عملیات امنیت

مرکز عملیات امنیت چیست و نحوه کار آن چگونه است

مرکز عملیات امنیت چیست

مرکز عملیات امنیت چیست و نحوه کار آن چگونه است

مركز عمليات امنيت[1] مكاني است جهت پايش و كنترل 24 ساعته امنيت ورود و خروج اطلاعات در قلمروي فضاي تبادل اطلاعات با نگرش تشخيص تهديدات امنيتي.

با توجه به رشد روزافزون تعداد و پیچیدگی حملات سایبری و همچنین عواقب نشت اطلاعات، ضروری است تا سازمان‌ها به اقدامات پیش‌گیرانه و توسعه سیستم­‌های نظارتی هوشمند و یکپارچه در قالب برنامه‌های پاسخ به رویداد[2] بپردازند. توسعه مرکز عملیات امنیت (SOC) اقدامی است که در پاسخ به این نیاز انجام می­‌گیرد.

SOC، با تکيه بر مجموعه‌­اي از تجهيزات سخت‌افزاري و نرم‎‌افزاري، گزارش‌­های سيستم­‌ها و سرويس‌­هاي امنيتي شبکه­‌هاي ارتباطي، سيستم­‌عامل­‌ها، نرم‌­افزارهاي مختلف و همچنين تجهیزات مختلف امنیت شبکه را جمع­‌آوري نموده و با همگون‌­سازی و تلفيق گزارش­‌هاي مختلف و بهره­‌گیری از نرم­‌افزارهای پیشرفته و سخت‎افزارها و متخصصين امر، آن‌ها را تحلیل می‌نماید. مرکز عملیات امنیت براي شناسايي و اعلام رخداد، داراي مکانيزم‌هايی جهت رصد خودکار تجهيزات شبکه، سخت‌افزارها و نرم‎ا‌فزارها بوده و قادر است از نفوذ هکرها، بدافزارها و تهديدات امنیتی از طريق منابع داخلي و خارجي جلوگيري کند.

به طور کلی، SOC یک سیستم با هدف ارتقاء هوشمندی امنیت سازمان است که با توجه به سه پارامتر زیر به این هدف دست می‌یابد.

  • اثرپذیری: SOC تمامی وقایع رخ داده در سطوح مختلف سیستم­‌های اطلاعاتی را رصد و ذخیره کرده و مورد تجزیه و تحلیل قرار می­دهد. علاوه‌براین، SOC می‌تواند نقاط ضعف، حفره‌های امنیتی و رفتارهای غیرمعمول موجود در سیستم را شناسایی کند.
  • اثرگذاری: پس از شناسایی حفره­‌های امنیتی و رفتارهای مشکوک، سیاست­‌های کنترل دسترسی و تنظیمات امنیتی متناسب با رخدادهای امنیتی مشاهده شده بر روی هر کدام از تجهیزات موجود در شبکه و در سرتاسر سیستم اطلاعاتی اعمال می‌شود. عملیات مذکور متناسب با سطح مركز عمليات امنيت، می­‌تواند به صورت خودکار و یا به صورت دستی و با کمک نیروی متخصص امنیت صورت پذیرد.
  • یادگیری: مركز عمليات امنيت پس از شناسایی حفره‌های امنیتی و ارائه راهکار مناسب جهت مقابله با رخدادهای امنیتی، پایگاه دانش خود را به­روز نموده و بدین طریق قادر به انجام اقدامات سریع و مناسب در برابر حملات مشابهی که در آینده رخ می‌دهند، است.

مزایای راه‌اندازی و پیاده‌سازی SOC

راه‌­اندازی و پیاده‌­سازی SOC در حالت کلی مزایای ذیل را در پی خواهد داشت:

  • کاهش هزینه زمانی موردنیاز برای جمع­‌آوری اطلاعات و رخدادها و هشدارها در مواقع اضطراری
  • کاهش هزینه‌­های نگهداری، پردازش و تحلیل اطلاعات رخدادها و هشدارها و همچنین کشف ارتباط بین آن­ها
  • کاهش هزینه ارزیابی و بررسی رخدادها و حوادث
  • کاهش هزینه نیروی منابع انسانی در رسیدگی به حوادث
  • کاهش هزینه ناشی از قطع سرویس­‌دهی

ابزارها و فناوری‌های مورد استفاده در مرکز SOC 

SOC فناوری، فرایندها و افراد را به عنوان سه عنصر کلیدی برای کاهش خطرات امنیتی به کار می‌گیرد. در ادامه، به توصیف این عناصر پرداخته می‌شود:

  • فناوری: استفاده از تجهیزات سخت‌­افزاری و نرم­ا‌فزاری متناسب با نیاز کارفرما جهت مانیتورینگ، پایش، تجزیه و تحلیل و انجام عکس‎العمل‎های مناسب از ضروریات یک SOC است. یکی از ابزارهای مهم که در مرکز عملیات امنیت به کار گرفته می‌شود راهکار SIEM است، به بیان دیگر SIEM مغز متفکر مرکز عملیات امنیت محسوب می‌شود. از این رو انتخاب محصول مناسب در موفقیت و کارایی مرکز عملیات امنیت بسیار تأثیرگذار است. APKSIEM محصولی بومی است که با تأمین نمای کلی از وضعیت امنیت اطلاعات و شبکه سازمان به جمع‌آوری رویدادها از کاربران و تجهیزات مختلف شبکه پرداخته و آنها را ذخیره‌سازی می‌کند. سپس با شناسایی و اولویت‌بندی حوادث و رویدادها از میان حملات اینترنتی و رویدادهای شبکه، تشخیص سریع حوادث را ممکن می‌سازد.
  • فرآیندها: به‌کارگیری مکانیزم­‌ها و فرآیندهای مناسب و بهینه به منظور کاهش زمان پاسخ‌گویی و انجام اقدامات امنیتی مناسب و سریع در برابر تهدیدات امنیتی از موارد مهم در طراحی و پیاده­‌سازی اثربخش مراكز عمليات امنيت است.
  • افراد: مدیریت منابع انسانی SOC نقش بسیار مهمی داشته و مسئول اجرای صحیح فرآیندها و روال­‌های امنیتی است. به منظور ایجاد هماهنگی و مدیریت متمرکز SOC، طراحی و پیاده­‌سازی ساختار سازمانی امری ضروری است. با ایجاد ساختار سازمانی، می­توان شرح وظایف و مسئولیت­‌های هر یک از کارکنان را مشخص نمود تا در صورت بروز حادثه امنیتی، هر یک از کارکنان طبق شرح وظایف خود عمل نموده و در اسرع وقت اقدام متقابل صورت بگیرد.

چرخه کار SOC

چرخه کار SOC مبتنی بر روش OODA[3] بوده و از مراحل زیر تشکیل شده است:

  • مشاهده: نظارت، جمع­آوری و ذخیره داده‌­ها از نقاط مختلف در شبکه.
  • بررسی: تجزیه و تحلیل داده­های جمع­‌آوری شده و جستجوی داده­‌های مشکوک.
  • تصمیم‌گیری: تبیین اقدامی عملی بر اساس نتایج فاز قبل و تجربه‌­ای که از تکرار چرخه OODA قبلی به دست آمده است.
  • اقدام: به­‌کارگیری اقدامی که در فاز قبلی تعیین شده است.

مراحل پیاده‌سازی SOC

پیاده‌سازی یک SOC از چهار مرحله کلی برنامه‌ریزی، طراحی، ساخت و اجرا تشکیل شده است:

  • برنامه‌ریزی: راه­‌اندازی مرکز SOC نیازمند یک برنامه­‌ریزی دقیق است. فاز برنامه‌­ریزی SOC به تمرکز بر روی اجزای موردنیاز SOC و همچنین تهیه یک نقشه راه برای پیاده‌­سازی SOC کمک کرده و در هر مرحله امکان پیگیری مراحل انجام شده را میسر می‌کند.
  • طراحی: سرویس SOC باید به صورت امن و قابل اعتماد، در دسترس باشد. بسیاری از سیستم‌­های SOC شامل اطلاعات محرمانه­‌ای هستند که در صورت افشا، تاثیرات منفی زیادی بر سازمان خواهند گذاشت. محدوده پیاده­‌سازی، مدل اجرا، زمان‌بندی پیاده‌­سازی و سرویس‌­های SOC مواردی هستند که در طراحی SOC باید موردنظر قرار داد. علاوه‌براین، در این مرحله باید ساختارهایی مانند انواع فعالیت‌­ها، شبکه، امنیت، محاسبه حافظه، Ticketing و نیازمندی­‌های مدیریتی را نیز مورد توجه قرار داد.
  • ساخت: در مرحله ساخت SOC باید در مورد پیاده‌سازی داخلی یا مجازی SOC تصمیم‌گیری کرده و الزامات تکنولوژیک موجود در ایجاد SOC مانند شبکه سازمان، اجزا نیازمند قابلیت دسترسی بالا[4]، امنیت در زمان اجرا، کنترل دسترسی شبکه، احراز هویت، رمزگذاری داده‌ها، سیستم‌ها، تشخیص خرابی در نقاط پایانی، سرورها، پیشگیری از نشت داده‌ها[5] و امن‌سازی تجهیزات شبکه را درنظر گرفت.
  • اجرا: برای اجرای SOC، نیاز است که برنامه­‌ریزی شفافی برای SOC وجود داشته باشد و تمام بخش‌­های اصلی آن به درستی پیاده‌­سازی شده باشند. استفاده از افراد با توجه به مواردی مانند زمینه‌های مرتبط با بلوغ و توجیه سازمان، ساختار، تجربه، آموزش و مدارک در پست صحیح و مدیریت چالش‌ها از جمله نکاتی هستند که در راستای پیاده‌سازی یک SOC موفق باید در نظر گرفته شوند.

پاسخ‌گویی به حوادث امنیتی در SOC

هسته SOC تشخیص و پاسخ‌گویی به حوادث امنیتی است. در این راستا لازم است تا تیم مسئول عملیات امنیت بر دارایی‌های سازمان نظارت داشته و با استفاده از فرایندهایی از پیش طراحی شده به حوادث و رویدادهای امنیتی واکنش نشان دهد. فرآیندهای موردنظر را می‌توان به سه دسته کلی تقسیم نمود:

  • شناسایی، تحلیل و پاسخگویی به رخدادهای امنیتی: Handling مجموع‌ه­ای از روش­‌های انجام شده برای غلبه بر انواع مختلف حوادث ناشی از آسیب­‌های مختلف است. Incident Handling شامل سه عملکرد اساسی گزارش حادثه، تحلیل حادثه و پاسخ به حادثه است.
  • مدیریت آسیب‌پذیری در SOC: در صورت وجود آسیب‌­پذیری در سیستم، مهاجمان برای دسترسی به شبکه تنها باید از این آسیب­پذیری‌ها بهره­برداری کنند. در ادامه و پس از قرار گرفتن داخل شبکه، آن‌ها می‌توانند Backdoor به بیرون ایجاد کنند که در نتیجه این اقدامات، شناسایی و رفع نقص به شدت دشوار می‌شود.یکی از چالش‌های SOC شناسایی و از بین بردن آسیب­پ‌ذیری‌­ها قبل از سوء‌استفاده از آن‌هاست. مدیریت مناسب آسیب‌پذیری می‌تواند تهدیدات را حذف کرده یا اثربخشی SOC را در مبارزه با آن‌ها افزایش دهد.
  • بازرسی[6] و مدیریت جرایم امنیتی: هدف اصلی بازرسی، درک بهتر نسبت به وقایع مورد علاقه از طریق جستجو و تحلیل واقعیت­‌های مرتبط با آن‌هاست. بازرسی باید با استفاده از فرایند چهار مرحل‌ه­ای جمع‌آوری، بررسی، تجزیه و تحلیل و گزارش‌دهی انجام شود. در مرحله جمع‌آوری، اطلاعات مربوط به یک رویداد خاص شناسایی، برچسب‌گذاری، ضبط و جمع‌آوری شده و یکپارچگی آن حفظ می‌شود. در مرحله بررسی، ابزارهای بازرسی و تکنیک‌های متناسب با انواع داده­ه‌ایی که برای شناسایی و استخراج اطلاعات مربوطه، جمع‌­آوری شده­‌اند به‌گونه‌ای که یکپارچگی آن‌ها حفظ شود، به کار می‌روند. این مرحله ممکن است با ترکیبی از ابزارهای خودکار و فرایندهای دستی انجام شود. مرحله بعد شامل تجزیه و تحلیل نتایج برای استخراج اطلاعات مفید است. در نهایت، مرحله گزارش‌دهی قرار دارد که می‌تواند شامل توصیف اقدامات انجام شده، تعیین اقدامات نیازمند انجام و توصیه‌هایی برای بهبود سیاست‌ها، دستورالعمل‌ها، رویه‌ها، ابزارها و سایر جنبه‌های بازرسی باشد.

سخن پایانی

شرکت امن‌پردازان کویر (APK) از شرکت‌های پیشگام کشور در حوزه‌ی ارائه خدمات امنیت سایبری به سازمان‌ها و شرکت‌ها، با در اختیار داشتن مجموعه‌ای از حرفه‌ای‌ترین مهندسان امنیت سایبری، آماده ارائه خدمات در قالب مشاوره، نظارت و راه‌اندازی مراکز SOC در شرکت‌ها و سازمان‌ها است. جهت کسب اطلاعات بیشتر در این زمینه می‌توانید با شماره 02142238 تماس حاصل نمایید.

 

[1] Security operation center

[2] Incident Response Program

[3] Observe, Orient, Decide, Act

[4] High Availability

[5] Data Loss Prevention

[6] Forensic

محصولات و خدمات حوزه امنیت اطلاعات و امنیت شبکه

دارای تاییدیه از مراجع معتبر داخلی و خارجی | نصب در مراکز معتبر | با افتخار تولید ایران


مشاوره با کارشناسان امنیت اطلاعات و امنیت شبکه

شرکت APK (امن پردازان کویر) در راستای اهداف خود آماده است تا به سازمانها ، شرکتها و واحدهای صنعتی مشاوره تخصصی در حوزه امنیت اطلاعات و امنیت شبکه را بصورت رایگان ارایه نماید

نظرات (0)

هیچ نظری در اینجا وجود ندارد

نظر خود را اضافه کنید.

  1. ارسال نظر بعنوان یک مهمان ثبت نام یا ورود به حساب کاربری خود.
0 کاراکتر ها
پیوست ها (0 / 3)
مکان خود را به اشتراک بگذارید

شبکه‌های اجتماعی

عضویت در خبرنامه

مطالب شگفت انگیز ، در صندوق ورودی شما

بروزترین مقالات در زمینه های :امنیت اطلاعاتامنیت شبکهعملیات امنیت
تهران - بلوار كشاورز، خيابان شهيد نادري پائين تر از خيابان ايتاليا، پلاك ۲ واحد ۵۰۵
۷۳ ۴۲۲ (۰۲۱)
۴۲۲۳۸۰۰۰ (۰۲۱)
۱۴۱۶۶۱۳۶۶۹
info{at}apk-group.net
یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان
۳۶۲۹۰۹۹۰ (۰۳۵)
۸۹۱۶۷۱۵۹۵۷

 امن پردازان کویر

Search