SOC چیست؟

معمولا با گسترش روزافزون استفاده از ارتباطات و انتقال اطلاعات در بستر شبكه‌ها و اينترنت، حجم وسيعي از مبادلات تجاري و اداري، از اين طريق صورت مي‌پذيرد. امروزه سرويس‌هاي اينترنتي و تحت‌شبكه، به عنوان قابل‌اعتمادترين، سريع‌ترين و در دسترس‌ترين ابزارهاي ارتباطي به شمار مي‌روند. با توجه به اهميت فوق العاده‌اي كه شركت‌هاي بزرگ به استفاده از چنين بسترهايي در اداره امور خود مي‌دهند، جايگاه و اهميت مقوله امنيت به وضوح مشخص است. زماني كه نوبت به امنيت مي‌رسد، هر سازماني نياز و سياست مختص خود را دارد. به اين ترتيب راه‌حل‌هاي امنيتي، بايد به گونه‌اي استاندارد طراحي شوند تا بتوانند نيازهاي كليه سازمان‌ها را بدون نياز به تغييرات اساسي در ساختار سيستم‌هاي آن‌ها، پوشش دهند

تعریف SOC:

مخفف عبارت Security Operation Center به معنای مرکز عملیات امنیت می باشد .

مركز عملیات امنیت شبكه، (SOC) مكانی جهت مانیتورینگ و كنترل ۲۴ ساعته  ورود و خروج اطلاعات در شبكه می باشد.

این مرکز از طریق یک کنسول مرکزی وضعیت آنچه را که در حال حاضر در شبکه در حال اتفاق است را نشان می دهد و تمامی زوایای امنیتی را به صورت بلادرنگ از یک نقطه مرکزی مدیریت و مانیتور می کند و راهکارهای مناسبی را متناسب با هر رویداد، اجرا یا پیشنهاد می نماید
سیستم‌هایی که در SOC جهت مدیریت امنیت شبکه نصب و راه‌اندازی می‌گردند، دارای مکانیزم‌های بررسی تجهیزات شبکه به صورت خودکار می باشند. تجهیزاتی که توسط این سیستم مورد‌بررسی قرار می‌گیرند، محدود به سیستم‌های امنیتی نیستند، بلکه کلیه تجهیزات زیرساختی شبکه نیز توسط این سیستم مدیریت امنیت یکپارچه مورد بررسی قرار می‌گیرند.
این سیستم در‌حقیقت الگوهای ترافیکی ارسالی از کلیه تجهیزات شبکه از جمله سرورها، مسیریاب‌ها، فایروال‌ها و سیستم‌های امنیتی فیزیکی را مورد بررسی قرار داده و هر‌کدام از آن‌ها که توان ایجاد یک ریسک امنیتی را دارند مشخص می‌سازد و راه نفوذ به آن سیستم را می‌بندد. هر الگوی ترافیکی غیرعادی مشاهده شده، توسط زیرسیستم‌های آنالیزکننده مورد بررسی قرار می‌گیرد و متناسب با نوع خطای تشخیص داده‌شده، اخطارهای لا‌زم در شبکه برای هر یک از تجهیزات مربوطه ارسال می‌گردد.

به طور كلی هر مركز SOC  به سه سطح عمده تقسیم می شود كه هر یك وظایف خاصی را بر عهده دارند. این سطوح عبارتند از: سطح یكم، نقطه تماس Client‌ها و مسئول پاسخ گویی به اخطارهای دریافتی ازClient ‌هاست. در این سطح به كلیه اخطارهایی كه از پیچیدگی پایین‌تری برخوردارند، پاسخ داده می‌شود.

سطح دوم، در حقیقت مكمل سطح یكم است و مسئول پاسخ‌گویی به مشكلات پیچیده تر در سیستم‌های امنیتی شبكه می‌باشد. برای اخطارهایی كه از اهمیت بالایی برخوردارند، سیستم های سطح دوم به طور كامل درگیر می‌شوند.

سطح سوم، در این سطح كارشناسان ارشد و مشاوران امنیتی شبكه قرار دارند. این سطح در حقیقت پشتیبان دو سطح پایین‌تر است. در صورتی كه به اشكالات امنیتی در دو سطح پایین پاسخ داده نشود، كارشناسان و سیستم‌های این سطح، درگیر می‌شوند. كلیه تدابیر امنیتی و مدیریت امنیت شبكه، در این سطح اندیشیده می‌شود.

در هر یك از سطوح مطرح‌شده، ابزاری برای مدیریت سیستم‌های امنیتی در نظر گرفته می شود. این ابزارها امنیت شبكه را از دو دیدگاه درون‌سازمانی و برون‌سازمانی مورد بررسی قرار می‌دهند. برای این منظور، هر SOC دارای یك سری تجهیزات در داخل شبكه و یك سری تجهیزات در خود مركز می باشد. همه سرویس‌هایی كه از مراكز SOC  ارائه می‌گردند، مانیتورینگ و مدیریت‌شده هستند. دیگر سرویس‌هایی كه از طریق این مراكز قابل‌ارائه می‌باشند، سرویس‌های پیشرفته‌ای به شرح زیر می‌باشد:

– توسعه سیاست‌های امنیتی‌
– آموزش مباحث امنیتی‌
– طراحی دیواره‌های آتش‌
– پاسخگویی آنی‌
– مقابله با خطرات و پیاده‌سازی

سرویس‌هایی كه از طریق این مراكز ارائه می‌گردند، عبارتند از سرویس‌های مدیریت شده‌ای كه از تجهیزات و ارتباطات مركز SOC محافظت می‌نمایند. این سرویس‌ها از متدولوژی و ابزارهای نرم‌افزاری و سخت افزاری قدرتمندی برای مدیریت امنیت استفاده می‌نمایند. اجزای سخت‌افزاری كه در شبكه‌ها توسط سیستم‌های مدیریت‌شده برای اعمال سیاست‌های امنیتی مورد استفاده قرار می‌گیرند، عبارتند از: سیستم‌های كشف و رفع حملات (Intrusion Detection System)، سیستم‌های‌ فایروال و سیستم‌های مدیریت امنیت در شبكه‌های خصوصی مجازی.

دلایل نیاز به SOC
با وجود تجهیزات و نرم افزارهای امنیتی مانند فایروالها، سیستم های تشخیص نفوذ و آنتی ویروس ها باز هم نیاز به مرکزی یک پارچه که تمام فعالیت های امنیتی یک سازمان را مدیریت کند دیده می شود. مشکلاتی که این تجهیزات و نرم افزارها می توانند در حین فعالیت خود داشته باشند شامل موارد ذیل می باشد:
• امکان حمله به تجهیزات و نرم افزارهای امنیتی مورد استفاده در سازمان
• تاخیر در گرفتن Event های جدید از تجهیزات و نرم افزارهای امنیتی مورد استفاده در سازمان
• عدم یکپارچگی Event ها و تحلیل و پاسخدهی مناسب
• تولید Event های بسیار زیاد که تحلیل آنها برای نیروی انسانی امکان پذیر نیست
• پیچیدگی بعضی حملات سایبری که درک مراحل مختلف آنها برای نیروی انسانی امکان پذیر نیست.

بخش های اصلی مرکز عملیات امنیت (SOC)
• تولید کننده وقایع :این ماژول، شامل تمامی تجهیزات امنیتی به صورت سخت افزاری و نرم افزاری می باشد که در بخش های مختلف شبکه قرار گرفته اند و وقایع امنیتی را شناسایی و برای تجهیزات مربوط به ماژول     Event Collector ارسال می نمایند.
• جمع کننده وقایع: این ماژول، شامل تجهیزاتی است که مسئول دریافت وقایع از تجهیزات داخل شبکه یا تولید کننده های وقایع می باشند. تمامی وقایع برای Event Collectorها ارسال شده و بعد از دسته بندی وقایع، آنها را برای ماژول های دیگر ارسال می کنند.
• پایگاه داده وقایع : این ماژول شامل پایگاه داده هایی می باشد که بعد از دریافت اطلاعات از جمع کننده وقایع، آنها را ذخیره کرده و در اختیار ماژول های دیگر قرار می دهد.
• تحلیلگر وقایع :این ماژول شامل تجهیزاتی می باشد که بعد از ثبت وقایع در پایگاه داده، آنها را آنالیز و بررسی کرده و نتیجه آن را در اختیار ماژول های دیگر قرار می دهد. این تحلیل می تواند منجر به شناسایی رخداد در شبکه شده که با ارائه آن به ماژول واکنش دهنده از بروز رخداد جلوگیری نماید.
• واکنش دهنده وقایع : این ماژول در صورت تشخیص رخداد توسط تحلیلگر وقایع، می تواند به تجهیزات امنیتی فرمان داده و از عبور ترافیک مخرب در شبکه جلوگیری نماید.
• گزارش دهنده وقایع :این ماژول به منظور ارائه گزارش رخدادهای صورت گرفته در شبکه به مدیران شبکه و یا اپراتورهای بخش SOC می باشد. اطلاعات رخدادها توسط ماژول تحلیلگر، شناسایی گشته و توسط ماژول گزارش، اعلام خواهند شد.

ساختار کلی مرکز عملیات امنیت
رخدادهای امنیتی در یک زیرساخت اطلاعاتی توسط حسگرهای شبکه آن تولید می گردند. حسگرهای شبکه شامل کلیه سیستم عامل ها، کاربردها، نرم افزارها و تجهیزات سخت افزاری شبکه است. رخدادهای امنیتی به روش های مختلف از حسگرها جمع آوری و با قالب یکسانی در بانک اطلاعاتی رخدادها ذخیره می گردند. رخدادهای جمع آوری شده توسط تحلیلگر SOC مورد تحلیل قرار گرفته و پس از بررسی همبستگی بین رخدادها، حملات و تهدیدهای امنیتی زیرساخت اطلاعاتی مربوطه به صورت رویداد اعلام می شود.

تحلیلگر SOC جهت آنالیز و تشخیص همبستگی مابین رخدادها از دانش ذخیر شده در پایگاه دانش مرکز عملیات امنیت بهره می برد.معیار اصلی کشف حملات و تهدیدها، اطلاعات پایگاه دانش است. اطلاعات مربوط به آسیب پذیری های سامانه، سیاست های امنیتی تعریف شده و همچنین وضعیت فعلی سامانه ها از اطلاعات مهم ذخیره شده در پایگاه دانش می باشد که توسط واحدی در SOC به طور مرتب باید بروز گردد.

در بالاترین لایه مرکز عملیات امنیت که کاربران با آن سرو کار دارند، پورتال و کنسول قرار دارد. پورتال به صورت داشبود SOC عمل کرده و امکان مشاهده و مرور وضعیت امنیتی زیرساخت اطلاعاتی بصورت گرافیکی، تهیه انواع مختلفی از گزارش ها و همچنین تنظیم مؤلفه هاي SOC را فراهم می سازد.در ادامه این بخش عملکرد هر کدام از بخش های اصلی سامانه SOC را مورد بررسی قرار می دهیم.

حسگرها
حسگرها در SOC منابع جمع آوری رخدادهای امنیتی می باشند.از جمله حسگرهای مهم و معمول جهت جمع آوری رخدادها می توان به IDS ها، IPSها، فایروال ها، تجهیزات شبکه شامل سوئیچ ها و مسیریاب ها، سیستم عامل ها، سرویس های اینترنت و ضد بدافزارها اشاره نمود.
IDSها بسته های عبوری از شبکه را شنود کرده و با تحلیل بسته های شنود شده براساس الگوی حملات شناخته شده و یکسری قواعد، برخی از حملات، تهدیدها و وضعیت غیر عادی در شبکه را کشف و نتایج را به صورت رخدادهایی ثبت می کند. یک IDS، روزانه حجم زیادی از رخدادها را تولید می کند. به عنوان مثال، در یک مرکز داده ممکن است به طور متوسط روزانه چندین میلیون رخداد توسط IDS تولید گردد، که بخش عمده آنها بلااستفاده می باشد. بررسی این حجم عظیم رویدادهای تولید شده توسط IDS ها و کشف حملات و تهدیدهای واقعی از چالش های بزرگ مدیریت امنیتی می باشد.

فایروال ها براساس قواعد و سیاست های امنیتی تعریف شده به پایش بسته های شبکه به منظور کنترل دسترسی به منابع می پردازند. این دستگاه ها رخدادهای مربوط به پایش ترافیک شبکه را ثبت می کنند. این رخدادها یکی از منابع مهم جمع آوری داده در SOC می باشند.البته امروزه به دلیل پیچیده شدن روش های حملات، معمولاً مهاجمان فایروال ها را دور می زنند. با این حال اطلاعات ثبت شده توسط این تجهیزات هنگامیکه در کنار سایر اطلاعات قرارگرفته و تحلیل می شود، به کشف حملات توسط SOC کمک می کند.

منبع دیگر جمع آوری رخدادهای امنیتی، تجهیرات شبکه هستند. از آنجا که تمام ترافیک یک شبکه از سوئیچ ها و مسیریاب های اصلی می گذرد، مؤلفه های مختلف مدیریتی بر روی این تجهیزات قابل دسترسی هستند و از ابزارها و معیارهای مهم کشف بسیاری از حملات می باشند.

سیستم عامل ها، کاربردها و نرم افزارهای مختلف نصب شده بر روی کارگزارها انواع مختلفی از رخدادها را تولید می کنند. اطلاعات مربوط به دسترسی کاربران به منابع، احراز هویت کاربران، تغییرات پیکربندی، خطاهای رخ داده و غیره، توسط این منابع ثبت می شوند.

جمع آوری رخدادهای امنیتی از حسگرها توسط این واحد انجام می شود. بطورکلی این واحد رخدادها را از منابع مختلف و با استفاده از روش ها و پروتکل های مربوطه جمع آوری و پس از انجام عمل پیش پردازش و پایش، آنها را در بانک اطلاعاتی رخدادها ذخیره می کند. از آنجا که رخدادهای مربوط به حسگرهای مختلف دارای قالب های متفاوتی هستند، قبل از ذخیره شدن توسط واحد تجمیع رخدادها به قالب یکسانی تبدیل می شوند.

واحد آنالیز و تشخیص همبستگی رخدادها
هر یک از سامانه های یک زیرساخت اطلاعاتی، روزانه حجم بسیار زیادی از رخدادها را تولید می کند که لزوماً تمامی آنها به طور مستقیم یا غیر مستقیم مربوط به مسائل امنیتی نمیشوند. با افزایش تعداد کارگزارها، خدمات و در نتیجه ترافیک شبکه، بررسی بی درنگ رخدادهای تولید شده توسط نیروی انسانی غیرممکن می شود. تنها راه حل پیشِرو، انتقال دانش و مهارتهای کارشناسان امنیتی خبره به یک برنامۀ هوشمند است که بتواند با تحلیل گزارشها و رخدادهای دریافتی از اجزای موجود، اقدام به تشخیص حملات و تهدیدها و یا خلاصه کردن رخدادها نمایند، همچنین در صورت تشخیص هر نوع حملۀ احتمالی بتواند نسبت به آن واکنش مناسب نشان دهد. این واکنش بسته به شرایط، ممکن است تغییر در پیکربندی یک فایروال یا مسیریاب، از کار انداختن موقت یک یا چند سامانه و یا سرویس، و یا ارسال اعلان خطر از طریق روش های ارتباطی تعبیه شده در سامانه (مانند پست الکترونیک، پیامک، ارتباط تلفنی، اخطار صوتی و ….) باشد.

واحد تحلیل و Correlation رخدادها در مرکز عملیات امنیت، وظیفه آنالیز رخدادهای جمع آوری شده از سراسر زیرساخت اطلاعاتی را بر عهده دارد. تحلیل رخدادها به منظور کشف تهدیدها، بر اساس اطلاعاتی است که در پایگاه دانش ذخیره و نگهداری می شود.

روش ها و الگوریتم های آنالیز رخدادها و تشخیص حملات در حال حاضر از موضوعات روز تحقیقاتی در سراسر دنیا می باشد از آنجا که هر کدام از الگورتیم های تحلیل و Correlation دسته های خاصی از حملات را تشخیص می دهند، باید ماژول های متعددی جهت آنالیز رخداد در SOC طراحی و پیاده سازی گردند. سامانه SOC باید همواره امکان اضافه کردن ماژول جدید تحلیل را به سهولت فراهم نماید.

زیرسامانه دیگری در واحد تحلیل رخدادها وجود دارد که وظیفه واکنش به رویدادهای تولید شده را بر عهده خواهد داشت. این زیر سامانه نسبت به برخی از رویدادهای امنیتی کشف شده توسط موتورهای تحلیل، درصورت اضطرار و بر اساس قواعد واکنش تعریف شده در SOC واکنش های لازم را انجام می دهد.

مدیریت وصله ها و مرور پیکربندی
یکی از وظایف مهم مرکز عملیات امنیت، مدیریت مؤثر وصله های نرم افزاری و همچنین پیکربندی وضعیت فعلی کلیه سامانه ها می باشد.
آسیب پذیری های امنیتی مربوط به سیستم عامل ها و همچنین کاربردهای مختلف پس از کشف آنها توسط تولید کننده با ارائه وصله نرم افزاری ترمیم می گردد. مدیریت صحیح وصله ها و اعمال به موقع آنها، علاوه بر اینکه درجه امنیتی سامانه ها را ارتقا می بخشد، کشف حملات و تهدیدات در فرآیند تحلیل رخدادها و همچنین واکنش به رویدادهای تولید شده توسط مدیران امنیتی را بهبود می بخشد.

علاوه بر مدیریت وصله ها، مدیریت پیکربندی و نگهداری آخرین وضعیت سامانه ها (مشخصات سخت افزاری، سیستم عامل، سرویس های فعال، نرم افزارهای نصب شده، پورت های باز، پیکربندی) نیز از وظایف این واحد از SOC می باشد. وضعیت سامانه ها به عنوان دانش در تحلیل رخدادها مورد استفاده قرار می گیرد. از آنجا که کلیه پیکربندی اجزاء و همچنین آخرین وضعیت سامانه ها توسط این واحد بروز و نگهداری می شود، امکان مرور اطلاعات آنها از طریق پورتال SOC فراهم خواهد بود. این اطلاعات جهت کشف ریشه حملات و آسیب های امنیتی و همچنین انجام بهترین واکنش هنگام وقوع رویدادهای امنیتی بسیار سودمند خواهد بود.

پیاده سازی سامانه مدیریت موثر وصله ها در SOC به دلایل متعددی دارای اهمیت است: اولاً حجم بالای وصله هایی که منتشر میشوند، عملاً کنترل دستی آنها را ناممکن می کند. ثانیاً فرآیند استفاده از یک وصله جدید پیچیده بوده و شامل مراحل ارزیابی، دریافت، آزمایش، نصب و نگهداری وصله میباشد که مدیریت کل این فرآیند به صورت دستی خطازا می باشد. ثالثاً، سرعت از ملزومات مدیریت وصله های منتشر شده است، چراکه نفوذگران بسرعت از رخنه های امنیتی کشف شده سوءاستفاده میکنند و باید این زمان را از آنان گرفت.

پورتال و کنسول SOC
به طور کلی پورتال و کنسول مرکز عملیات امنیت وظایفی از قبیل اعلان بی درنگ رویدادهای امنیتی، تنظیم پارامترهای مربوط به هرکدام از زیر سامانه های SOC و تهیه انواع مختلفی از گزارش ها از وضعیت امنیت شبکه، رخدادها و رویدادهای امنیتی تولید شده و همچنین گزارش های تحلیل مخاطرات امنیتی را برعهده دارد.

پیاده سازی SOC در یک زیرساخت اطلاعاتی از جنبه های مختلف دارای اهمیت است که در ادامه این بخش به برخی از آنها می پردازیم.
• مدیریت تهدید (Thread Manager): این قابلیت باعث می شود حملات و رخدادهای امنیتی بصورت مرکزی مدیریت شده و بصورت هوشمندانه ای بر روی آنها کنترل صورت گیرد و امکان تحلیل تهدیداتی که در شبکه وجود دارد با استفاده از گزارشات میسر باشد.
• تشخیص آسیب پذیری (Vulnerability assessment): یکی از بهترین روش های جلوگیری از حملات در شبکه، تشخیص نقاط آسیب پذیر، قبل از وقوع رخداد است.
• مدیریت تجهیزات  (Security Device Management) : این قابلیت باعث می شود برای انجام تنظیمات بر روی تجهیزات امنیتی داخل شبکه، نیاز به مراجعه به بخش های دیگر نبوده و تمامی تنظیمات بر روی نرم افزارها و سخت افزارهای موجود در شبکه به صورت مرکزی قابل انجام باشد.
• نمایشگر لحظه ای وضعیت امنیت شبکه (Online Security Dashboard) : وضعیت رخدادها و خروجی بخش های اصلی SOC را نمایش می دهد تا نیروهای فنی بتوانند به صورت لحظه ای از تمامی وقایع در شبکه اطلاع یابند.
• سیستم پیگیری مشکلات (Trouble Ticket System) : بعد از پیاده سازی SOC یکی از قابلیت هایی که ایجاد می شود، سیستم رهگیری مشکلات توسط تجهیزات مرکز عملیات است، به این صورت که بعد از وقوع رخداد در شبکه، سیستم این مشکل را به شخص تعریف شده ای اختصاص می دهد و شماره ای را برای آن ثبت می نماید تا هر زمان که یکی از مسئولین خواست مشکلات را پیگیری نماید، بتواند از روی شماره های ایجاد شده مراحل رفع مشکل را بررسی کند.
• سیستم اعلام گزارش (Reporting System) : این قابلیت باعث می شود که گزارشاتی از عملکرد شبکه و اتفاقاتی که در آن در حال رخداد می باشند، ایجاد شده و در اختیار مسئولین و مدیران شبکه قرار گیرد. همچنین قابلیتی ایجاد می شود که در هر زمان نیاز باشد، بتوان در تاریخ های مورد نظر گزارشی را تهیه کرد.

نیاز به سرویس‌های مدیریت شده
حملات چه از طریق منابع داخلی چه از طریق منابع خارجی، در هر لحظه شبكه و برنامه‌های كاربردی ارائه شده از طریق آن را تهدید می‌نماید. هكرها در جاهای مختلف دنیا در هر لحظه كل تجهیزات امنیتی شبكه را مانیتور می‌نمایند و در صورتی كه یكی از تجهیزات به طور دقیق فعالیت خود را انجام ندهد، از آن نقطه، یك ورودی برای خود  ایجاد خواهند نمود. به منظور جلوگیری از نفوذ هكرها به شبكه، لازم است سیستم امنیتی در SOC از قابلیت اطمینان بالایی برخوردار باشد.

برای ایجاد یك سیستم امنیتی با ویژگی‌های مناسب برای مدیریت یك شبكه با برنامه‌های كاربردی متنوع، پرسنل كارآمدی لازم است كه بتوانند كلیه سیستم های امنیتی از ضد ویروس ها تا شبكه‌های خصوصی مجازی را بدون وابستگی به محصول خاص و یا تكنولوژی مشخص مدیریت نمایند.

سیستم‌هایی كه در SOC جهت مدیریت امنیت شبكه نصب و راه‌اندازی می‌گردند، دارای مكانیزم‌های بررسی تجهیزات شبكه به صورت خودكار می باشند. تجهیزاتی كه توسط این سیستم مورد‌بررسی قرار می‌گیرند، محدود به سیستم‌های امنیتی نیستند، بلكه كلیه تجهیزات زیرساختی شبكه نیز توسط این سیستم مدیریت امنیت یكپارچه مورد بررسی قرار می‌گیرند. این سیستم در‌حقیقت الگوهای ترافیكی ارسالی از كلیه تجهیزات شبكه از جمله سرورها، مسیریاب‌ها، فایروال‌ها و سیستم‌های امنیتی فیزیكی را مورد بررسی قرار داده و هر‌كدام از آن‌ها كه توان ایجاد یك ریسك امنیتی را دارند مشخص می‌سازد و راه نفوذ به آن سیستم را می‌بندد. هر الگوی ترافیكی غیرعادی مشاهده شده، توسط زیرسیستم‌های آنالیزكننده مورد بررسی قرار می‌گیرد و متناسب با نوع خطای تشخیص داده‌شده، اخطارهای لا‌زم در شبكه برای هر یك از تجهیزات مربوطه ارسال می‌گردد. در حالت عادی نیز با توجه به برنامه Polling در نظر گرفته شده، كلیه سیستم‌ها در شبكه مانیتور می‌گردند و با توجه به Profile های امنیتی موجود برای هر سیستم، حمله‌های احتمالی تشخیص داده شده و دفع می‌گردند.

انواع سرویس های مدیریت شده در SOC 
● دیواره آتش (Firewall)
فایروال‌ها اولین سد ورودی بین اطلاعات محرمانه در یك شبكه و دنیای خارج از آن می باشند. در یك مركز SOC ،  لازم است این تجهیزات به طور مداوم از نظر امنیتی بررسی گردند. برای اطمینان كامل از امنیت این تجهیزات، به طور معمول از مارك‌های مختلف فایروال‌ها در شبكه استفاده می‌گردد. به طور مثال در یك شبكه كه چندین فایروال وجود دارد، معمولاً این تجهیزات را از سازنده های مختلف انتخاب می‌كنند و با استفاده از یك مدیریت متمركز، آن‌ها را كنترل می‌نمایند.

برای مدیریت امنیت این تجهیزات مراحل زیر پیموده می گردد:
– بررسی عملكرد Firewallها
– پاسخ به اخطارها پس از اعلام شدن
– بررسی log ‌های ثبت شده در فایروال
– بررسی نرم افزار و سخت افزارهای مربوط به  فایروال

●  سیستم های تشخیص حملات (IDS)
سیستم‌هایی نظیر IDSها در یك شبكه به كارآمدی كلیه تجهیزات، فرآیندها و كاركنانی وابسته می‌باشند كه در مواقع لزوم به رخدادها پاسخ می‌دهند. با توجه به این نكته كه حسگرهای IDS در هر زمان تعداد زیادی اخطار تولید می‌كنند و در شبكه امكان پاسخگویی به همه آن‌ها وجود ندارد، لازم است حساسیت IDSها را به گونه‌ای تنظیم نمود كه فقط تهدیدات اساسی را اعلام نمایند. اما این كار باعث می‌شود تعدادی از حمله‌ها تشخیص داده‌نشود. برای جلوگیری از بروز اشكال، می‌توان هر یك از IDSها را برای یك Application خاص تخصیص داد.

با استفاده از ویژگی‌های مختلف این سیستم‌ها، می‌توان از طریق مركز SOC  حملات را كنترل نمود. در مراكزSOC  از ویژگی‌های IDSها نظیر كمتر‌نمودن False Positives ، Stateful Signature كه یك فرم پیشرفته تشخیص حمله‌ها با استفاده از Signatureها می‌باشد،Protocol Anomaly Detection  كه قابلیت تحلیل ترافیك و اطمینان از عدم وجودPacketهای غیر قانونی با استفاده از مقایسه Protocol portion را دارد، می‌باشد،Traffic Anomaly Detection  جهت مقایسه ترافیك‌های نرمال و غیرنرمال برای مقابله طبیعی و غیرطبیعی با حملات، استفاده می‌شود. در مراكزSOC  با تركیب‌كردن تكنولوژی‌های Stateful Signature Detection  و Protocol Anormaly ، Traffic Anomaly Detection  قابلیت تشخیص حمله‌ها افزایش داده می‌شود.

• امكان فیلتر كردن محتوا
  یكی از اصلی ترین سرویس‌ها در مراكز SOC ، امكان فیلتركردن محتوای ورودی به سرورها می‌باشد. فیلتر كردن محتوا در SOCبا هدف جلوگیری از دسترسی به سایت‌های غیرلازم، جلوگیری از دسترسی به انواع خاصی از فایل‌ها و محدود كردن حملات ویروس‌ها، Wormها و Trojanها (بسیاری از ویروس‌های خطرناك مانند Nimda وCodeRed به عنوان برنامه‌های اجرایی با استفاده از HTTPو یا پروتكل‌های رایج دیگر كه Firewallها به آن‌ها اجازه ورود می‌دهند، وارد شبكه می‌شوند. در نتیجه كاربران به صورت ناآگاهانه این محتویات را از سایت‌های ایمنDownload  می‌كنند.) صورت می‌پذیرد.

نرم افزار URL Filtering كلیه Page ها را در گروه‌های از‌پیش‌تعیین‌شده دسته‌بندی می‌كند و بر‌طبق آن دسته‌بندی‌ها، دسترسی به یك Page را ممكن و یا غیر‌ممكن می‌سازد. همچنین قادر است لیستی از سایت‌هایی كه كاربران می‌توانند به آن‌ها دسترسی داشته باشند، تهیه نماید. به طور عمده لازم است این نرم‌افزار قادر باشد دسترسی به محتویات دسته‌بندی‌شده را فیلتر كند. همچنین لازم است بتواند استثناهایی برای سیاست خاص خود بر مبنای فاكتورهای مختلفی از جمله گروه كاربران‌، موقعیت كاربران، ساعت استفاده و… قائل شود.

نرم افزارهایی كه در این مراكز برای فیلتر كردن مورد استفاده قرار می‌گیرند، باید از متدهای مناسبی جهت  جلوگیری از دسترسی، دسته بندی پایگاه های اطلاعاتی و لیست‌های كنترلی برخوردار باشند. همچنین بروزرسانی‌ها باید با فواصل كوتاه انجام شوند و بهتر است به طور كامل صورت پذیرند نه به صورت تفاضلی. بروزرسانی‌ها نباید سیستم‌های عملیاتی را دچار وقفه سازند.

• امكان تشخیص ویروس
  ویروس‌ها بیشتر توسطEmai lو ترافیك اینترنتی منتقل می‌شوند. بنابراین، دفاع در خط مقدم یعنی Internet Gateway بهترین راه مقابله با آن‌ها می‌باشد. با افزودن قابلیت Virus Scanning برروی Cacheها، می‌توان با اعمال روش‌های مختلف ویروس‌یابی، اقدامات مناسبی جهت از بین بردن آن‌ها در Internet Gateway انجام داد. مركز SOC، عملیات كنترل و اسكن ویروس‌ها را با بهره‌گیری از نرم‌افزارهای مناسب برعهده دارد.
• سرویس‌های AAA
  در مرکزSOC برای تعریف و کنترل دسترسی به تجهیزات و سرویس‌های شبکه از AAA (Authentication , Authorization, Accounting ) استفاده می‌شود. سرورها در مراکز مختلف و برای سرویس‌های گوناگون به کار گرفته می‌شوند و مدیران شبکه و کاربران نیز از طریق آن اجازه دسترسی به منابع شبکه را در سطوح مختلف کسب می‌کنند. یکی از روش‌هایی که در مراکز SOC برای تشخیص هویت کاربران و اعمال سیاست‌های امنیتی به کار می‌رود، استفاده از CA یا Certificate Authority است. CAها کلیدعمومی یک شخص یا یک سازمان را به همراه دیگر مشخصات تشخیص هویت در گواهینامه دیجیتال قرار داده و سپس آ‌ن ‌را امضا می‌نمایند. این کار صحت اطلاعات موجود در آن ‌را اعلام و تأیید می‌نماید. گواهی‌نامه‌های دیجیتال، فایل‌هایی هستند که در اصل به عنوان نوعی گذرنامه عمل می‌نمایند و توسط  CAها صادر می‌شوند. نقش CA در این پروسه، تأیید فردی است که یک گواهینامه به آن اختصاص داده شده است. در واقع همان کسی است که خود شخص اظهار می دارد.

با قرار دادن CA در یک مرکز  SOC، می‌توان محدوده وسیعی از  Applicationها را با ایمنی بالاتری نسبت به امنیتی که توسط نام کاربری و رمز عبور فراهم می شود، پشتیبانی کرد.

پیاده سازی امنیت در مركز SOC
با بهره گیری از ابزارهای مختلف امنیت شبكه در SOC، حملات به شبكه در سه رده و از جهات مختلف مورد بررسی قرار می‌گیرد. این سه رده عبارتند از: Visibility ، Verification و vulnerability كه با ادغام عملیاتی كه در هر رده انجام می‌پذیرد، می‌توان امكان كنترل و مدیریت امنیت را در شبكه ایجاد نمود. در هر یك از این رده‌ها فعالیت‌های خاصی انجام می‌گیرد كه به واسطه آن‌ها از نفوذ به داخل شبكه جلوگیری می‌شود و در صورت ورود نیز از پیشروی آن‌ها جلوگیری به عمل می‌آید. در هر یك از این رده‌ها، تجهیزاتی وجود دارند كه می‌توانند متناسب با وظایفشان از شبكه محافظت نمایند.

● Vulnerability
تجهیزاتی كه در این رده مورد استفاده قرار می‌گیرند، به محض این‌كه نصب و راه‌اندازی می‌شوند، باید Update  گردند. فاكتورهایی كه از طریق این تجهیزات Update می‌گردند، شامل پیكربندی سرورها، برنامه‌های كاربردی، پكیج‌های نرم‌افزارهای امنیتی مرتبط با سیستم‌عامل‌ها می‌باشند كه با توجه به سرعت رشد راه‌های نفوذ، به سرعت از درجه اعتبار ساقط می‌گردد. با در نظر گرفتن این نكته، این رده كمترین تاثیر را در برخورد با حملات دارد.

● Visibility

با استفاده از تجهیزات این سطح كه عمدتاً شامل فایروال‌ها می‌باشند، می‌توان امنیت كلیه تجهیزات شبكه را مانیتورینگ نمود. در این قسمت كلیه امكانات‌ مربوط به دیواره‌های آتش Update می‌شود و پیكربندی آن‌ها متناسب با عملكردشان در شبكه، تغییر می‌كند. این تغییرات بدون زمان‌بندی خاص و در ازای تغییر مكانیزم‌ها و روند حملات به شبكه اعمال می‌گردند. مشكلاتی كه در رابطه با تغییر پیكربندی فایروال‌ها به‌وجود می‌آیند، منحصر به تكنولوژی نیست. هر بار كه پیكربندی این تجهیزات توسط پرسنل Update می‌گردد، امكان دارد كه با یك اشتباه در پیكربندی راه نفوذی برای هكرها ایجاد گردد.

• Verification
  اصلی ترین و البته مشكل ترین قسمت در یك مركز SOC، حصول اطمینان از امنیت قسمت‌هایی است كه كنترل مستقیمی بر آن‌ها وجود ندارد. برای این منظور باید ابزاری به‌كار گرفته شود كه از طریق آن بتوان به صورت غیرمستقیم تجهیزات مربوطه را كنترل نمود. در حقیقت باید راه نفوذ از طریق آن تجهیزات را مسدود ساخت.

سرویس های پیشرفته در مراكز SOC
سرویس‌های پیشرفته‌ای كه از طریق این مراكز قابل‌ارائه می‌باشد، در‌حقیقت سرویس‌هایی است كه به واسطه آن می‌توان سیاست‌های امنیتی را مطابق با نیازها پیش‌بینی نمود. در مراكز SOC علاوه بر مدیریت امنیت تجهیزات شبكه، زیرساخت‌های اطلاعاتی نیز از لحاظ امنیتی پشتیبانی می‌شوند. این زیرساخت‌ها به طور كلی شامل پرسنل، فرآیندها و روال‌های كاری در شبكه می‌باشند. در استانداردهای تدوین‌شده برای امنیت نظیر استانداردهای BS9977 نحوه پیاده‌سازی روال‌های مدیریت امنیت در شبكه‌ها مشخص شده است.

در بخش مدیریت امنیت فرآیندها در مركز SOC مراحل مختلفی طی می‌شود تا به‌واسطه آن یك روال در شبكه از هر لحاظ ایمن گردد. مرحله اول مرحله سیاست‌گذاری است. پس از تدوین سیاست‌ها و تطبیق آن‌ها با استانداردهای موجود در زمینه امنیت شبكه، روال‌های استخراج‌شده جهت پیاده‌سازی به مسئولا‌ن تحویل می‌شوند. نكته دیگری كه در این زمینه قابل‌بررسی است، آگاهی پرسنل SOC از تهدیدات امنیتی است. باتوجه به وجود طیف وسیعی از سخت‌افزارهای امنیت شبكه، كه هر كدام متناسب با شركت سازنده خود نیاز به مهارت‌های خاصی برای استفاده دارند، و همچنین تغییرات سریع تكنولوژی و نحوه حمله به تجهیزات شبكه، نیاز است پرسنل SOC از مهارت‌های خاصی برخوردار بوده و همواره به كسب اطلاعات جدید مشغول باشند. برای بروز نگه‌داشتن اطلاعات پرسنل از كلاس‌های آموزشی جهت تشخیص حملات جدید و نحوه برخورد با آن‌ها استفاده می‌شود. با توجه به حساسیت وظایف در مراكز SOC،  پرسنل این مراكز اهمیت بالا‌یی دارند. به این ترتیب حفظ منافع و رضایت خاطر پرسنل از مهم‌ترین مسئولیت‌های صاحبان SOC می‌باشد.

نتیجه گیری
با توجه به گسترش شبکه های اطلاعاتی در فضای سایبر و روند رو به تزاید آسیب پذیری ها و مخاطرات در این بستر، تأمین امنیت و پایداری داده ها و خدمات این شبکه ها از یک سو در بالاترین سطح اهمیت در هر کشور قرار می گیرد و از سوی دیگر نیل به این هدف بدون برنامه ریزی و استفاده از راهکارهای استاندارد و کارا ناممکن می نماید. مرکز عملیات امنیت یک راهکار مؤثر جهت مدیریت روش ها و تجهیزات متنوع و گسترده امنیتی مورد استفاده در زیرساخت های بزرگ اطلاعاتی مsی باشد. که می تواند به نحو مؤثری مسئولین تأمین امنیت هر شبکه را در انجام مسئولیت خود یاری دهد. مرکز عملیات امنیت دید جامعی از معماری امنیتی شبکه ارائه می دهد، حملات را تحلیل کرده و از نتایج آن برای تشخیص کاراتر بهره می برد، اطلاعات را به صورت دسته بندی شده و قابل استفاده به متخصصین ارائه و عکس العمل های لازم را در مواقع اضطرار انجام می دهد. تأمین امنیت پایدار فضای تبادل اطلاعات در زیرساخت های کشور بدون استفاده از این نقطه مدیریتی غیرممکن است و عدم توجه به آن می تواند تبعات نامطلوبی در امنیت ملی کشور داشته باشد.

برای اطلاع از فن آوری های نوین ارتباطی شبکه های وایرلس و مایکرو ویو و مراکز تلفنی تحت شبکه از کانال تلگرامی ما به آدرسهای Wireless_tech@و Voip_Tech@  دیدن فرمایید.