مرکز عملیات امنیت یا SOC چیست

مقدمه

مرکز عملیات امنیت شبکه، (SOC) مکانی جهت مانیتورینگ و کنترل 24 ساعته ورود و خروج اطلاعات در شبکه می باشد. به طور کلی هر مرکزSOC  به سه سطح عمده تقسیم می شود که هر یک وظایف خاصی را بر عهده دارند، این سطوح عبارتند از:

سطح یکم، نقطه تماس Client‌ها و مسئول پاسخ گویی به اخطارهای دریافتی ازClient  ‌هاست. در این سطح به کلیه اخطارهایی که از پیچیدگی پایین‌تری برخوردارند، پاسخ داده می‌شود.

سطح دوم، در حقیقت مکمل سطح یکم است و مسئول پاسخ‌گویی به مشکلات پیچیده تر در سیستم‌های امنیتی شبکه می‌باشد. برای اخطارهایی که از اهمیت بالایی برخوردارند، سیستم های سطح دوم به طور کامل درگیر می‌شوند.

سطح سوم، در این سطح کارشناسان ارشد و مشاوران امنیتی شبکه قرار دارند. این سطح در حقیقت پشتیبان دو سطح پایین‌تر است. در صورتی که به اشکالات امنیتی در دو سطح پایین پاسخ داده نشود، کارشناسان و سیستم‌های این سطح، درگیر می‌شوند. کلیه تدابیر امنیتی و مدیریت امنیت شبکه، در این سطح اندیشیده می‌شود.

در طراحی مراکز امنیت شبکه، متدولوژی‌های مختلفی مطرح می‌باشد. با این حال پایه همه متدولوژی‌ها براساسِ ترکیب تکنولوژی، نیروی انسانی، فرآیندها در هسته فعالیت مرکز امنیت شبکه و احاطه آن توسط فرآیندهای اجرایی می‌باشد. این فرآیندها شامل برنامه‌ریزی، طراحی، پیاده‌سازی، عملیاتی نمودن و توسعه مرکز امنیت شبکه می‌باشد.

لایه بعدی در طراحی مرکز  SOC، شامل ابزارها و معیارهایی است که از طریق آن‌ها خدمات ارائه شده ارزیابی می‌گردند. این ابزارها و معیارها شامل چشم‌انداز، منابع، زمان، هزینه، ارتباطات و ریسک‌های موجود در راه اندازی SOC  می‌باشد.

نکته قابل‌توجه در طراحی یک SOC، انعطاف‌پذیریِ متدولوژی طراحی آن است که به واسطه آن می‌توان برای هر یک از مشتریان مطابق سرویس‌های مورد نیازشان راه حل خاصی برای مدیریت امنیت شبکه ارائه نمود.

در هر یک از سطوح مطرح‌شده، ابزاری برای مدیریت سیستم‌های امنیتی در نظر گرفته می شود. این ابزارها امنیت شبکه را از دو دیدگاه درون‌سازمانی و برون‌سازمانی مورد بررسی قرار می‌دهند. برای این منظور، هر  SOCدارای یک سری تجهیزات در داخل شبکه و یک سری تجهیزات در خود مرکز می باشد.

خدمات و سرویس‌های مراکز عملیات امنیت SOC

همه سرویس‌هایی که از مراکز SOC ارائه می‌گردند، مانیتورینگ و مدیریت‌ شده هستند. دیگر سرویس‌هایی که از طریق این مراکز قابل‌ارائه می‌باشند، سرویس‌های پیشرفته‌ای به شرح زیر می‌باشد:

• توسعه سیاست‌های امنیتی‌
• 
  
  آموزش مباحث امنیتی‌
• 
  
  طراحی دیواره‌های آتش‌
• 
  
  پاسخگویی آنی‌
• 
  
  مقابله با خطرات و پیاده‌سازی
• 
  

سرویس‌هایی که از طریق این مراکز ارائه می‌گردند، عبارتند از سرویس‌های مدیریت شده‌ای که از تجهیزات و ارتباطات مرکز SOC محافظت می‌نمایند. این سرویس‌ها از متدولوژی و ابزارهای نرم‌افزاری و سخت افزاری قدرتمندی برای مدیریت امنیت استفاده می‌نمایند. اجزای سخت‌افزاری که در شبکه‌ها توسط سیستم‌های مدیریت‌شده برای اعمال سیاست‌های امنیتی مورد استفاده قرار می‌گیرند، عبارتند از:

• 
  
  سیستم‌های کشف و رفع حملات  (Intrusion Detection System)
• 
  
  سیستم‌های‌ فایروال و سیستم‌های مدیریت امنیت در شبکه‌های خصوصی مجازی

معماری SOC

  SOC  از 5 ماژول مجزا ساخته شده است:

ثبت رخداد های امنیتی

جمع آوری

ذخیره سازی

تحلیل 

واکنش

 اصلی ترین مشکل در ایجادSOC  ایجاد هماهنگی بین این 5 ماژول است، به عبارت دیگر ایجاد یک محیط خودکار که داده ها و کانال های ارتباطی را در دسترس، یکپارچه و امن قرار دهد.

 SOC بستری است که سرویس های کشف و واکنش را در مقابل حوادث امنیتی فراهم می آورد. طبق این تعریف می توان پنج نوع عملیات مختلف را در حوزه SOC در نظر گرفت :

ثبت رخداد امنیتی

•  جمع آوری

•  ذخیره سازی

 تحلیل

 واکنش

جهت آسانتر شدن مفهوم، معماری  SOC  را با کادرهایی نشان می دهیم که هر یک ازاین کادرها، گروه عملیاتی از ماژول هایی است که عملیات خاصی را انجام می دهند:

ثبت رخدادهای امنیتی	Event generator	E Boxes
ذخیره سازی رخ دادهای امنیتی	Event databases	D Boxes
واکنش در مقابل رخدادهای امنیتی	Event reaction	R Boxes
تحلیل رخدادهای امنیتی	Event analysis	A Boxes
جمع آوری رخدادهای امنیتی	Event collection & formating	C Boxes
دانش	Knowledge base	K Boxes

 

E Boxes

E Boxes ها مسئولیت ثبت رخدادهای امنیتی را دارند. می توان این بخش را به دو قسمت تقسیم نمود:

اولین بخش سنسورها (Sensor) که رخدادهای امنیتی داده ها را ثبت می کند و بر اساس یک سری از عملیات سیستم عامل و برنامه ها یا در شبکه رخ دادهای امنیتی را ثبت می نماید.

دومین بخش پولرها  (Pollers) که وضعیت داده ها را ثبت می کند و رخدادها  با استفاده از محرک های بیرونی مانند Ping ثبت می شوند.

Sensors

یکی از معروفتین نوع سنسورها IDS ها می باشند، که بر پایه هاست یا شبکه هستند. می توان به این طبقه مجازی هر سیسم فیلتر شده ای را اضافه نمود.

درمعماری SOC چیستی اطلاعات جمع آوری شده و چگونگی تحلیل، پردازش و ارتباط این اطلاعات مشخص می شود.  ایجاد یک  SOC با معماری مناسب مستلزم موارد ذیل است :

• 
  
   تعیین دارایی ها


•  تصمیم گیری در مورد اطلاعات امنیتی که بایستی جمع آوری گردند


•  تعیین اطلاعات مرتبط و قابل تحلیل
• 
  
   تحلیل پدیده های امنیتی مرتبط
• 
  
   از کارشناسان امنیتی به نحو شایسته بهره گرفته شود.


•  با مشتریان ارتباط برقرار گردد

 تجهیزات معماری SOC دارای انواع مختلفی است که در اینجا به صورت مختصر توضیح داده می شود. در اینجا پروژه به صورت مرحله به مرحله توضیح داده می شود.

1. 
   
   به دست آوردن داده ها

قبل از اینکه از حس گرها استفاده  و بین داده ها همبستگی ایجاد کنیم و آنها را تحلیل نمائیم بررسی و ارزیابی زیر ساخت ها از لحاظ امنیتی بسیار حائز اهمیت است . و با ارزیابی زیر ساخت می توان راه های نفوذ به سیستم را پیدا نمود و یک سری تلاش هایی در خصوص آسیب پذیری های زیرساخت اعمال نمود.

1.1. تعیین دارائی های سازمان

1.2. ذخیره سازی آسیب پذیری ها

1.3. سیاستهای امنیتی

1.4. ارزیابی وضعیت

2. جمع آوری و ذخیره سازی وقایع ایجاد شده

2.1. جامعیت و اجراها

2.2. جمع آوری و ذخیره سازی

3. تحلیل و گزارش دهی

3.1. اخطار رفتاری و ساختمانی

3.2. اینترفیس

3.2.1. کنسول مرکز عملیات امنیت

3.2.2. پرتال کاربران نهایی

3.3. واکنش

Security Information and Event Management SIEM

SIEM  که در لغت به معنای امنیت اطلاعات و مدیریت رویداد نگاری می باشد از مباحث مهم در طراحی یک مرکز عملیات امنیت SOC می باشد. یکی از قسمت های اساسی در هرSOC مبحث SIEM  می باشد.

SIEM  برگرفته از دو راه حل متفاوت است که شامل:

Security Information Management(SIM)

 Security Event Management(SEM)

سیستم SIEM تجزیه تحلیل های Real-Time از هشدارهای امنیتی دستگاه ­ها و نرم افزارهای شبکه را فراهم می آورد .

راه حل های SIEM مشتمل بر نرم افزار ،سخت افزار و سرویس ها ،به منظور وقایع نگاری امنیتی و ارائه گزارش های امنیتی می باشد .

کلمات اختصاری SIEM,SEM,SIM را می توان در مواردی به جای یکدیگر به کار برد هر چند که اصولاً معانی متفاوتی دارند.

در مباحثی نظیر مدیریت امنیت که با Real-time Monitoring ،وقایع نگاری، هشدارها و مسائلی از این دست سر و کار دارد معمولاً با کلمه SEM همراه می شود.

مبحث دیگر که شامل تحلیل و آنالیز Log ها و گزارش دهی می گردد معمولاً به عنوان SIM همراه می شود .

توانمندی های SIEM

 ادغام داده ها (Log Management)SIEM/LM  : (Data Aggregation) داده ها را از منابع  فراوانی نظیر شبکه، امنیت، سرورها، بانک های اطلاعاتی، نرم افزارهای کاربردی جمع آوری می کند تا حوادث حیاتی شبکه تحت نظارت قرار بگیرند.

  پیوستگی (Correlation) : این بخش سعی در یافتن ویژگی های مشترک در اطلاعات دارد تا بر اساس آن ها بتواند بسته ی تحلیلی کاملی را ارائه نماید . 

این تکنولوژی سبب ایجاد توانایی به هم مربوط ساختن داده های مختلف می گردد تا در مجموع اطلاعات قابل استفاده ای به دست آید.

 (SIEM/LM : Dashboard)   داده های وقایع را گرفته و آن ها را در قالب اطلاعات قابل ارائه، با فرمت های استاندارد ارائه می نماید.

 Compliance می تواند به صورت خودکار مباحث امنیتی را با خواسته های مثلاً دولتی و یا سیاست های خاص سازمانی انطباق داده و در صورت عدم انطباق گزارش دهی نماید.

 (SIEM/SIM : Retention ) اطلاعات را به صورت Long-term نگهداری می نمایند تا در سوابق تاریخی امنیت شبکه ضبط گردد.

تعامل  SOC با دیگر بخش های شبکه

 تعامل مرکز عملیات امنیت شبکهSOC   و مسئول عملیات شبکه NOC

وظیفه اولیه NOC برقراری و حفظ کارکرد صحیح زیرساخت شبکه می باشد. یک NOC  مسئول عملیات مناسب شبکه می باشد در حالی که SOC رخدادهای امنیتی را جهت حفظ شبکه مدیریت می کند و همانگونه که می دانید NOC ها فاقد روش هایی جهت مدیریت متمرکز رخدادهای امنیتی می باشند .

سازمان ها سعی دارند با پیاده سازی سیستم های امنیتی به صورت کاملاً مستقل با واکنش در مقابل اثرات ویروس، حملات و با حفظ عملکرد صحیح ،کارائی شبکه را بالا ببرند. با وجود اینکه NOC و SOC می توانند به صورت مؤلفه های کاملاً جدا از هم عمل کنند، ولی زمانی که به صورت اجزاء کنار هم، شبکه را مدیریت می کنند، از کارآیی بهتری برخوردار خواهند بود.

NOC می تواند اطلاعاتی را به SOCجهت تحلیل رخداد های امنیتی ارائه نماید و متقابلاً SOC نتیجه این تحلیل را جهت اقدام مقتضی به  NOC ارائه می دهد.

 تعامل مرکز عملیات امنیت شبکه  SOC و تیم پاسخگویی به فوریت های کامپیوتری CERT

اگر  SOCو  NOCبه صورت مجزا کار کنند، تیم پاسخگویی رخدادها باید نمایندگانی از هر دو گروه NOC و SOC داشته باشند .این امر موجب تسریع در تعیین مشکل و رفع آن می شود. برای مثال تعیین می شود که مبدأ مشکل شبکه، فایروال است یا خیر و سپس یک Trouble ticket برای این مشکل صادر و به  NOC  ارسال می شود. در صورتی که  NOCصحت شبکه را تأیید کرد این  Trouble ticket به SOC فرستاده می شود. اگر  SOC کارکرد صحیح فایروال را تأیید نمود ، Trouble ticket  برای پیگیری بیشتر بهCERT ارسال می شود . با درگیر کردن متخصصان SOC  و NOC این تیم نظر و تجربه خود را برای برطرف کردن مشکل با به کارگیری ابزارها، تکنیک ها و فرآیندهای تعیین رخداد، ردگیری مبدأ آن و ارائه پاسخ مناسب به آن اعمال خواهند کرد.

نیاز به سرویس های مدیریت شده

حملات چه از طریق منابع داخلی چه از طریق منابع خارجی، در هر لحظه شبکه و برنامه‌های کاربردی ارائه شده از طریق آن را تهدید می‌نماید. هکرها در جاهای مختلف دنیا در هر لحظه کل تجهیزات امنیتی شبکه را مانیتور می‌نمایند و در صورتی که یکی از تجهیزات به طور دقیق فعالیت خود را انجام ندهد، از آن نقطه، یک ورودی برای خود ایجاد خواهند نمود. به منظور جلوگیری از نفوذ هکرها به شبکه، لازم است سیستم امنیتی در SOC از قابلیت اطمینان بالایی برخوردار باشد. 

برای ایجاد یک سیستم امنیتی با ویژگی‌های مناسب برای مدیریت یک شبکه با برنامه‌های کاربردی متنوع، پرسنل کارآمدی لازم است که بتوانند کلیه سیستم های امنیتی از ضد ویروس ها تا شبکه‌های خصوصی مجازی را بدون وابستگی به محصول خاص و یا تکنولوژی مشخص مدیریت نمایند.

سیستم‌هایی که در SOC جهت مدیریت امنیت شبکه نصب و راه‌اندازی می‌گردند، دارای مکانیزم‌های بررسی تجهیزات شبکه به صورت خودکار می باشند.

تجهیزاتی که توسط این سیستم مورد‌بررسی قرار می‌گیرند، محدود به سیستم‌های امنیتی نیستند، بلکه کلیه تجهیزات زیرساختی شبکه نیز توسط این سیستم مدیریت امنیت یکپارچه مورد بررسی قرار می‌گیرند. این سیستم در‌حقیقت الگوهای ترافیکی ارسالی از کلیه تجهیزات شبکه از جمله سرورها، مسیریاب‌ها، فایروال‌ها و سیستم‌های امنیتی فیزیکی را مورد بررسی قرار داده و هر‌کدام از آن‌ها که توان ایجاد یک ریسک امنیتی را دارند مشخص می‌سازد و راه نفوذ به آن سیستم را می‌بندد. هر الگوی ترافیکی غیرعادی مشاهده شده، توسط زیرسیستم‌های آنالیزکننده مورد بررسی قرار می‌گیرد و متناسب با نوع خطای تشخیص داده‌شده، اخطارهای لا‌زم در شبکه برای هر یک از تجهیزات مربوطه ارسال می‌گردد. در حالت عادی نیز با توجه به برنامه Polling در نظر گرفته شده، کلیه سیستم‌ها در شبکه مانیتور می‌گردند و با توجه به Profile های امنیتی موجود برای هر سیستم، حمله‌های احتمالی تشخیص داده شده و دفع می‌گردند.

انواع سرویس های مدیریت شده در SOC

دیواره آتش  Firewall

 فایروال‌ها اولین سد ورودی بین اطلاعات محرمانه در یک شبکه و دنیای خارج از آن می باشند. در یک مرکز SOC ، لازم است این تجهیزات به طور مداوم از نظر امنیتی بررسی گردند. برای اطمینان کامل از امنیت این تجهیزات، به طور معمول از مارک‌های مختلف فایروال‌ها در شبکه استفاده می‌گردد. به طور مثال در یک شبکه که چندین فایروال وجود دارد، معمولاً این تجهیزات را از سازنده های مختلف انتخاب می‌کنند و با استفاده از یک مدیریت متمرکز، آن‌ها را کنترل می‌نمایند. 

برای مدیریت امنیت این تجهیزات مراحل زیر طی می شود:

بررسی عملکرد  Firewallها

• پاسخ به اخطارها پس از اعلام شدن

• بررسی log ‌های ثبت شده در فایروال

• بررسی نرم افزار و سخت افزارهای مربوط به فایروال

سیستم های تشخیص حملات IDS

 سیستم‌هایی نظیر IDSها در یک شبکه به کارآمدی کلیه تجهیزات، فرآیندها و کارکنانی وابسته می‌باشند که در مواقع لزوم به رخدادها پاسخ می‌دهند. با توجه به این نکته که حسگرهای IDS در هر زمان تعداد زیادی اخطار تولید می‌کنند و در شبکه امکان پاسخگویی به همه آن‌ها وجود ندارد، لازم است حساسیت IDSها را به گونه‌ای تنظیم نمود که فقط تهدیدات اساسی را اعلام نمایند. اما این کار باعث می‌شود تعدادی از حمله‌ها تشخیص داده‌ نشود. برای جلوگیری از بروز اشکال، می‌توان هر یک از  IDSها را برای یکApplication خاص تخصیص داد. 

با استفاده از ویژگی‌های مختلف این سیستم‌ها، می‌توان از طریق مرکز SOC حملات را کنترل نمود. در مراکزSOC  از ویژگی‌های IDSها نظیر کمتر ‌نمودن  False Positives ،Stateful Signature  که یک فرم پیشرفته تشخیص حمله‌ها با استفاده از Signatureها می‌باشد، Protocol Anomaly Detection که قابلیت تحلیل ترافیک و اطمینان از عدم وجود Packet های غیر قانونی با استفاده از مقایسه Protocol portion را دارد، می‌باشد،Traffic Anomaly Detection جهت مقایسه ترافیک‌های نرمال و غیرنرمال برای مقابله طبیعی و غیرطبیعی با حملات، استفاده می‌شود.

در مراکزSOC  با ترکیب‌کردن تکنولوژی‌های Stateful Signature Detection  و Protocol Anomaly ، Traffic Anomaly Detection  قابلیت تشخیص حمله‌ها افزایش داده می‌شود.

امکان فیلتر کردن محتوا

 یکی از اصلی ترین سرویس‌ها در مراکز SOC ، امکان فیلترکردن محتوای ورودی به سرورها می‌باشد. فیلتر کردن محتوا در SOC با هدف جلوگیری از دسترسی به سایت‌های غیرلازم، جلوگیری از دسترسی به انواع خاصی از فایل‌ها و محدود کردن حملات ویروس‌ها، Wormها و Trojanها صورت می‌پذیرد. 

بسیاری از ویروس‌های خطرناک مانند Nimda  وCodeRed  به عنوان برنامه‌های اجرایی با استفاده از HTTP و یا پروتکل‌های رایج دیگر که Firewallها به آن‌ها اجازه ورود می‌دهند، وارد شبکه می‌شوند. در نتیجه کاربران به صورت ناآگاهانه این محتویات را از سایت‌های ایمنDownload  می‌کنند.

نرم افزار URL Filtering کلیه Page ها را در گروه‌ های از ‌پیش‌ تعیین ‌شده دسته‌بندی می‌کند و بر‌طبق آن دسته‌بندی‌ها، دسترسی به یک Page را ممکن و یا غیر‌ممکن می‌سازد. همچنین قادر است لیستی از سایت‌ هایی که کاربران می‌توانند به آن‌ها دسترسی داشته باشند، تهیه نماید. به طور عمده لازم است این نرم‌افزار قادر باشد دسترسی به محتویات دسته‌بندی‌شده را فیلتر کند. همچنین لازم است بتواند استثناهایی برای سیاست خاص خود بر مبنای فاکتورهای مختلفی از جمله گروه کاربران‌، موقعیت کاربران، ساعت استفاده و... قائل شود.

نرم افزارهایی که در این مراکز برای فیلتر کردن مورد استفاده قرار می‌گیرند، باید از متدهای مناسبی جهت جلوگیری از دسترسی، دسته بندی پایگاه های اطلاعاتی و لیست‌های کنترلی برخوردار باشند. همچنین بروزرسانی‌ها باید با فواصل کوتاه انجام شوند و بهتر است به طور کامل صورت پذیرند نه به صورت تفاضلی. بروزرسانی‌ها نباید سیستم‌های عملیاتی را دچار وقفه سازند.

امکان تشخیص ویروس

ویروس‌ها بیشتر توسطEmail   و ترافیک اینترنتی منتقل می‌شوند. بنابراین، دفاع در خط مقدم یعنی Internet Gateway  بهترین راه مقابله با آن‌ها می‌باشد. با افزودن قابلیت Virus Scanning برروی Cache ها، می‌توان با اعمال روش‌های مختلف ویروس‌یابی، اقدامات مناسبی جهت از بین بردن آن‌ها درInternet Gateway  انجام داد. مرکز  SOC، عملیات کنترل و اسکن ویروس‌ها را با بهره‌گیری از نرم‌افزارهای مناسب برعهده دارد.

سرویس های AAA

در مرکز SOC برای تعریف و کنترل دسترسی به تجهیزات و سرویس‌های شبکه از

AAA( Authentication , Authorization and Accounting )

استفاده می‌شود. سرورها در مراکز مختلف و برای سرویس‌های گوناگون به کار گرفته می‌شوند و مدیران شبکه و کاربران نیز از طریق آن اجازه دسترسی به منابع شبکه را در سطوح مختلف کسب می‌کنند. یکی از روش‌هایی که در مراکز SOC برای تشخیص هویت کاربران و اعمال سیاست‌های امنیتی به کار می‌رود، استفاده از CA یا Certificate Authority است. CAها کلیدعمومی یک شخص یا یک سازمان را به همراه دیگر مشخصات تشخیص هویت در گواهینامه دیجیتال قرار داده و سپس آ‌ن ‌را امضا می‌نمایند. این کار صحت اطلاعات موجود در آن ‌را اعلام و تأیید می‌نماید. گواهی‌نامه‌های دیجیتال، فایل‌هایی هستند که در اصل به عنوان نوعی گذرنامه عمل می‌نمایند و توسط  CAها صادر می‌شوند. نقش CA در این پروسه، تأیید فردی است که یک گواهینامه به آن اختصاص داده شده است. در واقع همان کسی است که خود شخص اظهار می دارد. 

با قرار دادن CA در یک مرکز  SOC، می‌توان محدوده وسیعی از  Applicationها را با ایمنی بالاتری نسبت به امنیتی که توسط نام کاربری و رمز عبور فراهم می شود، پشتیبانی کرد.

پیاده سازی امنیت در مرکز SOC

با بهره گیری از ابزارهای مختلف امنیت شبکه در SOC، حملات به شبکه در سه رده و از جهات مختلف مورد بررسی قرار می‌گیرد. این سه رده عبارتند از:

• 
  
  Visibility
• 
  
  Verification
• 
  
  vulnerability

که با ادغام عملیاتی که در هر رده انجام می‌پذیرد، می‌توان امکان کنترل و مدیریت امنیت را در شبکه ایجاد نمود. در هر یک از این رده‌ها فعالیت‌های خاصی انجام می‌گیرد که به واسطه آن‌ها از نفوذ به داخل شبکه جلوگیری می‌شود و در صورت ورود نیز از پیشروی آن‌ها جلوگیری به عمل می‌آید. در هر یک از این رده‌ها، تجهیزاتی وجود دارند که می‌توانند متناسب با وظایفشان از شبکه محافظت نمایند.

Vulnerability

تجهیزاتی که در این رده مورد استفاده قرار می‌گیرند، به محض این‌که نصب و راه‌اندازی می‌شوند، باید Update گردند. فاکتورهایی که از طریق این تجهیزات Update می‌گردند، شامل پیکربندی سرورها، برنامه‌های کاربردی، پکیج‌های نرم‌افزارهای امنیتی مرتبط با سیستم‌عامل‌ها می‌باشند که با توجه به سرعت رشد راه‌های نفوذ، به سرعت از درجه اعتبار ساقط می‌گردد. با در نظر گرفتن این نکته، این رده کمترین تاثیر را در برخورد با حملات دارد.

Visibility

 با استفاده از تجهیزات این سطح که عمدتاً شامل فایروال‌ها می‌باشند، می‌توان امنیت کلیه تجهیزات شبکه را مانیتورینگ نمود. در این قسمت کلیه امکانات‌ مربوط به دیواره‌های آتش Update می‌شود و پیکربندی آن‌ها متناسب با عملکردشان در شبکه، تغییر می‌کند. این تغییرات بدون زمان‌بندی خاص و در ازای تغییر مکانیزم‌ها و روند حملات به شبکه اعمال می‌گردند. مشکلاتی که در رابطه با تغییر پیکربندی فایروال‌ها به‌وجود می‌آیند، منحصر به تکنولوژی نیست. هر بار که پیکربندی این تجهیزات توسط پرسنل Update می‌گردد، امکان دارد که با یک اشتباه در پیکربندی راه نفوذی برای هکرها ایجاد گردد. 

با توجه به حجم و ابعاد شبکه‌ها و پورت‌هایی که از طریق آدرس‌های IP سرویس داده می‌شوند، تعداد نقاطی که باید اسکن گردند مشخص می‌شود. برای برقراری سطوح امنیتی متناسب با نیازهای هر کاربر، این پورت‌ها به گروه‌های مختلف دسته‌بندی می‌گردند. به این ترتیب پورت‌هایی که از اهمیت بالایی برخوردارند، توسط سیستم‌های مربوطه در فواصل زمانی کوتاه (معمولاً هر 5 دقیقه یک‌بار) اسکن می شوند. با توجه به حجم بالای اطلاعاتی که در هر بازه زمانی تولید می‌شود، باید مکانیزم‌هایی در SOC وجود داشته باشد تا به واسطه آن این حجم بالای اطلاعات پردازش گردد و گزارش‌های مورد نیاز استخراج شود. 

Verification

اصلی ترین و البته مشکل ترین قسمت در یک مرکز  SOC، حصول اطمینان از امنیت قسمت‌هایی است که کنترل مستقیمی بر آن‌ها وجود ندارد. برای این منظور باید ابزاری به‌کار گرفته شود که از طریق آن بتوان به صورت غیرمستقیم تجهیزات مربوطه را کنترل نمود. در حقیقت باید راه نفوذ از طریق آن تجهیزات را مسدود ساخت.

سرویس های پیشرفته در مراکز SOC

سرویس‌های پیشرفته‌ای که از طریق این مراکز قابل‌ارائه می‌باشد، در‌حقیقت سرویس‌هایی است که به واسطه آن می‌توان سیاست‌های امنیتی را مطابق با نیازها پیش‌بینی نمود. در مراکزSOC علاوه بر مدیریت امنیت تجهیزات شبکه، زیرساخت‌های اطلاعاتی نیز از لحاظ امنیتی پشتیبانی می‌شوند. این زیر ساخت ‌ها به طور کلی شامل پرسنل، فرآیندها و روال‌های کاری در شبکه می‌باشند. در استانداردهای تدوین‌شده برای امنیت نظیر استانداردهای ISO27001 نحوه پیاده‌سازی روال‌های مدیریت امنیت در شبکه‌ها مشخص شده است. 

در بخش مدیریت امنیت فرآیندها در مرکز SOC مراحل مختلفی طی می‌شود تا به ‌واسطه آن یک روال در شبکه از هر لحاظ ایمن گردد. مرحله اول مرحله سیاست‌گذاری است. پس از تدوین سیاست‌ها و تطبیق آن‌ها با استانداردهای موجود در زمینه امنیت شبکه، روال‌های استخراج‌شده جهت پیاده‌سازی به مسئولا‌ن تحویل می‌شوند. نکته دیگری که در این زمینه قابل‌بررسی است، آگاهی پرسنل SOC از تهدیدات امنیتی است. باتوجه به وجود طیف وسیعی از سخت‌افزارهای امنیت شبکه، که هر کدام متناسب با شرکت سازنده خود نیاز به مهارت‌های خاصی برای استفاده دارند، و همچنین تغییرات سریع تکنولوژی و نحوه حمله به تجهیزات شبکه، نیاز است پرسنل SOC  از مهارت‌های خاصی برخوردار بوده و همواره به کسب اطلاعات جدید مشغول باشند. برای بروز نگه‌داشتن اطلاعات پرسنل از کلاس‌های آموزشی جهت تشخیص حملات جدید و نحوه برخورد با آن‌ها استفاده می‌شود. با توجه به حساسیت وظایف در مراکز SOC، پرسنل این مراکز اهمیت بالا‌یی دارند. به این ترتیب حفظ منافع و رضایت خاطر پرسنل از مهم‌ترین مسئولیت‌های صاحبان SOC می‌باشد.

وب سایت گروه مایان

www.mayannet.com

تیم امنیت و شبکه مایاننت

www.mayannet.com

گروه مایان نت