اخبار داخلی آرمان داده پویان

مقالات

طراحی SOC (قسمت اول)

طراحی SOC

قسمت اول

طراحی SOC، راه اندازی و پیاده سازی و نگهداری از آن مراحل مختلفی هستند که در راستای رسیدن به راهکاری جامع برای تشخیص به موقع تهدیدات و هر چه اثر بخش‌تر کردن راهکارهای امنیتی بایستی طی شوند. مدیریت آسیب‌پذیری، بازرسی دیجیتال، Threat intelligence، جمع آوری و تحلیل داده‌ها از جمله سرویس‌هایی هستند که در یک SOC ارائه می‌گردند. در این قسمت ما قصد داریم در رابطه با جمع‌آوری داده‌ها و تحلیل امنیتی آن‌ها و نکاتی که در فاز طراحی SOC در خصوص این دو سرویس بایستی در نظر گرفته شود، صحبت نماییم. در حقیقت طراحی SOC یکی از مهم‌ترین مراحلی است که در آن با انتخاب یک تیم متخصص و حرفه‌‌ای می‌توان از هزینه‌های اضافی آتی جلوگیری به عمل آورد و همچنین تمامی نقاط شبکه را پوشش داده و سطح آسیب‌پذیری سازمان را به طور موثری کاهش داد.

جمع آوری داده‌ها

یکی از مهم ترین عملکردهای یک مرکز عملیات امنیت، جمع آوری و تحلیل داده‌هاست. این وظیفه عموما بر عهده SIEM می‌باشد. اگر داده‌های درستی جمع آوری نشوند نمی‌توان انتظار داشت تا در مرحله تحلیل به نتایج خوب و موثری دست یابیم. باید بدانیم چه داده‌هایی را با چه روشی می‌خواهیم جمع آوری نماییم. برای جمع آوری داده‌ها از مکانیزم‌ها و پروتکل‌های مختلفی می‌توانیم استفاد کنیم. نکته مهم دیگر در این راستا همگام سازی زمان است زیرا در غیر اینصورت زمانی که لاگ‌ها بدون time stamp درستی جمع آوری شوند، با ارزیابی رخدادها به نتایج درستی نخواهیم رسید. بعد از مرحله جمع آوری داده، می‌توانید تصمیم بگیرید که آن‌ها را ذخیره کنید، پارس کنید و یا هر دو کار را انجام دهید. در ارتباط با بحث فرمت داده‌ها، ذخیره کردن داده‌ها در فرمت اصلی خود به دلایل متعددی می‌تواند مفید باشد. اما بایستی توجه داشته باشیم ذخیره‌ی داده‌ها بدون پارس کردن آن‌ها باعث می‌گردد تا فیلدهای مختلف مربوط به یک رخداد از آن استخراج نشود. اینکه چه داده‌هایی، از چه منابعی و تا چه میزانی بایستی جمع آوری شوند را در زمان طراحی SOC مشخص می‌نماییم و کاملا این تصمیمات بر روی مرحله تحلیل داده‌ها و نتایج حاصل از آن موثر می‌باشد. یک تیم متخصص در زمینه طراحی و پیاده سازی SOC، با در نظر گرفتن تمامی زوایای جمع آوری و تحلیل داده نقطه کوری در شبکه باقی نمی‌گذارند. هر نقطه کوری در شبکه که پایش درستی بر روی آن انجام نگیرد زمینه مناسبی برای حملات آتی در اختیار مهاجمان قرار خواهد داد. اما از سویی تیم متخصص SOC نبایستی به سمت جمع آوری بیش از حد داده‌ها برود. برای رسیدن به نقطه اعتدال می‌توان به این سوالات در فاز طراحی SOC پاسخ داد:

  • منابع داده روزانه چه در زمان‌های عادی و چه در زمان‌های اوج کاری چه حجم داده‌ای تولید می‎نمایند؟
  • چند دستگاه هستند که داده ارسال می‌نمایند؟
  • هر دستگاه در هر ثانیه چه میزان رخداد تولید می‌نماید؟
  • برای نگهداری داده‌های به دست آمده چه امکاناتی نیاز است؟

همچنین یکی از مفاهیم مهمی که بایستی به آن توجه شود Event Per Second(EPS) می‌باشد یعنی تعداد رخداد در هر ثانیه. با توجه درستی به EPS می‌توان از oversizing و یا undersizing جلوگیری نمود. این موضوع منجر به عدم صرف هزینه بیش از نیاز و یا از آن سوی از دست دادن داده‌های با ارزش می‌گردد. همچنین EPS بر روی امکانات مورد نیاز برای ذخیره سازی و بالطبع بر روی هزینه تاثیر مستقیم دارد.

تحلیل داده‌ها

اگر مطالب مرتبط با SOC را در سایت آرمان داده پویان دنبال کرده باشید می‌دانید که قبل‌تر نیز گفته‌ایم، امروزه بایستی به دنبال کشف هر چه سریعتر تهدیدات و حملات امنیتی و پاسخگویی به آن‌ها در کمترین زمان ممکن باشیم. یکی از راهکارهای پیشرفته و موثر در این راستا راه اندازی و پیاده سازی SOC می‌باشد. از سویی با پیشرفته شدن تهدیدات و حملات امنیتی نیاز داریم تا داده‌ها از منابع درستی جمع آوری شده و تحلیل شوند. تا از این طریق درمدت زمان کوتاهی تهدیدات کشف شوند و به آن‌ها واکنش نشان داده شود. اما در گذشته تمرکز اصلی امنیت تنها بر روی ساختن یک دیواره دفاعی بود، اما امروزه توصیه متخصصین علاوه بر ساختین این دیواره دفاعی، استفاده از راهکارهای تشخیص، پیشگیری و مقابله در کمترین زمان ممکن است. بعد از جمع آوری داده‌ها، با جست و جو در آن‌ها به یافتن تهدیدات شناخته شده و ناشناس می‌پردازیم. این تحلیل‌ها می‌تواند از یک نقشه برداری رخداد ساده (incident mapping) تا یک مدل برداری پیشرفته ریاضی باشد. در این تحلیل‌ها نقش نیروی متخصص و همچنین ابزار مناسب پر رنگ است.

بررسی همبستگی رخدادها با استفاده از تکنیک‌های یادگیری ماشین یا تکنیک‌های دانش محوری همچون تشخیص آماری آنومالی، و تطبیق مبتنی بر قانون (rule-based matching) امکان پذیر است. همبستگی رخدادها نیز یکی از معروف ترین روش‌های مورد استفاده در تحلیل داده‌ها می‌باشد. در این روش برای تشخیص تهدیدات، رخدادها از منابع مختلفی جمع آوری شده و با بررسی رابطه بین آن‌ها به تشخیص و گزارش تهدیدات پرداخته می‌شود. ‌قوانین همبستگی در ابزارهای SIEM جمع آوری شده است. شرکت طراح که کار طراحی و پیاده سازی SOC را در یک سازمان انجام می‌دهد این قوانین را بر اساس use-caseهایی که با بررسی‌هایش به دست آورده است می‌نویسد. همچنین بعد از اتمام مرحله طراحی و پیاده سازی در فاز نگهداری بر روی این قوانین هم بستگی رخدادها بروزرسانی‌های لازم انجام می‌گیرد. تمامی این عملیات اگر توسط یک تیم متخصص و حرفه‌ای صورت پذیرد در آخر منجر به هر چه اثر بخش تر کردن عملیات تحلیل داده و تشخیص هر چه سریعتر رفتارهای غیرعادی و تهدیدات موجود در شبکه می‌شود. دو عاملی که تاثیر زیادی در هر چه بهتر شدن قواعد همبستگی ارائه شده دارد، یکی میزان تجربه تیم طراحی  SOC است و دیگری همکاری فی مابین سازمان مربوط و شرکت مجری می‌باشد. use-caseها و ابزارهایی که توسط تیم طراحی SOC انتخاب می‌گردند، تاثیر زیادی در پیچیده شدن قوانین همبستگی (correlation rules) دارند. به طور مثال، ساختن یک قانون برای ارسال هشدار در زمان تشخیص استفاده از یک پروتکل مدیریتی clear-text مانند Telnet بسیار ساده تراز زمانی است که چندین منبع، پیغام و یا دوره زمانی (time periods) سر و کار دارید. همچنین در زمان طراحی SOC بایستی به بازده SIEM توجه داشت. اگر میزان و پیچیدگی قوانین (rules) از یک میزان بالاتر برود تاثیر منفی بر روی بازدهی SIEM خواهد داشت. در این مطلب بسیار کوتاه توانستیم در خصوص تحلیل داده‌ها به خصوص با روش همبستگی داده‌ها توضیحاتی را بدهیم.

سخن آخر

در طراحی SOC تجربه تیم طراحی یکی از عوامل بسیار موثر در نتیجه کار می‌باشد. همانطور که در قسمت‌های قبل‌تر نیز توضیح دادیم در خصوص طراحی و پیاده سازی SOC ما تنها با best practicesها طرف هستیم. هیچگونه استاندارد و یا پلتفرم از پیش تعریف شده‌ای وجود ندارد. شرکت‌های بزرگ فعال در خصوص SOC هر سال حاصل تجربیات خود را به عنوان best practices و در قالب گزارشات امنیتی ارائه می‌دهند. پس زمانی که می‌خواهید شرکت مناسبی را برای طراحی و پیاده سازی SOC در سازمان خود انتخاب نمایید به تجربه موفق آن شرکت در این زمینه توجه نمایید. در این مطلب دو سرویس اصلی ارائه شده در SOC یعنی جمع آوری داده و تحلیل داده‌ها را توضیح دادیم. در خصوص انتخاب منبع داده‌ها، میزان داده‌های جمع آوری شده، نوشتن use-caseها و غیره توضیح دادیم. کارهایی که در زمان طراحی SOC بایستی توسط تیم طراح مورد بررسی قرار گرفته و درباره آن‌ها تصمیم گیری شود. انتخاب یک تیم حرفه‌ای از پرداخت هزینه اضافی و یا در نظر نگرفتن و ایجاد نقاط کور در شبکه شما جلوگیری به عمل می‌نماید. یک شرکت حرفه‌ای در زمینه طراحی و پیاده سازی SOC، تعامل خوبی را از طریق آموزش با سازمان هدف خواهد داشت و می‌تواند دید درستی را در سازمان مربوط ایجاد نماید. حاصل این کار ایجاد یک تعامل موثر و رسیدن به یک مرکز عملیات امنیت متناسب با نیاز‌های سازمان می‌باشد.

آرمان داده پویان ارائه دهنده خدمات طراحی، پیاده سازی و اجرای SOC

برای کسب اطلاعات بیشتر با ما تماس بگیرید

تعداد بازدید: 272


تازه ترین ها