مرکز عملیات امنیت شبکه SOC

با گسترش روزافزون استفاده از ارتباطات و انتقال اطلاعات در بستر شبکه‌ها و اینترنت، حجم وسیعی از مبادلات تجاری و اداری، از این طریق صورت می‌پذیرد. امروزه سرویس‌های اینترنتی و تحت‌شبکه، به عنوان قابل‌اعتمادترین، سریع‌ترین و در دسترس‌ترین ابزارهای ارتباطی به شمار می‌روند. با توجه به اهمیت فوق العاده‌ای که شرکت‌های بزرگ به استفاده از چنین بسترهایی در اداره امور خود می‌دهند، جایگاه و اهمیت مقوله امنیت به وضوح مشخص است. زمانی که نوبت به امنیت می‌رسد، هر سازمانی نیاز و سیاست مختص خود را دارد. به این ترتیب راه‌حل‌های امنیتی، باید به گونه‌ای استاندارد طراحی شوند تا بتوانند نیازهای کلیه سازمان‌ها را بدون نیاز به تغییرات اساسی در ساختار سیستم‌های آن‌ها، پوشش دهند. در شماره‌ قبل به معرفی استاندارد BS7799 اشاره نمودیم. در این شماره قصد داریم به نحوه مدیریت یکپارچه امنیت اطلاعات و ارتباطات با استفاده از استاندارد BS7799 در یک مرکز امنیت شبکه SOC یا Security Operations Center اشاره نماییم.

مرکز عملیات امنیت  کجاست؟
مرکز عملیات امنیت شبکه، (SOC) مکانی جهت مانیتورینگ و کنترل ۲۴ ساعته  ورود و خروج اطلاعات در شبکه می باشد. به طور کلی هر مرکز SOC  به سه سطح عمده تقسیم می شود که هر یک وظایف خاصی را بر عهده دارند. این سطوح عبارتند از: سطح یکم، نقطه تماس Client‌ها و مسئول پاسخ گویی به اخطارهای دریافتی ازClient ‌هاست. در این سطح به کلیه اخطارهایی که از پیچیدگی پایین‌تری برخوردارند، پاسخ داده می‌شود.

سطح دوم، در حقیقت مکمل سطح یکم است و مسئول پاسخ‌گویی به مشکلات پیچیده تر در سیستم‌های امنیتی شبکه می‌باشد. برای اخطارهایی که از اهمیت بالایی برخوردارند، سیستم های سطح دوم به طور کامل درگیر می‌شوند.

سطح سوم، در این سطح کارشناسان ارشد و مشاوران امنیتی شبکه قرار دارند. این سطح در حقیقت پشتیبان دو سطح پایین‌تر است. در صورتی که به اشکالات امنیتی در دو سطح پایین پاسخ داده نشود، کارشناسان و سیستم‌های این سطح، درگیر می‌شوند. کلیه تدابیر امنیتی و مدیریت امنیت شبکه، در این سطح اندیشیده می‌شود.

در طراحی مراکز امنیت شبکه،  متدولوژی‌های مختلفی مطرح می‌باشد. با این حال پایه همه متدولوژی‌ها براساسِ ترکیب تکنولوژی، نیروی انسانی، فرآیندها در هسته فعالیت مرکز امنیت شبکه و احاطه آن توسط فرآیندهای اجرایی می‌باشد. این فرآیندها شامل برنامه‌ریزی، طراحی، پیاده‌سازی، عملیاتی نمودن و توسعه مرکز امنیت شبکه می‌باشد. لایه بعدی در طراحی مرکز SOC، شامل ابزارها و معیارهایی است که از طریق آن‌ها خدمات ارائه شده ارزیابی می‌گردند. این ابزارها و معیارها شامل چشم‌انداز، منابع، زمان، هزینه، ارتباطات و ریسک‌های موجود در راه اندازی SOC می‌باشد.

نکته قابل‌توجه در طراحی یک SOC، انعطاف‌پذیریِ متدولوژی طراحی آن است که به واسطه آن می‌توان برای هر یک از مشتریان مطابق سرویس‌های مورد نیازشان راه حل خاصی برای مدیریت امنیت شبکه ارائه نمود.

در هر یک از سطوح مطرح‌شده، ابزاری برای مدیریت سیستم‌های امنیتی در نظر گرفته می شود. این ابزارها امنیت شبکه را از دو دیدگاه درون‌سازمانی و برون‌سازمانی مورد بررسی قرار می‌دهند. برای این منظور، هر SOC دارای یک

سری تجهیزات در داخل شبکه و یک سری تجهیزات در خود مرکز می باشد. همه سرویس‌هایی که از مراکز SOC  ارائه می‌گردند، مانیتورینگ و مدیریت‌شده هستند. دیگر سرویس‌هایی که از طریق این مراکز قابل‌ارائه می‌باشند، سرویس‌های پیشرفته‌ای به شرح زیر می‌باشد:

– توسعه سیاست‌های امنیتی‌
– آموزش مباحث امنیتی‌
– طراحی دیواره‌های آتش‌
– پاسخگویی آنی‌
– مقابله با خطرات و پیاده‌سازی

سرویس‌هایی که از طریق این مراکز ارائه می‌گردند، عبارتند از سرویس‌های مدیریت شده‌ای که از تجهیزات و ارتباطات مرکز SOC محافظت می‌نمایند. این سرویس‌ها از متدولوژی و ابزارهای نرم‌افزاری و سخت افزاری قدرتمندی برای مدیریت امنیت استفاده می‌نمایند. اجزای سخت‌افزاری که در شبکه‌ها توسط سیستم‌های مدیریت‌شده برای اعمال سیاست‌های امنیتی مورد استفاده قرار می‌گیرند، عبارتند از: سیستم‌های کشف و رفع حملات (Intrusion Detection System)، سیستم‌های‌ فایروال و سیستم‌های مدیریت امنیت در شبکه‌های خصوصی مجازی.

نیاز به سرویس‌های مدیریت شده
حملات چه از طریق منابع داخلی چه از طریق منابع خارجی، در هر لحظه شبکه و برنامه‌های کاربردی ارائه شده از طریق آن را تهدید می‌نماید. هکرها در جاهای مختلف دنیا در هر لحظه کل تجهیزات امنیتی شبکه را مانیتور می‌نمایند و در صورتی که یکی از تجهیزات به طور دقیق فعالیت خود را انجام ندهد، از آن نقطه، یک ورودی برای خود  ایجاد خواهند نمود. به منظور جلوگیری از نفوذ هکرها به شبکه، لازم است سیستم امنیتی در SOC از قابلیت اطمینان بالایی برخوردار باشد.

برای ایجاد یک سیستم امنیتی با ویژگی‌های مناسب برای مدیریت یک شبکه با برنامه‌های کاربردی متنوع، پرسنل کارآمدی لازم است که بتوانند کلیه سیستم های امنیتی از ضد ویروس ها تا شبکه‌های خصوصی مجازی را بدون وابستگی به محصول خاص و یا تکنولوژی مشخص مدیریت نمایند.

سیستم‌هایی که در SOC جهت مدیریت امنیت شبکه نصب و راه‌اندازی می‌گردند، دارای مکانیزم‌های بررسی تجهیزات شبکه به صورت خودکار می باشند. تجهیزاتی که توسط این سیستم مورد‌بررسی قرار می‌گیرند، محدود به سیستم‌های امنیتی نیستند، بلکه کلیه تجهیزات زیرساختی شبکه نیز توسط این سیستم مدیریت امنیت یکپارچه مورد بررسی قرار می‌گیرند. این سیستم در‌حقیقت الگوهای ترافیکی ارسالی از کلیه تجهیزات شبکه از جمله سرورها، مسیریاب‌ها، فایروال‌ها و سیستم‌های امنیتی فیزیکی را مورد بررسی قرار داده و هر‌کدام از آن‌ها که توان ایجاد یک ریسک امنیتی را دارند مشخص می‌سازد و راه نفوذ به آن سیستم را می‌بندد. هر الگوی ترافیکی غیرعادی مشاهده شده، توسط زیرسیستم‌های آنالیزکننده مورد بررسی قرار می‌گیرد و متناسب با نوع خطای تشخیص داده‌شده، اخطارهای لا‌زم در شبکه برای هر یک از تجهیزات مربوطه ارسال می‌گردد. در حالت عادی نیز با توجه به برنامه Polling در نظر گرفته شده، کلیه سیستم‌ها در شبکه مانیتور می‌گردند و با توجه به Profile های امنیتی موجود برای هر سیستم، حمله‌های احتمالی تشخیص داده شده و دفع می‌گردند.

انواع سرویس های مدیریت شده در SOC
● دیواره آتش (Firewall)
فایروال‌ها اولین سد ورودی بین اطلاعات محرمانه در یک شبکه و دنیای خارج از آن می باشند. در یک مرکز SOC ،  لازم است این تجهیزات به طور مداوم از نظر امنیتی بررسی گردند. برای اطمینان کامل از امنیت این تجهیزات، به طور معمول از مارک‌های مختلف فایروال‌ها در شبکه استفاده می‌گردد. به طور مثال در یک شبکه که چندین فایروال وجود دارد، معمولاً این تجهیزات را از سازنده های مختلف انتخاب می‌کنند و با استفاده از یک مدیریت متمرکز، آن‌ها را کنترل می‌نمایند.

برای مدیریت امنیت این تجهیزات مراحل زیر پیموده می گردد:
– بررسی عملکرد Firewallها
– پاسخ به اخطارها پس از اعلام شدن
– بررسی log ‌های ثبت شده در فایروال
– بررسی نرم افزار و سخت افزارهای مربوط به  فایروال●  سیستم های تشخیص حملات (IDS)
سیستم‌هایی نظیر IDSها در یک شبکه به کارآمدی کلیه تجهیزات، فرآیندها و کارکنانی وابسته می‌باشند که در مواقع لزوم به رخدادها پاسخ می‌دهند. با توجه به این نکته که حسگرهای IDS در هر زمان تعداد زیادی اخطار تولید می‌کنند و در شبکه امکان پاسخگویی به همه آن‌ها وجود ندارد، لازم است حساسیت IDSها را به گونه‌ای تنظیم نمود که فقط تهدیدات اساسی را اعلام نمایند. اما این کار باعث می‌شود تعدادی از حمله‌ها تشخیص داده‌نشود. برای جلوگیری از بروز اشکال، می‌توان هر یک از IDSها را برای یک Application خاص تخصیص داد.

با استفاده از ویژگی‌های مختلف این سیستم‌ها، می‌توان از طریق مرکز SOC  حملات را کنترل نمود. در مراکزSOC  از ویژگی‌های IDSها نظیر کمتر‌نمودن False Positives ، Stateful Signature که یک فرم پیشرفته تشخیص حمله‌ها با استفاده از Signatureها می‌باشد،Protocol Anomaly Detection  که قابلیت تحلیل ترافیک و اطمینان از عدم وجودPacketهای غیر قانونی با استفاده از مقایسه Protocol portion را دارد، می‌باشد،Traffic Anomaly Detection  جهت مقایسه ترافیک‌های نرمال و غیرنرمال برای مقابله طبیعی و غیرطبیعی با حملات، استفاده می‌شود. در مراکزSOC  با ترکیب‌کردن تکنولوژی‌های Stateful Signature Detection  و Protocol Anormaly ، Traffic Anomaly Detection  قابلیت تشخیص حمله‌ها افزایش داده می‌شود.

  • امکان فیلتر کردن محتوا
    یکی از اصلی ترین سرویس‌ها در مراکز SOC ، امکان فیلترکردن محتوای ورودی به سرورها می‌باشد. فیلتر کردن محتوا در SOC با هدف جلوگیری از دسترسی به سایت‌های غیرلازم، جلوگیری از دسترسی به انواع خاصی از فایل‌ها و محدود کردن حملات ویروس‌ها، Wormها و Trojanها (بسیاری از ویروس‌های خطرناک مانند Nimda وCodeRed به عنوان برنامه‌های اجرایی با استفاده از HTTP و یا پروتکل‌های رایج دیگر که Firewallها به آن‌ها اجازه ورود می‌دهند، وارد شبکه می‌شوند. در نتیجه کاربران به صورت ناآگاهانه این محتویات را از سایت‌های ایمنDownload  می‌کنند.) صورت می‌پذیرد.

نرم افزار URL Filtering کلیه Page ها را در گروه‌های از‌پیش‌تعیین‌شده دسته‌بندی می‌کند و بر‌طبق آن دسته‌بندی‌ها، دسترسی به یک Page را ممکن و یا غیر‌ممکن می‌سازد. همچنین قادر است لیستی از سایت‌هایی که کاربران می‌توانند به آن‌ها دسترسی داشته باشند، تهیه نماید. به طور عمده لازم است این نرم‌افزار قادر باشد دسترسی به محتویات دسته‌بندی‌شده را فیلتر کند. همچنین لازم است بتواند استثناهایی برای سیاست خاص خود بر مبنای فاکتورهای مختلفی از جمله گروه کاربران‌، موقعیت کاربران، ساعت استفاده و… قائل شود.

نرم افزارهایی که در این مراکز برای فیلتر کردن مورد استفاده قرار می‌گیرند، باید از متدهای مناسبی جهت  جلوگیری از دسترسی، دسته بندی پایگاه های اطلاعاتی و لیست‌های کنترلی برخوردار باشند. همچنین بروزرسانی‌ها باید با فواصل کوتاه انجام شوند و بهتر است به طور کامل صورت پذیرند نه به صورت تفاضلی. بروزرسانی‌ها نباید سیستم‌های عملیاتی را دچار وقفه سازند.

  • امکان تشخیص ویروس
    ویروس‌ها بیشتر توسطEmai l و ترافیک اینترنتی منتقل می‌شوند. بنابراین، دفاع در خط مقدم یعنی Internet Gateway بهترین راه مقابله با آن‌ها می‌باشد. با افزودن قابلیت Virus Scanning برروی Cache ها، می‌توان با اعمال روش‌های مختلف ویروس‌یابی، اقدامات مناسبی جهت از بین بردن آن‌ها در Internet Gateway انجام داد. مرکز SOC، عملیات کنترل و اسکن ویروس‌ها را با بهره‌گیری از نرم‌افزارهای مناسب برعهده دارد.
  • سرویس‌های AAA
    در مرکز SOC برای تعریف و کنترل دسترسی به تجهیزات و سرویس‌های شبکه از AAA استفاده می‌شود. AAA سرورها در مراکز مختلف و برای سرویس‌های گوناگون به کار گرفته می‌شوند و مدیران شبکه و کاربران نیز از طریق آن اجازه دسترسی به منابع شبکه را در سطوح مختلف کسب می‌کنند. یکی از روش‌هایی که در مراکز SOC برای تشخیص هویت کاربران و اعمال سیاست‌های امنیتی به کار می‌رود، استفاده از CA یا Certificate Authority است.CAها، کلیدعمومی یک شخص یا یک سازمان را به همراه دیگر مشخصات تشخیص هویت در گواهینامه دیجیتال قرار داده و سپس آ‌ن ‌را امضا می‌نمایند. این کار صحت اطلاعات موجود در آن‌را اعلام و تأیید می‌نماید. گواهی‌نامه‌های دیجیتال، فایل‌هایی هستند که در اصل به عنوان نوعی گذرنامه عمل می‌نمایند و توسط CAها صادر می‌شوند. نقش CA در این پروسه، تأیید فردی است که یک گواهینامه به آن اختصاص داده شده است. در واقع همان کسی است که خود شخص اظهار می دارد.

 

با قرار دادن CA در یک مرکز SOC، می‌توان محدوده وسیعی از Applicationها را با ایمنی بالاتری نسبت به امنیتی که توسط نام کاربری  و رمز عبور  فراهم می شود، پشتیبانی کرد.

پیاده سازی امنیت در مرکز SOC
با بهره گیری از ابزارهای مختلف امنیت شبکه در SOC، حملات به شبکه در سه رده و از جهات مختلف مورد بررسی قرار می‌گیرد. این سه رده عبارتند از: Visibility ، Verification و vulnerability که با ادغام عملیاتی که در هر رده انجام می‌پذیرد، می‌توان امکان کنترل و مدیریت امنیت را در شبکه ایجاد نمود. در هر یک از این رده‌ها فعالیت‌های خاصی انجام می‌گیرد که به واسطه آن‌ها از نفوذ به داخل شبکه جلوگیری می‌شود و در صورت ورود نیز از پیشروی آن‌ها جلوگیری به عمل می‌آید. در هر یک از این رده‌ها، تجهیزاتی وجود دارند که می‌توانند متناسب با وظایفشان از شبکه محافظت نمایند.

Vulnerability
تجهیزاتی که در این رده مورد استفاده قرار می‌گیرند، به محض این‌که نصب و راه‌اندازی می‌شوند، باید Update  گردند. فاکتورهایی که از طریق این تجهیزات Update می‌گردند، شامل پیکربندی سرورها، برنامه‌های کاربردی، پکیج‌های نرم‌افزارهای امنیتی مرتبط با سیستم‌عامل‌ها می‌باشند که با توجه به سرعت رشد راه‌های نفوذ، به سرعت از درجه اعتبار ساقط می‌گردد. با در نظر گرفتن این نکته، این رده کمترین تاثیر را در برخورد با حملات دارد.

● Visibility

با استفاده از تجهیزات این سطح که عمدتاً شامل فایروال‌ها می‌باشند، می‌توان امنیت کلیه تجهیزات شبکه را مانیتورینگ نمود. در این قسمت کلیه امکانات‌ مربوط به دیواره‌های آتش Update می‌شود و پیکربندی آن‌ها متناسب با عملکردشان در شبکه، تغییر می‌کند. این تغییرات بدون زمان‌بندی خاص و در ازای تغییر مکانیزم‌ها و روند حملات به شبکه اعمال می‌گردند. مشکلاتی که در رابطه با تغییر پیکربندی فایروال‌ها به‌وجود می‌آیند، منحصر به تکنولوژی نیست. هر بار که پیکربندی این تجهیزات توسط پرسنل Update می‌گردد، امکان دارد که با یک اشتباه در پیکربندی راه نفوذی برای هکرها ایجاد گردد.

با توجه به حجم و ابعاد شبکه‌ها و پورت‌هایی که از طریق آدرس‌های IP سرویس داده می‌شوند، تعداد نقاطی که باید اسکن گردند مشخص می‌شود. برای برقراری سطوح امنیتی متناسب با نیازهای هر کاربر، این پورت‌ها به گروه‌های مختلف دسته‌بندی می‌گردند. به این ترتیب پورت‌هایی که از اهمیت بالایی برخوردارند، توسط سیستم‌های مربوطه در فواصل زمانی کوتاه (معمولاً هر ۵ دقیقه یک‌بار) اسکن می شوند. با توجه به حجم بالای اطلاعاتی که در هر بازه زمانی تولید می‌شود، باید مکانیزم‌هایی در SOC وجود داشته باشد تا به واسطه آن این حجم بالای اطلاعات پردازش گردد و گزارش‌های مورد نیاز استخراج شود.

  • Verification
    اصلی ترین و البته مشکل ترین قسمت در یک مرکز SOC، حصول اطمینان از امنیت قسمت‌هایی است که کنترل مستقیمی بر آن‌ها وجود ندارد. برای این منظور باید ابزاری به‌کار گرفته شود که از طریق آن بتوان به صورت غیرمستقیم تجهیزات مربوطه را کنترل نمود. در حقیقت باید راه نفوذ از طریق آن تجهیزات را مسدود ساخت.

سرویس های پیشرفته در مراکز SOC
سرویس‌های پیشرفته‌ای که از طریق این مراکز قابل‌ارائه می‌باشد، در‌حقیقت سرویس‌هایی است که به واسطه آن می‌توان سیاست‌های امنیتی را مطابق با نیازها پیش‌بینی نمود. در مراکز SOC علاوه بر مدیریت امنیت تجهیزات شبکه، زیرساخت‌های اطلاعاتی نیز از لحاظ امنیتی پشتیبانی می‌شوند. این زیرساخت‌ها به طور کلی شامل پرسنل، فرآیندها و روال‌های کاری در شبکه می‌باشند. در استانداردهای تدوین‌شده برای امنیت نظیر استانداردهای BS9977 نحوه پیاده‌سازی روال‌های مدیریت امنیت در شبکه‌ها مشخص شده است.

در بخش مدیریت امنیت فرآیندها در مرکز SOC مراحل مختلفی طی می‌شود تا به‌واسطه آن یک روال در شبکه از هر لحاظ ایمن گردد. مرحله اول مرحله سیاست‌گذاری است. پس از تدوین سیاست‌ها و تطبیق آن‌ها با استانداردهای موجود در زمینه امنیت شبکه، روال‌های استخراج‌شده جهت پیاده‌سازی به مسئولا‌ن تحویل می‌شوند. نکته دیگری که در این زمینه قابل‌بررسی است، آگاهی پرسنل SOC از تهدیدات امنیتی است. باتوجه به وجود طیف وسیعی از سخت‌افزارهای امنیت شبکه، که هر کدام متناسب با شرکت سازنده خود نیاز به مهارت‌های خاصی برای استفاده دارند، و همچنین تغییرات سریع تکنولوژی و نحوه حمله به تجهیزات شبکه، نیاز است پرسنل SOC از مهارت‌های خاصی برخوردار بوده و همواره به کسب اطلاعات جدید مشغول باشند. برای بروز نگه‌داشتن اطلاعات پرسنل از کلاس‌های آموزشی جهت تشخیص حملات جدید و نحوه برخورد با آن‌ها استفاده می‌شود. با توجه به حساسیت وظایف در مراکز SOC،  پرسنل این مراکز اهمیت بالا‌یی دارند. به این ترتیب حفظ منافع و رضایت خاطر پرسنل از مهم‌ترین مسئولیت‌های صاحبان SOC می‌باشد.

ماهنامه شبکه –

ابوالفضل محمدی

درباره من

شاید این مطالب را هم دوست داشته باشید

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *