SOC khedmat

مراکز عملیات امنیتی دریاچه‌ای از به کارگیری فناوری های نو در حوزه های شناسایی شبکه، امنیت اطلاعات، تشخیص و نظارت بر جریان داده ها، پیمایش و استخراج داده ها از متن گزارش ها، جستجوی آسیب پذیری ها، مدیریت حوادث، ردگیری تهدیدات، پیکربندی تجهیزات، مدیریت ریسک و... است.

مجموعه این گستره رنگارنگ از وظایف و قابلیت های متنوع و بعضاً غیر مرتبط به کار گرفته شده نیازمند تعریف دقیق مشخصات به منظور ایجاد امکان قابلیت مدیریت هم زمان، پیوسته و متحد این امکانات را الزام می کند.

با توجه به شکل فراگیر و خمیری فعالیت های تعریف شده در چهارچوب نام مشترک مرکز عملیات امنیت۱ امکان تعریف مشخصات و استانداردهای دقیق به منظور تعریف کلیه فرایندها، ساختار اجزاء و وظایف گنجانده شده در آن توسط نهادهای معتبر استانداردگذاری وجود نداشته است و تنها به توصیه ها و نکات تجربی پیاده سازی های موفق در گذشته در این مورد اکتفا شده است

در این مرحله باید ساختار کلی و ساختار عمومی فنی طرح SOC با کلیه ویژگی های اصلی و عمومی آن مطرح گردد.شکل ساختار SOC و ارتباط این سامانه با دیگر اجزای هوشمند و امنیتی شبکه از لحاظ فنی این سامانه با استفاده از تجهیزات امنیت اطلاعات و مدیریت رخداد (SIEM) توسط سنسورهای نرم افزاری و یا سخت افزاری، در ابتدا شروع به شناسایی نودهای شبکه و تعامل با سامانه های همجوار می کند (ارتباط با کلیه تجهیزات شبکه ای، تجهیزات امنیتی، سیستم عامل ها، سرویس های نرم افزاری و برنامه های کاربردی) و نیز به جمع آوری گزارشات و رخدادهای آن ها توسط سنسورهای ارتباطی مذکور می پردازد. در این قسمت گزارشات و رخدادها و حتی داده های خام در سامانه جمع آوری و ماژول قالب دهی قرارگرفته و طبق یک استاندارد خاص، پیام برای واحد پایگاه داده محلی ارسال می گردد.

در این پایگاه داده، پیام ها، وضعیت ها و هشدارها برای موتور هوشمند هم بستگی ارسال شده است که این واحد ضمن تحلیل اطلاعات و بهره گیری از یک پایگاه دانش (متشکل از پایگاه آسیب پذیری ها، وضعیت میزبان ها، خط مشی امنیتی و رکورد تنظیمات میزبان ها) گزارشات مشکوک، رخدادها و حوادث گوناگون از مکان ها و زمان های مختلف را از شبکه را کنار هم دیگر چینش نموده و با یک چیدمان صحیح (از یک پازل و یا معما) به حملات هوشمند و گسترده در سطح سازمان پی برده و سپس اطلاعات و گزارش طبقه بندی شده خود را در قالب گزارش بلادرنگ و تحلیل آماری به کنسول SOC ارسال می کند و تیم پشتیبانی می توانند توسط صفحات نمایشی مخصوص این اطلاعات را رویت کرده و نسبت به آن اقدام مناسب انجام دهند.

شکل سامانه SOC داده های مورد نیاز را دریافت، تحلیل و هم بستگی کرده و سپس نسبت به موارد تهدید، آسیب پذیری و یا حمله اقدام عملیاتی و یا گزارشی می دهد.

لازم به ذکر است که SOC از سامانه اختصاصی مدیریت امنیت اطلاعات و رخدادها (SIEM) با بهره گیری از هوش مصنوعی، مصداق های آسیب پذیری های موجود، تهدیدات داخلی وخارجی متعددی را شناسایی و آن ها را برطرف می نماید و توپولوژی شبکه را طبق برنامه ریزی استراتژیک امنیتی خود تغییر می دهد و در صورت عدم توانایی رفع آن ها، نتیجه تحلیل را همراه با اطلاعات مربوطه به عنوان یک هشدار تا حصول اطمینان ابتدا به تیم پشتیبانی SOT و سپس به تیم CERT بازمیگرداند.

 

سامانه امنیت اطلاعات و مدیریت رخداد (SIEM) به صورت کلی از ادغام دو واحد و محصول زیر بوجود آمده است :

  • مدیریت امنیت اطلاعات (SIM) : مدیریت وقایع و گزارشات
  • مدیریت رخدادهای امنیتی (SEM) : مانیتورینگ بلادرنگ و مدیریت حوادث برای رخدادهای مربوط به امنیت شبکه، تجهیزات امنیتی، سیستم ها و برنامه های کاربردی

شرکت های متعددی در خصوص تولید این محصول فعالیت هایی انجام داده اند که مهمترین های آن ها عبارتند از :

 

Iranian Parham SIEM / ArcSight SIEM / LogLogic SIEM / nFx SIEM / RSA SIEM / Splunk SIEM / LogRhythm SIEM

محصولات مذکور ضمن دارا بودن ویژگی های استفاده در شبکه های سازمانی و بزرگ، از کلیه تجهیزات شرکت سیسکو نیز پشتیبانی می کنند.

عموماً فناوری SIEM برای پشتیبانی موارد زیر اجرا و پیاده سازی می گردد :

  • مدیریت ثبت وقایع و گزارشات مهم و مناسب
  • مدیریت تهدید : مانیتورینگ بلادرنگ فعالیت های کاربر، دسترسی به داده ها، فعالیت برنامه های کاربردی و مدیریت حوادث

پیاده سازی SIEM گرچه اغلب سرمایه گذاری در خصوص نیاز اولیه به گزارش گیری ها می باشد، اما سازمان می تواند از این فرصت برای افزایش قابلیت های مدیریت تهدید و واکنش به حوادث خود استفاده نماید.

یکی از راه کارهای اجرایی بهره گیری از سامانه SIEM، استفاده از سامانه های بومی ملی می باشد که با توجه به شرایط بحران کنونی و ابرتهدیدات شبکه ای و اینترنتی موجود، پیشنهاد جدی می شوند، سازمان و مجریان SOC ملی، از محصولات SIEM داخلی استفاده نمایند. این موضوع ضمن مقوله خودکفایی، حمایت از تولیدکنندگان داخلی، کاهش هزینه اجرا و خروج ارز، امکان خطرات جاسوسی و درب نشت اطلاعات را به حداقل می رساند.

راه کار بعدی، استفاده از برنامه ها و سرویس دهنده کدباز SIEM مانند OSSIM و OSSEC می باشد. پیاده سازی آن بسیار ساده است و در بسیاری موارد بسته ی نرم ا افزاری آن رایگان ارائه می گردد. این راه کار بعلت محدودیت های ذاتی برنامه برای سازمان های بزرگ و گسترده و یا سازمان های با دارایی های باارزش و حساس به عنوان یک راه کار جامع پیشنهاد نمی گردد.

راه کار دیگر، استفاده از محصولات خارجی آزموده شده می باشد. این محصولات به عنوان محصولات فراامنیتی، دارای قدرت آنالیز و سرعت واکنش بالا و در مقیاس های گسترده قابل پیاده سازی می باشند. البته پیاده سازی آن پیچیده و دشوار بوده و هزینه های طراحی و اجرای آن بسیاز زیاد می باشد. استفاده از این تجهیزات بعلت عدم تضمین پشتیبانی و بروزرسانی و امکان وجود خطرات جاسوسی و درب نشت اطلاعات دارای ریسک بالایی است

پس از اجرای هر پروژه ای، ضمانت استمرار اطمینان از عملکرد و بازده سیستم، مقوله نگهداری و پشتیبانی از سامانه و زیر سامانه های آن است. سازمان و یا مجری می بایست توسط یک تیم مقیم اختصاصی با کمک تیم پشتیبانی SOT به صورت همزمان به عملیات پشتیبانی و نگهداری سامانه های SOC بپردازند تا در نهایت بعد از مدت زمانی معلوم وظایف پشتیبانی فنی به تیم پشتیبانی SOT و امور سلامت و ضمانت تجهیزات به تیم اختصاصی مجری واگذار گردد. بازدیدهای دوره ای و عملیات نگهداری پیش گیرانه در این فاز نیز ادامه دارد.