مرکز عملیات امنیت (SOC) بستری برای سرویسهای کشف و پاسخگویی در مقابل حوادث امنیتی است. در مرکز عملیات امنیت، مجموعهای از ابزارها و فناوریهای مورد استفاده در SOC جهت نظارت، پایش، تجزیه و تحلیل و انجام عکسالعملهای مناسب به کار گرفته میشوند. بهکارگیری ابزارها و فناوریهای مناسب نقشی اساسی در اثربخشی SOC دارد. با توجه به این مهم، در ادامه این مطلب، ابزارها و فناوریهایی که به طور معمول در اغلب محیطهای SOC بالغ به کار گرفته شدهاند، بررسی خواهند شد.
ابزارها و فناوریهای مورد استفاده در SOC: فایروال
فایروالها ابزارهایی هستند که به منظور جلوگیری از دسترسی بدون احراز هویت به یک شبکه طراحی شدهاند. انواع مختلفی از فایروالها در بازار موجود است، از فایروالهای Stateful ساده تا ابزارهایی با امکانات بسیار زیاد که قادر به فیلتر محتوا، کنترل برنامههای کاربردی، جلوگیری از نفوذ و غیره هستند. مورد استفاده اصلی یک فایروال، تفکیکسازی شبکه و کنترل دسترسی بین بخشها است. روش مورد استفاده توسط یک فایروال برای تفکیک یک شبکه میتواند با توجه به پیکربندی مورد استفاده توسط آن و نوع تفکیکسازی مورد نیاز، متفاوت باشد. فایروالهای برنامههای تحت وب (WAFها) از پرکاربردترین فایروالها هستند. این فایروالها از برنامههای در معرض عموم، مانند وبسایتها و APIها در مقابل آسیبپذیریها و حملات مخربی مانند حملات DDoS، SQL injection و XSS دفاع میکنند.
کنترل دسترسی شبکه
کنترل دسترسی شبکه (NAC) اساسا برای کنترل دسترسی کاربران و دستگاههای متفاوت به بخشهای مختلف شبکه مورد استفاده قرار میگیرد. NACهای پیشرفتهتر، خودکارسازی فرایند NAC و امکانات بیشتری مانند تهیه پروفایل از دستگاهها و وضعیت شبکه را ارائه میدهند. فناوری NAC ممکن است از امکانات موجود بر روی دستگاههای دسترسی بوده یا محصولی باشد که با دستگاههای شبکه ارتباط برقرار میکند. فناوریهای NAC نوین به طور معمول امکانات زیر را ارائه میدهند:
- کنترل دسترسی خودکار برای شبکههای LAN، VPN و Wireless
- دسترسی مهمان
- تهیه پروفایل برای دستگاههای شبکه
- ارزیابی وضعیت دستگاهها
- گزینههای اصلاح، مانند بهروزرسانی نرمافزار در صورتی که یک دستگاه با سیاستهای شبکه همخوان نباشد
- محدودسازی یا جلوگیری از دسترسی به دستگاهها با توجه به سیاستهای انطباقی یا اقدامات مدیریتی.
فناوری NAC باید در تمام طول شبکه به کار گرفته شود و همه دستگاهها و کاربران را تحت نظر بگیرد. در صورت عدم پشتیبانی از برخی نقاط پایانی، باید گزینههای جایگزین برای در بر گرفتن آن دستگاهها در بهکارگیری NAC وجود داشته باشد. نتیجه نهایی بهکارگیری NAC باید کاربران و دستگاههای محتلف را بر اساس حداقل سرویسهای موردنیاز آنها برای انجام وظایف خود تفکیک کند. دستیابی به این سطح از تقسیمبندی باید به جای اعمال در آغاز بهکارگیری سیستم، به تدریج حاصل شود.
وبپروکسی[۸]
به محض اجازه دسترسی به شبکه، کاربران به احتمال زیاد تلاش میکنند تا از طریق مرورگر یا ایمیل به اینترنت متصل شوند. اجازه دسترسی به اینترنت خطرات زیادی را برای سازمانها ایجاد میکند. در نتیجه، باید از لایههای حفاظتی جهت پیشگیری از وقوع نقض[۹] امنیتی استفاده نمود. فیلترسازی منابع تحت وب که به طور بالقوه خطرناک یا نامناسب هستند، اولین لایه حفاظتی در این زمینه است. فیلتر محتوا به طور معمول از طریق یک وبپروکسی یا “فایروال لایه Application” ارائه میگردد که به طور پیوسته با توجه به محیط فعلی اینترنت بهروزرسانی میشود. بهروزرسانی موردنظر میتواند شامل دستهبندی وبسایتها بر اساس ریسکهای مربوطه و دیگر دادهها (مانند هوش تهدید درباره آنچه دیگر مشتریان در زمان دستیابی به آن منابع وب مشاهده میکنند) باشد. قمار و هک از جمله دستههایی هستند که به طور معمول توسط سازمانها مسدود میشود.
ابزارها و فناوریهای مورد استفاده در SOC: تشخیص/پیشگیری از نفوذ
شناسایی تهدیدها معمولا با استفاده از یک راهکار امنیتی مبتنی بر Signature و یا مبتنی بر رفتار صورت میگیرد. راهکارهای تشخیص نفوذ (IDS) قادر به شناسایی تهدیدات بوده و راهکارهای پیشگیری از نفوذ (IPS) علاوه بر نظارت، قادر به واکنش در برابر حملات هستند. لازم به ذکر است که راهکارهای IPS باید به صورت توکار به کار گرفته شود؛ در غیر این صورت، سیستم یک نسخه کپی از ترافیک را مشاهده کرده و در نتیجه تنها یک IDS خواهد بود.
تشخیص Breach
تشخیص نقض امنیتی یا Breach Detection به ابزارهایی اطلاق میشود که برای نظارت جهت یافتن تهدیداتی که از همه نقاط ایست بازرسی گذر کردهاند، طراحی شدهاند. این ابزارها به عنوان جایگزینی برای آنتیویروسها یا سیستمهای تشخیص نفوذ طراحی نشدهاند، چرا که آنتیویروسها و سیستمهای تشخیص نفوذ حملات شناخته شده را با استفاده از فناوریهایی متفاوت از ابزارهای Breach Detection برای شناسایی تهدیدات ناشناخته، هدف قرار میدهند. فناوریهای Breach Detection حداقل یکی از تکنیکهای زیر را دنبال میکنند:
- شناسایی بدافزارها با استفاده از Signatureها یا تجزیه و تحلیل رفتار
- تجزیه و تحلیل محتوا، جریان و دیگر روندهای ترافیک شبکه
- استفاده از Sandboxها جهت تقلید دستگاههای داخلی واقعی
- شبیهسازی مرورگر
هانیپات[۱۲]، Sandbox، تشخیص نقض امنیتی در نقاط پایانی، Endpoint Detection and Response یا EDR و Network Telemetry نمونههایی از تکنیکهای تشخیص Breach هستند.
ابزارها و فناوریهای مورد استفاده در SOC: ابزار SIEM
راهکارهای امنیت اطلاعات و مدیریت رویدادها یا به اختصار SIEM اطلاعات ورود به سیستم و رویدادها را جمعآوری و بصورت Real-Time تجزیه و تحلیل کرده و از این طریق برای تیم SOC بینش و آگاهی از سابقه فعالیتهای موجود در شبکه را فراهم میکنند.
ابزار SIEM لاگها را از زیرساخت شبکه شامل برنامههای کاربردی، دستگاههای امنیتی، نقاط پایانی و غیره جمعآوری کرده و با استفاده از این دادهها به شناسایی، دستهبندی و تحلیل رویدادهای امنیتی کمک میکند. ابزار SIEM یکی از مهمترین ابزارهای مورد استفاده در مرکز عملیات امنیت (SOC) محسوب میشود.
از کاربردهای SIEM میتوان به موارد زیر اشاره کرد:
- مانیتورینگ امنیت
- جمعآوری و ذخیره دادهها
- شناسایی تهدیدات پیشرفته داخلی و خارجی
- جستجوی تهدیدات در شبکه
- پاسخگویی به رخدادها و حوادث
- بازرسی امنیت یا Forensic
Forensic شبکه
فارنزیک (Forensic) به معنی تحقیق و جستجو در مورد شواهد و کشف حقایق مرتبط با رویدادها است. بسیاری از سازمانها مراحل اولیه تحقیقات را انجام میدهند و در ادامه و در صورت بزرگ و گسترده بودن رویداد واقع شده، از مراجع قانونی که آموزشها و فناوریهای مناسب برای تحقیقات دیجیتال را در اختیار دارند، کمک میگیرند. توصیه بسیار مهمی که در این زمینه وجود دارد این است که قبل از تجربه هر گونه رویداد امنیتی، اطلاعات تماس بخشهای حقوقی مختلف شناسایی شود تا مرکز عملیات امنیت (SOC) بتواند پس از وقوع یک رویداد، به سرعت واکنش نشان دهد.
در صورتی که SOC قصد انجام تحقیقات فارنزیک را داشته باشد، جهت جلوگیری از تخریب شواهد، باید این کار را با پیروی از دستورالعملهای مشخص موجود انجام دهد. به عنوان مثال، بازرسان امنیتی هرگز نباید سیستمهایی که احتمالا شواهدی بر روی آنها وجود دارد را خاموش کنند؛ چرا که چرخه خاموش و روشن کردن سیستم میتواند منجر به حذف شواهد مهم یا تخریب Log وقایع شود. همچنین توصیه میشود تنها به افرادی که به طور مناسب در زمینه فارنزیک دیجیتال آموزش دیدهاند، اجازه مشارکت در تحقیقات داده شود.
ابزارهای زیادی برای فارنزیک دیجیتال وجود دارند. اولین دسته از این ابزارها که باید در نظر گرفته شوند چارچوبهای بازرسی امنیتی دیجیتالی مانند Digital Forensics Framework، Open Computer Forensics Architecture و Autopsy هستند که به مستندسازی تحقیقات کمک میکنند. ابزارهای ضبط داده یا دیسک، ابزارهای تجزیه و تحلیل فایل، ایمیل، اینترنت، دستگاههای موبایل، ابزارهای نسخهبرداری[۱۵] و ذخیرهسازی از دیگر ابزارهایی هستند که باید در این زمینه در نظر داشت.
سخن پایانی
شرکت امنپردازان کویر (APK) از شرکتهای پیشگام کشور در حوزهی ارائه خدمات امنیت سایبری به سازمانها و شرکتها، با در اختیار داشتن مجموعهای از حرفهایترین مهندسان امنیت سایبری، آماده ارائه خدمات در قالب مشاوره، نظارت و راهاندازی مراکز SOC در شرکتها و سازمانها است. جهت کسب اطلاعات بیشتر در این زمینه میتوانید با شماره ۰۲۱۴۲۲۳۸ تماس حاصل نمایید.
[۱] Security operations center
[۲] Firewall
[۳] Segmentation
[۴] Web application firewall
[۵] Network access control
[۶] Access devices
[۷] Remediation
[۸] Web proxies
[۹] Breach
[۱۰] Intrusion Detection/Prevention
[۱۱] Inline
[۱۲] Honeypot
[۱۳] Endpoint detection and response
[۱۴] Network forensics
[۱۵] Duplication