مرکز عملیات امنیت (SOC)

مرکز عملیات امنیت یا SOC (Security Operations Center) یک مرکز مدیریت امنیت شبکه است که به صورت مستمر فعالیت‌های امنیتی را بر روی شبکه‌ها و سیستم‌های مختلف شرکت‌ها و سازمان‌ها رصد و مدیریت می‌کند SOC از تکنولوژی‌های مختلف امنیتی برای شناسایی، پاسخ‌گویی و پیشگیری از تهدیدات امنیتی استفاده می‌کند.

مرکز عملیات امنیت می‌تواند با استفاده از سیستم‌هایی مانند SIEM (Security Information and Event Management) به داده‌های امنیتی از طریق لاگ‌ها، سیستم‌های امنیتی، سنسورها و سایر منابع متصل شده باشد و در صورت شناسایی هرگونه تهدید امنیتی، اقدام به تحلیل آن و ارائه پاسخ مناسب می‌کند. همچنین، SOC می‌تواند برای شناسایی تهدیدات امنیتی از تکنولوژی‌های مانند آنتی‌ویروس ، فایروال ، IPS و IDS نیز استفاده کند.

با توجه به اهمیت امنیت شبکه‌ها و سیستم‌های اطلاعاتی در سازمان‌ها، مرکز عملیات امنیت از اهمیت بسیار زیادی برخوردار است و برای بسیاری از سازمان‌ها ضروری به نظر می‌رسد.

خدمات SOC به دلیل گستردگی پیچیدگی‌های ذاتی که در عمل دارد سازمان‌‌ها و مجموعه‌‌ها را با چالش‌های مختلفی مواجه می‌کند. از جمله می‌توان به مشکلات موجود در طراحی زیرساخت‌های SOC ، کیفیت و کمیت لاگ‌های جمع‌آوری شده، و جانمایی سنسورها اشاره کرد. از مهم‌ترین ماموریت‌های این شرکت ارائه‌ی انواع خدمات فنی به منظور استقرار مراکز عملیات امنیت سایبری در هر سه حوزه اصلی افراد، فرایندها و فناوری (People، Process و Technology) است.

شرکت فناوری راه نو سورین (دانش بنیان) با متخصصانی مجرب در این حوزه، از ابتدایی ترین مراحل استقرار یک SOC در وسعت‌‌های مختلف تا ممیزی آنها و طراحی Use Case ها و Dashboardهای امنیتی و آموزش دوره‌‌های تخصصی امنیتی به کارکنان در جهت به بلوغ رسیدن یک مرکز عملیات امنیت، آماده ارائه خدمات به شرکت‌‌ها و سازمان‌‌های مختلف می‌باشد.

خدمات شرکت فناوری راه نو سورین در حوزه‌ی مختلف SOC به شرح زیر می‌باشد:

فناوری‌های مورد استفاده در مرکز عملیات امنیت

• خدمات مرتبط با اسپلانک
• خدمات تخصصی الستیک استک
• تامین منابع اطلاعات تهدید (Threat Intelligence)

فرایند‌های SOC

• ارزیابی سطح بلوغ مرکز عملیات امنیت
• طراحی و پیاده سازی سناریوهای تشخیصی
• طراحی و پیاده‌سازی فرایندهای کاری جهت شکار تهدید افراد

افراد

• برگزاری دوره‌های تخصصی
• ارسال نیروی انسانی متخصص
• ارسال تیم تخصصی پاسخ به حوادث سایبری
• ارائه‌ی مشاوره‌های تخصصی

کتابچه‌ی راهنمای دسته‌بندی رویداد برای موارد استفاده SOC

اکثر سازمان‌‌های مدرن مسیر ساخت مرکز عملیات امنیت (SOC) را آغاز کرده اند. SOC امروزه یک روند مدرن نیست، بلکه بازسازی اجباری و سازماندهی مجدد بخش‌‌های امنیت اطلاعات یا امنیت سایبری موجود است. واقعیت این است که تعداد حوادث سایبری و انواع تهدیدات به طور مداوم در حال افزایش است، بنابراین متخصصان امنیت سایبری ‌می‌بایست امنیت اطلاعات یا خدمات امنیت سایبری را در درجه اول به سمت شناسایی حوادث سوق دهند، تا همه‌ی موارد دیگر نیز این روند را دنبال کنند.

چنین موقعیتی با این کلمات به خوبی نشان داده ‌می‌شود: «دو نوع شرکت وجود دارد: آنهایی که هک شده اند و آنهایی که هنوز نمی‌دانند هک شده اند.»

SOC چیست ؟

SOC مجموعه‌ای از کارکنان، فرآیندها، فناوری‌ها و امکانات است که عمدتاً بر شناسایی (تشخیص) و پاسخ به حوادث امنیت سایبری، که در نتیجه تحقق تهدیدات امنیت سایبری ایجاد می‌شوند، متمرکز است. متأسفانه باور عمومی به صورتی است که می‌پندارد پوشش و مقاومت در برابر انواع تهدیدات امنیت سایبری موجود، به دلیل محدودیت منابع غیرممکن است و بنابراین اولویت بندی اقدامات و پروژه‌‌ها ضروری است.

این مرکزها عموماً به منظور ایجاد نیروی پاسخگویی سریع و بهبود امنیت شبکه‌، سیستم‌های کامپیوتری و دیگر منابع اطلاعاتی در شرکت‌ها، سازمان‌ها و ارگان‌های دولتی تشکیل می‌شوند. مرکز عملیات امنیت یا SOC به کمک ابزارها و نرم‌افزارهای مدیریت رویدادهای امنیتی و نظارت بر نشانگرهای خمیدگی در فضای کاری، تشخیص حملات، مانیتور کردن ارتباطات شبکه و مدیریت امنیت اطلاعات و داده‌های حساس کمک می‌کند.

بحث در مورد موارد استفاده‌ی SOCها از مکانیزمی برای انتخاب و اجرای منسجم قوانین سناریوی تشخیص حوادث امنیت سایبری، ابزارها و عملیات واکنش آغاز می‌شود.

یک مورد استفاده را ‌می‌توان به عنوان یک وضعیت یا رویداد خاص (معمولاً مربوط به یک تهدید خاص) در نظر گرفت که باید توسط ابزار امنیتی شناسایی یا گزارش شود. این سنجشی از یک مدل تهدید امنیت سایبری یا ثبت ریسک امنیت سایبری است، اما در فرآیند مدیریت حوادث امنیت سایبری درون SOC متمرکز است.

چرخه‌ی عمر موارد استفاده (به عنوان مثال، فرآیند مورد استفاده) شامل موارد زیر است:

1. طراحی مورد استفاده
2. توسعه مورد استفاده
3. اجرای مورد استفاده
4. کاربست مورد استفاده

مؤلفه اصلی موارد استفاده، قوانین سناریوی تشخیص حادثه‌ی امنیت سایبری (یعنی یک قانون همبستگی) است که شامل موارد زیر است:

• چیدمان قانون درون یک سیستم خاص اطلاعات امنیتی و مدیریت رویداد (SIEM)
• منبع رویداد (هر نرم افزار یا سیستم عامل که دارای قابلیت ثبت گزارش و امکان دسترسی به داده‌‌های گزارش است)
• دسته‌بندی رویداد یا رویداد ثبت شده دقیق (داده‌های گزارش)

افراد درگیر در چرخه عمر موارد استفاده عبارتند از:

• طراح / تحلیل‌گر (گاهی اوقات یک مشاور خارجی)
• مهندس / مدیر سیستم SIEM
• مهندس / مدیر سیستم ابزار امنیتی (برای هر ابزار امنیتی)
• مدیر سیستم (برای هر ابزار غیر امنیتی)

در واقع، هریک از اعضای تیم موارد استفاده، واژگان و درک خود از قانون همبستگی (قانون سناریوی تشخیص حادثه امنیت سایبری) را به کار می‌برد. خبر خوب این است که یک دسته رویداد یا یک رویداد ثبت شده دقیق (داده‌‌های گزارش) ‌می‌تواند واژگان مشترک و واضحی را برای همه کارکنان ارائه دهد.

به عنوان مثال، یک دسته رویداد “logon, logoff” است که رویدادهای ثبت شده دقیق در محیط‌‌های Microsoft Windows 2008 R2 و 7 ، Windows 2012 R2 و 8.1 و Windows 2016 و 10 به شرح زیر است:

• شناسه رویداد 4624، پیام رویداد « ورود به اکانت با موفقیت انجام شد »
• شناسه رویداد 4634، پیام رویداد « یک اکانت از سیستم خارج شد »

با این حال یک خبر بد نیز وجود دارد: هیچ‌گونه کتابچه‌ی راهنمای کاملی از دسته بندی رویداد ها وجود ندارد. بنابراین لازم است که برای هر منبع رویداد یک دسته رویداد جداگانه یا لیست رویداد ثبت شده (داده‌‌های گزارش) دقیق (کتابچه‌ی راهنما) تهیه شود. انجام این کار برای زیرساخت بزرگ فناوری اطلاعات، چالش محسوب می‌شود.

چون این کتابچه‌ی راهنما از یک طرف باید بر امنیت سایبری متمرکز باشد (فقط برای دو نفر اول از تیم لیست شده قبلی مشخص است) و از طرف دیگر روی منابع رویداد خاص متمرکز شود (فقط برای دو نفر آخر از تیم لیست شده مشخص است).

تجربه نشان داده است که انجام طراحی یک مورد استفاده و در نتیجه مراحل بعدی، بدون در اختیار داشتن کتابچه‌ی راهنمای دسته‌بندی رویدادها بسیار دشوار و گاهاً غیرممکن است.