مراکز عملیات امنیت Security Operation Center
مرکز عملیات امنیت شبکه، (SOC) مکانی جهت مانیتورینگ و کنترل ۲۴ ساعته ورود و خروج اطلاعات در شبکه میباشد. به طور کلی هر مرکزSOC به سه سطح عمده تقسیم میشود که هر یک وظایف خاصی را بر عهده دارند، این سطوح عبارتند از:
سطح یکم، نقطه تماس Clientها و مسئول پاسخ گویی به اخطارهای دریافتی ازClient هاست. در این سطح به کلیه اخطارهایی که از پیچیدگی پایینتری برخوردارند، پاسخ داده میشود.
سطح دوم، در حقیقت مکمل سطح یکم است و مسئول پاسخگویی به مشکلات پیچیده تر در سیستمهای امنیتی شبکه میباشد. برای اخطارهایی که از اهمیت بالایی برخوردارند، سیستمهای سطح دوم به طور کامل درگیر میشوند.
سطح سوم، در این سطح کارشناسان ارشد و مشاوران امنیتی شبکه قرار دارند. این سطح در حقیقت پشتیبان دو سطح پایینتر است. در صورتی که به اشکالات امنیتی در دو سطح پایین پاسخ داده نشود، کارشناسان و سیستمهای این سطح، درگیر میشوند. کلیه تدابیر امنیتی و مدیریت امنیت شبکه، در این سطح اندیشیده میشود.
در طراحی مراکز امنیت شبکه، متدولوژیهای مختلفی مطرح میباشد. با این حال پایه همه متدولوژیها براساسِ ترکیب تکنولوژی، نیروی انسانی، فرآیندها در هسته فعالیت مرکز امنیت شبکه و احاطه آن توسط فرآیندهای اجرایی میباشد. این فرآیندها شامل برنامهریزی، طراحی، پیادهسازی، عملیاتی نمودن و توسعه مرکز امنیت شبکه میباشد.
لایه بعدی در طراحی مرکز SOC، شامل ابزارها و معیارهایی است که از طریق آنها خدمات ارائه شده ارزیابی میگردند. این ابزارها و معیارها شامل چشمانداز، منابع، زمان، هزینه، ارتباطات و ریسکهای موجود در راه اندازی SOC میباشد.
نکته قابلتوجه در طراحی یک SOC، انعطافپذیریِ متدولوژی طراحی آن است که به واسطه آن میتوان برای هر یک از مشتریان مطابق سرویسهای مورد نیازشان راه حل خاصی برای مدیریت امنیت شبکه ارائه نمود.
در هر یک از سطوح مطرحشده، ابزاری برای مدیریت سیستمهای امنیتی در نظر گرفته میشود. این ابزارها امنیت شبکه را از دو دیدگاه درونسازمانی و برونسازمانی مورد بررسی قرار میدهند. برای این منظور، هر SOCدارای یک سری تجهیزات در داخل شبکه و یک سری تجهیزات در خود مرکز میباشد.
خدمات و سرویسهای مراکز عملیات امنیت SOC
همه سرویسهایی که از مراکز SOC ارائه میگردند، مانیتورینگ و مدیریت شده هستند. دیگر سرویسهایی که از طریق این مراکز قابلارائه میباشند، سرویسهای پیشرفتهای به شرح زیر میباشد:
- توسعه سیاستهای امنیتی
- آموزش مباحث امنیتی
- طراحی دیوارههای آتش
- پاسخگویی آنی
- مقابله با خطرات و پیادهسازی
سرویسهایی که از طریق این مراکز ارائه میگردند، عبارتند از سرویسهای مدیریت شدهای که از تجهیزات و ارتباطات مرکز SOC محافظت مینمایند. این سرویسها از متدولوژی و ابزارهای نرمافزاری و سخت افزاری قدرتمندی برای مدیریت امنیت استفاده مینمایند. اجزای سختافزاری که در شبکهها توسط سیستمهای مدیریتشده برای اعمال سیاستهای امنیتی مورد استفاده قرار میگیرند، عبارتند از:
- سیستمهای کشف و رفع حملات (Intrusion Detection System)
- سیستمهای فایروال و سیستمهای مدیریت امنیت در شبکههای خصوصی مجازی
معماری SOC
SOC از ۵ ماژول مجزا ساخته شده است:
- ثبت رخدادهای امنیتی
- جمع آوری
- ذخیره سازی
- تحلیل
- واکنش
اصلیترین مشکل در ایجادSOC ایجاد هماهنگی بین این ۵ ماژول است، به عبارت دیگر ایجاد یک محیط خودکار که دادهها و کانالهای ارتباطی را در دسترس، یکپارچه و امن قرار دهد.
SOC بستری است که سرویسهای کشف و واکنش را در مقابل حوادث امنیتی فراهم میآورد. طبق این تعریف میتوان پنج نوع عملیات مختلف را در حوزه SOC در نظر گرفت:
- ثبت رخداد امنیتی
- جمع آوری
- ذخیره سازی
- تحلیل
- واکنش
نیاز به سرویسهای مدیریت شده
حملات چه از طریق منابع داخلی چه از طریق منابع خارجی، در هر لحظه شبکه و برنامههای کاربردی ارائه شده از طریق آن را تهدید مینماید. هکرها در جاهای مختلف دنیا در هر لحظه کل تجهیزات امنیتی شبکه را مانیتور مینمایند و در صورتی که یکی از تجهیزات به طور دقیق فعالیت خود را انجام ندهد، از آن نقطه، یک ورودی برای خود ایجاد خواهند نمود. به منظور جلوگیری از نفوذ هکرها به شبکه، لازم است سیستم امنیتی در SOC از قابلیت اطمینان بالایی برخوردار باشد.
برای ایجاد یک سیستم امنیتی با ویژگیهای مناسب برای مدیریت یک شبکه با برنامههای کاربردی متنوع، پرسنل کارآمدی لازم است که بتوانند کلیه سیستمهای امنیتی از ضد ویروسها تا شبکههای خصوصی مجازی را بدون وابستگی به محصول خاص و یا تکنولوژی مشخص مدیریت نمایند.
سیستمهایی که در SOC جهت مدیریت امنیت شبکه نصب و راهاندازی میگردند، دارای مکانیزمهای بررسی تجهیزات شبکه به صورت خودکار میباشند.
تجهیزاتی که توسط این سیستم موردبررسی قرار میگیرند، محدود به سیستمهای امنیتی نیستند، بلکه کلیه تجهیزات زیرساختی شبکه نیز توسط این سیستم مدیریت امنیت یکپارچه مورد بررسی قرار میگیرند. این سیستم درحقیقت الگوهای ترافیکی ارسالی از کلیه تجهیزات شبکه از جمله سرورها، مسیریابها، فایروالها و سیستمهای امنیتی فیزیکی را مورد بررسی قرار داده و هرکدام از آنها که توان ایجاد یک ریسک امنیتی را دارند مشخص میسازد و راه نفوذ به آن سیستم را میبندد. هر الگوی ترافیکی غیرعادی مشاهده شده، توسط زیرسیستمهای آنالیزکننده مورد بررسی قرار میگیرد و متناسب با نوع خطای تشخیص دادهشده، اخطارهای لازم در شبکه برای هر یک از تجهیزات مربوطه ارسال میگردد. در حالت عادی نیز با توجه به برنامه Polling در نظر گرفته شده، کلیه سیستمها در شبکه مانیتور میگردند و با توجه به Profileهای امنیتی موجود برای هر سیستم، حملههای احتمالی تشخیص داده شده و دفع میگردند.
فایروالها اولین سد ورودی بین اطلاعات محرمانه در یک شبکه و دنیای خارج از آن میباشند. در یک مرکز SOC، لازم است این تجهیزات به طور مداوم از نظر امنیتی بررسی گردند. برای اطمینان کامل از امنیت این تجهیزات، به طور معمول از مارکهای مختلف فایروالها در شبکه استفاده میگردد. به طور مثال در یک شبکه که چندین فایروال وجود دارد، معمولاً این تجهیزات را از سازندههای مختلف انتخاب میکنند و با استفاده از یک مدیریت متمرکز، آنها را کنترل مینمایند.
برای مدیریت امنیت این تجهیزات مراحل زیر طی میشود:
- بررسی عملکرد Firewallها
- پاسخ به اخطارها پس از اعلام شدن
- بررسی log های ثبت شده در فایروال
- بررسی نرم افزار و سخت افزارهای مربوط به فایروال
پیاده سازی امنیت در مرکز SOC
با بهره گیری از ابزارهای مختلف امنیت شبکه در SOC، حملات به شبکه در سه رده و از جهات مختلف مورد بررسی قرار میگیرد. این سه رده عبارتند از
- Visibility
- Verification
- vulnerability
که با ادغام عملیاتی که در هر رده انجام میپذیرد، میتوان امکان کنترل و مدیریت امنیت را در شبکه ایجاد نمود. در هر یک از این ردهها فعالیتهای خاصی انجام میگیرد که به واسطه آنها از نفوذ به داخل شبکه جلوگیری میشود و در صورت ورود نیز از پیشروی آنها جلوگیری به عمل میآید. در هر یک از این ردهها، تجهیزاتی وجود دارند که میتوانند متناسب با وظایفشان از شبکه محافظت نمایند.
سرویسهای پیشرفته در مراکز SOC
سرویسهای پیشرفتهای که از طریق این مراکز قابلارائه میباشد، درحقیقت سرویسهایی است که به واسطه آن میتوان سیاستهای امنیتی را مطابق با نیازها پیشبینی نمود. در مراکز SOC علاوه بر مدیریت امنیت تجهیزات شبکه، زیرساختهای اطلاعاتی نیز از لحاظ امنیتی پشتیبانی میشوند. این زیر ساخت ها به طور کلی شامل پرسنل، فرآیندها و روالهای کاری در شبکه میباشند. در استانداردهای تدوینشده برای امنیت نظیر استانداردهای ISO27001 نحوه پیادهسازی روالهای مدیریت امنیت در شبکهها مشخص شده است.
در بخش مدیریت امنیت فرآیندها در مرکز SOC مراحل مختلفی طی میشود تا به واسطه آن یک روال در شبکه از هر لحاظ ایمن گردد. مرحله اول مرحله سیاستگذاری است. پس از تدوین سیاستها و تطبیق آنها با استانداردهای موجود در زمینه امنیت شبکه، روالهای استخراجشده جهت پیادهسازی به مسئولان تحویل میشوند. نکته دیگری که در این زمینه قابلبررسی است، آگاهی پرسنل SOC از تهدیدات امنیتی است. باتوجه به وجود طیف وسیعی از سختافزارهای امنیت شبکه، که هر کدام متناسب با شرکت سازنده خود نیاز به مهارتهای خاصی برای استفاده دارند، و همچنین تغییرات سریع تکنولوژی و نحوه حمله به تجهیزات شبکه، نیاز است پرسنل SOC از مهارتهای خاصی برخوردار بوده و همواره به کسب اطلاعات جدید مشغول باشند. برای بروز نگهداشتن اطلاعات پرسنل از کلاسهای آموزشی جهت تشخیص حملات جدید و نحوه برخورد با آنها استفاده میشود. با توجه به حساسیت وظایف در مراکز SOC، پرسنل این مراکز اهمیت بالایی دارند. به این ترتیب حفظ منافع و رضایت خاطر پرسنل از مهمترین مسئولیتهای صاحبان SOC میباشد.