مرکز عملیات امنیت

مرکز عملیات امنیت (به انگلیسی: Security Operation Center) واحدی در بخش امنیت سازمان که به صورت متمرکز، رخدادهای مربوط به امنیت اطلاعات را به صورت جامع و یکپارچه پایش، نظارت و مدیریت می‌کند و بر اساس میزان ریسک تعیین شده، به کارشناسان امنیتی هشدار ارسال می‌کند.

نرم‌افزارهای امنیتی مربوط به مرکز عملیات امنیت امکان جمع‌آوری، یکسان‌سازی و ذخیره‌سازی کلیهٔ وقایع امنیتی با اهمیت جهت ایجاد قابلیت جستجو، تحلیل و بررسی را دارا هستند

نامها

Security Operation Center SOC
Security Defense Center SDC
Information Security Operations Center ISOC
Security Intelligence and Operations Center SIOC

عوامل تشکیل دهنده

عوامل تکنولوژیک

سیستم مدیریت تهدید به مجموعه‌ای از ابزارها گفته می‌شود که کلیه اتفاقات رخ داده در شبکه را ابتدا جمع‌آوری و ذخیره‌سازی نموده و سپس با بررسی ارتباطات وقایع مختلف سعی در یافتن تهدیدات امنیتی در بین هزاران واقعه امنیتی به صورت خودکار می‌نماید این سیستم از سه بخش اصلی تشکیل می‌گردد:

مولدهای وقایع

به کلی ابزارهای امنیتی، تجهیزات شبکه، سرویس دهنده‌ها و سرویس گیرنده‌های موجود در شبکه که علاوه بر انجام وظایف محوله اقدام به ثبت هر رخداد به صورت لاگ می‌نمایند اطلاق می‌گردد این واقایع یا ممکن است به صورت محلی بر روی خود سیستم به شکل‌های مختلف متنی یا در داخل مرکز داده ذخیره شده یا به یک سیستم جمع‌آوری لاگ خارجی جهت نگهداری ارسال گردد. از جمله این مولدهای وقایع می‌توان به تجهیزات شبکه مانند مسیریاب‌ها یا سوئیچ‌ها، تجهیزات امنیتی مانند فایروال و تجهیزات کنترل دسترسی و سرویس دهنده‌ها مانند سرورهای مرکز داده ویا سرویس وب اشاره نمود.

جمع‌کننده وقایع

به ابزارهایی گفته می‌شود که فرایند جمع‌آوری لاگ تولید شده و ارسال آن به سیستم مدیریت لاگ را به عهده دارند که شامل فرایندهای زیر خواهد بود:

استخراج لاگ از مولد وقایع با نصب یک نرم‌افزار (Agent) بر روی آن یا ایجاد یک سرور دریافت‌کننده لاگ مانند Syslog سرور.
نرمال سازی (فرایند یک شکل سازی لاگ سیستم‌های مختلف در قالب یکسان) با هدف ایجاد قابلیت مقایسه آن‌ها بایکدیگر.
فشرده سازی با هدف صرفه جویی در پهنای باند مورد استفاده در ارسال لاگ به سیستم مدیریت لاگ.
رمزنگاری با هدف حفظ محرمانگی اطلاعات موجود در لاگ‌ها در زمان استفاده از بسترهای عمومی مانند اینترنت جهت ارسال لاگ به سیستم مدیریت لاگ.

سیستم مدیریت لاگ

به سیستمی گفته می‌شود که وظیفه ذخیره‌سازی لاگ‌ها جمع‌آوری شده بمنظور تحلیل یا تهیه گزارش‌ها را در بازه‌های زمانی متفاوت بنا به سیاست‌های امنیت یک سازمان بعهده دارد.

موتور همبستگی سنجی

این بخش به عنوان مغز متفکر این سیستم با بررسی ارتباطات وقایع مختلف و با استفاده از اطلاعاتی نظیر آسیب‌پذیری یا عدم آسیب‌پذیری یک سیستم به یک تهدید اقدام به تشخیص، ارزش گذاری و رتبه بندی رخدادهای امنیتی در شبکه می‌نماید.

سیستم‌ پیشگیری از نفوذ

سیستم جلوگیری نفوذ (به انگلیسی Intrusion prevention system)در واقع وظیفه دارند به تهدیدات شناسایی شده توسط موتور همبستگی سنجی به‌طور خودکار پاسخ داده و آن‌ها را به نحو مشخص مسدود کنند.

نیروی انسانی

این عامل به عنوان ستون اصلی هر مرکز عملیات امنیت به عنوان راهبران یک مرکز عملیات امنیت نقش اصلی را در لایه‌های مختلف در تحلیل رخدادهای امنیتی تشخیص داده شده توسط سیستم مدیریت تهدید و حذف خطاهای سیستم نظیر False Positive و یافتن راه کار محدودسازی یا ممانعت از نفوذ به شبکه را بعهده دارد. به‌طور معمول نیروی انسانی در این مرکز در حد اقل سه سطح تحلیل گر و مدیریت مرکز با شرح وظایف و دانش و تجربه خاص خود از نیازمندیهای‌های اصلی هر مرکز عملیات امنیت می‌باشد. همچنین برنامه‌ریزی ساختار شیفتینگ نیروی انسانی یکی دیگر از مقوله‌های مهم در مراکز عملیات امنیت می‌باشد که نیازمند ارائه سرویس ۲۴*۷ می‌باشد.

فرایندها و رویه ها

در هر مرکز عملیات امنیت به منظور تشخیص و پاسخگویی به رخدادهای امنیتی در زمان مناسب به به‌طور معمول فرایندهای مختلفی در چهار حوزه‌های زیر وجود خواهد داشت:

فرایندهای کسب و کار
فرایندهای تکنولوژیک
فرایندهای عملیاتی
فرایندهای تحلیل

همچنین ببینید

منابع

↑ «ساختار مرکز عملیات امنیت (SOC)». www.sis-eg.com. دریافت‌شده در ۲۰۲۲-۰۳-۳۱.

پیوند به بیرون

[1] «ساختار مرکز عملیات امنیت (SOC)». www.sis-eg.com. دریافت‌شده در ۲۰۲۲-۰۳-۳۱.