چرا سازمانها به مرکز عملیات امنیتی (SOC) نیاز دارند
روزانه حجم بزرگی از اطلاعات در سازمانها تبادل میشود، به واسطه همین اطلاعات تبادل شده، انبوهی از هشدارهای مربوط به رخدادهای تجهیزات و سیستمهای اطلاعاتی موجود در شبکه سازمان، اعم از تجهیزات شبکه و تجهیزات امنیتی مانند فایروالها تولید میشوند. این اطلاعات تولید شده نیازمند ارزیابی و مدیریت میباشند. شاید سازمان ما سالها دارای فعالیت نرمال بوده و نیازی به پردازش و بررسی این اطلاعات نبوده است. ولی از آنجایی که اطلاعات به عنوان اولین و با ارزشترین دارایی سازمان مطرح میباشد، پس بایستی از این دارایی حفاظت کنیم.
از آنجایی که هشدارها مربوط به رویدادهای زیاد بوده و از تنوع بالایی برخوردار میباشند، به همین دلیل بررسی دستی این رویدادها و اتخاذ عکسالعملی مناسب زمانبر و بسیار پرهزینه میباشد. مرکز عملیات امنیتی راهکاریست برای این مشکل، که به صورت مرکزی در سازمان راه اندازی میشود. مرکز عملیات امنیتی با پایش و بررسی رویدادهای شبکه و اطلاعات دریافتی از تجهیزات شبکه ای، تجهیزات امنیتی، سیستم عامل ها، سرویسهای نرم افزاری و برنامههای کاربردی گزارشهایی را ارائه می دهد که وضعیت شبکه و اتفافات در حال رخ دادن را نشان می دهند. این مرکز برای جلوگیری از حوادث بالقوه و داشتن برنامه برای مواقع اضطراری راه اندازی میشود.
سرویسهای مرکز عملیات امنیتی برای شبکه سازمانها
- جمع آوری رخدادهای مربوط به سرویسهندهها، برنامههای کاربردی، تجهیزات شبکه.
- Log Correlation (نرمالسازی گزارشات و رخدادهای جمعآوری شده)
- ارائه گزارشات جامع از وضعیت شبکه مانند حملات، گزارش خرابی و ارائه راهکار برای رفع مشکل.
- تولید دانش مربوط به رخدادهای جمع آوری شده و نگهداری این گزارشات به مدت طولانی.
- تحلیل پیامها، هشدارها و وضعیت شبکه با استفاده از موتور هوشمند و همبستهسازی گزارشات.
- استفاده از پایگاه دانش برای پیبردن به حملات و فعالیتهای مشکوک و تولید هشدار برای آگاه سازی مدیر شبکه.
- ارائه راهبردی و روالی مناسب برای رسیدیگی به حادثه
- ارائه گزارش از رول رسیدگی به مشکل پیش آمده
- کشف علت رخداد
- تولید انواع گزارش آماری از رخدادهای شبکه و وضعیت امنیتی شبکه سازمان
- و…
اجزای تشکیل دهنده مرکز عملیات امنیتی
- مولدهای رویداد
- حسگرهای ویزه برای جمع آوری رویدادها (Flow Sensors)
- عاملهای جمع آوری رویدادها (Log Collectors)
- سرورهای جمع آوری رویدادها
- نگهداری و مدیریت آرشیو مربوط به رویدادها (Log Management)
- موتورهای همبسته سازی (Log Correlation&Response Engine)
- پایگاه دانش
- سیستمهای آنالیز و رسیدگی به حوادث
- سیستم واکنش
- واسط کاربری
برای استقرار مرکز عملیات امنیتی (SOC) نیازمند اجرای مراحلی میباشیم که با نام ISMS آن را می شناسیم:
- مهندسی خواستهها و نیازها
- آماده سازی و سفارشی سازی محیط
- استقرار
- پیکربندی
- آموزش و تحویل
ISMS خود دارای مراحل و استانداردهایی است که در پستی جداگانه توضیح خواهیم داد.