مرکز عملیات امنیت
مرکز عملیات امنیت (به انگلیسی: Security Operation Center) یا به اختصار (SOC) واحدی در بخش امنیت سازمان است که به صورت متمرکز، رخدادهای مربوط به امنیت اطلاعات را به صورت جامع و یکپارچه پایش، نظارت و مدیریت میکند و بر اساس میزان ریسک تعیین شده، به کارشناسان امنیتی هشدار ارسال میکند[۱].
نرمافزارهای امنیتی مربوط به مرکز عملیات امنیت امکان جمعآوری، یکسانسازی و ذخیرهسازی کلیهٔ وقایع امنیتی با اهمیت جهت ایجاد قابلیت جستجو، تحلیل و بررسی را دارا هستند
نامها
ویرایش- Security Operation Center SOC
- Security Defense Center SDC
- Information Security Operations Center ISOC
- Security Intelligence and Operations Center SIOC
عوامل تشکیل دهنده
ویرایشعوامل تکنولوژیک
ویرایشسیستم مدیریت تهدید به مجموعهای از ابزارها گفته میشود که کلیه اتفاقات رخ داده در شبکه را ابتدا جمعآوری و ذخیرهسازی نموده و سپس با بررسی ارتباطات وقایع مختلف سعی در یافتن تهدیدات امنیتی در بین هزاران واقعه امنیتی به صورت خودکار مینماید این سیستم از سه بخش اصلی تشکیل میگردد:
مولدهای وقایع
ویرایشبه کلیه ابزارهای امنیتی، تجهیزات شبکه، سرویس دهندهها و سرویس گیرندههای موجود در شبکه که علاوه بر انجام وظایف محوله اقدام به ثبت هر رخداد به صورت لاگ میکنند گفته میشود، این وقایع ممکن است به صورت محلی بر روی خود سیستم به شکلهای مختلف متنی یا در داخل مرکز داده ذخیره شده یا به یک سیستم جمعآوری لاگ خارجی جهت نگهداری ارسال شوند. از جمله این مولدهای وقایع میتوان به تجهیزات شبکه مانند مسیریابها یا سوئیچها، تجهیزات امنیتی مانند فایروال و تجهیزات کنترل دسترسی و سرویس دهندهها مانند سرورهای مرکز داده ویا سرویس وب اشاره کرد.
جمعکننده وقایع
ویرایشبه ابزارهایی گفته میشود که فرایند جمعآوری لاگ تولید شده و ارسال آن به سیستم مدیریت لاگ را به عهده دارند که شامل فرایندهای زیر خواهد بود:
- استخراج لاگ از مولد وقایع با نصب یک نرمافزار (Agent) بر روی آن یا ایجاد یک سرور دریافتکننده لاگ مانند Syslog سرور.
- نرمال سازی (فرایند یک شکل سازی لاگ سیستمهای مختلف در قالب یکسان) با هدف ایجاد قابلیت مقایسه آنها بایکدیگر.
- فشرده سازی با هدف صرفه جویی در پهنای باند مورد استفاده در ارسال لاگ به سیستم مدیریت لاگ.
- رمزنگاری با هدف حفظ محرمانگی اطلاعات موجود در لاگها در زمان استفاده از بسترهای عمومی مانند اینترنت جهت ارسال لاگ به سیستم مدیریت لاگ.
سیستم مدیریت لاگ
ویرایشبه سیستمی گفته میشود که وظیفه ذخیرهسازی لاگها جمعآوری شده بمنظور تحلیل یا تهیه گزارشها را در بازههای زمانی متفاوت بنا به سیاستهای امنیت یک سازمان بعهده دارد.
موتور همبستگی سنجی
ویرایشاین بخش به عنوان مغز متفکر این سیستم با بررسی ارتباطات وقایع مختلف و با استفاده از اطلاعاتی نظیر آسیبپذیری یا عدم آسیبپذیری یک سیستم به یک تهدید اقدام به تشخیص، ارزش گذاری و رتبه بندی رخدادهای امنیتی در شبکه مینماید.
سیستم پیشگیری از نفوذ
ویرایشسیستم جلوگیری نفوذ (به انگلیسی Intrusion prevention system)در واقع وظیفه دارند به تهدیدات شناسایی شده توسط موتور همبستگی سنجی بهطور خودکار پاسخ داده و آنها را به نحو مشخص مسدود کنند.
نیروی انسانی
ویرایشاین عامل به عنوان ستون اصلی هر مرکز عملیات امنیت به عنوان راهبران یک مرکز عملیات امنیت نقش اصلی را در لایههای مختلف در تحلیل رخدادهای امنیتی تشخیص داده شده توسط سیستم مدیریت تهدید و حذف خطاهای سیستم نظیر False Positive و یافتن راه کار محدودسازی یا ممانعت از نفوذ به شبکه را بعهده دارد. بهطور معمول نیروی انسانی در این مرکز در حد اقل سه سطح تحلیل گر و مدیریت مرکز با شرح وظایف و دانش و تجربه خاص خود از نیازمندیهایهای اصلی هر مرکز عملیات امنیت میباشد. همچنین برنامهریزی ساختار شیفتینگ نیروی انسانی یکی دیگر از مقولههای مهم در مراکز عملیات امنیت میباشد که نیازمند ارائه سرویس ۲۴*۷ میباشد.
فرایندها و رویه ها
ویرایشدر هر مرکز عملیات امنیت به منظور تشخیص و پاسخگویی به رخدادهای امنیتی در زمان مناسب به بهطور معمول فرایندهای مختلفی در چهار حوزههای زیر وجود خواهد داشت:
- فرایندهای کسب و کار
- فرایندهای تکنولوژیک
- فرایندهای عملیاتی
- فرایندهای تحلیل
افراد
ویرایش- برگزاری دورههای تخصصی
- ارسال نیروی انسانی متخصص
- ارسال تیم تخصصی پاسخ به حوادث سایبری
- ارائهی مشاورههای تخصصی
همچنین ببینید
ویرایشمنابع
ویرایش- ↑ «ساختار مرکز عملیات امنیت (SOC)». www.sis-eg.com. دریافتشده در ۲۰۲۲-۰۳-۳۱.