مرکز عملیات امنیت (SOC)

soc-1

امروزه با توجه به افزایش ارزش دارایی ها و داده های موجود در مراکز داده و پیرو آن افزایش انواع مختلفی از تهدیدهای امنیتی، استفاده از راهکارهای مدیریت و رصد امنیتی جهت افزایش امنیت و پایداری شبکه و سامانه های اطلاعاتی و ارتباطی اجتناب ناپذیر است.
مرکز عملیات امنیت سامانه ای است که تمامی فعالیت های امنیتی شبکه را زیر نظر گرفته، رخدادهای امنیتی را جمع آوری و تحلیل کرده و مخاطرات امنیتی رخ داده و یا در حال وقوع را کشف کرده و اقدام مقتضی را صورت می دهد.
رصد امنیتی یکپارچه و جامع شبکه، علاوه بر انجام بهترین عکس العمل در مقابل تهدیدات، باعث می شود تا مدیران تحلیل دقیق تری از وضعیت امنیتی شبکه و میزان خطر پذیری آن داشته باشند. این روند نهایتا منجر به اصلاح روش ها، سیاست ها و راهکارهای امنیتی و بطور کلی بهبود قابل توجه امنیت خواهد شد.

  • با رشد روز افزون تهدیدهای امنیتی، اهمیت پرداختن به امنیت زیرساخت های اطلاعاتی بیشتر نمایان می شود. به همین دلیل طی سالیان اخیر راهکارهای امنیتی متعددی مورد توجه قرار گرفته است که روش های مورد نظر عمدتا مکانیزم های جلوگیری از حملات می باشند. آنچه بدان توجه می شود این نکته است که اگرچه بکارگیری راهکارهای حفاظتی در جلوگیری از برخی حملات و تهدیدهای امنیتی موثر است، ولی به تنهایی تامین کننده امنیت نخواهد بود. راهکارهایی که اخیرا مورد توجه قرار گرفته است، پیاده سازی مرکز  عملیات امنیت است.
    SOC یک سامانه رصد و مدیریت امنیتی یکپارچه است که با توجه به بهره مندی از هوشمندی، امکان مدیریت حجم عظیمی رویدادها و رخدادهای تولید شده توسط دیگر راهکار های حفاظتی را فراهم می آورد. سامانه مرکز عملیات امنیت می تواند حملات و تهدیدهای کشف شده را بصورت آنی اعلان و ثبت کند.
    با اعلان خطر، کارشناسان مرکز عملیات می توانند وارد عمل شده و در کوتاهترین زمان ممکن بهترین واکنش را به حمله و یا تهدید نشان دهند. این واکنش می تواند شامل ریشه یابی حمله، جلوگیری از انتشار  حمله و در صورت نیاز برگرداندن سامانه ها به  وضعیت قبلی باشد.
    قابلیت های اساسی مرکز عملیات امنیت که باعث اهمیت یافتن پیاده سازی آن می گردد، عبارتند از:

    مدیریت موثر رخدادها

    با افزایش حجم داده و خدمات میزبانی شده مراکز داده، میزان ترافیک دسترسی به این مراکز و به تبع آن میزان رخدادهای امنیتی تولید شده به شدت افزایش می یابد. هدف از مدیریت رخدادها، جمع آوری، تحلیل و گزارش آن ها می باشد. مدیریت بهینه رخدادها از قابلیت های اصلی SOC است.
    مدیریت رخدادها در یک شبکه با چالش های متعددی روبرو است. از جمله این چالش ها می توان به حجم زیاد رخدادهای تولیدی و همچنین پراکندگی و تنوع آن ها اشاره کرد. SOC با جمع آوری رخدادها و انجام پیش پردازش و حذف رخدادهای تکراری و اضافی و تحلیل و بررسی همبستگی بین رخدادها، تعدادی رویداد تولید می کند که این رویدادها می توانند نمایانگر حملات و با تهدیدهای واقعی باشند. پیرو اعلان این رویدادها، مدیران امنیتی شبکه می توانند با بررسی و ردیابی حملات، واکنش نشان داده و از حملات و گسترش دامنه آن ها جلوگیری کنند و یا در صورت خسارت دیدن سازمانه ها، آن ها را با استفاده از پشتیبان های تهیه شده به حالت قبلی برگردانند.

    رصد امنیتی متمرکز و آنی ترافیک شبکه

    پیاده سازی SOC این امکان را ایجاد می کند که کلیه فعالیت های انجام گرفته در مرکز داده به صورت متمرکز و آنی رصد شده و حملات و  تهدیدها در کمترین زمان، کشف و اعلام شده و واکنش در کوتاهترین زمان صورت پذیرد. مرکز عملیا امنیت با رصد آنی کل زیر ساخت، این امکان را فراهم می سازد که قبل از وقوع بسیاری از حملات، سامانه های خطر پذیر شناسایی و اصلاحات لازم در شبکه و سامانه های زیرساخت انجام گردد.

    مدیریت موثر وصله های امنیتی (patch) و بروز رسانی نرم افزار

    برای داشتن یک زیرساخت امن اطلاعاتی، انجام به موقع بروزرسانی کلیه نرم افزارها و به ویژه ضدبدافزارها و اعمال  وصله های امنیتی اهمیت بالایی دارد. به دلیل تنوع و کثرت تعداد کارگزارها، کاربردها، سیستم عامل ها و سایر نرم افزارها، بروزرسانی و اعمال وصله های امنیتی و همچنین بروز رسانی کلیه سیستم عامل ها و نرم افزارها از قابلیت های مهم SOC است.

    تحلیل ریسک شبکه

    مرکز عملیات امنیت با رصد سراسری شبکه و کلیه اجزای آن، تحلیل و گزارش مشاهدات خود، اطلاعات دقیقی از وضعیت امنیتی شبکه و میزان ریسک آن ارائه می دهد. براساس گزارش های تولیدی توسط SOC می توان پیکربندی امنیتی تجهیزات، سامانه ها، کاربردها و همچنین سیاست های امنیتی را مورد بررسی و بازنگری قرار داد و در صورت نیاز راهکارهای حفاظتی را بهبود و ارتقا بخشید.
  • اهداف پیاده سازی مرکز عملیات امنیت

    • برخورد مناسب و موثر با رویدادهای امنیتی و تامین امنیت شبکه در مقابل تهدیدهای احتمالی
    • ارتقاء امنیت و پایداری داده ها و خدمات بوسیله حفاظت از زیرساخت های اطلاعاتی، ترافیک، سرویس ها و داده های مشتریان
    • کاهش زمان اختلال در ارائه خدمات به مشتری
    • بهبود و تسریع در پاسخ ها و  واکنش های امنیتی
    • بهبود کارایی شبکه
    • کاهش هزینه های ناشی از تهدیدها و حملات امنیتی

    خدمات ارائه شده توسط SOC برای نایل شدن به اهداف مورد نظر:

    • مدیریت و رصد آنی ترافیک شبکه، فایروال ها، IDSها، IPS ها، کارگزارها، کاربردها، ضدبدافزارها و دیگر اجزای شبکه
    • تحلیل رویدادها، رخدادهای امنیتی، اطلاعات آسیب پذیری ها و اعلام خطر فوری
    • واکنش فوری به تهدیدهای بالقوه و رفع سریع مشکل
    • حفاظت از ترافیک شبکه، کارگزارها و کاربردهای سازمان و مشتریان آن در مقابل حملات و تهدیدها
    • تهیه و ارائه انواع گزارش های امنیتی در سطوح فنی و مدیریت
  • رخدادهای جمع آوری شده توسط تحلیگر SOC، مورد تحلیل قرار می گیرد و پس از بررسی همبستگی بین رخدادها، حملات و تهدیدهای امنیتی زیرساخت اطلاعاتی مربوطه به صورت رویداد اعلام می شود.
    تحلیلگر SOC جهت تحلیل و تشخیص همبستگی مابین رخدادها از دانش ذخیره شده در پایگاه دانش مرکز عملیات امنیت بهره می برد. معیار اصلی کشف حملات و تهدیدها، اطلاعات پایگاه دانش است. اطلاعات مربوط به آسیب پذیری های سامانه، سیاست های امنیتی تعریف شده و همچنین وضعیت  فعلی سامانه ها از اطلاعات مهم ذخیره شده در پایگاه دانش است که توسط واحدی در SOC به طور مرتب بروز می شود.
    در بالاترین لایه مرکز عملیات امنیت که کاربر SOC با آن سروکار دارد، پورتال و کنسول قرار دارد. پورتال بصورت داشبورد SOC عمل کرده و امکان مشاهده و مرور وضعیت امنیتی زیرساخت اطلاعاتی بصورت گرافیکی، تهیه انواع مختلفی از گزارش ها و همچنین تنظیم مولفه های SOC را فراهم می سازد.
    عملکرد و وظایف هر یک از بخش های اصلی سامانه SOC بصورت زیر می باشد:

    حسگرها

    حسگرها در SOC منابع جمع آوری رخدادهای امنیتی هستند. از جمله حسگرهای مهم و معمول جهت جمع آوری رخدادها می توان به IDS ها، IPS  ها، فایروال ها، تجهیزات شبکه شامل سوئیچ ها و مسیریاب ها، سیستم عامل ها، سرویس های اینترنت و ضدبدافزارها اشاره کرد.

    واحد تجمع رخدادها

    جمع آوری رخدادهای امنیتی از حسگرها توسط این واحد انجام می شود. این واحد رخدادها را از منابع مختلف و با استفاده از روش های پروتکل های مربوطه جمع آوری و پس از انجام عمل پیش پردازش و پایش، آن ها را در بانک اطلاعاتی رخدادها ذخیره می کند. از آنجا که رخدادهای مربوط به حسگرهای مختلف دارای قالب های متفاوتی هستند، قبل از ذخیره شدن توسط واحد تجمیع رخدادها به قالب یکسانی تبدیل می شوند.

    واحد تحلیل و تشخیص همبستگی رخدادها

    این واحد در مرکز عملیات امنیت، وظیفه تحلیل رخدادهای جمع آوری شده از سراسر زیرساخت اطلاعاتی را بر عهده دارد. تحلیل رخدادها به منظور کشف تهدیدها، براساس اطلاعاتی است که در پایگاه دانش ذخیره و نگهداری می شود.
    زیرسامانه دیگری در واحد تحلیل رخدادها وجود دارد که وظیفه واکنش به رویدادهای تولید شده را بر عهده خواهد داشت. این زیرسامانه نسبت به برخی از رویدادهای امنیتی کشف شده توسط موتورهای تحلیل، در صورت اضطرار و براساس قواعد تعریف شده در SOC، واکنش های لازم را نشان می دهد.

    واحد مدیریت وصله ها و مرور پیکربندی

    یکی از وظایف مهم مرکز عملیات امنیت، مدیریت موثر وصله های نرم افزاری و همچنین پیکربندی وضعیت فعلی کلیه سامانه ها است. مدیریت صحیح وصله ها و اعمال به موقع آن ها، علاوه بر اینکه درجه امنیتی سامانه ها را ارتقا می بخشد، کشف حملات و تهدیدات در فرایند تحلیل رخدادها و همچنین واکنش به رویدادهای تولید شده توسط مدیران امنیتی را بهبود می بخشد.
    علاوه بر مدیریت وصله ها، مدیریت پیکربندی و نگهداری آخرین وضعیت سامانه ها ( مشخصات سخت افزاری، سیستم عامل، سرویس های فعال، نرم افزار های نصب شده، پورت های باز و پیکربندی) نیز از وظایف این واحد SOC است. وضعیت سامانه ها بعنوان دانش در تحلیل رخدادها مورد استفاده قرار می گیرد.
    پیاده سازی سامانه مدیریت موثر وصله ها در SOC به دلایل متعددی دارای اهمیت است: نخست اینکه حجم بالای وصله هایی که منتشر می شوند، عملا کنترل دسترسی آن ها را ناممکن می کند. دوم اینکه فرایند استفاده از یک وصله جدید پیچیده بوده و شامل مراحل ارزیابی، دریافت، آزمایش، نصب و نگهداری وصله است که مدیریت کل این فرایند به صورت دستی خطازا خواهد بود. سوم اینکه سرعت از ملزومات مدیریت وصله های منتشر شده است، چرا که نفوذگران بسرعت از رخنه های امنیتی کشف شده سوء استفاده می کنند و باید این زمان را از آنان گرفت.

    واحد پورتال و کنسول

    به طور کلی پورتال و کنسول مرکز عملیات امنیت وظایفی از قبیل اعلان آنی رویدادهای امنیتی، تنظیم پارامترهای مربوط به هر کدام از زیر سامانه های SOC و تهیه انواع مختلف گزارش ها از وضعیت امنیت شبکه، رخدادها و رویدادهای امنیتی تولید شده و همچنین گزارش های تحلیل مخاطرات را بر عهده دارد.

  • تعیین و انجام عکس العمل صحیح و به موقع از مهم ترین دلایل راه اندازی سامانه مرکز عملیات امنیت و یکی از موضوعات مهم در زمان طراحی آن است. مرکز عملیات امنیت باید ویژگی های عمومی زیر را داشته باشد:

    مقیاس پذیری

    پارامتر مقیاس پذیری باید در طراحی مرکز عملیات امنیت و بخش های مختلف آن مورد توجه قرار گیرد. سامانه SOC باید بنحوی طراحی گردد که با افزایش میزان ترافیک و رخدادهای تولیدی، بتواند با کارایی بالا وظیفه خور را انجام دهد.

    ماژولار بودن

    منابع جمع آوری رخدادها در یک مرکز عملیات امنیت در دوره های زمانی مختلف دچار تغییر و تحول می گردند. SOC باید به نحوی طراحی شود که براحتی بتوان منابع و الگوریتم های تحلیل و همبستگی جدید را به سامانه اضافه کرد و یا تغییر  داد. به طور کلی باید طراحی ماژولار در کلیه بخش ها و زیر سامانه های مرکز عملیات امنیت مورد توجه قرار گیرد.

    کارایی بالا

    هدف از طراحی و پیاده سازی مرکز عملیات امنیت در یک زیرساخت اطلاعاتی نظارت بر امنیت کل شبکه (امنیت داده ها، امنیت خدمات و ...) و کشف حملات و تهدیدهای واقعی در کوتاهترین زمان ممکن است. به این منظور SOC باید پوشش کاملی روی زیرساخت مربوطه داشته باشد بدین معنی که تمام اجزای شبکه شامل کلیه کارگزارها، نرم افزارها، تجهیزات و ترافیک شبکه را رصد و همچنین الگوریتم های تحلیل، همبستگی و همچنین اطلاعات مربوط به آسیب پذیری ها، الگوی حملات، سیاست های امنیتی و  وضعیت سامانه ها را بروز کند.

    امنیت

    هدف SOC تامین و تضمین امنیت و پایداری داده و خدمات است.لذا لازم است در تمام بخش های SOC مسائل امنیتی مورد توجه جدی قرار گیرد.

خدمات شرکت ما
شرکت بهین راهکار با توجه به اینکه اولین شرکت ایرانی در حوزه تولید محصولات SIEM بنام CoreLog می باشد، امکان ایجاد مراکز بومی مدیریت عملیات امنیت (SOC) را یافته است. در این راستا با توجه به قراردادهای فروش محصول به سازمان های مختلف، عموما پروژه ایجاد مرکز مدیریت عملیات امنیت (SOC) نیز در آن سازمانها در برنامه قرار گرفته است. ارائه خدمات SOC توسط شرکت بهین راهکار در سرفصل های زیر صورت می گیرد:
  • ارائه خدمات مشاوره در طراحی، پیاده سازی و ایجاد مراکز مدیریت عملیات امنیت (SOC)
  • تهیه RFP، LOM و نظارت بر اجرای پروژه های مراکز مدیریت عملیات امنیت (SOC)
  • طراحی، پیاده سازی و پشتیبانی از مراکز مدیریت عملیات امنیت (SOC)
  • تامین محصول SIEM برای مراکز مدیریت عملیات امنیت (SOC)
  • تهیه فرایندها و رویه های اجرایی در مراکز مدیریت عملیات امنیت (SOC)
  • برگزاری سمینارها و همایش های درون سازمانی به منظور آشنایی با مراکز مدیریت عملیات امنیت (SOC)
محصولات