با اصطلاحات امنیتی مرتبط با مراکز عملیات امنیت (SOC)بیشتر آشنا شوید – بخش دوم

آشنایی با زبان امنیت اطلاعات از ارکان اساسی بهبود فرهنگ امنیت سایبری محسوب می‌شود و داشتن یک واژه‌نامه به عنوان مرجعی برای این اصطلاحات، یکی از مهم‌ترین پیش‌نیازهای یک کسب وکار و به بهبود این فرهنگ است. همانطور که در قسمت اول این مقاله، به معرفی برخی از این اصطلاحات مرتبط با مرکز عملیات امنیت پرداخته شد، قسمت دوم این مقاله نیز به بیان سایر اصطلاحات تخصصی مربوطه می‌پردازد.

فرایندها: استانداردها و رهنمودهای انطباقی

استانداردها و قواعد امنیت اطلاعات مولفه‌های بسیار مهمی برای ایجاد یک وضعیت امنیتی مناسب هستند. نقض قواعد انطباقی می‌تواند منجر به برخی مجازات‌ها و خسارت‌های قانونی شده و بی‌توجهی نسبت به استانداردهای توصیه شده نیز کاهش تاثیر اقدامات امنیتی را به همراه خواهد داشت.

FISMA: “قانون مدیریت امنیت اطلاعات فدرال”^[۲] (FISMA) ایالات متحده در سال ۲۰۰۲ و با هدف ایجاد یک چارچوب برای محافظت از دارایی‌ها، عملیات‌ها و اطلاعات دولتی در مقابل تهدیدات طبیعی یا تصنعی به تصویب رسیده است. علاوه‌براین، FISMA مسئولیت اطمینان از تامین امنیت داده‌های دولت فدرال را برعهده آژانس‌هایی مشخص قرار داده است.

GDPR: “قوانین عمومی حفاظت از داده‌ها”^[۳] (GDPR)  مقرراتی هستند که شرکت‌های فعال در حداقل یکی از کشورهای عضو اتحادیه اروپا را ملزم به حفاظت از داده‌های شخصی و محرمانگی شهروندان این اتحادیه می‌کند.

HIPPA: “قانون انتقال و پاسخ‌گویی الکترونیک بیمه سلامت”^[۴] از سوابق اطلاعات پزشکی بیماران محافظت می‌کند. این قانون به طور مشخص، بر ذخیره‌سازی، پردازش، انتقال و دسترسی امن به “اطلاعات سلامت الکترونیکی حفاظت شده”^[۵] (ePHI) حاکم است.

NIST: “موسسه‌ی ملی فناوری و استانداردها”^[۶] یک نهاد غیرنظارتی است که تحت نظر وزارت بازرگانی آمریکا فعالیت می‌کند. انتشارات سری ۸۰۰ این موسسه لیست کاملی از معیارها و کنترل‌های امنیت اطلاعات را ارائه می‌کند که به واسطه تحقیقات گسترده به دست آمده است،.

PCI: “استاندارد امنیت اطلاعات در صنعت کارت‌های پرداخت”^[۷] (PCI-DSS) برای محافظت از معاملات مبتنی بر کارت‌های اعتباری و بانکی، همچنین جلوگیری از سوءاستفاده توسط شرکت‌ها و فروشندگان (که به صورت الکترونیکی داده‌های دارندگان کارت‌ها را جمع‌آوری می‌کنند) از اطلاعات شخصی دارندگان کارت‌ها توسعه داده شده است.

SOC 2: گزارش “کنترل خدمات سازمان ۲”^[۸] برای هر سازمانی که اطلاعات مشتریان را بر روی بستر ابری ذخیره می‌نماید، نیازمندی‌های کنترل امنیتی حداقلی را تعیین کرده است. اکثر ارائه‌دهندگان خدمات امنیتی مدیریت شده (MSSPها) در ذیل این گزارش قرار می‌گیرند. هدف این گزارش کاهش حداکثری ریسک‌ها و خطرات مربوط به اطلاعات مبتنی بر ابر است

SOX: “قانون ساربنز-آکسلی”^[۹] در سال ۲۰۰۲ ارائه شده و به واسطه‌ی آن، ذخیره‌سازی امن تمام سوابق شرکت‌ها برای یک بازه‌ی زمانی حداقل ۵ ساله، قبل از پاک کردن آن‌ها، اجباری شده است. هدف اصلی این قانون جلوگیری از تقلب در شرکت‌هاست.

فناوری: محصولات امنیتی

معمولا ابزارها، فناوری‌ها و روش‌های استفاده شده در هر SOC، ترکیبی دلخواه از موارد زیر است:

AV: آنتی‌ویروس (AV) نوعی نرم‌افزار امنیتی در فناوری اطلاعات است که جستجو، شناسایی، مسدودسازی و حذف بدافزارها را انجام می‌دهد. برنامه‌های آنتی‌ویروس به طور معمول در پس‌زمینه اجرا شده و به جستجوی امضاهای متناظر با بدافزارهای شناخته شده و الگوهای رفتاری‌ای می‌پردازند که ممکن است نمایانگر حضور بدافزار باشند،.

CASB: یک “کارگزار امنیت دسترسی به ابر”^[۱۰] یک نرم‌افزار مبتنی بر ابر یا مستقر در محل است که بین یک مصرف‌کننده و یک ارائه‌دهنده‌ی خدمات ابری قرار گرفته و به عنوان ابزاری برای اجرای سیاست‌های امنیتی یک سازمان از طریق شناسایی خطرات و انطباق با قواعد نظارتی، در زمان دسترسی به داده‌های ذخیره شده بر روی ابر آن سازمان به کار می‌رود.

EDR: “شناسایی و پاسخ‌گویی به تهدیدات در نقاط پایانی” (EDR) دسته‌ای نوظهور از ابزارها و راهکارهای امنیتی هستند که بر تشخیص، بررسی و مقابله با فعالیت‌های مشکوک در نقاط پایانی و Hostها تمرکز دارند. توانایی EDR در تشخیص تهدیدهای پیشرفته (که ممکن است الگوهای رفتاری شناخته شده نداشته باشند) و بدافزارهایی که امضا متناظر با آن‌ها ناشناخته است، ارزش آنر ا مشخص می‌کند. EDR همچنین می‌تواند بر اساس ماهیت تهدیدات تشخیص داده شده منجر به یک پاسخ انطباق‌پذیر شود.

EPP: “حفاظت از نقاط پایانی”^[۱۱] یک نسخه کمتر پیشرفته و به صورت مرکزی مدیریت شده از EDR است که دستگاه‌ها (لپ‌تاپ‌ها، تبلت‌ها و تلفن‌های هوشمند) را در یک شبکه شرکتی ایمن می‌نماید. EPP با دیگر راهکارهای امنیتی مبتنی بر نقطه پایانی (مانند آنتی‌ویروس، که به طور معمول در نقاط پایانی مستقل مدیریت می‌شوند)، تفاوت دارد.

IAM: “مدیریت هویت و دسترسی”^[۱۲] به چارچوب و مجموعه‌ای از سیاست‌ها اشاره دارد که مدیریت هویت الکترونیکی کاربران را ایجاب می‌کنند. اطمینان از دستیابی کاربران به درجات دسترسی و امتیازات مناسب برای سیستم‌های IT و همچنین در نظر گرفتن شاخص‌های احراز هویت برای الزام اجرای این امتیازات، هدف IAM است.

IDS/IPS: سیستم‌های تشخیص نفوذ ^[۱۳] (IDS) و سیستم‌های پیشگیری از نفوذ^[۱۴] (IPS)  نظارت بلادرنگ بر ترافیک شبکه و هشداردهی خودکار در صورت تشخیص نشانه‌های به مخاطره‌افتادگی (IoCها) را ارائه می‌دهند. تنها تفاوت مابین IDS و IPS در این است که سیستم‌های پیشگیری از نفوذ گاهی می‌توانند با تشخیص یک نفوذ، اقداماتی را نیز تجویز نمایند.

IR: “پاسخ‌گویی به حوادث”^[۱۵] (IR) به پروتکل‌ها و فرایندهایی سازمان‌یافته اطلاق می‌شود که در صورت تشخیص یک نشانه‌ی به‌مخاطره‌افتادگی یا تایید یک نفوذ به طور خودکار اجرا می‌شوند. هدف IR در یک SOC مقابله‌ی سریع با تهدیداتی مانند نفوذ یک بدافزار، نشت داده یا دیگر حملات سایبری و محدودسازی آسیب‌های بیشتر است. بازیابی داده‌های از دست رفته و احیای سیستم‌های مختل شده و همچنین تجزیه و تحلیل‌های پس از حادثه برای شناسایی درس‌های آموخته شده از واقعه، تماما در حیطه‌ی IR قرار دارند.

NGFW: فایروال‌ نسل بعدی (NGFW) سیستم‌های امنیت شبکه‌ای هستند که از ترکیبی از فایروال‌های شرکتی^[۱۶]، فناوری‌های پیشگیری از نفوذ و کنترل برنامه برای شناسایی و مسدودسازی تهدیدات پیشرفته‌تر استفاده می‌کنند. یک NGFW می‌تواند با معنا بخشیدن به ترافیک برنامه‌های تحت وب، شناسایی و مسدودسازی فعالیت‌های مخرب بسیار ماهرانه را، به‌طور موثرتر انجام دهد. ابزارهای NGFW می‌توانند به صورت مستقر در محل یا بر بستر فضای ابری مدیریت شوند.

SIEM: یک ابزار مدیریت وقایع و امنیت اطلاعات به متمرکزسازی تمام داده‌های Log مربوط به امنیت در یک نقطه مرجع می‌پردازد. نرم‌افزار SIEM باید با طیف گسترده‌ای از منابع داده از جمله ابزارهای امنیتی (فایروال، IDS،AV و…) ادغام شده تا بتواند تمام داده‌های مرتبط را به یک کنسول مدیریت مرکزی هدایت کرده تا در آن‌جا به طور مداوم تجزیه و تحلیل شوند. ابزار SIEM یک مولفه‌ی اساسی برای هر SOC می‌باشد.

UEBA: فناوری “تجزیه و تحلیل رفتار کاربران و موجودیت‌ها”^[۱۷] به بررسی فعالیت‌های کاربران برای تمایز انحرافات از رفتارهای عادی می‌پردازد. فناوری UEBA به کاهش اختلالاتی مانند مثبت‌های کاذب که ممکن است در تجزیه و تحلیل داده‌های Log روی دهند، کمک می‌کند.

VM: “مدیریت آسیب‌پذیری”^[۱۸] عبارت است از بررسی آسیب‌پذیری‌های بالقوه به صورت پویا و در ادامه انجام اقدامات تاییدی، مقابله‌ای و اصلاحی موردنیاز برای بهبود کلی امنیت شبکه.

WAF: یک “فایروال برنامه‌های تحت وب” به نظارت، جداسازی و در صورت نیاز مسدودسازی بسته‌های داده‌ای می‌پردازد که از برنامه‌های تحت وب خارج شده یا به آن‌ها منتقل می‌شوند. ابزارهای WAF در مسدودسازی حملات به برنامه‌های مبتنی بر وب ِ شناخته شده‌ای مفید هستند، که به طور معمول NGFWها را دور می زنند.

[۱] Security Operation Center

[۲] Federal Information Security Management Act

[۳] General Data Protection Regulation

[۴] Health Insurance Portability and Accountability Act

[۵] Electronic Protected Health Information

[۶] National Institute of Standards and Technology

[۷] Payment Card Industry Data Security Standard

[۸] Service Organization Control 2

[۹] Sarbanes-Oxley Act

[۱۰] Cloud Access Security Broker

[۱۱] Endpoint Protection

[۱۲] Identity Access and Management

[۱۳] Intrusion Detection System

[۱۴] Intrusion Prevention System

[۱۵] Incident Response

[۱۶] Enterprise firewall

[۱۷] User and Entity Behavior Analytics

[۱۸] Incident Response

[۱۸] Enterprise firewall

[۱۸] User and Entity Behavior Analytics

[۱۸] Vulnerability Management