گفتیم که مرکز عملیات امنیت (SOC) بستری است که سرویسهای کشف و پاسخگویی در مقابل حوادث امنیتی را فراهم میآورد و به طور معمول، راهاندازی و پیادهسازی SOC به چهار فاز برنامهریزی، طراحی، ساخت و اجرا نیاز دارد. تحقق هر یک از این فازها، نیازمند فعالیتهای متنوعی است که لازم است مطابق با نیازهای دقیق سازمان انجام شوند. در راهاندازی و پیادهسازی SOC بخش اول: فاز برنامهریزی و راهاندازی و پیادهسازی SOC بخش دوم: فاز طراحی، جزئیات دو فاز نخست، یعنی برنامهریزی و طراحی مورد بررسی قرار گرفت. در ادامه به فاز سوم یعنی ساخت SOC پرداخته خواهد شد و مواردی که باید مورد توجه معماران SOC در زمان ارزیابی فناوریهای قرار گیرد و ملاحظات بهترین روشها در طراحی فناوریهای کلی مانند شبکه، امنیت، سیستمها، همکاری و ذخیرهسازی بیان خواهد شد.
قبل از ارزیابی فناوریها، در ابتدا محیطهای متفاوت SOC یعنی SOC داخلی و SOC مجازی را بررسی میکنیم.
SOC مجازی و SOC داخلی چه تفاوتهایی دارند
در SOC داخلی فرض میشود که قابلیتهای فناوریها، فرآیندها و افراد، فارغ از مکان، اندازه و سایر ویژگیها، توسط بخشی که تیم و سرویسهای SOC در آن قرار دارند، توسعه یافته و ارائه شود. مزیت این روش آشنایی با محیط ساخت SOC است که افراد و فناوریهای محلی را در خود جای داده است. در یک SOC مجازی، همه یا بخشی از خدمات SOC به یک ارائهدهنده خارجی برونسپاری میشود. این کار سرعت ایجاد SOC را افزایش داده و همچنین قابلیتهایی را ارائه میدهد که ممکن است به صورت محلی قابلدسترس نباشند.
مدل SOC بر روی فناوریهایی مورداستفاده در عملیاتهای روزانه اثرگذار است. یک SOC داخلی با توجه به مسئولیت خرید و نگهداری محصولات، هزینه بیشتری دارد. در سوی مقابل، برونسپاری SOC به معنی برونسپاری برخی ابزارهاست. با این حال، حتی محیط یک SOC کاملا مجازی نیز دارای فناوریهایی محلی خواهد بود که باید به طور مناسب طراحی و مدیریت شوند. در ادامه، با تمرکز بر توسعه یک SOC داخلی، موضوعات رایج فناوری که در محیطهای بالغ SOC یافت میشوند بررسی خواهند شد.
فناوریهای رایج در ساخت SOC
شبکه
پایه و اساس هر SOC، شبکهای است که بر روی آن عمل میکند. جزئیات طراحی و جنبههای مسئولیت برای هر محیط متفاوت است اما برخی مفاهیم کلی در اکثر شبکهها رایج هستند. شبکهای که SOC از آن محافظت میکند داخل، و هر چیزی که بخشی از شبکه سازمان نیست، خارج در نظر گرفته میشود. بدیهی است که ابتدا باید شبکه داخلی سازمان تعریف شود تا ابزارهای نظارتی قادر به شناسایی IPهای ناشناخته در شبکه داخلی باشند. معمولا، شبکه داخلی به بخشهای مختلفی تقسیم شده و سطوح مختلفی از اعتماد به آنها اختصاص مییابد. شایعترین تقسیمبندی دارای سه ناحیه[۱] بیرونی، DMZ و داخلی است که این نواحی به ترتیب کاملا غیرقابلاعتماد، کمی قابلاعتماد و کاملا قابلاعتماد هستند. ایده پشت این معماری پایه، سیستمهایی مانند وبسرورها که باید هم به داخل و هم به بیرون متصل باشند را در DMZ قرار داده و سطح کمی از اعتماد به آنها اختصاص مییابد. بهتر است شبکه داخلی نیز به نواحی متفاوت امنیتی تقسیم شود تا لایهبندی اعتماد دقیقتری ایجاد شود. علاوهبراین، استفاده از انواع مختلف LANهای مجازی، لیستهای کنترل دسترسی[۲] (ACL) و برچسبهای گروه امنیتی[۳] (SGT) برای پیادهسازی کنترلهای ترافیکی درون نواحی امنیتی داخلی مختلف، اهمیت زیادی دارد.
امنیت
امنیت یک نیاز اساسی برای تمامی محیطهای SOC است. ایجاد امنیت در یک محیط شبکه باید به صورت یک فرایند مداوم در نظر گرفته شود. قبلا در مورد تقسیمبندی شبکه صحبت شد اما علاوه بر VLANها، ACLها و SGTها میتوان از طریق ابزارهای امنیتی نیز به این مهم دست یافت. فایروالها، فیلترهای محتوا، و راهحلهای کنترل دسترسی به شبکه از جمله فناوریهای امنیتی هستند که میتوانند تقسیمبندی و کنترل ترافیک را ارائه دهند.
سیستمها
SOC بر ترافیک منابع زیادی، از جمله سیستمهای مورد استفاده توسط کارکنان سازمان و سرورهای مرکز داده نظارت میکند. با توجه به اندازه سازمان، امنسازی سیستمها میتواند بر عهده “پشتیبان پای میز”[۴]، “مدیریت مرکز داده” و یا بخش SOC باشد. در صورتی که SOC مسئول وضعیت امنیتی سیستمها و سرورهای میزبان نباشد، باید بین تیم مسئول و جمعآوری Log وقایع در سیستمهای نظارتی SOC همکاری وجود داشته باشد تا SOC چگونگی اثرگذاری این سیستمها بر وضعیت کلی امنیت سازمان را درک کند. در غیر این صورت، باید مجموعهای مشترک از اصول امنیتی برای تقویت همه سیستمها ایجاد شود. استانداردسازی سختافزار و سیستم عامل، اولین توصیه در این زمینه است. همچنین، در صورت نیاز به پشتیبانی از چند نوع دستگاه، خودکارسازی فرایند برپایی و اجرای یک سیاست استاندارد (فارغ از نوع دستگاه) بهترین روش است.
ذخیرهسازی
سرویسهای SOC برای تشخیص و پیشگیری از تهدیدها به شدت بر تجزیه و تحلیل دادهها تمرکز دارند. در نتیجه، باید حجم بسیار زیادی از دادهها شامل اطلاعات درباره کسبوکار، اطلاعات شخصی (درباره کارکنان، مشتریان و همکاران) و… جمعآوری و ذخیره شوند. علاوهبراین، برای ممکنسازی انجام تحقیقات قانونی در صورت وقوع یک رویداد، برخی قواعد نظارتی ایجاب میکنند تا دادهها حداقل به مدت یک سال بایگانی شوند. این موارد و دیگر نیازهای عملیاتی ایجاب میکنند تا ذخیرهسازی به گونهای صورت گیرد که از دادهها در تمام طول چرخه عمر آنها حفاظت کند. اولین گام برای ایمنسازی دادهها این است که تعیین شود که چه دادههایی باید ذخیرهسازی شوند و ارزش آنها برای سازمان چقدر است. با توجه به ارزش، SOC میتواند سطح خاصی از حفاظت را برای سیستمهای ذخیرهکننده دادههای SOC، درخواست کند. علاوهبراین، ممکن است لازم باشد تا معمار SOC تصمیمهای زیادی را در راستای متعادلسازی امنیت و دسترسپذیری سیستمهای ذخیرهسازی اتخاذ کند. بهکارگیری مفهوم “حداقل اختیارات”[۵] برای مجاز کردن فقط سرویسهای لازم و دسترسی کاربر، توصیه ارائه شده در این زمینه است که این امر از طریق تقسیمبندی شبکه و مفاهیم امنیتی، که قبلا در مورد آنها صحبت شد، قابل پیادهسازی است. یک مفهوم امنیتی مهم دیگر برای سیستمهای ذخیرهسازی اجرای یک مکانیزم حفاظت از فقدان داده است.
همکاری
یک SOC موفق با گروههای متفاوتی شامل اعضا درونی SOC، منابع انسانی، پشتیبان پای میز، ارائهدهندگان بیرونی، اعضای تیم مدیریت و… همکاری میکند. جهت همکاری باید امکان تعامل مناسب برای کارهای روزمره و موارد اضطراری وجود داشته باشد. معمولا بیشتر ابزارهای تعامل، از قبل در سازمان وجود دارند. ایمیل و وبسایتهای داخلی مثالهایی در این زمینه هستند که میتوانند برای اهداف مشخص SOC مورد استفاده قرار گیرند. با این حال، ممکن است نیاز به سفارشیسازی این ابزارها برای SOC باشد. علاوهبراین، احتمالا مجموعهای از اسناد باید بین گروههای مختلف به اشتراک گذاشته شود. گزینههای در دسترس بدین منظور شامل برنامههای تخصصی مثل Microsoft SharePoint، ذخیرهسازی ابری و ایجاد یک صفحه ویکی- مانند است. VoIP و ویدئو نیز از جمله فناوریهای تعاملی مبتنی بر شبکه معروف هستند که میتوانند توسط SOC به گونهای امن بهکارگرفته شوند. یک نکته مهم در زمینه بهکارگیری ابزارهای تعاملی این است که تمام فناوریهای بهکارگرفته شده باید قابلیت ثبت Log وقایع را داشته باشند و برای وقایع مرتبط با امنیت، آنها را به SOC بفرستند.
سخن پایانی
همانطور که ذکر شد پیادهسازی SOC به طور معمول شامل ۴ فاز برنامهریزی، طراحی، ساخت و اجرا است. در مطلب حاضر جزئیات نیازمند در نظر گرفته شدن در سومین فاز، یعنی فاز ساختSOC ، مورد بحث قرار گرفت. پس از تکمیل این فاز، باید فاز چهارم یعنی اجرا صورت گیرد که در مطلبی مجزا به آن پرداخته خواهد شد.
شرکت امنپردازان کویر (APK) از شرکتهای پیشگام کشور در حوزه ارائه خدمات امنیت سایبری به سازمانها و شرکتها، با در اختیار داشتن مجموعهای از حرفهایترین مهندسان امنیت سایبری، آماده ارائه خدمات در زمینه پیادهسازی SOC در شرکتها و سازمانها است. جهت کسب اطلاعات بیشتر در این زمینه میتوانید با شماره ۰۲۱۴۲۲۳۸ تماس حاصل نمایید.
[۱] Zone
[۲] Access control list
[۳] Security group tag
[۴] Desktop support
[۵] Least privilege