مرکز عملیات امنیت
مرکز عملیات امنیت واحدی است به منظور جمع آوری، یکسان سازی و ذخیرهسازی کلیه وقایع امنیتی با اهمیت جهت ایجاد قابلیت جستجو، تحلیل و بررسی ارتباطات وقایع با استفاده از عوامل تکنولوژیک، نیروی انسانی و فرآیندها و رویههای موجود در این مرکز با هدف پایش بلادرنگ وقایع امنیتی، شناسایی رخدادهای امنیتی و ارائه راهکارهای مقابله با آنها.
نامها
- Security Operation Center SOC
- Security Defense Center SDC
- Information Security Operations Center ISOC
- Security Intelligence and Operations Center SIOC
عوامل تشکیل دهنده
عوامل تکنولوژیک
سیستم مدیریت تهدید به مجموعهای از ابزارها گفته میشود که کلیه اتفاقات رخ داده در شبکه را ابتدا جمعآوری و ذخیرهسازی نموده و سپس با بررسی ارتباطات وقایع مختلف سعی در یافتن تهدیدات امنیتی در بین هزاران واقعه امنیتی به صورت خودکار مینماید این سیستم از سه بخش اصلی تشکیل میگردد:
مولدهای وقایع
به کلی ابزارهای امنیتی، تجهیزات شبکه، سرویس دهندهها و سرویس گیرندههای موجود در شبکه که علاوه بر انجام وظایف محوله اقدام به ثبت هر رخداد به صورت لاگ مینمایند اطلاق میگردد این واقایع یا ممکن است به صورت محلی بر روی خود سیستم به شکلهای مختلف متنی یا در داخل مرکز داده ذخیره شده یا به یک سیستم جمعآوری لاگ خارجی جهت نگهداری ارسال گردد. از جمله این مولدهای وقایع میتوان به تجهیزات شبکه مانند مسیریابها یا سوئیچها، تجهیزات امنیتی مانند فایروال و تجهیزات کنترل دسترسی و سرویس دهندهها مانند سرورهای مرکز داده ویا سرویس وب اشاره نمود.
جمعکننده وقایع
به ابزارهایی گفته میشود که فرایند جمعآوری لاگ تولید شده و ارسال آن به سیستم مدیریت لاگ را به عهده دارند که شامل فرایندهای زیر خواهد بود:
- استخراج لاگ از مولد وقایع با نصب یک نرمافزار (Agent) بر روی آن یا ایجاد یک سرور دریافتکننده لاگ مانند Syslog سرور.
- نرمال سازی (فرایند یک شکل سازی لاگ سیستمهای مختلف در قالب یکسان) با هدف ایجاد قابلیت مقایسه آنها بایکدیگر.
- فشرده سازی با هدف صرفه جویی در پهنای باند مورد استفاده در ارسال لاگ به سیستم مدیریت لاگ.
- رمزنگاری با هدف حفظ محرمانگی اطلاعات موجود در لاگها در زمان استفاده از بسترهای عمومی مانند اینترنت جهت ارسال لاگ به سیستم مدیریت لاگ.
سیستم مدیریت لاگ
به سیستمی گفته میشود که وظیفه ذخیرهسازی لاگها جمعآوری شده بمنظور تحلیل یا تهیه گزارشها را در بازههای زمانی متفاوت بنا به سیاستهای امنیت یک سازمان بعهده دارد.
موتور همبستگی سنجی
این بخش به عنوان مغز متفکر این سیستم با بررسی ارتباطات وقایع مختلف و با استفاده از اطلاعاتی نظیر آسیبپذیری یا عدم آسیبپذیری یک سیستم به یک تهدید اقدام به تشخیص، ارزش گذاری و رتبه بندی رخدادهای امنیتی در شبکه مینماید.
سیستم پیشگیری از نفوذ
سیستم جلوگیری نفوذ (به انگلیسی Intrusion prevention system)در واقع وظیفه دارند به تهدیدات شناسایی شده توسط موتور همبستگی سنجی بهطور خودکار پاسخ داده و آنها را به نحو مشخص مسدود کنند.
نیروی انسانی
این عامل به عنوان ستون اصلی هر مرکز عملیات امنیت به عنوان راهبران یک مرکز عملیات امنیت نقش اصلی را در لایههای مختلف در تحلیل رخدادهای امنیتی تشخیص داده شده توسط سیستم مدیریت تهدید و حذف خطاهای سیستم نظیر False Positive و یافتن راه کار محدودسازی یا ممانعت از نفوذ به شبکه را بعهده دارد. بهطور معمول نیروی انسانی در این مرکز در حد اقل سه سطح تحلیل گر و مدیریت مرکز با شرح وظایف و دانش و تجربه خاص خود از نیازمندیهایهای اصلی هر مرکز عملیات امنیت میباشد. همچنین برنامهریزی ساختار شیفتینگ نیروی انسانی یکی دیگر از مقولههای مهم در مراکز عملیات امنیت میباشد که نیازمند ارائه سرویس ۲۴*۷ میباشد.
فرایندها و رویه ها
در هر مرکز عملیات امنیت به منظور تشخیص و پاسخگویی به رخدادهای امنیتی در زمان مناسب به بهطور معمول فرایندهای مختلفی در چهار حوزههای زیر وجود خواهد داشت:
- فرایندهای کسب و کار
- فرایندهای تکنولوژیک
- فرایندهای عملیاتی
- فرایندهای تحلیل