آشنایی با مرکز عملیات امنیت سایبری (بخش اول)

  • نویسنده: فرزانه عابدی
  • تاریخ انتشار: دوشنبه ، ۲۹ آبان ماه ۹۶
  • تعداد بازدید: 3730
  • تعداد نظرها: 0
  • دسته بندی: ارزیابی امنیتی

امروزه بکارگیری مراکز داده برای مدیریت داده ها، خدمات و اتصال به اینترنت توسط شرکت ها و سازمان های مختلف در سراسر دنیا به یک نیاز اساسی تبدیل شده است. مدیریت رویدادهای امنیتی در چنین محیط های بزرگ و پیچیده ای یک مسأله اساسی برای محافظان امنیت است. اگرچه بکارگیری راهکارهای امنیتی نظیر استفاده از ضدبدافزارها و سامانه های احراز هویت و IDS ها و IPS ها، فایروال ها، کنترل دسترسی تا حدی می تواند شبکه را از حالت انفعالی و بدون نظارت نجات داده و به تأمین امنیت آن کمک نماید، ولی باید به این نکته مهم توجه نمود که بکارگیری این تجهیزات امنیتی، خود باعث تولید حجم عظیمی از رخدادهای امنیتی در قالب های متفاوت می شود. این حجم بالای داده های امنیتی تولید شده، باعث سردرگمی و سلب امکان مدیریت و استفاده از آنها می شود.

در سازمان ها ممکن است یک تیم عهده دار دیوار آتش، دیگری عهده دار تجهیزات مقابله با نفوذ(IPS) و یک تیم دیگر مسئول ابزار های امنیتی مرتبط با میزبان ها باشد، اما این مساله منجر به نوعی پایش امنیتی می شود که توسط تیم ها و ابزارهای مختلف اجرا می گردد. در این صورت شناسایی و تجمیع جزئیات یک حمله به صورت بلادرنگ بسیار مشکل خواهد شد و تحلیل شواهد قانونی یک حمله بعد از وقوع آن بسیار کند انجام می شود. با درنظر گرفتن موارد فوق، ضرورت دارد که مرکز عملیات امنیت در سازمان ها و زیرساخت های حیاتی استقرار یابند.

مرکز عمليات امنيت سايبری Cyber Security Operations Center  که به اختصارCSOC يا SOC نيز ناميده می شود يکی از موضوعات بسيار مورد توجه در دنيای امنيت در سال های اخير بوده است. اين مرکز مجموعه ای از فناوری ها، نيروی انسانی و روال ها است که به  طور خاص به منظور مديريت تمام يا بخشی از عمليات امنيت در سازمان ايجاد شده است. برخی عمليات امنيت عبارتند از:

  • پایش مداوم امنیت
  • راهبری و نگهداری تجهیزات، نرم افزارها و فناوری های امنیت
  • مدیریت آسیب پذیری های امنیتی
  • مدیریت حوادث امنیتی
  • تشخیص و پیشگیری از نفوذ
  • مقابله با بد افزار

البته هدف اصلی SOC، پایش امنیت به منظور مدیریت حوادث امنیتی است.

بنا به تعريف MITRE يکی از معتبرترين مراکز پژوهشی فناوری ايالات متحده، مرکز عمليات امنيت يک تيم از تحليلگران امنيت است که به منظور شناسايی، تحليل، پاسخ، گزارش دهی و پيشگيری از حوادث امنيت سايبری سازماندهی شده اند. مأموريت های SOC به طور کلی عبارتند از:

  • پیشگیری از حوادث امنیت سایبری از طریق اقدامات فعالانه زیر:
  • تحلیل مداوم تهدید ها
  • پویش شبکه و میزبان ها به منظور یافتن آسیب پذیری ها
  • هماهنگی برای استقرار کنترل های امنیتی
  • ارائه مشاوره خط مشی ها و معماری امنیت اطلاعات
  • پایش، شناسایی و تحلیل نفوذهای بالقوه به صورت آنی
  • پاسخ دهی به حوادث از طریق راهبری و مدیریت منابع و کنترل ها
  • ارائه گزارش از وضعیت امنیت سازمان، حوادث و روندهای امنیت
  • طراحی، اجرا و راهبری راه حل های دفاعی از جمله سیستم های تشخیص نفوذ، سیستم های جمع آوری و تحلیل رخدادها و غیره

SOC شباهت هایی با دیگر گروه های عملیاتی سازمان دارد، اما لازم است به تفاوت های آن ها با این گروه ها توجه ویژه شود از جمله:

 SOC و NOC

SOC بر خلاف NOC (مخفف Network Operations Center) ماموریت کشف و پیگیری حملات سایبری را دارد اما NOC عهده دار عملیات و راهبری تجهیزات شبکه است. به طور کلی NOC مرکزی است که عملیات کنترل و مانیتورینگ شبکه را به عهده دارد. این مرکز مسئول مانیتورینگ شبکه و رفع اشکالات شبکه در شرایط خاص هستند.

به طور کلی وظایف مرکز عملیات شبکه عبارتند از :

  • عملیات پایش و مدیریت روزمره کلیه تجهیزات شبکه
  • نقطه ای متمرکز برای کلیه تماس های کاربران شبکه
  • ش و رفع اشکالات بوجود آمده در شبکه و اطمینان از عملکرد بدون وقفه شبکه
  • ثبت کلیه وقایع از قبیل تغییرات پیکربندی ها، اختلالات بوجود آمده، وضعیت کارکرد شبکه و شکایت های کاربران
  • مطلع شدن از مشکلات احتمالی قبل از وقوع آن و یا قبل از اختلال در کار کاربران.

مرکز عملیات شبکه فاقد روشی برای مدیریت متمرکزحوادث امنیتی است. فعالیت اولیه NOC نگهداری و اطمینان از صحت و سلامت شبکه و زیرساخت سازمان است در حالی که  SOC مدیریت حوادث امنیتی را به منظور حفاظت شبکه برعهده دارد. بنابراین به منظور افزایش بازدهی و کارآیی سازمان ها ، از طریق پاسخگویی مناسب به حوادث امنیت مانند ویروس ها و حملاتی که منجر به از دست رفتن یکپارچگی شبکه می شود ، وجود این مرکز در کنار مرکز NOC بسیار موثر خواهد بود.

SOC و CERT یا CSIRT

SOC بر خلاف CERT (مخفف Computer Emergency Response Team) و CSIRT (مخفف Computer Security Incident Response TEAM) صرفاً به پاسخ به مدیریت حوادث امنیتی نمی پردازد بلکه طیف وسیعی از عملیات امنیت از راهبری تجهیزات تا ارزیابی آسیب پذیری تحلیل رخدادها را نیز انجام می دهد. در برخی راه حل ها، SOC آنقدر بزرگ دیده می شود که CSIRT به عنوان یکی از گروه های آن معرفی می شود. برخی دیگر هم بر این عقیده هستند که SOC نهادی جدا از CSIRT است که با آن در تعامل بوده و CSIRT به نوعی کاربر SOC محسوب می شود، به این معنی که حوادثی که توسط SOC قابل حل نبوده و نیاز به اقدامات یا بررسی های بیشتر دارد توسط SOC به CSIRT ارجاع می شود.

در مقاله بعدی به بحث قابلیت ها و خدمات مرکز عملیات امنیت سایبری خواهیم پرداخت.

نویسنده: فرزانه عابدی دسته بندی: ارزیابی امنیتی