راه اندازی مرکز SOC

طرح راه‌اندازی مرکز عملیات امنیتی (SOC)

با توجه به رشد روز افزون تهديدات سايبری و اقدامات لازم در جهت محافظت در مقابل حملات مدرن و نوين، وجود یک مرکز عملیات امنیتی (SOC) برای برنامه‌ريزی، يكپارچه‌سازی و مديريت تهديدات امنيتی، امری واجب و ضروری می‌باشد. پراكندگی واحدهای مختلف تجهيزات امنيتی، مانند فايروال، تجهيزات شناسايی تهديدات و محافظت از نفوذ (IDS,IPS) آنتی ويروس و ثبت رويدادها و… سبب عكس العمل نادرست و كند در برابر حملات شده و عواقب پرهزينه و غيرقابل جبرانی را در پی دارد.

در واقع در روند طراحی و پیاده سازی یک مرکز عملیات امنیت یک چرخه وجود دارد که در صورت طی شدن درست تمامی مراحل، خروجی آن کارآمد خواهد بود. تعریف سیاست‌های امنیتی سازمان، تعریف روندها، اختصاص نیروی متخصص برای پیاده سازی این روندها، ایجاد فرهنگ در سازمان و برقراری تعامل با افراد مرتبط، استفاده از تجهیزات، سرویس‌ها و برنامه‌های کاربردی کارآمد و در آخر اختصاص افراد متخصص برای نگهداری این سرویس.

اگر در طراحی و پیاده سازی هر کدام از این المان‌ها کارفرما و یا شرکت طراح و مجری ضعیف عمل نماید از موثر بودن خروجی SOC کاسته می‌شود. در نتیجه علی رغم وجود SOC شاهد آن خواهیم بود که سازمان سطح آسیب‌پذیری بالایی دارد.

در طی جلسات فنی تمرکز زیادی بر روی انتخاب محصولات می‌باشد اما شاید بتوان گفت بخش ایجاد فرهنگ SOC در سازمان و ایجاد تعامل بین افراد مرتبط با تیم SOC اصولا المانی است که کارایی آن را در عمل پایین می‌آورد.  شرکت‌های معتبری مانند اسپلانک و IBM قبل از شروع پروژه برای مشتریانشان جلسات آموزشی برگزار می‌نمایند و یا از طریق ویدئو و مستندات مفاهیم را به آن‌ها آموزش می‌دهند، این آموزش‌ها باعث می‍شود تا هر دو طرف تعریف‌های یکسانی داشته باشند و در مراحل بعدی به مشکلات کمتری با یکدیگر برخورد خواهند کرد. بعد از آن به سراغ مراحل بعدی تعیین سیاست‌های امنیتی و تعریف روندها و غیره می‌روند. IBM کمبود تخصص نیروهای درون سازمانی را یکی از چالش‌های اصلی بر سرراه SOC می‌داند، در کنار آن بحث هزینه و تنوع و حجم زیاد داده‌هایی که بایستی correlate گردند را جز چالش‌های اصلی SOC می‌داند.

شركت امن شبکه گستر تات از مجموعه‌های فعال در حوزه فناوری اطلاعات و ارتباطات است كه با هدف امن‌سازی فضای تبادل اطلاعات و با سابقه‌ای چندين ساله امكان ارائه خدمات در حوزه امنيت اطلاعات به مؤسسات و سازمان‌های دولتی و خصوصی را دارد. اين شركت با دارا بودن كادری مجرب از متخصصين اين حوزه قصد دارد افق‌های جديدی را در صنعت امنيت اطلاعات فرا روی متقاضيان قرار دهد.

در اين طرح، راهكاری مطرح می‌شود كه با اجرای آن یک سيستم كنترل متمركز امنيتی طراحی و نصب شود.

معرفی مرکز عملیات امنیتی (SOC)

مركز عمليات امنيتی (Security Operations Center) شامل مجموعه‌ای هماهنگ و مديريت شده از ساختار و سياست‌های امنيتی شبكه می‌باشد كه به منظور يكپارچگی، مديريت و نظارت ساير تمهيدات امنيتی موجود در هر سازمان، راه‌اندازی می‌شود. در شكل زير محيط یک مركز عمليات امنيت را مشاهده می‌نمایید.

مرکز عملیات امنیتی (SOC)

مزایای راه‌اندازی مرکز عملیات امنیتی (SOC)

  • مانيتورينگ يكپارچه از عملكرد امنيتی فضای تبادل اطلاعات با توجه به تعدد تجهيزات و برنامه‌های كاربردی موجود در سازمان.
  • اخطار، كشف تهديدات و مقابله در برابر حملات به صورت متمركز.
  • ارائه گزارش بصورت مركزی.
  • پشتيبانی حوادث (Incident Handling) در كل فضای تبادل اطلاعاتی سازمان.
  • مديريت و نظارت متمركز كاركرد تجهيزات امنيتی.
  • پيكربندی يكپارچه و مديريت شده روي ساير تجهيزات.
  • سياست‌گذاری امنيتی هماهنگ در فضای تبادل اطلاعات سازمان.
  • شناسايی آسيب‌پذيری‌های ساير تجهيزات، سيستم عامل‌ها و برنامه‌های كاربردی.
  • به روز رسانی و وصله كردن آسيب پذيری‌های موجود.
  • ثبت وقايع و رويداد‌نگاری عملكرد تجهيزات، به صورت متمركز در پايگاه داده.
  • نظارت بر تبادل داده‌ها و جلوگيری از نشت اطلاعات.
  • همبستگی و تحليل هوشمندانه رويداد‌ها و اعلان خطر در برابر وقايع مخاطره آميز.
  • كشف جرايم و حملات انجام شده به واسطه سيستم‌های رسيدگی قانونی (دستی و خودكار).
  • رسيدگی قانونی فضای ارتباطی شبكه با نظارت بر تمام بسته‌های رد و بدل شده در بستر ازقبيل ترافيک IM،پيام‌های صوتی، پست الكترونيكی و…
مرکز عملیات امنیتی (SOC)
مرکز عملیات امنیتی (SOC)

اجزاء و پیکربندی مرکز عملیات امنیتی (SOC)

بطور كلی مركز عمليات امنيتی شبكه از 5 ماژول زير تشكيل شده است:

  • مولدهای وقایع (Event Generator)
  • جمع آوری اطلاعات (Collection)
  • پایگاه داده پیام (Massage Database)
  • موتورهای تحلیل (Analysis Engines)
  • مدیریت واکنش (Reaction Management)

چرا سازمان‌ها به مرکز عملیات امنیت SOC نیاز دارند؟

حتماً سازمان شما دارای اطلاعات طبقه‌بندی شده یا اطلاعات محرمانه است. این اطلاعات امروزه در سیستم‌های کارمندان شما ذخیره شده و بین افراد موجود در سازمان تبادل می‌شوند. حال اگر بستر درستی برای کنترل شبکه موجود در سازمان و رصد اتفاقات موجود در شبکه وجود نداشته باشد، قطعاً بسیاری از اطلاعات شما در معرض خطر قرار گرفته و ممکن است ضررهای هنگفتی به سازمان تحمیل شود.
پس راه‌اندازی مرکز عملیات امنیت SOC ، با درنظر گرفتن تمامی هزینه‌هایی که سازمان متقبل می‌شود، می‌تواند از اتفاقات بسیار بد در آینده نزدیک جلوگیری کند. بانک‌ها، مراکز دولتی حساس (مثل وزارت‌خانه‌ها) و حتی شرکت‌های خصوصی که در رقابت اطلاعاتی با رقیبان خود قرار دارند، حتماً باید یک بستر SOC با استانداردهای جهانی دارا باشند.