آشنایی با مرکز عملیات امنیت سایبری (بخش دوم)

  • نویسنده: فرزانه عابدی
  • تاریخ انتشار: چهارشنبه ، ۲۲ آذر ماه ۹۶
  • تعداد بازدید: 1319
  • تعداد نظرها: 0
  • دسته بندی: ارزیابی امنیتی

در بخش اول مقاله به صورت اجمالی به بررسی هدف از ایجاد مرکز عملیات امنیت و تفاوت آن با NOC و CSIRT پرداختیم. حال در این مقاله، قابلیت ها و خدمات مرکز عملیات امنیت سایبری را مورد بررسی قرار می دهیم.

همان طور که می دانید در ادبیات امنیت اطلاعات و منابع مختلف، طیف وسیعی از خدمات و قابلیت ها برای مرکز عملیات امنیت نام برده شده است، همچنین شرکت های ارائه دهنده راه حل جامع مرکز عمليات امنيت سايبری Cyber Security Operations Center  نیز تعاریف مختلفی از محدوده خدمات این مرکز دارند. بنابراین ما سعی داریم تا در این مقاله، مجموعه ای از قابلیت ها و خدماتی که انتظار می رود یک SOC به سازمان ارائه کند را معرفی نماییم.

در ادامه 8 دسته از کارکردها و خدمات مورد انتظار از SOC آورده شده است. باید توجه داشت که هر دسته از این خدمات و نه لزوماً همه آنها بسته به نیاز سازمان و تعریفی که از SOC مد نظر سازمان است ممکن است توسط مرکز ارائه شود.

تحلیل رخدادها به صورت آنی

  1. مرکز تماس یا Call Center که محل دریافت درخواست خدمات از محدوده SOC از طریق تلفن، ایمیل، سیستم های پیام رسان و غیره است، دقیقا مشابه Help Desk اما مخصوص سرویس های امنیتی.
  2. تحلیل در زمان یا Real-time Analysis: بررسی فوری داده های ورودی (لاگ، هشدارها، ترافیک و غیره) به جهت اینکه تشخیص داده شود که کدام دادها و رخدادها نیازمند بررسی و پیگیری بیشتر هستند. این کار معمولا توسط تحلیل گران لایه 1 (Tier 1) مرکز انجام می شود.

هوش امنیتی و بررسی روندهای امنیت

  1. جمع آوری و تحلیل اطلاعات هوش امنیتی: این کار به معنی جمع آوری اطلاعات حملات، نفوذ گرها، آسیب پذیری ها، اکسپلویت ها، وصله های امنیتی، اخبار و دیگر اطلاعات امنیتی از منابع مختلف موجود در دنیا و تحلیل آنها به منظور استفاده در راستای امنیت سازمان است.
  2. توزیع اطلاعات هوش امنیتی: در سازمان های بزرگ، SOC بخشی از اطلاعات به دست آمده از هوش امنیتی را برای ذینفعان پردازش، تولید و ارسال می کند.
  3. ایجاد اطلاعات هوش امنیتی: در سازمان های بزرگ، SOC ممکن است با بررسی و تحلیل حوادث و رخدادهایی که الزاماً شناخته شده هم نیست، اطلاعات متنوع هوش امنیتی را تولید نماید.
  4. ایجاد و بررسی روندها: مرکز می تواند براساس رخدادها و حوادث پردازش شده در طول زمان به ایجاد و بررسی روند های بلند مدت امنیتی بپردازد.

تحلیل و پاسخ به حوادث

  1. تحلیل حوادث: بررسی عمیق حوادث امنیتی از جنبه های مختلف، در یک بازه زمانی محدود به منظور اجرای پاسخ مناسب، که معمولا توسط تحلیل گران لایه 2 مرکز (Tier 2) یا بالاتر انجام می شود. این حوادث قبلاً توسط تحلیل گران لایه 1، طی پروسه آنالیز زمان واقعی، به عنوان حادثه نیازمند بررسی شناسایی و در اصطلاح Escalate شده اند.
  2. هماهنگی پاسخ به حادثه: مرکز عملیات امنیت با بخش هایی که در یک حادثه امنیتی درگیر هستند هماهنگی و همکاری نزدیک برای تحلیل دقیق حادثه، پیامدهای حادثه و نحوه پاسخ برقرار می کند.
  3. پیاده سازی تدابیر مقابله: مرکز عملیات اقدام به اجرای تدابیر ویژه مانند مسدودسازی از طریق فایروال، ایجاد Black Hole در روتر، اعمال اصلاحیه و غیره برای مقابله با حادثه شناسایی شده می کند.
  4. پاسخ به حادثه به صورت On-site یا از راه دور: خدمات پاسخ به حادثه توسط مرکز می تواند به صورت حضوری یا از راه دور انجام شود.

تحلیل آرتیفکت ها

  1. مدیریت آرتیفکت های فارنزیک: مرکز عملیات امنیت، آرتیفکت های مورد نیاز برای خدمات فارنزیک (پیگیری قانونی حوادث امنیتی) را تولید، نگهداری و مدیریت می کند.
  2. تحلیل بد افزار: مرکز عملیات امنیت ممکن است در بررسی، تحلیل و مهندسی معکوس بد افزارهای شناسایی شده و به دست آمده از ترافیک شبکه و میزبان ها نیز وارد شود.
  3. تحلیل آرتیفکت های فارنزیک: مرکز عملیات امنیت، آرتیفکت های مورد نیاز برای خدمات فارنزیک (پیگیری قانونی حوادث امنیتی) را به منظور انجام پیگیری های دادگاهی و قانونی تحلیل می کند.

پشتیبانی از ابزارها و تجهیزات مرکز در طول دوره حیات آنها

  1. راهبری و نگهداری تجهیزات امنیتی در مرزهای شبکه: راهبری، نگهداری و مدیریت پیکربندی فایروال، فایروال وب WAF، سیستم مدیریت محتوا، پراکسی ها و غیره از وظایف اولیه SOC است.
  2. راهبری و نگهداری زیرساخت SOC: یک SOC مانند هر گروه عملیاتی دیگری دارای انواع تجهیزات، سرورها، کلایت ها و سیستم های IT است که نگهداری و راهبری آنها بر عهده خود مرکز است.
  3. نگهداری و تنظیم سنسورها: نگهداری و تنظیم تجهیزات و نرم افزارهایی که به عنوان سنسورهای SOC عمل می کنند، از جمله IDS ها، IPS ها و فناوری SIEM که قلب مرکز عملیات امنیت است، بر عهده SOC است.
  4. تولید امضاهای بومی: مرکز عملیات امنیت با توجه به حملات شناسایی شده که ممکن است خاص سازمان باشند، اقدام به تولید امضاهای شناسایی این حملات برای سنسورهای IDS می نماید.
  5. تحقیق و توسعه ابزارهای امنیتی: مرکز عملیات امنیت ممکن است برای رفع نیازهای خاص خود (مثلا مقابله با حملات خاص Dos که فناوری عمومی برای مقابله با آن وجود ندارد) اقدام به تحقیق و توسعه ابزارها و راه حل های امنیتی نماید.

ممیزی امنیت

  1. جمع آوری دادهای ممیزی: SOC به عنوان یکی از قابلیت های اولیه، اقدام به جمع آوری و نگهداری لاگ و دیگر داده های مورد نیاز برای ممیزی امنیت می نماید.
  2. تولید و مدیریت محتوای ممیزی: SOC با استفاده از سیستم های مدیریت لاگ و SIEM، به وسیله قابلیت های همبسته سنجی(Correlation) ، داشبوردها، گزارش گیری و غیره این ابزارها ،محتوای مورد نیاز برای شناسایی موارد نقض امنیت و ممیزی فراهم می کند.

پویش و ارزیابی

  1. نگاشت شبکه: SOC به صورت مداوم، شبکه تحت پایش را اسکن و آخرین وضعیت دارایی های شبکه را تولید و نگهداری می کند.
  2. پویش آسیب پذیری: مرکز به صورت دوره ای با استفاده از ابزارهای اتوماتیک اقدام به بررسی به روز بودن دارایی ها از نظر امنیتی و ارائه گزارش می نماید.
  3. ارزیابی آسیب پذیری: مرکز به صورت دوره ای با استفاده از انواع ابزارهای اتوماتیک و روش های غیر اتوماتیک به بررسی پیکربندی، معماری و دیگر مولفه های امنیتی دارایی ها از نظر آسیب پذیری امنیتی نموده و ارائه راه حل می نماید.
  4. تست نفوذ: مرکز عملیات امنیت ممکن است به صورت دوره ای یا موردی مانند یک تیم نفوذگر، اقدام به انجام تست نفوذ و ارائه گزارش نماید.

آگاهی رسانی

مرکز عملیات امنیت علاوه بر خدمات فوق، در برخی سازمان ها به ارائه مشاوره امنیتی، انجام آگاهی رسانی و آموزش های عمومی و تخصیصی امنیت و نیز ارتباط با رسانه ها می پردازد.

نویسنده: فرزانه عابدی دسته بندی: ارزیابی امنیتی