مرکز عملیات امنیت چیست ؟
امروزه، با رشد روزافزون اطلاعات و گسترش شبکههای کامپیوتری، حفاظت از اطلاعات کاربران و سیستمها از اهمیت بیشتری برخوردار است. با گسترش اطلاعات، بر تعداد افرادی که به عنوان هکر قادرند اطلاعات موردنیاز خود را از طریق شبکه مشاهده، بررسی و جمعآوری کنند، افزوده میشود. ضمن آنکه شیوههای مختلفی برای نفوذ به شبکه وجود دارد که از جمله آن میتوان به تکنیک Phishing اشاره کرد. به کمک این تکنیک زمینه برای حمله و نفوذ به شبکه به کمک استخراج نقاط ضعف شبکه فراهم میگردد.
بهکارگیری فایروال، آنتیویروس و IDS/IPS از جمله روشهایی است که به جلوگیری از نفوذ شبکه ، توسط سازمانها اجرا میشود. اما حتی این ابزارها نیز نمیتوانند حملات سایبری را به طور کامل شناسایی کنند و از وقوع آنها جلوگیری نمایند. در کنار استفاده از این ابزارها لازم است آگاهیرسانی نیروهای انسانی که از شبکه استفاده میکنند به طور مداوم صورت بگیرد و در ضمن ابزارهایی که در زیرساخت استفاده میشوند نیز پیوسته بهروزرسانی شود. افزون بر این موارد، این امکان وجود دارد که بعضی از سازمانها دارای توان مالی و نیز نیروی فنی کارآمد برای نگهداری تجهیزات و نیز ارائه سرویسهای نظارت و کنترل شبکه نباشند. در این مرحله نیاز به یک راهکار منطقی برای متمرکزکردن تمامی نیروها و امکانات برای انجام فرایندهای دفاع سایبری داریم.
مرکز عملیات امنیت (Security Operations Center)
مرکز عملیات امنیت (Security Operations Center) که به اختصار SOC نامیده میشود یک راه حل سازمانیافته و موفق برای متمرکز کردن تیم امنیت سایبری محسوب میشود. با وجود این زیرساخت، تیم امنیتی سازمان که وظیفه نظارت و بررسی وضعیت امنیتی سازمان را برعهده دارند در یک مرکز جای میگیرند و میتوانند حتی از راه دور و به صورت شبانهروزی در تمام روزهای سال به فعالیتهای امنیتی مانند جلوگیری، شناسایی، حفاظت و پاسخگویی در برابر تهدیدات و ریسکها و اتفاقات در شبکه بدون فوت وقت بپردازند.
SOC به عنوان یک واحد متمرکز درون سازمانی است که در سطح فنی و سازمانی با مسائل امنیتی دست و پنجه نرم میکند. SOC یک سایت مرکزی که مجهز به ابزارهایی برای دسترسی به سیستم نظارت، کنترل لاگها و موانع و آلارمها میباشد، نیز تعریف میگردد.
سرویسهایی که توسط SOC به عنوان سایت متمرکز سیستم نظارت امنیت و مدیریت شبکه ارائه میشود عبارتند از:
- مدیریت در لحظه رویدادها و وضعیت حوادث
- نظارت منطبق بر سیاستهای سازمان و استانداردها
- مدیریت کانفیگ و تنظیمات
- ارزیابی ریسک و آسیبپذیری
- ارزیابی آسیبها و مباحث قانونی
- پاسخگویی سریع به حوادث
- طرح تداوم کسب و کار
طراحی مرکز عملیات امنیت (SOC)
متدولوژیهای گوناگونی برای طراحی مراکز عملیات امنیت شبکه مطرح شده است. تمامی این تکنیکها مبتنی بر تلفیق فناوری روز، نیروی انسانی، فرایندهایی که در SOC انجام میشود، است. فرایندهایی که در مرکز فعالیت SOC انجام میشود عبارتند از:
- برنامهریزی منظم
- طراحی مناسب
- پیادهسازی و اجرا
- عملیاتی نمودن و توسعه مرکز
پس از انجام فرایندهای فوق، نوبت به گام بعدی در طراحی مرکز عملیات امنیت شبکه میرسد. در این مرحله از ابزارها و معیارهایی برای ارزیابی سرویسهای ارائه شده استفاده میشود. این ابزارها عبارتند از:
- زمان
- هزینه
- ارتباطات
- آیندهنگری
- ریسکهای موجود در راهاندازی SOC
نکته حائز اهمیت در طراحی SOC، این است که میبایست طوری انجام شود که انعطافپذیر باشد و با توجه به نیازهای مشتریان و خدماتی که موردنظر ایشان است، راه حل متناسب برای مدیریت SOC ارائه داد.
SIEM (Security Information and Event Management) سیستمی است که در مرکز عملیات امنیت شبکه نقش مرکزی اصلی را به عهده دارد و شامل دو قسمت زیر است:
- مدیریت رخدادها که توسط SEM(Security Event Management) به صورت Real time انجام میشود.
- مدیریت وقایع که توسط SIM (Security Information Management) به صورت Historical صورت میگیرد.
به طور کلی راهاندازی مرکز عملیات امنیت (SOC) مزایای زیر را برای سازمان به دنبال دارد:
- دیدی با جزئیات کامل نسبت به تمامی مواردی که در حوزه امنیت قرار میگیرد، در اختیار شماست.
- برای مدیریت واحد به صورت مرکزی میتوان یک پنل اختصاصی پیادهسازی نمود.
- امکان شناسایی رخدادهای امنیتی فراهم میشود.
- میتوانید رخدادها را آرشیو نمایید.
- ارائه تجزیه و تحلیل جامع و یکپارچه و هوشمندانه امکانپذیر میشود.
- بعد از دریافت گزارشهای متنوع، میتوانید اقدام لازم برای رفع مشکلات را انجام دهید.
وجود مرکز عملیات امنیت ضروری است؟
با وجود مزایای گفتهشده، لازم است بدانید که راهاندازی مرکز عملیات امنیت برای سازمان هزینه خواهد داشت ضمن آنکه نگهداری از آن نیز نیازمند وجود نیروی متخصص است. بنابراین سازمانها باید برای راهاندازی مرکز عملیات امنیت شبکه دلایل کافی داشته باشند. این دلایل میتواند موارد زیر را شامل شود:
- محافظت از اطلاعات مهم و حساس
- انطباق با قوانین صنعتی از جمله PCI DSS
- انطباق با قوانین دولتی از جمله CESG GPG53
با توجه به آنچه گفته شد، راهاندازی مرکز عملیات امنیت شما را از خرید آنتیویروس، فایروال و سیستمهای تشخیص نفوذ بینیاز نمیکند، بلکه با راهاندازی این مرکز ساختاری برای اثربخشی بیشتر این راهکارهای امنیتی فراهم میشود.
وظیفه فایروالها، مسدود کردن تهدیدات امنیتی در لبه شبکه است و امنیت کاربران نیز به کمک آنتیویروسهای معتبر تأمین میشود، با این حال این راهحلها زمانی که به صورت مجزا به کار گرفته میشوند و دیتای حاصل از آنها یکپارچه و تحلیل نمیشود، بعد از وقوع حمله ،برای جمعآوری لاگها زمان زیادی صرف خواهد شد. بدیهی است که این زمان طولانی، برای سازمان ضرر مالی به دنبال دارد و حتی در مواقعی میتواند به آبروی سازمان لطمه وارد کند. ضمن آنکه تشخیص تهدیدات حملات پیشرفته و هوشمند نیز زمانبر خواهد بود و حتی این امکان وجود دارد که شناسایی نشوند که خود این موضوع نیز در نهایت زیانهای مالی بسیاری را به سازمان وارد میکند. بنابراین صرف زمان و هزینه برای اینکه یک مرکز عملیات امنیت اصولی در سازمانهاو ارگان راهاندازی شود، ضروری به نظر میرسد.
مراحل راهاندازی SOC
- تعیین وظایف مرکز عملیات امنیت
- مهیا نمودن زیرساخت مناسب
- شناسایی افراد متخصص و مناسب برای تیم SOC
تیم امنیتی از تحلیلگران امنیتی، مدیر SOCو نیز مهندسان امنیت تشکیل میشود که در زمینه مهندسی معکوس، آناتومی بدافزار و تشخیص نفوذ، پیوسته در حال یادگیری و آموزش هستند. بهرهمندی از مهارتهای مدیریتی و نیز تجربه کافی در زمینه مدیریت بحران قوی، از جمله مهارتهایی است که در کنار مهارتهای امنیتی، برای یک مدیر SOC ضروری است.
- طراحی و گسترش استراتژی مرکز عملیات امنیت
- ایجاد فرآیندها، شیوهها و نیز آموزشهای لازم
- یافتن راهکار حفاظتی مناسب برای Endpoint های سازمان و نیز حفظ و گسترش آن
تجهیزات لازم برای راهاندازی مرکز عملیات امنیت
برای راهاندازی SOC به طور معمول به تجهیزات زیر نیاز خواهید داشت:
- فایروال
- پلتفرمهای هوشمندشناسایی تهدیدها (TIPs)
- SIEM مانند اسپلانک
- تجهیزات امنیتی نقاط پایانی سازمان از جمله Kaspersky Endpoint Security
- تکنولوژی SOAR به عنوان مثال Splunk Phantom
ساپراصنعت، با تکیه بر سالیان متمادی تجربه فعالیت در حوزه امنیت شبکه، و نیز با همراهی نیروهای متخصص و آموزشدیده خود، این اطمینان را به مشتریان عزیز میدهد که میتواند در راهاندازی و نگهداری مرکز عملیات امنیت شبکه سازمانی شما، گام به گام همراه شما باشد. با ما در تماس باشید.