راه اندازی مرکز SOC
با توجه به رشد روز افزون تهديدات سايبری و اقدامات لازم در جهت محافظت در مقابل حملات مدرن و نوين، وجود یک مرکز عملیات امنیتی (SOC) برای برنامهريزی، يكپارچهسازی و مديريت تهديدات امنيتی، امری واجب و ضروری میباشد. پراكندگی واحدهای مختلف تجهيزات امنيتی، مانند فايروال، تجهيزات شناسايی تهديدات و محافظت از نفوذ (IDS,IPS) آنتی ويروس و ثبت رويدادها و… سبب عكس العمل نادرست و كند در برابر حملات شده و عواقب پرهزينه و غيرقابل جبرانی را در پی دارد.
در واقع در روند طراحی و پیاده سازی یک مرکز عملیات امنیت یک چرخه وجود دارد که در صورت طی شدن درست تمامی مراحل، خروجی آن کارآمد خواهد بود. تعریف سیاستهای امنیتی سازمان، تعریف روندها، اختصاص نیروی متخصص برای پیاده سازی این روندها، ایجاد فرهنگ در سازمان و برقراری تعامل با افراد مرتبط، استفاده از تجهیزات، سرویسها و برنامههای کاربردی کارآمد و در آخر اختصاص افراد متخصص برای نگهداری این سرویس.
اگر در طراحی و پیاده سازی هر کدام از این المانها کارفرما و یا شرکت طراح و مجری ضعیف عمل نماید از موثر بودن خروجی SOC کاسته میشود. در نتیجه علی رغم وجود SOC شاهد آن خواهیم بود که سازمان سطح آسیبپذیری بالایی دارد.
در طی جلسات فنی تمرکز زیادی بر روی انتخاب محصولات میباشد اما شاید بتوان گفت بخش ایجاد فرهنگ SOC در سازمان و ایجاد تعامل بین افراد مرتبط با تیم SOC اصولا المانی است که کارایی آن را در عمل پایین میآورد. شرکتهای معتبری مانند اسپلانک و IBM قبل از شروع پروژه برای مشتریانشان جلسات آموزشی برگزار مینمایند و یا از طریق ویدئو و مستندات مفاهیم را به آنها آموزش میدهند، این آموزشها باعث میشود تا هر دو طرف تعریفهای یکسانی داشته باشند و در مراحل بعدی به مشکلات کمتری با یکدیگر برخورد خواهند کرد. بعد از آن به سراغ مراحل بعدی تعیین سیاستهای امنیتی و تعریف روندها و غیره میروند. IBM کمبود تخصص نیروهای درون سازمانی را یکی از چالشهای اصلی بر سرراه SOC میداند، در کنار آن بحث هزینه و تنوع و حجم زیاد دادههایی که بایستی correlate گردند را جز چالشهای اصلی SOC میداند.
شركت امن شبکه گستر تات از مجموعههای فعال در حوزه فناوری اطلاعات و ارتباطات است كه با هدف امنسازی فضای تبادل اطلاعات و با سابقهای چندين ساله امكان ارائه خدمات در حوزه امنيت اطلاعات به مؤسسات و سازمانهای دولتی و خصوصی را دارد. اين شركت با دارا بودن كادری مجرب از متخصصين اين حوزه قصد دارد افقهای جديدی را در صنعت امنيت اطلاعات فرا روی متقاضيان قرار دهد.
در اين طرح، راهكاری مطرح میشود كه با اجرای آن یک سيستم كنترل متمركز امنيتی طراحی و نصب شود.
معرفی مرکز عملیات امنیتی (SOC)
مركز عمليات امنيتی (Security Operations Center) شامل مجموعهای هماهنگ و مديريت شده از ساختار و سياستهای امنيتی شبكه میباشد كه به منظور يكپارچگی، مديريت و نظارت ساير تمهيدات امنيتی موجود در هر سازمان، راهاندازی میشود. در شكل زير محيط یک مركز عمليات امنيت را مشاهده مینمایید.
مزایای راهاندازی مرکز عملیات امنیتی (SOC)
- مانيتورينگ يكپارچه از عملكرد امنيتی فضای تبادل اطلاعات با توجه به تعدد تجهيزات و برنامههای كاربردی موجود در سازمان.
- اخطار، كشف تهديدات و مقابله در برابر حملات به صورت متمركز.
- ارائه گزارش بصورت مركزی.
- پشتيبانی حوادث (Incident Handling) در كل فضای تبادل اطلاعاتی سازمان.
- مديريت و نظارت متمركز كاركرد تجهيزات امنيتی.
- پيكربندی يكپارچه و مديريت شده روي ساير تجهيزات.
- سياستگذاری امنيتی هماهنگ در فضای تبادل اطلاعات سازمان.
- شناسايی آسيبپذيریهای ساير تجهيزات، سيستم عاملها و برنامههای كاربردی.
- به روز رسانی و وصله كردن آسيب پذيریهای موجود.
- ثبت وقايع و رويدادنگاری عملكرد تجهيزات، به صورت متمركز در پايگاه داده.
- نظارت بر تبادل دادهها و جلوگيری از نشت اطلاعات.
- همبستگی و تحليل هوشمندانه رويدادها و اعلان خطر در برابر وقايع مخاطره آميز.
- كشف جرايم و حملات انجام شده به واسطه سيستمهای رسيدگی قانونی (دستی و خودكار).
- رسيدگی قانونی فضای ارتباطی شبكه با نظارت بر تمام بستههای رد و بدل شده در بستر ازقبيل ترافيک IM،پيامهای صوتی، پست الكترونيكی و…
اجزاء و پیکربندی مرکز عملیات امنیتی (SOC)
بطور كلی مركز عمليات امنيتی شبكه از 5 ماژول زير تشكيل شده است:
- مولدهای وقایع (Event Generator)
- جمع آوری اطلاعات (Collection)
- پایگاه داده پیام (Massage Database)
- موتورهای تحلیل (Analysis Engines)
- مدیریت واکنش (Reaction Management)
چرا سازمانها به مرکز عملیات امنیت SOC نیاز دارند؟
حتماً سازمان شما دارای اطلاعات طبقهبندی شده یا اطلاعات محرمانه است. این اطلاعات امروزه در سیستمهای کارمندان شما ذخیره شده و بین افراد موجود در سازمان تبادل میشوند. حال اگر بستر درستی برای کنترل شبکه موجود در سازمان و رصد اتفاقات موجود در شبکه وجود نداشته باشد، قطعاً بسیاری از اطلاعات شما در معرض خطر قرار گرفته و ممکن است ضررهای هنگفتی به سازمان تحمیل شود.
پس راهاندازی مرکز عملیات امنیت SOC ، با درنظر گرفتن تمامی هزینههایی که سازمان متقبل میشود، میتواند از اتفاقات بسیار بد در آینده نزدیک جلوگیری کند. بانکها، مراکز دولتی حساس (مثل وزارتخانهها) و حتی شرکتهای خصوصی که در رقابت اطلاعاتی با رقیبان خود قرار دارند، حتماً باید یک بستر SOC با استانداردهای جهانی دارا باشند.