راه اندازی SOC

روزانه حجم عظیمی ‌از رویدادها و فایل‌های ثبت رویداد و هشدارها توسط تجهیزات و حسگرهای مختلف شبکه‌ای و امنیتی تولید می‌شود، بررسی دقیق، ارزیابی و الویت ‌دهی به‌صورت انسانی کاری بسیار پرزحمت، پرهزینه و همراه با اشتباه و چه‌بسا غیرممکن خواهد بود. در یک شبکه سازمانی با اندازه متوسط روزانه بیش از چند میلیون رخداد تولید می‌شود که تااندازه‌ای می‌تواند مشخص‌کننده مشکلات پردازش انسانی رویدادها باشد. همچنین تنوع رویدادها و قالب‌ها و زبان‌های مختلف به کار گرفته‌شده در آن‌ها برای بیان یک اتفاق یکسان، مشکلات پردازش انسانی رویدادها را آشکارتر می‌سازد. به‌منظور حل این مشکل، راه‌کارهای مختلفی ارائه‌شده است. این راه‌کارها بانام‌هایی همچون مدیریت رویدادها  و اطلاعات امنیتی یا SIEM  و مرکز عملیات امنیت ارائه می‌شوند.

مرکز عملیات امنیت چیست؟

مرکز عملیات امنیت، به‌عنوان کامل‌ترین راه‌کار ارائه‌شده است. همان‌طور که از نام آن مشخص است به‌صورت یک مرکز راه‌اندازی شده و بنابراین از سه جزء فن‌آوری، تیم‌های کارشناسی و فرآیندها تشکیل‌شده است. این مرکز با پایش ۲۴ × ۳۶۵ شبکه سازمان، نمایی بی‌درنگ از وضعیت امنیتی شبکه و رخدادهای جاری فراهم می‌کند و در صورت بروز حادثه، در سریع‌ترین زمان ممکن حادثه را تشخیص داده و سازمان را در پاسخگویی و رفع حادثه یاری می‌نماید. این مرکز، با بهره‌گیری از فن‌آوری‌های مختلف، در سریع‌ترین زمان ممکن، تغییرات وضعیت امنیتی سازمان را مورد ارزیابی قرار داده و حوادث مهم را مشخص می‌کند. انجام این کار با استفاده از فن‌آوری‌های به‌کاررفته و نیروهای متخصص که آموزش داده می‌شوند، باعث کاهش هزینه‌های بسیاری خواهد شد که در ادامه به برخی از آن‌ها اشاره می‌گردد.

مرکز عملیات امنیت واحدی متمرکز برای رسیدگی به حوادث و وقایع امنیتی در سازمان‌ها بوده که هدف از ایجاد آن تشخیص و واکنش سریع در برابر حوادث امنیتی می‌باشد که از طریق یک رابط کاربری مرکزی، وضعیت آنچه را که در حال حاضر در شبکه در حال اتفاق می‌باشد را نشان می‌دهد.

مرکز عملیات امنیت تمامی ‌زوایای امنیتی را به‌صورت بی‌درنگ از یک نقطه مرکزی مدیریت و پایش می‌کند و تمامی حوادث امنیتی را کشف و اولویت‌دهی کرده، سطح ریسک و دارایی‌هایی را که تحت تأثیر قرار خواهند گرفت را تشخیص می‌دهد. این مرکز همچنین به‌طور هم‌زمان راهکارهای مناسبی را متناسب با هر رویداد، اجرا یا پیشنهاد می‌کند. به‌طور خلاصه مرکز عملیات امنیت واحدی است:

به‌منظور: جمع‌آوری، یکسان‌سازی و ذخیره‌سازی کلیه وقایع امنیتی بااهمیت

جهت ایجاد قابلیت: جستجو، تحلیل و بررسی ارتباطات وقایع

با استفاده از: عوامل تکنولوژیک، نیروی انسانی و فرآیندها و رویه‌ها

باهدف: پایش بی‌درنگ وقایع امنیتی، شناسایی رخدادهای امنیتی و درنهایت ارائه راهکارهای مقابله

به‌طورکلی سه عامل زیرساخت کلی هر مرکز عملیات امنیت را تشکیل می‌دهد:

عوامل انسانی( نیروهای پیاده‌سازی، راهبری و نگهداری)

عوامل تکنولوژیک( مولدهای وقایع، سیستم جمع‌آوری وقایع، سیستم مدیریت وقایع، موتورهای تحلیل وقایع، سیستم مدیریت آسیب‌پذیری، نمایشگر و …)

فرآیند و رویه‌ها (به‌عنوان پل ارتباطی دو عامل فوق)

نکاتی مفید برای شناخت درست‌تر مفهوم مرکز عملیات امنیت:

• شناسایی بسیاری از وقایع امنیتی نیاز به دریافت لاگ های سیستمی دارند که با هیچ تجهیز شبکه‌ای قابل‌تحلیل نیستند. به‌عنوان‌مثال برقراری ارتباطات غیرمجاز مثل ftp یا rdp یا smb در زمان‌هایی که این ارتباطات در سطح سازمان بسته هستند و هیچ‌کس مجوز استفاده ندارد.

مثال دوم حملاتی هستند که از روی IOC حملات شناسایی می‌شوند و باید شناسه حملات در use case در نظر گرفته شود و سنسوری که نیاز هست تأمین شود. مثل حملات log4shell ، mimikatz یا Pass the Hash که ترکیبی از لاگ سیستمی و Sysmon هستند.

در برخی موارد هم نیاز به بررسی correlation لاگ ها هست تا تحلیل دقیق‌تری از تأثیر حمله و میزان نفوذ و دسترسی آن قابل‌بررسی باشد.

• شناسایی حملات بر اساس Baseline ها که تنظیمات داشبورد و آلرت آن در SIEM ممکن می‌باشد مثل تغییرات ترافیک و یا پیک زدن ldap که می‌تواند نشانه enumeration و اسکن شبکه باشد.
• برخلاف تصویری که برخی از همکاران در این حوزه ایجاد کرده‌اند بسیاری از ابزارهایی که در این حوزه توسط کارشناسان نصب و راه‌اندازی می‌گردد ابزارهای رایگان می‌باشند. مثل استفاده از Sysmon، IDS هایی مثل Suricata و حتی بسیاری از app های اسپلانک مثل stream که استفاده از آن‌ها بسیار ضروری است.
• جمع‌آوری جزایر امنیتی در قالب یک واحد بنام SOC یا مرکز عملیات امنیت با مسئولیت‌های مشخص و فرآیند محور جهت بررسی و پیگیری حوادث امنیتی.(راه اندازی SOC)