مرکز عملیات امنیت – راه اندازی مرکز SOC
مرکز عملیات امنیت یا SOC (Security Operations Center) یک مرکز مدیریت امنیت شبکه است که به صورت مستمر فعالیتهای امنیتی را بر روی شبکهها و سیستمهای مختلف شرکتها و سازمانها رصد و مدیریت میکند SOC از تکنولوژیهای مختلف امنیتی برای شناسایی، پاسخگویی و پیشگیری از تهدیدات امنیتی استفاده میکند.
مرکز عملیات امنیت میتواند با استفاده از سیستمهایی مانند SIEM (Security Information and Event Management) به دادههای امنیتی از طریق لاگها، سیستمهای امنیتی، سنسورها و سایر منابع متصل شده باشد و در صورت شناسایی هرگونه تهدید امنیتی، اقدام به تحلیل آن و ارائه پاسخ مناسب میکند. همچنین، SOC میتواند برای شناسایی تهدیدات امنیتی از تکنولوژیهای مانند آنتیویروس ، فایروال ، IPS و IDS نیز استفاده کند.
با توجه به اهمیت امنیت شبکهها و سیستمهای اطلاعاتی در سازمانها، مرکز عملیات امنیت از اهمیت بسیار زیادی برخوردار است و برای بسیاری از سازمانها ضروری به نظر میرسد.
تیم سورین، با هدف بهبود کیفی دفاع سایبری و همچنین ارتقا بلوغ مراکز عملیات امنیت کشور، خدمات مرتبط با مرکز عملیات امنیت (تست نفوذ ، طراحی، راه اندازی، یوزکیس، پاسخ به رخداد و …) را ارایه می کند.
جهت ارتقای سطح امنیت سازمان یا ارگان خود با ما تماس بگیرید.
خدمات SOC به دلیل گستردگی پیچیدگیهای ذاتی که در عمل دارد سازمانها و مجموعهها را با چالشهای مختلفی مواجه میکند. از جمله میتوان به مشکلات موجود در طراحی زیرساختهای SOC ، کیفیت و کمیت لاگهای جمعآوری شده، و جانمایی سنسورها اشاره کرد. از مهمترین ماموریتهای این شرکت ارائهی انواع خدمات فنی به منظور استقرار مراکز عملیات امنیت سایبری در هر سه حوزه اصلی افراد، فرایندها و فناوری (People، Process و Technology) است.
شرکت فناوری راه نو سورین (دانش بنیان) با متخصصانی مجرب در این حوزه، از ابتدایی ترین مراحل استقرار یک SOC در وسعتهای مختلف تا ممیزی آنها و طراحی Use Case ها و Dashboardهای امنیتی و آموزش دورههای تخصصی امنیتی به کارکنان در جهت به بلوغ رسیدن یک مرکز عملیات امنیت، آماده ارائه خدمات به شرکتها و سازمانهای مختلف میباشد.
خدمات شرکت فناوری راه نو سورین در حوزهی مختلف SOC به شرح زیر میباشد:
فناوریهای مورد استفاده در مرکز عملیات امنیت
- خدمات مرتبط با اسپلانک
- خدمات تخصصی الستیک استک
- تامین منابع اطلاعات تهدید (Threat Intelligence)
فرایندهای SOC
- ارزیابی سطح بلوغ مرکز عملیات امنیت
- طراحی و پیاده سازی سناریوهای تشخیصی
- طراحی و پیادهسازی فرایندهای کاری جهت شکار تهدید افراد
افراد
- برگزاری دورههای تخصصی
- ارسال نیروی انسانی متخصص
- ارسال تیم تخصصی پاسخ به حوادث سایبری
- ارائهی مشاورههای تخصصی
کتابچهی راهنمای دستهبندی رویداد برای موارد استفاده SOC
اکثر سازمانهای مدرن مسیر ساخت مرکز عملیات امنیت (SOC) را آغاز کرده اند. SOC امروزه یک روند مدرن نیست، بلکه بازسازی اجباری و سازماندهی مجدد بخشهای امنیت اطلاعات یا امنیت سایبری موجود است. واقعیت این است که تعداد حوادث سایبری و انواع تهدیدات به طور مداوم در حال افزایش است، بنابراین متخصصان امنیت سایبری میبایست امنیت اطلاعات یا خدمات امنیت سایبری را در درجه اول به سمت شناسایی حوادث سوق دهند، تا همهی موارد دیگر نیز این روند را دنبال کنند.
چنین موقعیتی با این کلمات به خوبی نشان داده میشود: «دو نوع شرکت وجود دارد: آنهایی که هک شده اند و آنهایی که هنوز نمیدانند هک شده اند.»
SOC چیست ؟
SOC مجموعهای از کارکنان، فرآیندها، فناوریها و امکانات است که عمدتاً بر شناسایی (تشخیص) و پاسخ به حوادث امنیت سایبری، که در نتیجه تحقق تهدیدات امنیت سایبری ایجاد میشوند، متمرکز است. متأسفانه باور عمومی به صورتی است که میپندارد پوشش و مقاومت در برابر انواع تهدیدات امنیت سایبری موجود، به دلیل محدودیت منابع غیرممکن است و بنابراین اولویت بندی اقدامات و پروژهها ضروری است.
این مرکزها عموماً به منظور ایجاد نیروی پاسخگویی سریع و بهبود امنیت شبکه، سیستمهای کامپیوتری و دیگر منابع اطلاعاتی در شرکتها، سازمانها و ارگانهای دولتی تشکیل میشوند. مرکز عملیات امنیت یا SOC به کمک ابزارها و نرمافزارهای مدیریت رویدادهای امنیتی و نظارت بر نشانگرهای خمیدگی در فضای کاری، تشخیص حملات، مانیتور کردن ارتباطات شبکه و مدیریت امنیت اطلاعات و دادههای حساس کمک میکند.
بحث در مورد موارد استفادهی SOCها از مکانیزمی برای انتخاب و اجرای منسجم قوانین سناریوی تشخیص حوادث امنیت سایبری، ابزارها و عملیات واکنش آغاز میشود.
یک مورد استفاده را میتوان به عنوان یک وضعیت یا رویداد خاص (معمولاً مربوط به یک تهدید خاص) در نظر گرفت که باید توسط ابزار امنیتی شناسایی یا گزارش شود. این سنجشی از یک مدل تهدید امنیت سایبری یا ثبت ریسک امنیت سایبری است، اما در فرآیند مدیریت حوادث امنیت سایبری درون SOC متمرکز است.
چرخهی عمر موارد استفاده (به عنوان مثال، فرآیند مورد استفاده) شامل موارد زیر است:
- طراحی مورد استفاده
- توسعه مورد استفاده
- اجرای مورد استفاده
- کاربست مورد استفاده
مؤلفه اصلی موارد استفاده، قوانین سناریوی تشخیص حادثهی امنیت سایبری (یعنی یک قانون همبستگی) است که شامل موارد زیر است:
- چیدمان قانون درون یک سیستم خاص اطلاعات امنیتی و مدیریت رویداد (SIEM)
- منبع رویداد (هر نرم افزار یا سیستم عامل که دارای قابلیت ثبت گزارش و امکان دسترسی به دادههای گزارش است)
- دستهبندی رویداد یا رویداد ثبت شده دقیق (دادههای گزارش)
افراد درگیر در چرخه عمر موارد استفاده عبارتند از:
- طراح / تحلیلگر (گاهی اوقات یک مشاور خارجی)
- مهندس / مدیر سیستم SIEM
- مهندس / مدیر سیستم ابزار امنیتی (برای هر ابزار امنیتی)
- مدیر سیستم (برای هر ابزار غیر امنیتی)
در واقع، هریک از اعضای تیم موارد استفاده، واژگان و درک خود از قانون همبستگی (قانون سناریوی تشخیص حادثه امنیت سایبری) را به کار میبرد. خبر خوب این است که یک دسته رویداد یا یک رویداد ثبت شده دقیق (دادههای گزارش) میتواند واژگان مشترک و واضحی را برای همه کارکنان ارائه دهد.
به عنوان مثال، یک دسته رویداد “logon, logoff” است که رویدادهای ثبت شده دقیق در محیطهای Microsoft Windows 2008 R2 و 7 ، Windows 2012 R2 و 8.1 و Windows 2016 و 10 به شرح زیر است:
- شناسه رویداد 4624، پیام رویداد « ورود به اکانت با موفقیت انجام شد »
- شناسه رویداد 4634، پیام رویداد « یک اکانت از سیستم خارج شد »
با این حال یک خبر بد نیز وجود دارد: هیچگونه کتابچهی راهنمای کاملی از دسته بندی رویداد ها وجود ندارد. بنابراین لازم است که برای هر منبع رویداد یک دسته رویداد جداگانه یا لیست رویداد ثبت شده (دادههای گزارش) دقیق (کتابچهی راهنما) تهیه شود. انجام این کار برای زیرساخت بزرگ فناوری اطلاعات، چالش محسوب میشود.
چون این کتابچهی راهنما از یک طرف باید بر امنیت سایبری متمرکز باشد (فقط برای دو نفر اول از تیم لیست شده قبلی مشخص است) و از طرف دیگر روی منابع رویداد خاص متمرکز شود (فقط برای دو نفر آخر از تیم لیست شده مشخص است).
تجربه نشان داده است که انجام طراحی یک مورد استفاده و در نتیجه مراحل بعدی، بدون در اختیار داشتن کتابچهی راهنمای دستهبندی رویدادها بسیار دشوار و گاهاً غیرممکن است.
1. سیستم عامل
- ایجاد ، اصلاح و حذف گروه
- اضافه و حذف اعضای گروه
- ایجاد، اصلاح ، حذف ، قفل و باز کردن حساب
- تغییر تائید کنندهی اعتبار
- ورود و خروج
- ایجاد و تکمیل فرآیند / عملیات
- شروع و توقف سرویس/ راه انداز
- دسترسی (ایجاد، خواندن/اجرا، اصلاح / نوشتن، حذف) به شیء (یعنی دایرکتوری، فایل، کلید رجیستری)
- تغییر حقوق دسترسی مربوط به شیء
- پشتیبان گیری و بازیابی
- وضعیت به روز رسانی
- تغییر زمان سیستم
- روشن کردن، اصلاح، خاموش کردن ممیزی و حذف رد ممیزی
2. سیستم مدیریت پایگاه داده
- ایجاد، اصلاح و حذف کارکرد
- ایجاد، اصلاح و حذف کاربر
- تغییر تائید کنندهی اعتبار
- ورود و خروج
- اتصال و قطع اتصال
- تغییر مالک شیء پایگاه داده / مالک پایگاه داده
- ایجاد، اصلاح و حذف شیء پایگاه داده/ پایگاه داده
- دسترسی (یعنی انتخاب، به روز رسانی، مراجع، درج، حذف، اجرا) به شیء (یعنی پایگاه داده، جدول)
- اجرای دستور (یعنی تائید، ابطال، تکذیب، ایجاد، تغییر، تحویل ) به کاربر یا کارکرد
- شروع و توقف خدمات
- پشتیبان گیری و بازیابی
- روشن کردن، اصلاح، خاموش کردن ارزیابی و حذف مسیر ارزیابی
3. سرور وب
- شروع و توقف خدمات
- ورود به میزبان مجازی
- دسترسی (یعنی ارسال، دریافت به شی [میزبان مجازی])
4. سرور ایمیل
- شروع و توقف خدمات
- ورود به کنسول مدیریتی
- دسترسی (یعنی دریافت، ارسال) به شی (یعنی صندوق پست، ایمیل)
5. نرم افزار کاربردی
- ایجاد، اصلاح و حذف گروه (در صورت امکان)
- اضافه و حذف اعضای گروه (در صورت امکان)
- ایجاد، اصلاح، حذف، قفل کردن و باز کردن قفل حساب (در صورت امکان)
- تغییر تائید کنندهی اعتبار (در صورت امکان)
- ورود و خروج از سیستم (در صورت امکان)
- شروع و توقف خدمات
- دسترسی (یعنی ایجاد، خواندن / اجرا، اصلاح / نوشتن، حذف) به شیء (اگر مربوط به نرم افزار کاربردی باشد)
- تغییر حقوق دسترسی مربوط به شیء
- روشن کردن، اصلاح، خاموش کردن ارزیابی و حذف مسیر ارزیابی(در صورت امکان)
6. روتر و سوئیچ
- ایجاد، اصلاح و حذف گروه
- اضافه و حذف اعضای گروه
- ایجاد، اصلاح، حذف، قفل و باز کردن حساب
- تغییر تائید کنندهی اعتبار
- ورود به کنسول مدیریت و خروج از آن
- دسترسی (یعنی ایجاد، خواندن، اصلاح، حذف) به شی (یعنی ACL، مسیر)
- تغییر حقوق دسترسی مربوط به شی (تنظیم)
- دسترسی (یعنی تائید، تکذیب) به شی شبکه (یعنی IP Address، Port، Protocol)
- شروع و توقف خدمات
- پشتیبان گیری و بازیابی
- وضعیت به روز رسانی
- تغییر زمان سیستم
- روشن کردن، اصلاح، خاموش کردن ممیزی و حذف رد ممیزی
7. فایروال (فایروال نسل بعد [NGFW]، مدیریت تهدید یکپارچه [UTM]) و Server Proxy
- ایجاد، اصلاح و حذف گروه
- اضافه و حذف اعضای گروه
- ایجاد، اصلاح، حذف، قفل و باز کردن حساب
- تغییر تائید کنندهی اعتبار
- ورود به کنسول مدیریت و خروج از آن
- دسترسی (یعنی ایجاد، خواندن، اصلاح، حذف) به شی (یعنی ACL، مسیر)
- تغییر حقوق دسترسی مربوط به شی
- احراز هویت شیء (یعنی نام کاربری) در دسترسی به شبکه (موفق یا ناموفق)
- دسترسی (یعنی تائید، تکذیب ) به شیء شبکه (یعنی IP Address، Port، Protocol)
- شروع و توقف خدمات
- پشتیبان گیری و بازیابی
- وضعیت به روز رسانی
- تغییر زمان سیستم
- روشن کردن، اصلاح، خاموش کردن ممیزی و حذف رد ممیزی
8. ابزار شبکه خصوصی مجازی (VPN)
- ایجاد، اصلاح و حذف گروه
- اضافه و حذف اعضای گروه
- ایجاد، اصلاح، حذف، قفل و باز کردن حساب
- تغییر تائید کنندهی اعتبار
- ورود به کنسول مدیریت و خروج از آن
- دسترسی (یعنی ایجاد، خواندن، اصلاح، حذف) به شی (به عنوان مثال، VPN، Router، Private key)
- تغییر حقوق دسترسی مربوط به شی
- احراز هویت موضوع (کلاینت VPN) در دسترسی به VPN (موفق یا ناموفق)
- اتصال بین ابزارهای VPN
- تغییر کلید خصوصی
- شروع و توقف دستگاه
- تغییر وضعیت خدمات
- پشتیبان گیری و بازیابی
- وضعیت به روز رسانی
- تغییر زمان سیستم
- روشن کردن، اصلاح، خاموش کردن ارزیابی و حذف مسیر ارزیابی
9. سیستم تشخیص نفوذ (IDS)/سیستم جلوگیری از نفوذ (IPS)، فایروال کاربردی وب
- ایجاد، اصلاح و حذف گروه
- اضافه و حذف اعضای گروه
- ایجاد، اصلاح، حذف، قفل و باز کردن حساب
- تغییر تائید کنندهی اعتبار
- ورود به کنسول مدیریت و خروج از آن
- دسترسی (یعنی ایجاد، خواندن، اصلاح، حذف) به شی (یعنی ACL، امضا)
- تغییر حقوق دسترسی مربوط به شی
- شناسایی و مسدود کردن فعالیتهای مخرب
- شروع و توقف دستگاه
- تغییر وضعیت خدمات
- پشتیبان گیری و بازیابی
- وضعیت به روز رسانی
- تغییر زمان سیستم
- روشن کردن، اصلاح، خاموش کردن ممیزی و حذف رد ممیزی
10. ابزار آنتی ویروس
- ایجاد، اصلاح و حذف گروه
- اضافه و حذف شی گروه
- ایجاد، اصلاح، حذف، قفل کردن و باز کردن قفل حساب (در صورت امکان)
- ورود به کنسول مدیریت و خروج از آن
- تغییر خطوط مشی آنتی ویروس
- شروع و توقف خدمات
- پشتیبان گیری و بازیابی
- وضعیت به روز رسانی نرم افزار و پایگاه دادهی اثر
- تغییر وضعیت ابزار آنتی ویروس
- شناسایی، قرنطینه، بهبود و حذف شی مخرب
- روشن کردن، اصلاح، خاموش کردن ارزیابی و حذف مسیر ارزیابی
11. پویشگر آسیب پذیری
- ایجاد، اصلاح و حذف گروه
- اضافه و حذف شی گروه
- ایجاد، اصلاح، حذف، قفل کردن و باز کردن قفل حساب (در صورت امکان)
- ورود به کنسول مدیریت و خروج از آن
- تغییر خطوط مشی پویشگر
- شروع و توقف خدمات/ عملیات
- وضعیت به روز رسانی نرم افزار و پایگاه داده آسیب پذیری
- تشخیص آسیب پذیری
- روشن کردن، اصلاح، خاموش کردن ارزیابی و حذف مسیر ارزیابی
-
سیستم جلوگیری از نشت دادهها
- ایجاد، اصلاح و حذف گروه
- اضافه و حذف اعضای گروه
- ایجاد، اصلاح، حذف، قفل و باز کردن حساب
- تغییر تائید کنندهی اعتبار
- ورود به کنسول مدیریت و خروج از آن
- شروع و توقف خدمات
- دسترسی (یعنی ایجاد، حرکت، مقابله، حذف، اصلاح) به شی (یعنی خط مشی، قانون)
- اقدام (یعنی ارسال از طریق شبکه، کپی در حافظه خارجی، چاپ) روی دادهها (یعنی فایل، ایمیل)
- پشتیبان گیری و بازیابی
- ورود، صدور، ذخیره، اعمال و بازگرداندن پیکربندی
- روشن کردن، اصلاح، خاموش کردن ارزیابی و حذف مسیر ارزیابی
- رهگیری رویداد با دستورات «انسداد» و «قرنطینه»
13. هایپروایزر
- ایجاد، اصلاح و حذف گروه
- اضافه و حذف اعضای گروه
- ایجاد، اصلاح، حذف، قفل و باز کردن حساب
- تغییر احراز هویت
- ورود به کنسول مدیریتی و خروج از آن
- شروع و توقف فرآیند/ عملیات (یعنی انتقال، شبیه سازی)
- شروع و توقف خدمات
- دسترسی (یعنی ایجاد، اجرا، اصلاح، حذف) به شی (یعنی ماشین مجازی، سوئیچ مجازی)
- تغییر حقوق دسترسی مربوط به شی
- پشتیبان گیری و بازیابی
- وضعیت به روز رسانی
- تغییر زمان سیستم
- روشن کردن، اصلاح، خاموش کردن ارزیابی و حذف مسیر ارزیابی
نتیجه
کتابچهی راهنمای پیشنهادی از واژگان مبتنی بر هر نوع منبع رویداد و کارکنان مرتبط استفاده میکند (به عنوان مثال، «کارکرد» مدیر پایگاه داده مشخص است، “ACL” برای یک متخصص شبکه واضح است)، بنابراین کارکنان امنیت سایبری ملزم به ترجمهی اصطلاحات کلیدی نیستند و در زمان گرانبهای آنها صرفهجویی میشود.
علاوه بر آن، این لیست به مسائل امنیت سایبری مرتبط بوده و شامل اطلاعات اضافی نمیباشد. بنابراین میتوان منابع امنیت سایبری را به طور مسئولانه در فرآیند مورد استفاده از SOC به کار برد و تمرکز بر شناسایی (تشخیص) و پاسخ به حوادث امنیت سایبری را حفظ کرد.
نیاز به مشاوره امنیت سایبری دارید؟
همین حالا تماس بگیرید
برای دریافت مشاوره و خدمات امنیت سایبری میتوانید با شماره تماس 02122021734 در ساعات اداری تماس گرفته و یا از طریق فرم مربوطه با ما تماس بگیرید.