر شبکه معروف هستند که می‌توانند توسط SOC به گونه‌ای امن به‌کارگرفته شوند. یک نکته مهم در زمینه به‌کارگیری ابزارهای تعاملی این است که تمام فناوری‌های به‌کارگرفته شده باید قابلیت ثبت Log وقایع را داشته باشند و برای وقایع مرتبط با امنیت، آن‌ها را به SOC بفرستند.

سخن پایانی

همانطور که ذکر شد پیاده‌سازی SOC به طور معمول شامل ۴ فاز برنامه‌ریزی، طراحی، ساخت و اجرا است. در مطلب حاضر جزئیات نیازمند در نظر گرفته شدن در سومین فاز، یعنی فاز ساختSOC ، مورد بحث قرار گرفت. پس از تکمیل این فاز، باید فاز چهارم یعنی اجرا صورت گیرد که در مطلبی مجزا به آن پرداخته خواهد شد.

شرکت امن‌پردازان کویر (APK) از شرکت‌های پیشگام کشور در حوزه ارائه خدمات امنیت سایبری به سازمان‌ها و شرکت‌ها، با در اختیار داشتن مجموعه‌ای از حرفه‌ای‌ترین مهندسان امنیت سایبری، آماده ارائه خدمات در زمینه پیاده‌سازی SOC در شرکت‌ها و سازمان‌ها است. جهت کسب اطلاعات بیشتر در این زمینه می‌توانید با شماره ۰۲۱۴۲۲۳۸ تماس حاصل نمایید.

[۱] Zone

[۲] Access control list

[۳] Security group tag

[۴] Desktop support

[۵] Least privilege

کاتالوگ امن پردازان کویر
گزارش امنیتی
ایمیل خود را وارد کنید و عضو خبرنامه شوید.

آخرین اخبار

مقالات سایت

درباره شرکت

محصولات

خدمات

مقالات و منابع

ایمیل خود را وارد کنید تا از آخرین اخبار دنیای امنیت مطلع گردید.

تماس با ما
Telegram-plane Instagram Linkedin Eaparat

Info@apk-group.net

۴۲۲۷۳ - ۰۲۱

۳۶۲۹۰۹۹۰ - ۰۳۵

۴۵۸۱۲۳۹۶ (۰۲۱)

۳۶۲۹۰۹۹۲ (۰۳۵)

تهران - خیابان شهید بهشتی، خیابان صابونچی، کوچه ادایی، پلاک ۲، طبقه اول

یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان

تمامی حقوق وبسایت متعلق به شرکت امن‌پردازان کویر (APK) است.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.

در دنیای امنیت چه خبر؟
جهت دریافت آخرین اخبار دنیای امنیت شبکه و اطلاعات ایمیل خود را وارد کنید.