اخبار داخلی آرمان داده پویان

مقالات

پیاده سازی SOC

پیاده سازی SOC

با پیاده سازی و راه اندازی SOC ما به اثر بخش کردن راهکارهای امنیتی می‌پردازیم. در حقیقت با پیاده سازی مرکز عملیات امنیت، شناسایی، طبقه بندی، مستند نمودن و تحلیل رخدادها و تهدیدات امنیتی صورت می‌پذیرد. در آخر تصمیمات و عملیاتی که بر اساس مراحل قبل باید گرفته شود انجام می‌یذیرد. در گذشته دید غالب در دنیای امنیت ساخت یک دیوار دفاعی در برابر مهاجمین بوده است. اما امروزه با پیچیده شدن و هر چه قوی تر شدن مهاجمین سایبری، امنیت به سمت شناسایی و پاسخگویی سریع حملات رفته است. همانطور که در قسمت قبل نیز این سخن را از آقای Jhon Chamber مدیر عامل سابق سیسکو نقل کردیم. به گفته او سازمان‌ها به دو دسته تقسیم می‌گردند یعنی آن‌هایی که هک شده‌اند و دیگری آن‌هایی که هنوز نمی‌دانند که هک شده‌اند. اگر راهکار پیشرفته‌ای مانند SOC به درستی پیاده سازی گردد در سرعت بخشیدن به عملیات تشخیص و پاسخ به تهدیدات و رخدادهای امنیتی تاثیر بسزا و شایانی خواهد داشت. در قسمت دوم راه اندازی SOC به توضیح وظایف SOC خواهیم پرداخت. با راه اندازی مرکز عملیات امنیت (SOC) شناسایی تهدیدات و رخدادهای امنیتی، دسته بندی، طبقه بندی و مستندسازی رخدادهای امنیتی، تحلیل و آنالیز آن‌ها و اتخاذ تصمیمات لازم در جهت بهبود امنیت انجام می‌پذیرد.

در قسمت قبل در ارتباط با راه اندازی SOC توضیح دادیم و گفیم عملکرد SOC به موارد متعددی بستگی دارد. اینکه یک SOC قادر به مدیریت تهدیدات باشد یعنی بتواند آن‌ها را تشخیص دهد و بعد پاسخ دهد و گزارشات و هشدارهای مربوط را به تیم مربوطه ارسال نماید.

اگر یک مرکز عملیات امنیت (SOC) بخواهد به گونه‌ای باشد که قابلیت مدیریت رخدادها را داشته باشد بایستی سه المان تکنولوژی، افراد و روندها را به خوبی استفاده نماید. اهمیت افراد یک سازمان را تا حدودی در قسمت قبل توضیح دادیم. شرکت طراح و مجری SOC بایستی آموزش درستی را به افراد سازمان دهد تا حوادث امنیتی را شناخته و با کانال‌هایی که از طریق آن می‌توانند حوادث امنیتی را گزارش دهند، آشنایی داشته باشند.

تشخیص و پاسخگویی به رخدادها

جمع آوری داده‌ها از منابع مختلف و تحلیل آن‌ها منجر به شناسایی رخدادها می‌گردد. در واقع هسته اصلی یک مرکز عملیات امنیت تشخیص رخدادها و پاسخگویی به آن‌هاست. IOC (Indicators Of Copmpromise) توسط سه المان ابزار، افراد . یا روندها می‌توانند شناسایی شوند. به عنوان مثال اگر دسترسی به یک فایل بر روی یک فلش مموری تشخیص داده شود در صورتی که استفاده از فلش مموری در سیاست سازمان ممنوع است به معنای یک IOC می‌باشد. مثال دیگر از تشخیص IP مربوط به Command-and-Control بات نت‌ها در شبکه است که با استفاده از ابزار صورت می‌پذیرد. تشخیص این IP نشان می‌دهد با یک حادثه امنیتی مواجه هستیم و بایستی یک سری اقدامات اولیه، جست و جو و تحقیق و واکنش‌های ثانویه داشته باشیم. برای پاسخ به رخدادها، ابتدا بایستی آن‌ها تشخیص داده شوند. اینکه پاسخ بایستی توسط چه افراد، ابزار و کدام گروه بایستی انجام شود در زمان طراحی مرکز عملیات امنیت (SOC) صورت پذیرد.

در قسمت قبل از راه اندازی SOC توضیح دادیم که عملکرد SOC به موارد متعددی بستگی دارد. اینکه یک SOC قادر به مدیریت تهدیدات باشد یعنی بتواند آن‌ها را تشخیص دهد و بعد پاسخ دهد و یا گزارشات و هشدارهای مربوط را به تیم مربوطه ارسال نماید. اگر یک مرکز عملیات امنیت (SOC) بخواهد به گونه‌ای باشد که قابلیت مدیریت رخدادها را داشته باشد بایستی سه المان تکنولوژی، افراد و روندها را به خوبی استفاده نماید. اهمیت افراد یک سازمان را تا حدودی در قسمت قبل توضیح دادیم. شرکت طراح و مجری SOC بایستی آموزش درستی را به افراد سازمان دهد تا حوادث امنیتی را شناخته و با کانال‌هایی که از طریق آن می‌توانند حوادث امنیتی را گزارش دهند، آشنایی داشته باشند. در شکل زیر به کار گیری سه المان ابزار، روندها و افراد را در تشخیص حوادث و رخدادهای امنیتی توسط SOC مشاهده می‌نمایید.

طبقه بندی تهدیدات

یکی دیگر از مواردی که با پیاده سازی SOC به آن دست می‌یابیم، طبقه بندی تهدیدات می‌باشد. با طبقه بندی تهدیدات، میزان اهمیت هر کدام از آن‌ها مشخص خواهد شد. در نتیجه در مرکز عملیات امنیت مطابق با این طبقه بندی، منابع لازم برای تحلیل و بازرسی این رخدادها در نظر گرفته خواهد شد.

یکی دیگر از طبقه‌بندی‌هایی که در مرکز عملیات امنیت صورت می‌پذیرد، میزان جدی بودن تهدیدات است. این موضوع مشخص می‌نماید که تهدید شناسایی شده تهدیدی کم، متوسط و یا پر اهمیت است. بر همین اساس میزان منابعی که بایستی با آن مواجه شد و بعد از آن الویت رسیدگی تعیین می‌گردد.

شفاف کردن تهدیدات

بر روی حوادث کشف شده بایستی عملیات تحقیق و تحلیل صورت پذیرد. این کار توسط تیم SOC و با همکاری سایر گروه‌ها می‌تواند انجام پذیرد. اینکه یک حادثه امنیتی در مراحل اولیه شناسایی شود و با بررسی و تحلیل دقیق آن تصمیمات لازم برای بالا بردن و ارتقا سطح امنیت سازمان گرفته شود. در این راستا تحلیل داده‌ها، انجام تحقیقات و بررسی‌ها و سپس انجام یک سری عملیات برای برطرف کردن و برگردان اوضاع به حالت قبل از حمله مواردی هستند که در فاز Incident Resolution صورت می‌پذیرد.

  • شناسایی سیستم‌ها و حساب‌های کاربری که تحت تاثیر قرار گرفته‌اند
  • فهم اثراتی که این حمله گذاشته و خواهد گذاشت
  • تشخیص دسترسی‌های غیر قانونی به اطلاعات محرمانه
  • فهم ارتباط بین رخدادها
  • مواردی هستند که در فاز شناسایی و تحلیل حوادث امنیتی توسط تیم SOC و در مواردی با همکاری سایر تیم‌ها صورت می‌پذیرد.
  • همچنین مواردی که باید انجام پذیرد تا از پخش شدن تهدید موجود در شبکه جلوگیری شود
  • قطع ارتباط سیستم آلوده از شبکه
  • قرار دادن سیستم آلوده در قرنطینه
  • متوقف کردن روند سرویس
  • غیر فعال کردن حساب کاربری
  • اضافه کردن role مربوطه به دیواره آتش

بستن تهدیدات

یکی از اهداف پیاده سازی SOC،  هر چه کوچک تر شدن سطح آسیب پذیری سازمان می‌باشد. بعد از تشخیص و برطرف کردت تهدیدات اقدامات زیر صورت پذیرد تا سطح آسیب پذیری سازمان کم شود:

  • پیکربندی دوباره سیستم
  • وصله کردن سیستم‌ها
  • بروزرسانی نرم افزارها
  • پاک کردن حساب‌های کاربری
  • پاک کردن فایل‌ها

بعد از یک حمله امنیتی

بعد از یک حمله امنیتی، از اطلاعاتی که به دست می‌آید می‌توان در جهت ارتقای امنیت سازمان بهره برد. یکی دیگر از مزایای راه اندازی SOC نیز به دلیل عملیاتی است که بعد از اتمام یک حمله می‌تواند انجام پذیرد. تیم امنیت می‌تواند با بررسی اوضاع و اطلاعات به دست آمده، پروپزال‌هایی را مستند کرده و در جهت ارتقای امنیت سازمان ارائه دهد. طراحی، ساخت و پیاده سازی پاسخگویی به حوادث بایستی از قبل انجام شده و مستند شده باشد، در حین وقوع یک حمله بدترین زمان ممکن برای انجام چنین کارایی می‌باشد. اما همانطور که در این قسمت گفتیم بعد از اینکه یک رخداد و یا حادثه امنیتی چرخه‌ای که در بالا گفتیم را طی کرد، بهترین زمان است که با اطلاعات بدست آمده هم ساختار SOC و هم ساختار پاسخگویی به حوادث را ارتقا بخشیم.

آرمان داده پویان طراح و مجری مراکز عملیات امنیت (SOC)

برای مشاوره و کسب اطلاعات با کارشناسان ما تماس بگیرید

تعداد بازدید: 292


تازه ترین ها