مراکز عملیات امنیت Security Operation Center

مرکز عملیات امنیت شبکه، (SOC) مکانی جهت مانیتورینگ و کنترل ۲۴ ساعته ورود و خروج اطلاعات در شبکه می‌باشد. به طور کلی هر مرکزSOC  به سه سطح عمده تقسیم می‌شود که هر یک وظایف خاصی را بر عهده دارند، این سطوح عبارتند از:
سطح یکم، نقطه تماس Client‌ها و مسئول پاسخ گویی به اخطارهای دریافتی ازClient  ‌هاست. در این سطح به کلیه اخطارهایی که از پیچیدگی پایین‌تری برخوردارند، پاسخ داده می‌شود.
سطح دوم، در حقیقت مکمل سطح یکم است و مسئول پاسخ‌گویی به مشکلات پیچیده تر در سیستم‌های امنیتی شبکه می‌باشد. برای اخطارهایی که از اهمیت بالایی برخوردارند، سیستم‌های سطح دوم به طور کامل درگیر می‌شوند.
سطح سوم، در این سطح کارشناسان ارشد و مشاوران امنیتی شبکه قرار دارند. این سطح در حقیقت پشتیبان دو سطح پایین‌تر است. در صورتی که به اشکالات امنیتی در دو سطح پایین پاسخ داده نشود، کارشناسان و سیستم‌های این سطح، درگیر می‌شوند. کلیه تدابیر امنیتی و مدیریت امنیت شبکه، در این سطح اندیشیده می‌شود.


در طراحی مراکز امنیت شبکه، متدولوژی‌های مختلفی مطرح می‌باشد. با این حال پایه همه متدولوژی‌ها براساسِ ترکیب تکنولوژی، نیروی انسانی، فرآیندها در هسته فعالیت مرکز امنیت شبکه و احاطه آن توسط فرآیندهای اجرایی می‌باشد. این فرآیندها شامل برنامه‌ریزی، طراحی، پیاده‌سازی، عملیاتی نمودن و توسعه مرکز امنیت شبکه می‌باشد.
لایه بعدی در طراحی مرکز  SOC، شامل ابزارها و معیارهایی است که از طریق آن‌ها خدمات ارائه شده ارزیابی می‌گردند. این ابزارها و معیارها شامل چشم‌انداز، منابع، زمان، هزینه، ارتباطات و ریسک‌های موجود در راه اندازی SOC  می‌باشد.
نکته قابل‌توجه در طراحی یک SOC، انعطاف‌پذیریِ متدولوژی طراحی آن است که به واسطه آن می‌توان برای هر یک از مشتریان مطابق سرویس‌های مورد نیازشان راه حل خاصی برای مدیریت امنیت شبکه ارائه نمود.
در هر یک از سطوح مطرح‌شده، ابزاری برای مدیریت سیستم‌های امنیتی در نظر گرفته می‌شود. این ابزارها امنیت شبکه را از دو دیدگاه درون‌سازمانی و برون‌سازمانی مورد بررسی قرار می‌دهند. برای این منظور، هر  SOCدارای یک سری تجهیزات در داخل شبکه و یک سری تجهیزات در خود مرکز می‌باشد.

خدمات و سرویس‌های مراکز عملیات امنیت SOC

همه سرویس‌هایی که از مراکز SOC ارائه می‌گردند، مانیتورینگ و مدیریت‌ شده هستند. دیگر سرویس‌هایی که از طریق این مراکز قابل‌ارائه می‌باشند، سرویس‌های پیشرفته‌ای به شرح زیر می‌باشد:

  •     توسعه سیاست‌های امنیتی‌
  •     آموزش مباحث امنیتی‌
  •     طراحی دیواره‌های آتش‌
  •     پاسخگویی آنی‌
  •     مقابله با خطرات و پیاده‌سازی

سرویس‌هایی که از طریق این مراکز ارائه می‌گردند، عبارتند از سرویس‌های مدیریت شده‌ای که از تجهیزات و ارتباطات مرکز SOC محافظت می‌نمایند. این سرویس‌ها از متدولوژی و ابزارهای نرم‌افزاری و سخت افزاری قدرتمندی برای مدیریت امنیت استفاده می‌نمایند. اجزای سخت‌افزاری که در شبکه‌ها توسط سیستم‌های مدیریت‌شده برای اعمال سیاست‌های امنیتی مورد استفاده قرار می‌گیرند، عبارتند از:

  •     سیستم‌های کشف و رفع حملات  (Intrusion Detection System)
  •     سیستم‌های‌ فایروال و سیستم‌های مدیریت امنیت در شبکه‌های خصوصی مجازی

 

معماری SOC

  SOC  از ۵ ماژول مجزا ساخته شده است:

  •     ثبت رخداد‌های امنیتی
  •     جمع آوری
  •     ذخیره سازی
  •     تحلیل
  •     واکنش

 

اصلی‌ترین مشکل در ایجادSOC  ایجاد هماهنگی بین این ۵ ماژول است، به عبارت دیگر ایجاد یک محیط خودکار که داده‌ها و کانال‌های ارتباطی را در دسترس، یکپارچه و امن قرار دهد.

SOC بستری است که سرویس‌های کشف و واکنش را در مقابل حوادث امنیتی فراهم می‌آورد. طبق این تعریف می‌توان پنج نوع عملیات مختلف را در حوزه SOC در نظر گرفت:

  •     ثبت رخداد امنیتی
  •      جمع آوری
  •      ذخیره سازی
  •      تحلیل
  •      واکنش

 

نیاز به سرویس‌های مدیریت شده

حملات چه از طریق منابع داخلی چه از طریق منابع خارجی، در هر لحظه شبکه و برنامه‌های کاربردی ارائه شده از طریق آن را تهدید می‌نماید. هکرها در جاهای مختلف دنیا در هر لحظه کل تجهیزات امنیتی شبکه را مانیتور می‌نمایند و در صورتی که یکی از تجهیزات به طور دقیق فعالیت خود را انجام ندهد، از آن نقطه، یک ورودی برای خود ایجاد خواهند نمود. به منظور جلوگیری از نفوذ هکرها به شبکه، لازم است سیستم امنیتی در SOC از قابلیت اطمینان بالایی برخوردار باشد.

برای ایجاد یک سیستم امنیتی با ویژگی‌های مناسب برای مدیریت یک شبکه با برنامه‌های کاربردی متنوع، پرسنل کارآمدی لازم است که بتوانند کلیه سیستم‌های امنیتی از ضد ویروس‌ها تا شبکه‌های خصوصی مجازی را بدون وابستگی به محصول خاص و یا تکنولوژی مشخص مدیریت نمایند.
سیستم‌هایی که در SOC جهت مدیریت امنیت شبکه نصب و راه‌اندازی می‌گردند، دارای مکانیزم‌های بررسی تجهیزات شبکه به صورت خودکار می‌باشند.
تجهیزاتی که توسط این سیستم مورد‌بررسی قرار می‌گیرند، محدود به سیستم‌های امنیتی نیستند، بلکه کلیه تجهیزات زیرساختی شبکه نیز توسط این سیستم مدیریت امنیت یکپارچه مورد بررسی قرار می‌گیرند. این سیستم در‌حقیقت الگوهای ترافیکی ارسالی از کلیه تجهیزات شبکه از جمله سرورها، مسیریاب‌ها، فایروال‌ها و سیستم‌های امنیتی فیزیکی را مورد بررسی قرار داده و هر‌کدام از آن‌ها که توان ایجاد یک ریسک امنیتی را دارند مشخص می‌سازد و راه نفوذ به آن سیستم را می‌بندد. هر الگوی ترافیکی غیرعادی مشاهده شده، توسط زیرسیستم‌های آنالیزکننده مورد بررسی قرار می‌گیرد و متناسب با نوع خطای تشخیص داده‌شده، اخطارهای لا‌زم در شبکه برای هر یک از تجهیزات مربوطه ارسال می‌گردد. در حالت عادی نیز با توجه به برنامه Polling در نظر گرفته شده، کلیه سیستم‌ها در شبکه مانیتور می‌گردند و با توجه به Profile‌های امنیتی موجود برای هر سیستم، حمله‌های احتمالی تشخیص داده شده و دفع می‌گردند.

فایروال‌ها اولین سد ورودی بین اطلاعات محرمانه در یک شبکه و دنیای خارج از آن می‌باشند. در یک مرکز SOC، لازم است این تجهیزات به طور مداوم از نظر امنیتی بررسی گردند. برای اطمینان کامل از امنیت این تجهیزات، به طور معمول از مارک‌های مختلف فایروال‌ها در شبکه استفاده می‌گردد. به طور مثال در یک شبکه که چندین فایروال وجود دارد، معمولاً این تجهیزات را از سازنده‌های مختلف انتخاب می‌کنند و با استفاده از یک مدیریت متمرکز، آن‌ها را کنترل می‌نمایند.
برای مدیریت امنیت این تجهیزات مراحل زیر طی می‌شود:

 

  •     بررسی عملکرد  Firewallها
  •     پاسخ به اخطارها پس از اعلام شدن
  •     بررسی log ‌های ثبت شده در فایروال
  •      بررسی نرم افزار و سخت افزارهای مربوط به فایروال

 

 

پیاده سازی امنیت در مرکز SOC

 

با بهره گیری از ابزارهای مختلف امنیت شبکه در SOC، حملات به شبکه در سه رده و از جهات مختلف مورد بررسی قرار می‌گیرد. این سه رده عبارتند از

 

  •     Visibility
  •   Verification
  •     vulnerability

 

که با ادغام عملیاتی که در هر رده انجام می‌پذیرد، می‌توان امکان کنترل و مدیریت امنیت را در شبکه ایجاد نمود. در هر یک از این رده‌ها فعالیت‌های خاصی انجام می‌گیرد که به واسطه آن‌ها از نفوذ به داخل شبکه جلوگیری می‌شود و در صورت ورود نیز از پیشروی آن‌ها جلوگیری به عمل می‌آید. در هر یک از این رده‌ها، تجهیزاتی وجود دارند که می‌توانند متناسب با وظایفشان از شبکه محافظت نمایند.

 

 

سرویس‌های پیشرفته در مراکز SOC

سرویس‌های پیشرفته‌ای که از طریق این مراکز قابل‌ارائه می‌باشد، در‌حقیقت سرویس‌هایی است که به واسطه آن می‌توان سیاست‌های امنیتی را مطابق با نیازها پیش‌بینی نمود. در مراکز SOC علاوه بر مدیریت امنیت تجهیزات شبکه، زیرساخت‌های اطلاعاتی نیز از لحاظ امنیتی پشتیبانی می‌شوند. این زیر ساخت ‌ها به طور کلی شامل پرسنل، فرآیندها و روال‌های کاری در شبکه می‌باشند. در استانداردهای تدوین‌شده برای امنیت نظیر استانداردهای ISO27001 نحوه پیاده‌سازی روال‌های مدیریت امنیت در شبکه‌ها مشخص شده است.


در بخش مدیریت امنیت فرآیندها در مرکز SOC مراحل مختلفی طی می‌شود تا به ‌واسطه آن یک روال در شبکه از هر لحاظ ایمن گردد. مرحله اول مرحله سیاست‌گذاری است. پس از تدوین سیاست‌ها و تطبیق آن‌ها با استانداردهای موجود در زمینه امنیت شبکه، روال‌های استخراج‌شده جهت پیاده‌سازی به مسئولا‌ن تحویل می‌شوند. نکته دیگری که در این زمینه قابل‌بررسی است، آگاهی پرسنل SOC از تهدیدات امنیتی است. باتوجه به وجود طیف وسیعی از سخت‌افزارهای امنیت شبکه، که هر کدام متناسب با شرکت سازنده خود نیاز به مهارت‌های خاصی برای استفاده دارند، و همچنین تغییرات سریع تکنولوژی و نحوه حمله به تجهیزات شبکه، نیاز است پرسنل SOC  از مهارت‌های خاصی برخوردار بوده و همواره به کسب اطلاعات جدید مشغول باشند. برای بروز نگه‌داشتن اطلاعات پرسنل از کلاس‌های آموزشی جهت تشخیص حملات جدید و نحوه برخورد با آن‌ها استفاده می‌شود. با توجه به حساسیت وظایف در مراکز SOC، پرسنل این مراکز اهمیت بالا‌یی دارند. به این ترتیب حفظ منافع و رضایت خاطر پرسنل از مهم‌ترین مسئولیت‌های صاحبان SOC می‌باشد.