طبقه بندی: امنیت در فضای مجازی
چچ
ساختار مرکز عملیات امنیت (SOC)

ساختار مرکز عملیات امنیت ( SOC)

عنوان مرکز عملیات امنیت یا SOC ) Security Operations Center ) به یک واحد در یک سازمان اطلاق می گردد که به صورت متمرکز، تمامی رخ دادهای حادثه یی و امنیتی مربوط به زیرساختهای حوزه فناوری اطلاعات و ارتباطات در سازمان را به صورت جامع و یکپارچه، شبانه روزی و بلادرنگ نظارت و مدیریت نموده و در صورت بروز هر گونه رخداد که برای سازمان ریسک ایجاد نماید، اقدامات مناسبی را جهت کاهش اثرات و رفع آن صورت می دهد.

در حقیقت ایجاد مرکز SOC، راهکاری مناسب جهت جلوگیری و مقابله با حوادث فضای سایبری می باشد.
به زبان ساده ساختار سازمانی هر مرکز عملیات امنیت SOC از سه لایه اصلی ذیل تشکیل می گردد:
لایه اول ( مرکز تماس ) : نقطه تماس کاربران و مسئول پاسخ گویی به اخطارهای دریافتی از کاربران است. در این سطح به کلیه اخطارهایی که از پیچیدگی پایین تری برخورداند، پاسخ داده می شود.
لایه دوم ( تحلیل اولیه ) : این سطح در حقیقت مکمل سطح یکم است و مسئول پاسخ گویی به مشکلات پیچیده تر در سیستم های امنیتی شبکه است. برای اخطارهایی که از اهمیت بالایی برخوردارند، سیستم های سطح دوم به طور کامل درگیر می شوند.
لایه سوم ( تحلیل تخصصی) : در این سطح کارشناسان ارشد و مشاوران امنیتی شبکه قرار دارند. این سطح در حقیقت پشتیبان دو سطح پایین تر است. در صورتی که به اشکالات امنیتی در دو سطح پایین پاسخ داه نشود، کارشناسان و سیستم های این سطح، درگیر می شوند. کلیه تدابیر امنیتی و مدیریت امنیت شبکه، در این سطح اندیشیده میشود.
در هر یک از لایه های مطرح شده، ابزارهایی برای مدیریت سیستم های امنیتی در نظر گرفته می شود. این ابزارها امنیت شبکه را از دو دیدگاه درون سازمانی و برون سازمانی مورد بررسی قرار می دهند. برای این منظور، هر مرکز عملیات امنیت دارای یک سری تجهیزات در خود مرکز عملیات امنیت است و تمامی سرویس هایی که ارائه می شوند، مانیتور و مدیریت می شوند.
معماری مرکز عملیات امنیت SOC ) Security Operations Center )
از طرفی به لحاظ زیرساختی یک مرکز عملیات دارای معماری ویژه و زیرساخت های نرم افزاری و سخت افزاری خاصی است که شکل زیر معماری کلان یک مرکز عملیات امنیت SOC را نشان می دهد:

همان طور که در شکل آورده شده، سیستم جمع آوری اطلاعات به عنوان زیر سیستم اولیه و اصلی مرکز عملیات امنیت SOC اقدام به جمع آوری فایل های لاگ تجهیزات شبکه، سرورهای مهم و سامانه های اطلاعاتی مهم سازمان کرده و به علاوه، با سیستم های امنیتی سازمان مانند سیستم های تشخیص نفوذ، آنتی ویروس ها، ابزارهای پایش ترافیک و گردش محتوا، ابزارهای پایش دارایی های سازمان و میزبان ها در ارتباط است و اطلاعات جمع آوری شده را برای سیستم مدیریت رویدادها ارسال می کند، سیستم مدیریت رویدادها، لاگ ها و اطلاعات خام دریافتی را بررسی نموده و ضمن شناسایی موارد مشکوک و ارتباط و همبستگی اطلاعات خام دریافتی را مورد بررسی قرار می دهد و رویدادهایی که بیانگر موارد منفی و غیر مطلوب هستند را استخراج می کند و علاوه بر آن مدیران سیستم ها و متخصصین امنیت و شبکه سازمان نیز در صورت برخورد با یک رویداد امنیتی، می توانند از طریق کنسول ارتباطی سیستم مدیریت رویداد، اطلاعات مربوط به رویداد را در سیستم ذخیره کنند. متخصصین فعال در لایه دو و لایه سه مرکز عملیات امنیت، رویدادهای شناسایی شده را مورد بررسی قرار داده و در صورت صحت رویداد، اطلاعات هر رویداد را به عنوان یک درخواست جدید در سیستم Service Desk تعریف می کنند، درخواست مربوط به هر رویداد تا زمان پاسخ، اقدام و رفع عوامل رویداد و کنترل اثرات جانبی باز خواهد ماند و بعد از آن بسته و آرشیو خواهد می شود.
سیستم مدیریت تهدیدات با توجه به رویدادهای شناسایی شده، اقدام به استخراج تهدیدات و آسیب پذیری های موجود در دارایی ها که منجر به وقوع رویداد مورد نظر شده است می پردازد و نتایج نهایی مربوط به تهدیدات، آسیب پذیری ها و رویدادها از طریق پورتال در قالب داشبوردهای مدیریتی و نیز گزارش های چند سطحی ارائه می شود.
در ادامه بخش های اصلی یک مرکز عملیات امنیت به تفصیل معرفی شده اند:
1- سیستم جمع آوری لاگ
سیستم جمع آوری لاگ، مسئولیت جمع آوری لاگ های تجهیزات مختلفی مانند فایروال ها، روترها، سوییچ ها، سرورها و سرویس های حساس سازمان و نیز نرم افزارها و سیستم های اطلاعاتی مهم و کلیدی سازمان را بر عهده داشته و بخشی از اطلاعات اولیه خود را از سیستم های تشخیص نفوذ، آنتی ویروس ها، سیستم پایش گردش کار، پایش گردش محتوا و میزبان ها به دست می آورد. در حقیقت این سیستم مسئولیت جمع آوری داده های خام اولیه جهت تحلیل توسط واحد سیستم مدیریت رویداد را بر عهده دارد.
2- سیستم مدیریت رویداد
سیستم مدیریت رویداد، مسئولیت شناسایی رویدادها ( incident ) را با توجه به وقایع ( log ) شناسایی شده توسط سیستم مدیریت لاگ و نیز با توجه به گزارش های دریافتی از مدیران سیستم ها، مدیران شبکه و متخصصین امنیت، برعهده دارد و رویدادهای شناسایی شده را در جهت تشخیص تهدید به واحد مدیریت تهدیدها (TMS) ارسال می کند. به طور معمول سیستم مدیریت رویداد، قابلیت بررسی ارتباط رویداد و سوابق رویدادهای قبلی ثبت شده را دارا می باشد.
از طرفی سیستم مدیریت رویداد مجهز به Service Desk، جهت ثبت رویدادها است، تا کاربران مرکز عملیات امنیت SOC در ارتباط نزدیک با سیستم مدیریت رویداد بوده و بعد از اطمینان از حقیقی بودن یک رویداد، اطلاعات مربوط به آن به صورت درخواست در Service Desk یا Help Desk ثبت می کنند، درخواست مربوط به هر رویداد تا زمان پاسخ مطلوب، اقدام و رفع عوامل مؤثر در رویدادها و کنترل اثرات جانبی آن، باز خواهند ماند.
3- سیستم مدیریت تهدیدات
بعد از شناسایی رویداد توسط سامانه مدیریت رویداد، سیستم مدیریت تهدیدات، باید آسیب پذیری ها و تهدیدهای مرتبط با هر رویداد را شناسایی کند، به این منظور در مرحله اول، سیستم باید پایگاه داده خود را بررسی کرده و در صورت عدم تشخیص تهدید و آسیب پذیری مربوط به هر رویداد، سیستم باید قابلیت ارتباط با پایگاه داده های آسیب پذیری بیرونی را نیز داشته باشد و اقدام به شناسایی تهدیدها و عامل آسیب پذیری که منجر به بروز رویداد شده است، شود. همچنین سیستم باید قابلیت شناسایی ارتباط تهدیدهای مختلف و نیز ارتباط تهدید با تهدیدهای قبلی شناسایی شده را نیز داشته باشد. پایگاه داده تهدیدها و آسیب پذیری ها باید به صورت آنلاین و آفلاین قابلیت به روز رسانی را داشته باشد.
4- پورتال مرکز عملیات امنیت
پورتال محل ارائه گزارش های مدیریتی و محل ارائه نتایج تحلیلی رویدادها است. همچنین گروه های کاربری شبکه و مدیران سیستم ها می توانند اخبار و اطلاعات امنیتی را از طریق پورتال، اطلاع رسانی کنند.
پورتال، داده ها و اطلاعات خود را از سیستم مدیریت تهدیدها، سیستم مدیریت رویداد، سیستم مدیریت وقایع، مدیران سیستم ها، تحلیلگران مرکز امنیت فناوری اطلاعات و گروه های شبکه دریافت می کند و به صورت گزارش های مدیریتی و قابل استفاده در اختیار مدیریت و کاربران عمومی و کاربران فعال در سه لایه اصلی مرکز عملیات امنیت قرار می دهد، کاربران فعال در سه لایه اصلی مرکز عملیات امنیت با توجه با اطلاعات دریافتی از پورتال، علاوه بر پاسخ گویی به درخواست های مشاوره و حل مشکلات اولیه، دیدگاه خود در پایش و کنترل وقایع را نیز اصلاح می کنند.
مزایای ایجاد مرکز عملیات امنیت SOC :

ارائه دید جامع 360 درجه به کلیه امور مربوط به امنیت و حوادث فضای سایبر در سطوح مختلف مدیریت سازمان.
راه اندازی داشبورد مرکزی واحد برای پایش رخدادها.
تجمیع رخدادهای دریافتی از منابع مختلف و نگهداری جهت دسترسی در طولانی مدت با قابلیت جستجو .

  • فراهم شد امکان تشخیص همبستگی رخدادهای دریافتی از منابع مختلف.
  • تحلیل هوشمندانه ، جامع و یکپارچه کلیه اخدادها.
  • بررسی مستمر تمامی رخدادهای مربوط به تمامی تجهیزات و نرم افزارهای مستقر در سازمان.
  • فراهم شدن امکان تشخیص تغییر در تنظیمات و پیکربندی ها به صورت متمرکز.
  • فراهم شدن امکان دریافت گزارشات متنوع.
  • کاهش چشمگیر زمان عکس العمل سازمان در برابر حوادث و تهدیدات.
  • فراهم شدن امکان دریافت گواهینامه های استاندارد (SOX, PCI, FISMA, HIPAA ).

با توجه به تخصصی بودن رویه ایجاد این مراکز، در بسیاری از مواقع، سازمان ها ترجیح می دهند این سرویس را با یک SLA مناسب به شرکت های فعال و متخصص در این حوزه برون سپاری نمایند. اما نکته قابل توجه این است که سازمان ها می بایست علاوه بر توجه به کاهش چشمگیر هزینه ها و ریسک ها در ایجاد مرکز SOC به صورت برون سپاری شده، صرفا خدمات را از تامین کننده های معتبر و قابل اعتماد دریافت نمایند و همچنین نسبت به ارتقای سطح دانش و فهم درون سازمانی خود در حوزه عملکردهای مرکز SOC اقدام جدی داشته باشند.

نویسنده: فرامرز کلانتری (رئیس هیئت مدیره)
اجازه انتشار: قید نشده
نوع: تالیف