راهنمای جامع راه اندازی مرکز عملیات امنیت (SOC) به زبان ساده

مقابله با حملات پیشرفته هکرها، همگامی با قوانین دولتی و سازمانی، نظارت بر راه حال های مبتنی بر فناوری و بلاخره رصد تعاملات بی پایان انسان و فناوری، سازمان ها را به کارشناسان حوزه امنیت اطلاعات تبدیل کرده است.آنها برای نیل به این اهداف ممکن است از نرم افزار IBM Internet Security Systemsبرای راه اندازی سیستم مقابله با نفوذ (Intrusion Prevention Systemکه اختصاراً IPSنامیده می شود)، یا تولیدات سیسکو برای سولوشن های دیواره آتش و یا محصولات کافی برای محافظت مبتنی بر میزبان (Host-based Protection) استفاده کنند.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

این رویکردهای ناهمگون برای انتخاب سولوشن های امنیتی و حفاظتی، چالش بزرگی بر سر راه شرکت ها به شمار می رود: بلاخره بهترین، کارامدترین و به صرفه ترین گزینه کدام است؟ در وهله اول می توان گفت هیچ فرمول مشخصی برای ارائه پاسخی مشخص به این سوال وجود ندارد، زیرا یک تیم ممکن است از دیواره آتش پشتیبانی کند و دیگری از دیوایس های IPSشبکه. تیم دیگر هم ممکن است وظیفه پشتیبانی از ابزار IPSرا عهده دار باشد. نتیجه آن که در فرایند نظارت و رصد امنیتی، ابزارها و تیم های مختلفی نقش آفرین و دخیل هستند. به همین دلیل امروزه کشاندن یک رویداد یا حمله اینترنتی به زیر چتر مدیریت واحد، کار بسیار دشوار و بعضاً غیرممکنی تلقی می شود.

به همین دلیل است که کارشناسان معتقدند فراهم آوردن امنیت پایدار برای یک سازمان، مستلزم متمرکز نمودن اقدامات نظارتی و تحلیل گرایانه است، تا از این طریق سازمان بتواند در سریع ترین زمان ممکن به رویدادهای امنیتی واکنش نشان دهد.برای جامه عمل پوشاندن به این ایده، بسیاری از سازمان ها به استفاده از خدمات شرکت های ارائه دهنده خدمات امنیت مدیریت شده (Managed Security Services Providersکه به اختصار MSSPنامیده می شود) روی آورده اند.

مزایای استفاده از شرکت های MSSP به این شرح است

  • امکان رصد دقیق رویدادهای امنیتی و نیز فراهم آوردنفضایی امن برای داده های سازمانی.
  • استفاده از راهکارهای ویژه هشداردهی به هنگام بروز تهدیدات جدید.
  • ارائه خدماتی که تیم و نیروی خاصی برای ارائه آن در سازمان دیده نشده است.

با این حالMSSP ها دارای معایبی نیز هستند. از جمله این که آنها نمی توانند

  • دانش عمیقی از سیاست ها، فرایندها یا فضای کلی ITمشتری خود داشته باشند.
  • به هر مشتری یک تیم ویژه اختصاص دهند.فقط سازمان های بزرگ که مبالغ کلانی هزینه می کنند، قادرند از MSSPها سرویس ها و پشتیبانی های خاصی دریافت کنند.
  • سرویس ها، فرایندها و شیوه های سفارشی شده بر اساس نیاز مشتری ها ارائه کنند. MSSPها در تلاشند با تعریف استانداردی برای فعالیت های شان، تعداد مشتریان خود را افزایش دهند.
  • داده های امنیتی را فقط بر محل مورد نظر مشتری ذخیره کنند. این اطلاعات به محل استقرار MSSPفرستاده می شود (که ممکن است در خارج از مرزهای کشور سرویس گیرنده باشد).

با توجه به آنچه که گفته شد، بسیاری از گروه های فناوری اطلاعات مایلند خودشان به ایجاد مرکز عملیات امنیت (SOC) دست بزنند تا از این طریق بتوانند ضمن اشراف بیشتر نسبت به رویدادهای امنیتی، تحلیل ها و نظارت های مربوط به حوزه امنیت را به گونه ای متمرکز در اختیار بگیرند و فقط از جانب یک تیم و گروه، به رویدادهای امنیتی واکنش نشان دهند. برای این دسته از سازمان ها، نواقص و اختلالات MSSPبر مزایای آن می چربد.از سوی دیگر، ایجاد یک SOCدرون سازمانی کار پیچیده ای بوده و به نوبه خود با چالش ها و محدودیت هایی روبروست.در این نوشتار ما می کوشیم در چند بخش، ضمن ارائه درک روشنی از نحوه ایجاد یک SOCدر سازمان، شیوه برقراری تعادل بین سه عنصر انسان، فرایند و فناوری را تبیین کنیم.

پیش از راه اندازی SOC

پیش از راه اندازی یک SOC، سازمان ها باید زمانی را به طرح ریزی و ترسیم نمای کلی کار اختصاص دهند.سازمان ها معمولاً در مرحله طراحی فقط بر سه عنصر انسان، فرایند و فناوری متمرکز می شوند و از پرداختن به این مفاهیم که اصولاً دلایل نیاز به SOCچیست و این تکنیک قرار است چه مشکلاتی را حل کند، غفلت می ورزد. پیش از آن که مراحل راه اندازی یک SOCمورد بحث و بررسی قرار گیرد، باید اطلاعات لازم در اختیار حامیان پروژه قرار گیرد و آنها به فضای کلی بحث اشراف داشته باشند. اصولاً اعضای هر تیم و گروهی برای موفق شدن باید از حس همدلی و همکاری برخوردار باشند.در چنین حالتی، انگیزش اعضا بالا می رود، اولویت های کاری بهتر و سریع تر مشخص می گردد، و واکنش نشان دادن به تغییراتی که در طی مسیر رخ می نماید، خردمندانه تر صورت می گیرد.این قضیه در مورد راه اندازی SOCنیز صادق است.

پیش از تاسیس یک SOC، سازمان ها باید به این سوالات پاسخ دهند

  1. دلایل نیاز به SOCدر سازمان چیست؟
  2. چه نوع وظایف خاصی قرار است به SOCمحول شود(از قبیل شناسایی حملات اینترنتی، شناسایی سوء استفاده از سیستم های مالی در داخل سازمان، پاسخ های امنیتی، کشف شواهد رایانه ای، ارزیابی آسیب پذیری ها و غیره).
  3. چه کسانی قرار است از اطلاعاتی که توسط SOCجمع آوری و تحلیل می شود استفاده نماید؟ آنها به چه ابزار و سیستم هایی نیاز دارند؟
  4. حامی نهایی پروژه SOCچه کسی است؟ چه کسی قرار است SOCرا به دیگر بخش های سازمان «بفروشد»؟
  5. SOCتوسط چه نوع رویدادها و اطلاعات امنیتی تغذیه می شود؟

هزینه های راه اندازی SOC

بسیاری از سازمان هایی که قصد طراحی یک SOCبرای خود دارند، بدون این که چشم انداز روشنی از هزینه ها و استراتژی های تامین و برگشت هزینه ها در دست داشته باشند به میدان عمل پا می گذارند، و واضح است که چنین شیوه ای خطاست. در برآورد هزینه های راه اندازی و نگهداری SOCباید گزینه های ذیل را مدنظر داشت:

  1. امکانات و تجهیزات مورد نیاز: شامل مبلمان، تجهیزات رایانه ای، برق، تلفن، تهویه مطبوع و....
  2. پرسنل حرفه ای: شامل تحلیلگر امنیت، مدیران SOCو مدیر شیفت.
  3. نیروهای پشتیبانی: شامل پشتیبان شبکه، پشتیبان سامانه، پشتیبان پایگاه داده، پشتیبان تلفن و مدیریت دستگاه های امنیتی (اگر این کار توسط SOCانجام نمی شود).
  4. آموزش: شامل دوره ها، کنفرانس ها و دیگر عناصر مورد نیاز در امر ارائه آموزش های مستمر به دست اندرکاران.
  5. شناسایی تهدیدها: شامل اطلاعات لحظه ای در خصوص جدیدترین تهدیدات امنیتی.
  6. فناوری مانیتورینگ: شامل سخت افزار، نرم افزار، انباره ها و سرویس های پیاده سازی.
  7. دیگر فناوری های مورد نیاز: مدیریت وقایع و تغییرات (Problem and change management)، ایمیل، تسهیم دانش (knowledge sharing).

صاحب نظران معتقدند که بازگرداندن این هزینه ها کار بسیار دشواری است لذا در این خصوص باید با دقت و احتیاط عمل کرد تا هزینه های هنگفت غیرضروری به سازمان تحمیل نشود. برخی شیوه های انجام این کار عبارت است از به کارگیری متدهایی همچون کارایی هزینه (Cost Efficiency)، تسهیم هزینه ها (Cost sharing) و بازگیری هزینه (Cost Recovery).

گزینش نیروی انسانی

تیم های درگیر در پروژه SOCباید بر سه عنصر مندرج در پروژه های سنتی آی.تی یعنی نیروی کاری، فرایند و فناوری متمرکز شوند. هیچ یک از این سه عنصر بر دیگری برتری ندارد و هر کدام به یک اندازه مهم و قابل توجه است.این حال سازمان ها اغلب در جذب و حفظ کارشناسان زبده برای عملیاتی کردن SOCخود ناتوانند.رایج ترین خطا در پیاده سازی SOCدرون سازمانی، جذب پرسنلی است که فاقد مهارت های کافی و مناسب در این زمینه هستند.سازمان ها اغلب مایلند تحلیلگران کم تجربه را به کار گیرند.

این در حالی است که یک تحلیلگر SOCباید دارای ویژگی ها و توانایی های خاصی باشد، زیرا وی عضوی از جامعه امنیت اطلاعات محسوب می شود و مانند یک جنگجو همواره باید با دشمن سرسختش به مبارزه بپردازد.تحلیلگر SOCباید به هنگام مشکلات صبور باشد، بتواند در مورد چالش های پیش آمده دست به تحقیق و تفحص بزند و در کوران حوادث استرس زا، خونسردی خود را از دست ندهد.

چنین کارشناسی باید همیشه مترصد پیدا شدن یک ویروس یا تهدید جدید بماند.اگر چه تحلیلگران زبده SOCمی توانند از تکنیسین های بخش پشتیبانی فنی گزینش شوند ولی توانایی های لازم برای این نوع تجزیه و تحلیل، اغلب در نیروهای حوزه مدیریت سیستم ها، Desktop Supportو عملیات شبکه بیشتر مشاهده می شود.پرسنلی که در مباحث شبکه، سرور و Desktop Supportمهارت دارند، با استفاده از تجربه ای که اندوخته اند، معمولاً بهتر می توانند مشکلات پدید آمده در حوزه SOCرا تحلیل نموده و برای مقابله با آنها راهکار ارائه نمایند.

بهبود مسیر شغلی

مانیتورینگ وقایع امنیتی و واکنش نشان دادن به تهدیداتی که در این حوز رخ می نماید، کار دشواری است که برای موفقیت در آن، باید عناصر مختلفی از جمله تخصص، تجربه، روحیه کار تیمی و غیره گرد هم جمع شود.بر این اساس، دوره کاری یک تحلیلگر SOCبین یک تا سه سال است. این امر برای شناسایی نامزدهای احتمالی این پست که بعدها بتوانند امور را به دست بگیرند، ضروری است.از سوی دیگر یک مدیر SOCباید ارتباطات مستحکمی با دیگر گروه های فناوری اطلاعات سازمان برقرار نماید تا از این طریق شناسایی شدن کاندیدادهای مستعد را تسهیل نماید.

آموزش

هیچ تحلیلگر SOCنمی تواند بدون دریافت آموزش های مناسب، کارایی موفقی از خود ارائه دهد.خوشبختانه برای راه اندازی یک دوره آموزشی کارامد در این خصوص، گزینه های مناسب فراوانی پیش روی مدیران قرار دارد، از جمله آموزش در حین کار (که به آموزش ضمن خدمت نیز معروف است) و آموزش های رسمی شامل SANS(مدیریت سیستم و امنیت شبکه)، Intrusion Detection in Depthو گواهینامه GCIA(GIAC Certified Intrusion Analyst). در دوره های آموزش ضمن خدمت باید ضمن ارائه مفاهیم کلی امنیت اطلاعات به مخاطب، کار با ابزارهای خاص تشخیص نفوذ، فرایندهای تحلیلی و تکنیک های برقراری ارتباطات موثر به وی آموزش داده شود زیرا تحلیلگر SOCباید بتواند در زمان وقوع حادثه و در حالی که فضای کار سرشار از استرس و نگرانی است، با مهندسان و مدیران ارشد به گونه ای مقتضی تماس برقرار کند و با آنان هماهنگی به عمل آورد.

شیوه های اجرایی

پس از راه اندازی SOCدرون سازمانی، سوالات متعددی در خصوص نحوه فعالیت و سرویس دهی این بخش مطرح می شود که البته یافتن پاسخ صحیح این پرسش ها ضروری است :

  1. آیا SOCیک فضای مجازی است که در آن، رویدادها گزینش، تحلیل و گزارش می شود؟
  2. آیا این وظایف باید توسط پرسنل تمام وقت صورت پذیرد؟

برای پاسخ دادن باید به این نکات توجه شود

  1. یک تحلیلگر SOCهیچگاه نباید در شیفت کاری خود تنها باشد.
  2. مسئولیت ها در هر شیفت کاری SOCباید به گونه ای شفاف تبیین شود.
  3. در وظایف تحلیلگران SOCنباید هیچ ابهامی وجود داشته باشد.
  4. در زمان تغییر شیفت های کاری، نباید در روند کارها وقفه ای رخ دهد. هر شیفت کاری باید از یک سامانه رسمی برای ثبت و مستندسازی وقایع و کارهای صورت گرفته استفاده کند.
  5. معمولاً خطر بزرگی شیفت های شبانه را تهدید می کند و آن، به وجود آمدن این احساس در پرسنل است که گویی آنها به حاشیه رانده شده اند. مدیر SOCباید با این پدیده مقابله کند.
  6. برای تامین پرسنل در 24 ساعت شبانه روز در تمام طول سال به 10 تحلیلگر SOCنیاز است. بهترین زمان بندی شیفت ها برای این مدل، چهار شیفته دوازده ساعته در طول هفته است.

بر این اساس هر تحلیلگر سه روز در هفته کار می کند و چهار روز استراحت دارد. این رقم در مجموع 48 ساعت در دو هفته می شود.

فرایندها و روش عمل

به طور کلی فرایند (process) به فردی که مسئول انجام عمل خاصی است اشاره دارد، و شیوه عمل (procedure) چگونگی انجام آن کار را به تفصیل بیان می کند.راهکارهای SOCمی تواند چیزی در حد فاصل «نیروی انسانی» و «فناوری» تلقی شود.به عنوان مثال تحلیلگران تازه کار ممکن است در خصوص نحوه شروع فعالیت های SOCدر سازمان آشنایی و اطلاعات اندکی داشته باشند.اینجاست که اهمیت فرایندهای حساب شده، دارای چارچوب روشن و مستند به خوبی روشن می شود.

این اسناد می تواند تحلیلگران تازه کار را در روزهای آغازین شروع فعالیت های SOCیاری رساند.بر این اساس تهیه چنین مستنداتی باید از همان ابتدای امر، در دستور کار مدیران و عناصر کلیدی SOCقرار گیرد.البته مشکلی ممکن است در این جا رخ دهد و آن این که چه بسا SOCبه کار رفته در سازمان، از تمام ویژگی ها و قابلیت های لازم برای پوشش نیازهای سازمانی برخوردار نباشد. به همین دلیل دستورالعمل های اجرایی SOCباید از یک سو عملاً وجود و فعلیت داشته باشدو از سوی دیگر بتوان آن را به مرحله بلوغ (آمادگی) رساند.

اما منظور از بلوغ چیست؟

بلوغ فرایندی متدی است که طی آن سازمان ها باید بکوشند فرایندهای جاری خود را هر چه بیشتر کاملتر و «بالغ تر» کنند به این معنا که فرایندها باید پیوسته به نتایج دلخواه و عملکرد مورد نظر برسند.مدل بلوغ فرایندی یا CMMI(سرواژه Capability Maturity Model Integration) شیوه ای نوین در مدیریت فرایندهاست.CMMIیک چارچوب ثابت شده در صنعت است که مدل های پنج گانه ای برای توصیف سطح بلوغ سازمان ارائه می کند.CMMI توسط گروهی از کارشناسان صنعتی و دولتی و نیز پرسنل موسسه تحقیقاتی Software Engineering Instituteتوسعه یافته است.

در وب سایت موسسه مهندسی نرم افزار کارنگی ملون (Carnegie Mellon Software Engineering Instituteکه به اختصار SEIخوانده می شود) آمده است:CMMIیک شیوه بهبود فرایند (Process Improvement) است که عناصر اصلی موفقیت فرایندها را در اختیار سازمان ها قرار می دهد.از CMMIمی توان برای مدیریت بهبود فرایندها در یک پروژه، یک بخش یا کل سازمان سود جست. از آنجا که SOCمعمولاً فرایندهای زیادی را در بر می گیرد، CMMIمعماری خوبی برای سازماندهی، نگهداری و بهبود مولفه های SOCارائه می نماید. در اغلب سازمان ها، دستیابی به سطح سه CMMIکافی است.در این سطح، فرایندها و فعالیت ها مستند و مدون شده و بهبود آنها در طول زمان اثبات پذیر است.

سلسله مراتب فرایندی (Process Hierarchy)

به طور کلی فرایندهای SOCبه چهار دسته اصلی تقسیم می شود:

  1. فرایندهای تجاری (Business processes): تمام مولفه های مدیریتی که برای اجرای موثر یک SOCمورد نیاز است.
  2. فرایندهای فنی (Technology processes): تمام اطلاعات مربوط به مدیریت سیستم، مدیریت پیکربندی و طراحی مفهومی.
  3. فرایندهای عملیاتی (Operational processes): سازوکار عملیات روزانه، برنامه ریزی شیفت های کاری و....
  4. فرایندهای تحلیلی (Analytical processes): تمام فعالیت هایی که برای تشخیص و درک بهتر رویدادهای مخرب و مختل کننده در دستور کار قرار می گیرد.

روابط سازمانی

علاوه بر مستندسازی فرایندهای ضروری و دستورالعمل های اجرایی، پرسنل و مدیران SOCاید روابط عمیق و گسترده ای با دیگر بخش ها برقرار سازند.این روابط که اغلب با هدف مدیریت بحران شکل می گیرد، با دیگر تیم های داخل سازمان از جمله تیم پاسخگویی به حوادث (Incident Response)، مدیریت امنیتی (Security Management)، مهندسی امنیت (Security Engineering)، بخش حقوقی شرکت، منابع انسانی، روابط عمومی، دپارتمان برنامه های تجاری (LOB) برقرار می شود. روابط مزبور بعضاً باید با تیم های برون سازمانی نیز برقرار شود، از قبیل سرت (CERT)، مراکز تحلیل و تبادل اطلاعات (ISAC)، مراکز حقوقی محلی و ملی، فروشندگان محصول و غیره.

تشخیص و تحلیل

«زمان تشخیص» دوره زمانی است که از زمان تشخیص یک رویداد در SOCتا زمانی که تحلیلگر در خصوص نحوه مقابله با آن تصمیم می گیرد را شامل می شود. به عنوان مثال یک تحلیلگر متوجه وقوع حمله ای از نوع تزریق به پایگاه داده (SQL injection) به وب سرور می شود. وی برای درک ماهیت حمله تحقیقات اولیه ای انجام می دهد. پس از تحقیقات، تحلیلگر اولویت حمله را شناسایی کرده و گزارشی در این خصوص تهیه می کند.

از جمله مواردی که احتمالاً در این گزارش به آنها اشاره خواهد شد، مواردی همچون پیکربندی ناقص و اشتباه در سیستم امنیتی مجموعه، یک رویداد تشخیص غلط حمله (False Positive) به دلیل یک برنامه وب معیوب، ضرورت یا عدم ضرورت مانیتورینگ بیشتر و قوی تر، ضرورت یا عدم ضرورت تحقیقات بیشتر در خصوص حادثه و... خواهد بود.«زمان تحلیل» از شروع عملیات آغاز شده و تا 90 روز پس از آن می تواند ادامه یابد.پس از تحقیقات اولیه، تحلیلگر اقدام به ثبت و تفسیر مشاهدات خود برای تحلیل ها و موشکافی های بیشتر می نماید.این چارچوب زمانی تفکیک شده کمک شایان توجهی به مدیریت فرایندهای SOCمی کند و به روشنی نقش افراد و بخش های مختلف درگیر در پروژه را تبیین می نماید.

نویسنده : وجیهه خلیلی

منبع : انجمن تخصصی فناوری اطلاعات ایران

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد


نظرات