Logo

مرکز عملیات امنیت (SOC) چیست؟ معرفی ساختارو راهکار کامل مبتنی بر Splunk

مرکز عملیات امنیت (SOC) Security Center Operation یک واحد متمرکز درون سازمانی است که با به‌کارگیری افراد، فرآیندها و فناوری‌ها، به‌طور مستمر وضعیت امنیتی سازمان را نظارت و بهبود می‌بخشد و از بروز حوادث سایبری جلوگیری می‌کند. همچنین مخاطرات را شناسایی و تحلیل  نموده و در نهایت پاسخ مناسب را ارائه می‌دهد. واحد  SOCرا می‌توان یک مرکز فرماندهی مرکزی دانست که اطلاعات دقیق و جزئی را از تمام زیرساخت‌های فناوری‌اطلاعات از جمله تجهیزات شبکه، سرورها، ذخیره‌سازها و سایر نرم‌افزارها و سامانه‌های امنیتی و همچنین از سرویس‌های اختصاصی و سفارشی سازه شده در تمام بخش‌های سازمان دریافت می‌کند.

جمع آوری اطلاعات از منابع مختلف نقش بسزایی در شناسایی و پیشگیری از تهدیدات پیشرفته ایفا می کند و اساسا می توان SOC را نقطه همبستگی و تجمیع تمام رخدادهای سایبری ثبت شده درون سازمان دانست. کاربرد اصلی SOC شناسایی این رخدادها و اتخاد عکس‌العمل مناسب و به‌موقع برای هر رخداد می‌باشد. وظایف مرکز عملیات امنیت را می‌توان در نظارت، شناسایی، بررسی و پاسخ به تهدیدات سایبری به‌طور شبانه‌روزی خلاصه نمود. این مرکز معمولاً بر اساس معماری چرخ و پره پیاده سازی می‌شوند به‌طوری که پره‌های آن را می‌توان شامل سیستم‌های مختلفی مانند راهکارهای مدیریت و کشف آسیب‌پذیری، تجهیزات زیرساخت شبکه (سوئیچ، روتر، سرور، ذخیره‌ساز)، تجهیزات دیوارآتش (فایروال)، سیستم‌های پیشگیری از نفوذ(IPS)، راهکارهای شناسایی و پاسخ به تهدیدات در پایانه‌کاری (EDR)و نرم‌افزارهای جلوگیری از نشت اطلاعات (DLP) دانست. وظایف اصلی SOC شامل موارد زیر است:

همانطور که گفته شد مرکز عملیات امنیت شامل افراد، فرآیندها و فناوری‌ها می‌باشد که اصلی‌ترین فناوری مورد استفاده در این حوزه را می‌توان Security Information and Event Management (SIEM) دانست، در ادامه به معرفی کامل این فناوری می‌پردازیم.

معرفی راهکار SIEM به عنوان یکی از مهمترین اجزای SOC

معرفی راهکار SIEM به عنوان یکی از مهمترین اجزای SOC

اطلاعات امنیتی و مدیریت رویداد یا به اختصار SIEM را می‌توان راهکاری برای شناسایی، تجزیه، تحلیل و پاسخ به تهدیدات امنیتی قبل از وقوع هرگونه آسیب به زیرساخت‌های فناوری ‌اطلاعات دانست. SIEM مدیریت اطلاعات امنیتی (SIM) و مدیریت رویدادهای امنیتی (SEM) را در یک سیستم مدیریت، ترکیب و تجمیع می‌کند. راهکار SIEM داده‌های گزارش رویداد را از طیف وسیعی از منابع جمع‌آوری می‌کند و فعالیت‌هایی نامتعارف و مخرب را با تجزیه و تحلیل شناسایی نموده و اقدامات مناسب را انجام می‌دهد. طی سال‌های گذشته فناوری‌های حوزه SIEM تکامل یافته و قادرند با استفاده از هوش مصنوعی، تشخیص تهدید و پاسخ به حوادث سایبری را هوشمندتر و سریع‌تر به انجام رساند.

راه‌حل‌های SIEM به سازمان‌ها این امکان را می‌دهد که داده‌های گزارش شده از تمام دارایی‌های فناوری اطلاعات را در یک مکان متمرکز به طور کارآمد جمع‌آوری و تجزیه و تحلیل کنند. این کار به آنها توانایی بازآفرینی حوادث گذشته یا تجزیه و تحلیل رویدادهای جدید را برای بررسی فعالیت‌های مشکوک و اجرای فرآیندهای امنیتی مؤثرتر می‌دهد. به طور خلاصه، SIEM به مدیران امنیت سازمان‌ها امکان مشاهده فعالیت‌های درون شبکه‌ را می‌دهد تا بتوانند به سرعت به حملات سایبری بالقوه پاسخ دهند و الزامات و اقدامات مناسب را به عمل آورند.

شرکت‌های مختلفی اقدام به ارائه راهکارهای موثر و کارآمد در حوزه SIEM نموده‌اند که از جمله آنها می‌توان بهIBM, Splunk, LogRythm, Rapid7 و غیره دانست که از بین موارد ذکر شده محصولات شرکت اسپلانک به دلیل داشتن قابلیت نصب On-Premise و خرید این شرکت

توسط شرکت نام آشنای Cisco، از محبوبیت بسیار بالایی در ایران برخوردار هستند.

همانطور که ذکر گردید شرکت اسپلانک دارای محصولات متنوعی می‌باشد که با پیاده‌سازی تمام آنها در شبکه سازمانی می‌توان یک سامانه کامل SEIM و SOAR را در سازمان پیاده سازی کرده و شبکه داخلی را از بسیاری از حملات سایبری ایمن نمود. در ادامه به تفصیل به شرح جزئیات و شیوه عملکرد هر یک از محصولات مختلف این شرکت می‌پردازیم:

معرفی نرم‌افزار Enterprise Splunk

این نرم‌افزار را می‌توان یک راهکار موثر برای کمک به مدیران فناوری اطلاعات سازمان‌ها در مدیریت داده‌های بزرگ و تحلیل داده‌های ماشینی دانست. این راهکار می‌تواند به‌صورت داخلی مورد استفاده قرار گرفته یا در فضای ابری مستقر شود. ویژگی‌های کلیدی آن شامل بصری‌سازی داده‌ها، تعیین معیارهای عملکرد، جمع‌آوری داده‌ها، جستجوی لحظه‌ای، ایندکس‌گذاری، پیگیری شاخص‌های عملکرد (KPI) و گزارش‌دهی می‌باشد.

 از جمله قابلیت های این نرم‌افزار می‌توان به موارد زیر اشاره کرد:

جمع‌آوری و ایندکس‌گذاری داده‌ها: اسپلانک داده‌ها را تقریبا از هر منبع و هر مکانی جمع‌آوری می‌کند. این نرم‌افزار لاگ‌ها را به متریک تبدیل نموده و بدون محدودیت‌های ساختار پایگاه داده موجود، آنها را به صورت آزادانه تحلیل و همبسته می‌کند. همچنین می‌تواند داده‌ها را از پایگاه‌های داده رابطه‌ای و انبارهای داده استخراج کند.

جستجو، تحلیل و بصری‌سازی: اسپلانک امکان انجام جستجوهای ساده و همچنین کاوش پیشرفته داده‌ها را فراهم می‌کند. این نرم‌افزار یک رابط کاربری گرافیکی ارائه می‌دهد که برای کارشناسان سطح پایین (Tier1) بدون تخصص فنی و همچنین تحلیل‌گران پیشرفته (Tier2) قابل دسترسی است. این نرم‌افزار طرح های بصری مهم و ارزشمند از نتایج جستجو ها و تحلیل ها را برای هر نوع مخاطبی به‌راحتی قابل درک می‌سازد.

نظارت، هشدار و گزارش‌دهی: نرم‌افزار اسپلانک آستانه‌هایی برای نظارت بر رویدادها فراهم می‌کند و در صورت عبور داده‌ها از آستانه‌های تعیین شده به‌طور پیشگیرانه درباره مشکلات احتمالی هشدار می‌دهد. هشدارها می‌تواند منجر به ایجاد یک اعلان شود، یک برنامه به خصوص را اجرا نموده یا یک اقدام سفارشی را به انجام رسانند. تیم‌های امنیت می‌توانند از داشبوردهای سفارشی برای سازماندهی داده‌ها استفاده نمایند یا آن‌ها را در برنامه‌های امنیتی دیگر مشاهده نمایند.

یادگیری ماشینی: این ویژگی به تیم‌های امنیت امکان می‌دهد مدل‌های یادگیری ماشینی سفارشی ایجاد کنند و یک دستیار هوشمند با رابط کاربری گرافیکی ساده ارائه می‌کند. این دستیار، کاربران را در مراحل ایجاد الگوریتم یادگیری ماشینی راهنمایی می‌کند و با فیلتر کردن نویز از طریق تشخیص نقاط دورافتاده و ناهنجاری، تحلیل‌های پیش‌بینی و الگوریتم‌های هوشمند را پیاده سازی می‌کند.

معرفی افزونه Enterprise Security (ES)

معرفی افزونه Enterprise Security (ES)

افزونه  اسپلانک ES اصلی‌ترین و پرکاربردترین افزونه ارائه شده توسط شرکت اسپلانک می‌باشد که طیف گسترده‌ای از موارد استفاده در تحلیل‌ها و عملیات امنیتی را ارائه می‌نماید. از جمله این موارد می‌توان به نظارت مستمر بر امنیت، تشخیص تهدیدهای پیشرفته، تطابق با قوانین، بررسی حوادث، جرم‌شناسی و پاسخ به حوادث اشاره کرد. این افزونه یک دید جامع، کامل و به‌روز از وضعیت امنیت زیرساخت‌های فناوری اطلاعات در سازمان‌ها را ارائه می‌دهد که با گزینه‌های انعطاف‌پذیر در مدل‌های ابری، درون ‌سازمانی یا ترکیبی، همراه است.

این افزونه روی بستر نرم‌افزار اسپلانک Enterprise پیاده سازی می‌شود و آن را به یک سامانه مدیریت اطلاعات امنیتی و رویدادها (SIEM) تبدیل می‌کند که به سازمان‌ها در مدیریت تهدیدات امنیتی کمک شایانی می‌نماید. افزونه ES با استفاده از قابلیت‌های جستجو و همبستگی به تیم‌های امنیت امکان می‌دهد داده‌ها را از دستگاه‌های امنیتی، سیستم‌ها، تجهیزات زیرساخت شبکه و برنامه‌های مختلف دریافت، نظارت و گزارش‌گیری نمایند. 

معرفی افزونه IT Service Intelligence (ITSI)

افزونه ITSI یک راهکار کارآمد برای نظارت و تحلیل شبکه است که به هوش مصنوعی تجهیز شده و برای عملیات فناوری اطلاعات (AIOps)مورد استفاده قرار می‌گیرد. این راهکار دید کاملی نسبت به وضعیت سلامت خدمات مربوط به فناوری اطلاعات و زیرساخت‌های آن‌ها ارائه می‌دهد. ITSI از طریق نظارت، تحلیل و تجسم داده‌ها از منابع مختلف به‌صورت لحظه‌ای، گزارش‌های دقیق و سفارشی درباره عملکرد شبکه سازمان ایجاد می‌کند.

این افزونه از قابلیت‌های یادگیری ماشینی و تحلیل‌های پیشرفته بهره می‌برد تا چشم اندازهای پیش‌بینی‌کننده‌ای درباره عملکرد و وضعیت سلامت خدمات فناوری اطلاعات ارائه دهد. این ابزار می‌تواند داده‌ها را طی مدت طولانی تحلیل کرده، الگوها را شناسایی کند و مدل‌های پیش‌بینی‌کننده‌ای بسازد که می‌توانند تداوم عملکرد و سرویس‌دهی زیرساخت‌های فناوری اطلاعات را تضمین نمایند. قابلیت تحلیل و پیش‌بینی‌ به تیم‌های فناوری اطلاعات کمک می‌کند تا مشکلات یا ناهنجاری‌های احتمالی را قبل از تبدیل شدن به حوادث بحرانی شناسایی کنند و اقدامات پیشگیرانه‌ای برای جلوگیری یا کاهش اختلالات اتخاذ نمایند. به عنوان مثال ITSI می‌تواند تنگناهای احتمالی منابع، خرابی‌ برنامه‌ها یا مشکلات شبکه را پیش‌بینی کرده و توصیه‌هایی برای بهینه‌سازی عملکرد و تداوم در دسترس بودن و عملیاتی بودن زیرساخت‌های شبکه ارائه دهد.

با استفاده از افزونه ITSI سازمان‌ها می‌توانند نظارت مبتنی بر خدمات را راه‌اندازی کرده، توافق‌نامه‌های سطح خدمات (SLA) را تعریف کنند، داشبوردها و تجسم‌های گرافیکی ایجاد کرده و مکانیسم‌های هشدار و اطلاع‌رسانی برای مدیریت پیشگیرانه خرابی‌ها را برقرار نمایند. این ابزار ویژگی‌های پیشرفته‌ای مانند همبستگی رویدادها، تحلیل علل ریشه‌ای، تحلیل پیش‌بینی‌کننده و برنامه‌ریزی ظرفیت را فراهم می‌کند.

 معرفی افزونه Security Orchestration, Automation and Response (SOAR)

افزونه هماهنگ‌سازی و خودکار سازی واکنش‌های امنیتی یا به اختصار SOAR به طور کلی عملیات امنیت سایبری را متحول کرده است. این افزونه یک سامانه واحد، بسیار قدرتمند و انعطاف‌پذیر برای مشاهده، درک و تصمیم‌گیری درباره چگونگی پاسخ به رخدادهای امنیتی فراهم می‌کند. خودکار سازی واکنش های امنیتی به این معنی است که به ازای هر حادثه امنیتی یک واکنش از پیش تعریف شده وجود دارد که به صورت خودکار اجرا و اعمال خواهد شد و لزوم دخالت انسانی در پاسخ به حوادث امنیتی را به حداقل رسانده و سرعت واکنش را به میزان قابل توجهی افزایش می‌دهد. همچنین هماهنگ سازی واکنش های امنیتی نیز به این معنی است که تمام داده و ابزارهای حوزه امنیت سایبری حتی اگر در بخش های مختلف شبکه و مکان های مختلف توزیع شده باشند نیز در یک نقطه تجمیع و به هم متصل می‌شود و در پاسخ به هر حادثه امنیتی می‌تواند زنجیره‌ای از پاسخ های خودکار و هماهنگ‌شده را به صورت همزمان اجرا نمایند. این واکنش ها دارای نقطه شروع و نقطه پایان مشخصی بوده و پس از برطرف شدن حادثه امنیتی به طور خودکار غیر فعال خواهند شد.

استفاده از افزونه اسپلانک SOAR به معنی بی‌نیاز شدن سازمان‌ها از استخدام نیروهای خبره امنیت نیست اما می‌تواند تعداد نیروهای که همواره برای پاسخ به حملات امنیتی در حالت آماده باش هستند را کاهش دهد و در نتیجه هزینه تمام شده سازمان برای حفظ امنیت زیرساخت های فناوری اطلاعات خود را به میزان ملموسی تقلیل دهد.  این افزونه قادر است از تمام ابزارهای امنیتی موجود در شبکه اعم از Firewall, IPS, WAF, EDR DLP, DAM استفاده نماید و سیاست ها و اقدمات پیشگیرانه لازم را با استفاده از این ابزارها در شبکه سازمان پیاده‌سازی و اعمال کند.

نظر شما