در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

دو تفاوت مهم بین SOC و NOC

چند وقت پیش قرار بود یک پروژه مانیتورینگ برای سازمانی که در آن فعالیت می کردم طراحی و پیاده سازی کنیم. در این راستا برخی از دوستان پیشنهاداتی ارائه کردند برای اینکه به جای راه اندازی یک پروژه مانیتورینگ ، پروژه SOC یا NOC را به یکباره طراحی و پیاده سازی کنیم. اما مشکل اصلی ما در این بود که این دوستان خودشان اصلا نمی دانستند NOC یا SOC چه هست و به چه دردی می خورد ؟ بعضا زمانیکه صحبت از NOC می شد همگی در خصوص SOC صحبت می کردند و زمانیکه صحبت از SOC می شد دوستان در خصوص NOC صحبت می کردند ، البته حق هم داشتند ، تفکیک کردن حوزه NOC و SOC از همدیگر چندان هم آسان نیست و در بسیاری اوقات این دو پروژه آنقدر در هم پیچیده و آمیخته می شوند که نمی توان دقیقا گفت چه پروژه ای NOC است و چه پروژه ای SOC است.

مرکز عملیات امنیت یا Security Operation Center یا NOC چیست ؟

NOC مخفف Network Operations Center یا مرکز عملیات شبکه و SOC مخفف Security Operations Center یا مرکز عملیات امنیت است. هر دو ساختار NOC و SOC امروزه یکی از حساسترین و مهمترین مواردی هستند که باید در شبکه های بزرگ امروزی وجود داشته باشد. معمولا در طی سالیان سال NOC ها و SOC ها هر کدام بصورت مجزا و برای انجام عملیات ها و وظایف منحصر به فردی فعالیت می کردند. همیشه هدف از راه اندازی NOC در شبکه ها سه چیز بوده است : اطمینان از روشن بودن ، فعال بودن و سرویس دهی منابع و سرویس های اطلاعاتی بر اساس SLA های موجود سازمان ، برعکس NOC همیشه هدف از راه اندازی SOC در شبکه ها حفاظت ، شناسایی ، عکس العمل نشان دادن و بازیابی سرویس ها و منابع اطلاعاتی بر اساس زمان پاسخ موجود در SLA ها می باشد. تمامی این عملیات ها بصورت متمرکز و برای اطمینان از دسترسی پذیری و صحت دارایی های فناوری اطلاعاتی یک سازمان استفاده می شود. در دنیای امروزی انواع و اقسام ریسک ها منابع و دارایی های فناوری اطلاعاتی سازمان ها را تهدید می کنند ، خراب کردن اطلاعات ، خرابی یک دستگاه ، تغییرات غیر مجاز در اطلاعات ، مشکلات طبیعی و انواع و اقسام تهدیدات اطلاعات ما را تهدید می کنند. همه روزه فناوری های جدیدی به ساختارهای SOC و NOC اضافه می شود تا بتوانند نیازهای یک سازمان را از این دسته برآورده کنند. معمولا یک سازمان سعی می کند هزینه های خود را تا حد ممکن کاهش دهد بنابراین سعی در ایجاد یک تیم واحد برای فرآیند های SOC و NOC می کند.

ساختار SOC ها و NOC ها تا حدود زیادی شبیه به هم است ، هر دو دارای Call Center ، سیستم های مانیتورینگ و تیم incident response هستند. هم در SOC ها و هم در NOC ها شما فرآیند و ها و رخدادها را مانیتور می کنید و در صورت بروز مشکلات در برابر آنها عکس العمل نشان می دهید. یک نکته بسیار مهم که وجه تمایز SOC و NOC می باشد این است که برای اینکه شما بتوانید یک کارشناس NOC داشته باشید تخصصی در حوزه شبکه کفایت می کند اما در صورتیکه بخواهید به عنوان کارشناس SOC فعالیت کنید باید مهندس یا کارشناس امنیت اطلاعات باشید و دانش امنیتی لازمه یک SOC Specialist است. ابزارها و تکنیک هایی که برای آنالیز در SOC ها و NOC ها هم استفاده می شود متفاوت است و از خروجی هر کدام از این ابزارها بر حسب نوع ساختار خروجی متفاوتی بیرون می آید. برای مثال ممکن است یک NOC Analyst یک رویداد یا Event در شبکه را به عنوان یک مشکل سخت افزاری تشخیص دهد اما همان رویداد برای یک SOC Analyst به عنوان تلاش برای خرابکاری در سیستم های سخت افزاری تعبیر شود. در مثالی دیگر فرض کنید پهنای باند مصرفی سازمان برای یک کارشناس NOC به عنوان یک ابزار است که بایستی دسترسی پذیری بالایی داشته باشد ، برای یک NOC Analyst مشکلات در این ساختار صرفا باید برطرف شوند اما برای یک SOC Analyst باید صورت مسئله حل شود که چه چیزی باعث بروز اختلال شده است ؟ کی اختلال ایجاد شده است و نوع ترافیک و منبع آن از کجا بوده است ؟ این نزدیکی زیاد و شباهت کاری SOC و NOC باعث شده است که سازمان های امروزی پروژه های SOC خود را با NOC آمیخته کنند تا سرعت و هزینه ها را تا جای ممکن کاهش دهند ، در واقع یک SOC شامل یک NOC نیز می تواند باشد. ITPRO باشید.

نویسنده : محمد نصیری

منبع : جزیره امنیت اطلاعات و ارتباطات وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

#مرکز_عملیات_امنیت #noc_چیست #مرکز_عملیات_شبکه #soc_چیست #سرویس_های_مانیتورینگ #آموزش_مانیتورینگ_شبکه #سیستم_مانیتورینگ_قوی
16 نظر
حجت رستمی

با سلام

مهندس من دو مورد رو برام سوال پیش امده که اگر امکان داده برام توضیح بدید ممنون از زحماتتون.

1- وضایف کاری تیم incident response که فرمودین دقیقا شامل چه مواردی میشوند؟

2- لطفا از ابزارها و تکنیک هایی که برای آنالیز در SOC ها و NOC ها استفاده می شود مواردی رو برام عنوان کنید اینکه از چه نرم افزار هایی استفاده میکنند ؟ ایا موارد خاصی برای این موضوع در نظر گرفته میشود و یا اینکه از هر نوع ابزار مانیتورینگی مثل microsoft network monitor یا موارد دیگر استفاده میشود؟

با تشکر

سعید خلیفی

در SOC از SIEM Application استفاده میشه. ابزاری مثل ArcSight و یا Splunk از این دسته هستن. ساختار کاری این نوع سیستم ها بر اساس Indexing و Use Case هستش.

SIEM هم مخفف Security Information & Event Management هستش.

لازم به ذکر هستش که افرادی که مثلا دارای CISSP هستند، به عنوان Analyst در SOC کار می کنند.

محمد نصیری

ببینید همونطور که از اسمش پیداست Incident یعنی حادثه و Response یعنی واکنش یا پاسخگویی ، بنابراین هر کاری که باید بعد از به وقوع پیوستن Incident در سازمان شبکه عملی بشه بر عهده این تیم هست ، اگر قرار هست مثلا پورتی بسته بشه ، Backup ای بازگردانی بشه ، دستورالعمل امنیتی تدوین بشه و تصمیمی گرفته بشه در حوزه امنیت این گروه موظف به انجام اون هستند ، کلا هر چیزی که در حوزه محرمانگی ، تمامیت و دسترسی پذیری داده ها در سازمان مربوط بشه به حوزه کاری کارشناسان SOC و افرادی که عضو گروه Incident Response هستند مرتبط میشه ، در خصوص اینکه از چه ابزارهایی استفاده میشه باید بگم که امروزه تقریبا اکثر نرم افزارهایی که در حوزه SOC کار می کنند فرآیند Monitoring رو هم خواسته یا ناخواسته در خودشون جای دادند .

نرم افزارهای شناخته شده ای که برای مانیتورینگ شبکه استفاده میشه مثلا Netflow یا امثال اونها بیشتر در حوزه NOC استفاده میشن ، ابزارهای SOC بسیار بسیار گرانقیمت هستند و در واقع این رو هم یادتون باشه SOC یک راهکار هست نه یک نرم افزار ، صرف اینکه شما نرم افزاری مثل ArcSight یا Splunk یا CoreLog رو نصب و راه اندازی کنید شما SOC ندارید ، آموزش ها و فرآیند های زیادی برای استقرار SOC وجود داره ، من فقط چند روز پیش یک SOC یا بهتر بگیم یک راهکار SIEM ایرانی رو دیدم که به نظرم خوب داره در این حوزه بومی می کنه SOC رو ، نرم افزاری به نام CoreLog که برای شرکت بهین راهکار بود هرچند فقط دموی این نرم افزار رو دیدیم اما در مقابل نرم افزارهایی که در دنیا با قیمت های بسیار زیاد ارائه میشه راهکار جالبیه ، من طرفدار این نرم افزار نیستم اما واقعا روش کار شده و امیدوارم باگ هاش خورد خورد در بیاد تا بهش افتخار کنیم که ایرانی ها راهکار SOC طراحی کردند. به هر حال فراموش نکنیم که یک لایسنس خیلی ساده ArcSight حداقل 140 هزار دلار قیمت داره ...

سعید خلیفی

همونطور که محمد جان هم گفت، SOC یک ساختار هستش، یک مفهوم هستش. امنیت یک زنجیر هستش که از حلقه های مختلفی تشکیل شده. یکی از این حلقه ها SOC و یا مرکز عملیات امنیت هستش.

این نرم افزار ها به خودی خود کاری برای شما انجام نمیدن، اطلاعاتی فراتر از اطلاعات کنونی به شما نمیدن.

این نرم افزارها صرفا Log های امنیتی رو جمع آوری می کنن، البته باید قبلش Filtering روی این Log ها انجام بشه.

کار اصلی یک SIEM Application در اصل نوشتن و تعریف Use Case های مناسب و کاربردی هستش.

در حیطه Monitoring و NOC هم میشه نرم افزارهایی مثل SolarWinds Network Performance Monitor و SolarWinds Network Configuration Manager، همچنین ManageEngine OpManager و Microsoft System Center Operations Manager یا به اختصار SCOM رو معرفی کرد.

نرم افزارهای SIEM به شدت گرون هستن. فیمت License هم بسته به تعداد Log هایی که میتونن جمع آوری کنن و تعداد Agent هایی (در صورت داشتن Agent) که قرار هست استفاده بشه، بستگی داره.

احسان امجدي

به صحبت هاي محمد جان اضافه ميكنم كه هر تيم SOC حداقل طبق استاندارد متشكل از 10 نفر بايد باشه كه بصورت شيفت بندي و در سطوح مختلف 1، 2 و SOC Manager فعاليت ميكنند

علیرضا  قهرود

نوع خرید لایسنس های ابزار های هوش امنیتی مرتبط با EPS و حجم دریافت لاگ های روزانه میباشد و نه ...!

و کار اصلی ابزار هوش امنیتی ، تجمیع لاگ ها و همگام سازی و کرولیت کردن آنها در جهت خروجی مناسب برای تحلیل سطح حملات و ... میباشد.

به ماژولی که برای جمع آوری طیفی از رخداد های ابزار ها و سرویس های تحت شبکه، فعال است کانکتور گفته میشود.

علیرضا  قهرود

یکی از مهمترین چالش های این موضوع ، عدم داشتن یک استاندارد یکپارچه میباشد و بهترین سند بالا دستی : Best Practices ها میباشد.

سعید خلیفی

آقای alirezaghahrood عزیز،

فکر میکنم منظورتون از کرولیت همون Correlate و Correlation باشه.

علیرضا  قهرود

اولی بله و دومی هم فرایند آن میباشد.

علیرضا  قهرود

در واقع مراکز عملیات امنیت چتر امنیت میباشند

محمد نصیری

زیاد سخت نگیر مهندس قهرود عزیز ، آقای خلیفی اساسا در متون فنی به دنبال مشکلات تایپی و غلط املایی هستند ممنون از به اشتراک گذاری.

amirsajadmaleki

استاد plane برای طراحی soc دارید؟یا اصلا دوره هست معرفی کنید؟چطوری می توانیم یک soc طراحی کنیم؟

محمد نصیری

یه دوره به امید خدا عمری باقی باشه آنلاین برگزار می کنم

amirsajadmaleki

کی استاد؟

محمد نصیری

زود نه طبیعتا در برنامه دارم امسال که قطعا خیر

mahan0708

سلام

مفید بود.

متشکرم

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....