واحد مرکز عملیات امنیت یا همان SOC چیست ؟

۱۴۰۰-۰۷-۱۹ ۰ دیدگاه راه اندازی SOC,مرکز عملیات امنیت SOC,

واحد مرکز عملیات امنیت یا همان SOC چیست و از چه بخش هایی تشکیل می شود؟

امروزه به منظور افزایش رضایتمندی در سرویس­ دهی کسب و کارها، متخصصین شبکه اقدام به راه ­اندازی واحدهای NOC یا همان Network Operations Center می­­ کنند تا با پایش تمامی منابع خود از در دسترس بودن و سرویس ­دهی همیشگی زیرساخت خود و کسب رضایت توسط مشتریان و همچنین بهبود روند کسب و کار اطمینان حاصل کنند.

ولی در این میان مهمترین اصل در کنار سرویس ­دهی همیشگی زیرساخت شبکه ­ها، محافظت از منابع و دارایی­ های کسب و کار مورد نظر است، در نتیجه به منظور جلوگیری از افشای اطلاعات توسط افراد مهاجم یا همان Hacker، تیم­ های امنیتی اقدام به راه ­اندازی واحد­های مختلف امنیتی می ­کنند که در این میان مهمترین آنها واحد مرکز عملیات امنیت یا همان SOC (Security Operations Center) می ­باشد. واحد SOC به طور کلی دارای سه بخش وابسته به هم اعم از People، Technology و Process می­ باشد

جامعترین دوره آموزش Splunk | اسپلانک قسمت 1 : معرفی Splunk

این تیم عملیاتی با مدیریت متمرکز داده ­ها قادر است ویژگی­ های زیر را برای بهبود محافظت در برابر دارایی­ های کسب و کار ارائه دهد:

جامعترین دوره آموزش Splunk | اسپلانک قسمت 1 : معرفی Splunk

همانطور که در تصویر بالا مشاهده می نمایید، SIEM یا همان Security Information and Event management یک SOC نیست بلکه یک ویژگی از بخش Technology در واحد SOC می­ باشد. در نتیجه طبق تصویر SOC نیز می ­توان نتیجه گرفت که پیاده­ سازی یک SIEM به تنهایی کارامد نیست چراکه ممکن است فقط بخش Technology را ارائه دهد و ما شاهد حجم عظیمی از داده باشیم که علم استفاده از آن را نداشته باشیم، در نتیجه بهتر است نفرات با دیدگاه و تخصص امنیتی به کار گرفته شوند تا بتوانند در فرایند SOC، بخشهای Process و Technology را به خوبی پیاده­ سازی کنند.

معرفی اجزای SOC:

  1. SOC-Process: این بخش به منظور پیاده ­سازی طرح­های Workflow برای نرمالیزه کردن داده­ ها به کار م ی­رود تا روش جمع آوری انواع داده­ از سطح شبکه طرح­ ریزی شود و برای کشف رفتارهای مشکوک یا همان Anomaly، با استفاده از چرخه ­ی امنیتی استاندارد NIST CSF یا همان National Institute of Standards and Framework’s Cybersecurity Framework نسبت به بهینه­ کردن تشخیص رفتارهای مشکوک اقدام شود.

جامعترین دوره آموزش Splunk | اسپلانک قسمت 1 : معرفی Splunk

  1. SOC-People: این بخش در نظر دارد در صورتیکه واحد SOC از افراد با تجربه ­ای در سطوح مختلف و مختص به این واحد استفاده کند، کارایی واحد SOC تا حد قابل توجهی بالا می­ رود. نفرات این واحد به طور خاص باید Use Caseها و یا Playbookهای بخش Technology را پیاده ­سازی، اندازه­ گیری و یا بهینه­ سازی کنند و همواره اقدام به آموزش دادن نفرات تیم خود کنند. این نفرات با توجه به حیطه وظایف خود به سه لایه Tier1، Tier2، Tier3 دسته بندی می­شوند و می­توان از این نفرات به صورت استقرار در پروژه، مشاوره ­ای و یا ترکیبی از این دو بهره برد.

جامعترین دوره آموزش Splunk | اسپلانک قسمت 1 : معرفی Splunk

  1. SOC-Technology: این بخش به مجموعه تجهیزاتی که در اختیار واحد SOC به منظور پایش و تحلیل داده­ اعطا می­ شود، اشاره دارد. اساسا پیدایش رویکرد SIEMها به منظور استفاده در این بخش از SOC مطرح شده و در نتیجه ما شاهد ارائه SIEMها و یا NG-SIEMها توسط شرکت­های معروف امنیتی به صورت رایگان و یا هزینه ­ای شدیم.

جامعترین دوره آموزش Splunk | اسپلانک قسمت 1 : معرفی Splunk

مهمترین پارامتر در ارزش و بلوغ یک واحد SOC مقادیر Metric زمانی در مواجهه با حمله است. هر چقدر که واحد SOC برای اندازه گیری و بهینه سازی این مقادیر تحلیل های و آزمایش های زیادی انجام دهد و در نهایت این مقادیر زمانی را به حداقل برساند، نشان دهنده ی میزان بلوغ و کارامدی این واحد در برابر حملات است. این مقادیر عبارتند از:

  1. MTTT یا همان Mean Time To Triage: میانگین مدت زمانی که SIEM توانایی تحلیل داده و تولید Alert را داشته باشد.
  2. MTTD یا همان Mean Time To Detect: میانگین مدت زمانی که SIEM تشخیص دهد یک تهدید در زیرساخت رخ داده است.
  3. MTTQ یا همان Mean Time To Qualify: میانگین مدت زمانی که SIEM تحلیل کند که تهدید بدرستی تشخیص داده شده است و False-Positive رخ نداده است.
  4. MTTI یا همان Mean Time To Investigate: میانگین مدت زمانی که SIEM تحلیل کند که آیا تهدید مورد نظر برای او آشناست و از قبل برای مواجهه با آن Train شده است و یا با تهدید ناشناخته ای مواجه شده است.
  5. MTTR یا همان Mean Time To Respond: میانگین مدت زمانی که SIEM توانایی پاسخگویی به تهدید مورد نظر را داشته باشد.

از میان موارد بالا اندازه گیری و به حداقل رساندن Metricهای MTTD و MTTR از اهمیت بالایی برای واحد SOC برخوردار هستند.

اسپلانک Splunk Enterprise چیست؟

مدیریت اطلاعات و رخدادهای امنیتی SIEM یا همان Security Information and Event management امروزه یکی از مهمترین الزامات پیاده ­سازی توسط واحد مرکز عملیات امنیت SOC یا همان Security Operations Center محسوب می­شود. درگذشته این فرایند به دو بخش جداگانه متشکل از Security Event Management و Security Information Management تقسیم می ­شد و وظایف افراد در هر بخش به صورت جداگانه پیگیری و طرح ­ریزی می­ شد، ولی با مرور زمان به منظور به حداقل رساندن حفره­ ی زمانی در گزارش ­گیری و تحلیل میان این دو واحد و متمرکزسازی مدیریت بین اطلاعات و رخدادها، این دو واحد با یکدیگر ترکیب شدند تا دستاوردهای قابل توجهی به واحد SOC تحویل دهند.

SIEMها در ابتدا رویکردهای قابل توجهی ارائه دادند ولی همچنان دارای محدودیت­های زیر بودند:

  • پیچیدگی برخی زیرساخت­ ها و ناکارامد بودن نیروی SOC به منظور مدیریت SIEM در ابعاد بزرگ
  • بالا رفتن احتمال خطاهای انسانی با توجه به محدود بودن میزان منابع رخدادهایی که قابل جمع ­آوری بودند
  • عدم جمع ­آوری داده ­ها و رخدادها از تمامی منابع و متمرکز­سازی انواع جنس داده ­ها در یک واحد

هدف نهایی استفاده از Splunk Enterprise کنار گذاشتن دیدگاه استفاده از SIEM به تنهایی می باشد. بر اساس این دیدگاه یک واحد SOC پویا الزاما باید از رویکرد چرخه ی OODA یا همان Observe با استفاده از تکنیک detection در EDRها، Orient با استفاده از SIEMها، Decide با استفاده از SOARها و در نهایت Act با استفاده از تکنیک Response در EDRها بهره ببرند.

مهمترین رویکرد به منظور تغییر نگرش در SOCها استفاده از خودکاری سازی یا همان Automation

با استفاده از ترکیب SOAR و EDR در کنار هم در طی چرخه ی OODA می باشد.

جامعترین دوره آموزش Splunk | اسپلانک قسمت 1 : معرفی Splunk

در نتیجه به مرور افزایش گستردگی داده­ ها و مواجهه با حجم عظیمی از داده­ ها یا همان Big Data، امروزه دیگر نمی ­توان با استفاده از منابع انسانی و به صورت Reactive داده­ ها را پایش و نسبت به آنها تصمیم ­گیری کرد. لذا به منظور مدیریت داده­ های بزرگ علاوه بر ویژگی­های قدیمی SIEMها دو ویژگی منحصر بفرد اعم از UEBA و SOAR ارائه شد تا به صورت Proactive اقدام به تحلیل داده ها کنند و در صورت تشخیص رفتار مشکوک به صورت خودکار نسبت به آن بسته، پاسخ دهند.

یکی از قدرتمندترین SIEMهای موجود در شبکه راهکار ارائه شده از سمت Splunk که قابلیت های خود را در قالب ماژول های جدا از هم ارائه می کند و تمامی این ماژول ها توسط هسته اصلی آن با عنوان Splunk Enterprise مدیریت می شوند.

از جمله ویژگی­ های NG-SIEMها می­ توان به موارد زیر اشاره کرد:

  • جمع­ آوری و مدیریت داده­ ها از تمامی منابع
  • معماری پیاده­ سازی برای تحلیل Big Data
  • تحلیل رخدادها با ماژول­ های مختلف
  • ارائه محیط کاربری مناسب
  • تحلیل داده ­ها بر اساس الگوی رفتاری اجزا و کاربران (UEBA)
  • پیگیری خودکار رفتارهای مشکوک به منظور کشف اقدامات بعدی
  • بهبود مدل امنیت اطلاعات
  • پیاده­ سازی طرح ­های مقابله با حوادث (CSIRT) به صورت پیشفرض
  • مرتب­ سازی چرخه­ های CSIRT
  • هماهنگ­ سازی، خودکارسازی و پاسخگویی به رخدادهای امنیتی (SOAR)

تکنولوژی­های ارائه شده از سوی شرکت Splunk قادر است تمامی ویژگی­ه ای اشاره شده را برای واحد­های عملیاتی SOC فراهم کند و هر نوع داده­ ای را در سطح شبکه برای گردآوری، پایش و تحلیل آماده نماید.

جامعترین دوره آموزش Splunk | اسپلانک قسمت 1 : معرفی Splunk

ساختار اسپلانک علاوه بر اینکه قادر است تمامی داده ها را از هر نوع Endpointای دریافت کند، می تواند قابلیت های افزونگی یا همان High Availability و توزیع یافته یا همان Clustering را در راه اندازی هر Instance خود اعمال نماید.

آموزش اسپلانک Splunk Enterprise

هدف ما در این سناریوی آموزشی پیاده سازی یک معماری توزیع یافته در ابعاد بزرگ است.

جامعترین دوره آموزش Splunk | اسپلانک قسمت 1 : معرفی Splunk

منبع:توسینسو

دیدگاه خود را بیان کنید

نشانی ایمیل شما منتشر نخواهد شد.