مرکز عملیات امنیت

مرکز عملیات امنیت (به انگلیسی: Security Operation Center) یا به اختصار (SOC) واحدی در بخش امنیت سازمان است که به صورت متمرکز، رخدادهای مربوط به امنیت اطلاعات را به صورت جامع و یکپارچه پایش، نظارت و مدیریت می‌کند و بر اساس میزان ریسک تعیین شده، به کارشناسان امنیتی هشدار ارسال می‌کند^[۱].

نرم‌افزارهای امنیتی مربوط به مرکز عملیات امنیت امکان جمع‌آوری، یکسان‌سازی و ذخیره‌سازی کلیهٔ وقایع امنیتی با اهمیت جهت ایجاد قابلیت جستجو، تحلیل و بررسی را دارا هستند

نامها[ویرایش]

• Security Operation Center SOC
• Security Defense Center SDC
• Information Security Operations Center ISOC
• Security Intelligence and Operations Center SIOC

عوامل تشکیل دهنده[ویرایش]

عوامل تکنولوژیک[ویرایش]

سیستم مدیریت تهدید به مجموعه‌ای از ابزارها گفته می‌شود که کلیه اتفاقات رخ داده در شبکه را ابتدا جمع‌آوری و ذخیره‌سازی نموده و سپس با بررسی ارتباطات وقایع مختلف سعی در یافتن تهدیدات امنیتی در بین هزاران واقعه امنیتی به صورت خودکار می‌نماید این سیستم از سه بخش اصلی تشکیل می‌گردد:

مولدهای وقایع[ویرایش]

به کلیه ابزارهای امنیتی، تجهیزات شبکه، سرویس دهنده‌ها و سرویس گیرنده‌های موجود در شبکه که علاوه بر انجام وظایف محوله اقدام به ثبت هر رخداد به صورت لاگ می‌کنند گفته می‌شود، این وقایع ممکن است به صورت محلی بر روی خود سیستم به شکل‌های مختلف متنی یا در داخل مرکز داده ذخیره شده یا به یک سیستم جمع‌آوری لاگ خارجی جهت نگهداری ارسال شوند. از جمله این مولدهای وقایع می‌توان به تجهیزات شبکه مانند مسیریاب‌ها یا سوئیچ‌ها، تجهیزات امنیتی مانند فایروال و تجهیزات کنترل دسترسی و سرویس دهنده‌ها مانند سرورهای مرکز داده ویا سرویس وب اشاره کرد.

جمع‌کننده وقایع[ویرایش]

به ابزارهایی گفته می‌شود که فرایند جمع‌آوری لاگ تولید شده و ارسال آن به سیستم مدیریت لاگ را به عهده دارند که شامل فرایندهای زیر خواهد بود:

1. استخراج لاگ از مولد وقایع با نصب یک نرم‌افزار (Agent) بر روی آن یا ایجاد یک سرور دریافت‌کننده لاگ مانند Syslog سرور.
2. نرمال سازی (فرایند یک شکل سازی لاگ سیستم‌های مختلف در قالب یکسان) با هدف ایجاد قابلیت مقایسه آن‌ها بایکدیگر.
3. فشرده سازی با هدف صرفه جویی در پهنای باند مورد استفاده در ارسال لاگ به سیستم مدیریت لاگ.
4. رمزنگاری با هدف حفظ محرمانگی اطلاعات موجود در لاگ‌ها در زمان استفاده از بسترهای عمومی مانند اینترنت جهت ارسال لاگ به سیستم مدیریت لاگ.

سیستم مدیریت لاگ[ویرایش]

به سیستمی گفته می‌شود که وظیفه ذخیره‌سازی لاگ‌ها جمع‌آوری شده بمنظور تحلیل یا تهیه گزارش‌ها را در بازه‌های زمانی متفاوت بنا به سیاست‌های امنیت یک سازمان بعهده دارد.

موتور همبستگی سنجی[ویرایش]

این بخش به عنوان مغز متفکر این سیستم با بررسی ارتباطات وقایع مختلف و با استفاده از اطلاعاتی نظیر آسیب‌پذیری یا عدم آسیب‌پذیری یک سیستم به یک تهدید اقدام به تشخیص، ارزش گذاری و رتبه بندی رخدادهای امنیتی در شبکه می‌نماید.

سیستم‌ پیشگیری از نفوذ[ویرایش]

سیستم جلوگیری نفوذ (به انگلیسی Intrusion prevention system)در واقع وظیفه دارند به تهدیدات شناسایی شده توسط موتور همبستگی سنجی به‌طور خودکار پاسخ داده و آن‌ها را به نحو مشخص مسدود کنند.

نیروی انسانی[ویرایش]

این عامل به عنوان ستون اصلی هر مرکز عملیات امنیت به عنوان راهبران یک مرکز عملیات امنیت نقش اصلی را در لایه‌های مختلف در تحلیل رخدادهای امنیتی تشخیص داده شده توسط سیستم مدیریت تهدید و حذف خطاهای سیستم نظیر False Positive و یافتن راه کار محدودسازی یا ممانعت از نفوذ به شبکه را بعهده دارد. به‌طور معمول نیروی انسانی در این مرکز در حد اقل سه سطح تحلیل گر و مدیریت مرکز با شرح وظایف و دانش و تجربه خاص خود از نیازمندیهای‌های اصلی هر مرکز عملیات امنیت می‌باشد. همچنین برنامه‌ریزی ساختار شیفتینگ نیروی انسانی یکی دیگر از مقوله‌های مهم در مراکز عملیات امنیت می‌باشد که نیازمند ارائه سرویس ۲۴*۷ می‌باشد.

فرایندها و رویه ها[ویرایش]

در هر مرکز عملیات امنیت به منظور تشخیص و پاسخگویی به رخدادهای امنیتی در زمان مناسب به به‌طور معمول فرایندهای مختلفی در چهار حوزه‌های زیر وجود خواهد داشت:

1. فرایندهای کسب و کار
2. فرایندهای تکنولوژیک
3. فرایندهای عملیاتی
4. فرایندهای تحلیل

افراد[ویرایش]

1. برگزاری دوره‌های تخصصی
2. ارسال نیروی انسانی متخصص
3. ارسال تیم تخصصی پاسخ به حوادث سایبری
4. ارائه‌ی مشاوره‌های تخصصی

همچنین ببینید[ویرایش]

منابع[ویرایش]

مرکز عملیات امنیت

پیوند به بیرون[ویرایش]