مرکز عملیات امنیت شبکه SOC باید ارتباط و هماهنگی زیادی با مرکز عملیات شبکه NOC و همچنین مراکز CERT داشته باشد. به عبارتی نتیجه صحیح و خروجی مناسب از SOC حاصل نمیشود مگر با ارتباطات صحیح با دیگر مراکز. در توضیح اینکه، NOC مرکزی است برای حفظ صحت و سلامت شبکه جهت ارائه و پایداری خدمات و مرکز CERT مرکزی به جهت ارائه راهکارهای امنیتی در مواقع لزوم و وقوع حادثه. به همین جهت SOC ایی که به بار خواهد نشست که در وهله اول بتواند ارتباطات خود را با دیگر مراکز مرتبط با شبکه و امنیت حفظ و بهبود بخشد.
شرکتها و محصولات مهم تولید کننده
OSSIM) Open Sorce Security Information Managment) محصول شرکت Alienvault ست.
برخی از ویژگیهای این محصول عبارتند از :
- Arpwatch: برای شناسایی Mac Address
- P0f: برای شناسایی سیستمهای غیرفعال و تحلیل تغییرات سیستم عاملها
- PADS: برای شناسایی نابهنجاری سرویسها
- OpenVas: برای شناسایی آسیب پذیری دارایی و تجهیزات، تجمیع (همبستگی) alertهای IDSها و اطلاعات آسیب پذیریها.
- Snort: به عنوان یک IPS (سیستم جلوگیری نفوذ) و به همراه نرم افزار نفوذ برای تجمیع و همبستگی رخدادها استفاده میشود.
- Suricata: به عنوان یک IDS (سیستم تشخیص نفوذ) استفاده میشود.
- Track: برای اطلاعات دادههای نشت که میتواند اطلاعات بسیار مفیدی از حملهها باشد، استفاده میشود.
- Ntop: برای ضبط traffic pattern مبادله بین hostها و host droupها استفاده میشود و اطلاعات و آمار روی پروتکلهای مورد استفاده را ضبط میکند.
- Nagios: برای مانیتور کردن hostها و اطلاعات سرویسهای موجود بر پایه پایگاه داده داراییها، استفاده میگردد.
- OSSEC: یک HIDS)Host-based Intrusion Detection System)
- Munin: برای تحلیل ترافیک و نگهبان سرویسها، استفاده میشود.
- NFSEN/NFDUMP: برای جمعآوری و تحلیل اطلاعات گردش شبکه.
- FPobe:برای تولید دادههای گردش شبکه از ترافیک ضبط شده.
تنظیم و پیکربندی (Configuration) تمامی تجهیزات اکتیو شبکه، انجام تنظیمات و پیکربندی جهت کنترل و مدیریت یکپارچه سیستمها، اکانتها، فایلها و …
Logrhythm شرکت مستقل امنیتی در زمینه SIEM است.
Arc Sight Security Intelligence and Risk Management (SIEM): محصول شرکت HP است. در واقع یک نرم افزار برای جمعآوری، تحلیل و مدیریت اطلاعات و رخدادهای امنیتی است.برخی از ویژگیهای این محصول عبارتند از :
- Arc Sight Enterprise Security Manager (ESM): ماشین مرکزی تحلیل برای مدیریت تهدیدات و مخاطرات است.
- Arc Sight Logger: یک ابزار جامع مدیریت logها برای متحد کردن logها، برای جمع آوری و جستوجو آنها استفاده میشود.
- Arc Sight Identify View: مانیتور کردن فعالیت کاربران.
- Arc Sight Connector: برای مانیتور پیوسته و اتوماتیک کنترلرها
منافع، اهداف و مزایا SOC
منافع حاصل از بکارگیری SOC
- کنترل و نظارت بر فعالیت کاربران
- کنترل سیستمها، دادههای شخصی و اطلاعات حساس
- تحلیل و یکپارچگی تعداد بیشمار Event ها و تحلیل و پاسخدهی مناسب
- کاهش هزینههای ناشی از تهدیدها و حملات امنیتی
اهداف مرکز عملیات امنیت (SOC)
- شناسایی و واکنش سریعتر به تهدیدهای واقعی
- مدیریت و هماهنگ کردن پاسخ به تهدیدات رویدادهای سایبری
- رصد وضع امنیت سایبری و گزارش ناکارآمدیها
- همکاری و مشارکت با نهادهای امنیت سایبری دولتی و خصوصی
- انجام تجزیه و تحلیلهای تهدیدات و آسیب پذیریها
- انجام تحلیل رویدادهای امنیت سایبری
- نگهداری پایگاه داده رویدادهای امنیت سایبری سازمان
- تولید هشدارها و یادآوریها برای تهدیدات عمومی و معین
- تولید گزارشهای منظم و ارائه به مدیریت.(Reporting System)
وظایف محوله بر مرکز عملیات امنیت (SOC)
- مدیریت تجهیزات امنیتی (Security Device management)
- مدیریت سرویسهای کاربران
- اداره رویدادهای تعاملی و انجام عملیات پیشرفته در امنیت
- مدیریت رویداد امنیتی
- مدیریت تهدید (Threat Management)
- مدیریت آسیب پذیریها (Vulnerability Assessment)
- انجام بازرسی و تکمیل چک لیستهای امنیتی به صورت دورهای
- لحاظ مباحث قانونی در امنیت سایبری
- مدیریت مؤثر وصلههای نرم افزاری به دلایل متعددی دارای اهمیت است: اولاً حجم بالای وصلههایی که منتشر میشوند، عملاً کنترل دستی آنها را ناممکن میکند. ثانیاً فرآیند استفاده از یک وصله جدید پیچیده بوده و شامل مراحل ارزیابی، دریافت، آزمایش، نصب و نگهداری وصله میباشد که مدیریت کل این فرآیند به صورت دستی خطازا میباشد. ثالثاً، سرعت از ملزومات مدیریت وصلههای منتشر شده است، چراکه نفوذگران به سرعت از رخنههای امنیتی کشف شده سوءاستفاده میکنند و باید این زمان را از آنان گرفت.
- مدیریت پیکربندی و نگهداری آخرین وضعیت سامانهها) مشخصات سخت افزاری، سیستم عامل، سرویسهای فعال، نرم افزارهای نصب شده، پورتهای باز، پیکربندی)
مقایسه SOC و NOC
مرکز عملیات شبکه NOC فاقد روشی برای مدیریت متمرکز حوادث امنیتی است. فعالیت اولیه مرکز عملیات شبکه NOC نگهداری و اطمینان از صحت و سلامت شبکه و زیرساخت سازمان است در حالی که مرکز عملیات امنیت SOC(بخش اول) مدیریت حوادث امنیتی را به منظور حفاظت شبکه برعهده دارد. بنابراین به منظور افزایش بازدهی و کارآیی سازمانها، از طریق پاسخگویی مناسب به حوادث امنیتی مانند ویروسها و حملاتی که منجر به از دست رفتن یکپارچگی شبکه میشود ، وجود این مرکز در کنار مرکز NOC بسیار موثر خواهد بود.
مؤلفههای SOC
نیروی انسانی:
متخصص کامپیوتری که آشنایی با مفاهیم کلی امنیت اطلاعات، کار با ابزارهای خاص تشخیص نفوذ، فرآیندهای تحلیلی و تکنیکهای برقراری ارتباطات موثر) را داشته باشد.
فرآیندها:
منطبق بر استانداردهای امنیت، فرآیندها شامل برنامهریزی، عملیاتی نمودن، ارزیابی، توسعه مرکز، پیاده سازی، طراحی دستورالعمل های اجرایی SOC است. که باید از یک سو عملاً وجود و فعلیت داشته باشد و از سوی دیگر بتوان آن را به مرحله بلوغ (آمادگی) رساند.
فرایندهای SOC به چهار دسته اصلی تقسیم می شود:
- فرآیندهای تجاری (Business processes): تمام مولفههای مدیریتی که برای اجرای موثر یک SOC مورد نیاز است.
- فرآیندهای فنی (Technology processes): تمام اطلاعات مربوط به مدیریت سیستم، مدیریت پیکربندی و طراحی مفهومی.
- فرآیندهای عملیاتی (Operational processes): ساز و کار عملیات روزانه، برنامهریزی شیفتهای کاری و….
- فرآیندهای تحلیلی (Analytical processes): تمام فعالیتهایی که برای تشخیص و درک بهتر رویدادهای مخرب و مختل کننده در دستور کار قرار میگیرد.
تکنولوژی:
- خود مرکز
- داخل شبکه: حسگرهای داخل شبکه بوده و رصد فعالیتهای امنیتی شبکه
در ادامه با موارد زیر آشنا خواهیم شد:
- ساختار کلی SOC
- قلب SOC
- بخشهای SOC
[banner id=”” text_icon=”” text_alignment=”left” border=”true” gradient=”true” button_text=” تماس با ما ” button_link=”https://raykanet.com/%d8%aa%d9%85%d8%a7%d8%b3-%d8%a8%d8%a7-%d9%85%d8%a7/” link_target=”_self” button_icon=” icon-phone” button_size=”medium”]مرکز عملیات امنیت SOC(بخش سوم)، مدیریت حوادث امنیتی را به منظور حفاظت شبکه بر عهده می گیرد، در صورت بروز خطا در شبکههای خود، شما میتوانید با کارشناسان شرکت خدمات شبکه رایکانت در این زمینه تماس بگیرید. [/banner]
[space_box id=”” height=””]
