مرکز عملیات امنیت

مرکز عملیات امنیت واحدی است به منظور جمع آوری، یکسان سازی و ذخیره‌سازی کلیه وقایع امنیتی با اهمیت جهت ایجاد قابلیت جستجو، تحلیل و بررسی ارتباطات وقایع با استفاده از عوامل تکنولوژیک، نیروی انسانی و فرآیندها و رویه‌های موجود در این مرکز با هدف پایش بلادرنگ وقایع امنیتی، شناسایی رخدادهای امنیتی و ارائه راهکارهای مقابله با آنها.

نامها

  • Security Operation Center SOC
  • Security Defense Center SDC
  • Information Security Operations Center ISOC
  • Security Intelligence and Operations Center SIOC

عوامل تشکیل دهنده

عوامل تکنولوژیک

سیستم مدیریت تهدید به مجموعه‌ای از ابزارها گفته می‌شود که کلیه اتفاقات رخ داده در شبکه را ابتدا جمع‌آوری و ذخیره‌سازی نموده و سپس با بررسی ارتباطات وقایع مختلف سعی در یافتن تهدیدات امنیتی در بین هزاران واقعه امنیتی به صورت خودکار می‌نماید این سیستم از سه بخش اصلی تشکیل می‌گردد:

مولدهای وقایع

به کلی ابزارهای امنیتی، تجهیزات شبکه، سرویس دهنده‌ها و سرویس گیرنده‌های موجود در شبکه که علاوه بر انجام وظایف محوله اقدام به ثبت هر رخداد به صورت لاگ می‌نمایند اطلاق می‌گردد این واقایع یا ممکن است به صورت محلی بر روی خود سیستم به شکل‌های مختلف متنی یا در داخل مرکز داده ذخیره شده یا به یک سیستم جمع‌آوری لاگ خارجی جهت نگهداری ارسال گردد. از جمله این مولدهای وقایع می‌توان به تجهیزات شبکه مانند مسیریاب‌ها یا سوئیچ‌ها، تجهیزات امنیتی مانند فایروال و تجهیزات کنترل دسترسی و سرویس دهنده‌ها مانند سرورهای مرکز داده ویا سرویس وب اشاره نمود.

جمع‌کننده وقایع

به ابزارهایی گفته می‌شود که فرایند جمع‌آوری لاگ تولید شده و ارسال آن به سیستم مدیریت لاگ را به عهده دارند که شامل فرایندهای زیر خواهد بود:

  1. استخراج لاگ از مولد وقایع با نصب یک نرم‌افزار (Agent) بر روی آن یا ایجاد یک سرور دریافت‌کننده لاگ مانند Syslog سرور.
  2. نرمال سازی (فرایند یک شکل سازی لاگ سیستم‌های مختلف در قالب یکسان) با هدف ایجاد قابلیت مقایسه آن‌ها بایکدیگر.
  3. فشرده سازی با هدف صرفه جویی در پهنای باند مورد استفاده در ارسال لاگ به سیستم مدیریت لاگ.
  4. رمزنگاری با هدف حفظ محرمانگی اطلاعات موجود در لاگ‌ها در زمان استفاده از بسترهای عمومی مانند اینترنت جهت ارسال لاگ به سیستم مدیریت لاگ.

سیستم مدیریت لاگ

به سیستمی گفته می‌شود که وظیفه ذخیره‌سازی لاگ‌ها جمع‌آوری شده بمنظور تحلیل یا تهیه گزارش‌ها را در بازه‌های زمانی متفاوت بنا به سیاست‌های امنیت یک سازمان بعهده دارد.

موتور همبستگی سنجی

این بخش به عنوان مغز متفکر این سیستم با بررسی ارتباطات وقایع مختلف و با استفاده از اطلاعاتی نظیر آسیب‌پذیری یا عدم آسیب‌پذیری یک سیستم به یک تهدید اقدام به تشخیص، ارزش گذاری و رتبه بندی رخدادهای امنیتی در شبکه می‌نماید.

سیستم‌ پیشگیری از نفوذ

سیستم جلوگیری نفوذ (به انگلیسی Intrusion prevention system)در واقع وظیفه دارند به تهدیدات شناسایی شده توسط موتور همبستگی سنجی به‌طور خودکار پاسخ داده و آن‌ها را به نحو مشخص مسدود کنند.

نیروی انسانی

این عامل به عنوان ستون اصلی هر مرکز عملیات امنیت به عنوان راهبران یک مرکز عملیات امنیت نقش اصلی را در لایه‌های مختلف در تحلیل رخدادهای امنیتی تشخیص داده شده توسط سیستم مدیریت تهدید و حذف خطاهای سیستم نظیر False Positive و یافتن راه کار محدودسازی یا ممانعت از نفوذ به شبکه را بعهده دارد. به‌طور معمول نیروی انسانی در این مرکز در حد اقل سه سطح تحلیل گر و مدیریت مرکز با شرح وظایف و دانش و تجربه خاص خود از نیازمندیهای‌های اصلی هر مرکز عملیات امنیت می‌باشد. همچنین برنامه‌ریزی ساختار شیفتینگ نیروی انسانی یکی دیگر از مقوله‌های مهم در مراکز عملیات امنیت می‌باشد که نیازمند ارائه سرویس ۲۴*۷ می‌باشد.

فرایندها و رویه ها

در هر مرکز عملیات امنیت به منظور تشخیص و پاسخگویی به رخدادهای امنیتی در زمان مناسب به به‌طور معمول فرایندهای مختلفی در چهار حوزه‌های زیر وجود خواهد داشت:

  1. فرایندهای کسب و کار
  2. فرایندهای تکنولوژیک
  3. فرایندهای عملیاتی
  4. فرایندهای تحلیل

منابع

    This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.