مرکز عملیات امنیت که به اختصار SOC نامیده میشود، یک واحد متمرکز است که به صورت جامع و یکپارچه با تلفيق گزارشهاي مختلف و استفاده از نرمافزارهای پیشرفته، سختافزارها و متخصصين امر، رویدادهای امنیتی را تحلیل کرده و به آنها پاسخ میدهد. برای داشتن یک SOC کامل و کارآمد، باید تیمهای متخصصی را با تواناییهای لازم در زمینه شناسایی، جمع آوری، تحلیل و پاسخ به تهدیدات سایبری جذب کرد. همچنین، به دنبال برخورداری از ابزارهای مناسب برای شناسایی و پیگیری حملات سایبری از جمله SIEM و همچنین آموزش کارکنان در خصوص روشهای مبارزه با تهدیدات سایبری بود. داشتن یک SOC به صورت 24 ساعته از ضروریات امنیت سایبری هر سازمان است.
فناوری اصلی مورد استفاده در SOC، ابزار FORTRESS SIEM است. این سامانه وظیفه ذخیرهسازی تمامی رویدادهایی را برعهده دارد که در محیط شبکه سازمان تولید شده است و این امکان را برای کارشناسان SOC فراهم میکند تا هر تهدیدی علیه سازمان را شناسایی و تجزیه و تحلیل کنند.
دو چارچوب عمده برای فرآیندهای مدیریت پاسخ به رویدادهای امنیتی وجود دارد که توسط NIST و SANS طراحی شده است و درادامه معرفی میشود. چارچوب NIST دارای 4 گام است که در شکل زیر نمایش داده شده است.
چارچوب SANS دارای 6 گام زیر است.
زمانی که چارچوب های NIST و SANS را کنار هم قرار می دهیم، می بینیم که اجزای آن ها تقریباً یکسان هستند، اما در عبارت ها و گروه بندی، تفاوت های کوچکی وجود دارد. بزرگترین تفاوت در مرحله 3 وجود دارد، جایی که NIST باور دارد که مراحل مهار، حذف و بازیابی با هم همپوشانی دارند، به این معنی که نباید منتظر مهار همه تهدیدات بود تا بتوان مراحل حذف و بازیابی را شروع کرد، بلکه امکان اجرای همزمان آنها وجود دارد.
نظرات گوناگون پیرامون مقایسه این دو چارچوب وجود دارد اما در حقیقت این مسئله، به اولویت و منابع سازمان بستگی دارد. امنگستران فرزان ایرانیان همانند بسیاری از شرکتهای بزرگ از چارچوب NIST به عنوان مرجع استفاده میکند.
گامهای CSIRT در چارچوب NIST قبلا نام برده شد. در ادامه هر یک از این گامها شرح داده میشود.
مزایای بهرهگیری از خدمات CSIRT به شرح زیر است:
-
افزایش کارآمدی در پاسخگویی به حوادث امنیتی.
-
تشخیص زودهنگام تهدیدات امنیتی و پیشگیری از وقوع حوادث.
-
ارتقاء اطلاعات و آگاهی امنیتی در سازمان.
-
کاهش آسیب احتمالی از تهدیدات امنیتی.
-
ایجاد یک فرهنگ امنیتی قوی در سازمان.
در ادامه جدول شرح خدمات CSIRT ارائه شده توسط شرکت امن گستران فرزان ایرانیان ارائه شده است.
آمادهسازی
شناسایی و تعریف نقش و وظایف اعضای تیم CSIRT
تهیه دستورالعملها و راهنماهایی که برای پاسخ به انواع حوادث امنیتی مختلف استفاده میشوند.
شناسایی منابع و ابزارهایی که در اختیار تیم CSIRT قرار دارند.
تهیه و نگهداری اطلاعات تماس و راههای ارتباطی در صورت بروز رویداد امنیتی.
تشخیص و تحلیل
شناسایی حوادث امنیتی با استفاده از ابزارها و روشهای مختلف.
جمعآوری اطلاعات مرتبط با حوادث، از جمله ترافیک شبکه، لاگها و دادههای سیستم.
تجزیه و تحلیل دقیق حوادث امنیتی به منظور تعیین منشأ، طبقهبندی و شدت آنها.
مهار، حذف و بازیابی
محدود کردن گستردگی رویداد امنیت تا جلوگیری از گسترش آن با استفاده از Isolation و جدا کردن
یا خاموش کردن سیستمهای تحت تأثیر، تغییر مسیر ترافیک داده شده به آنها.
از بین بردن اثرات مانند حذف بدافزار و غیرفعال کردن حسابهای کاربری نقضشده.
بازیابی سیستمها از نسخههای پشتیبان، جایگزینی فایلهای در معرض خطر با نسخههایی که قبل از آلوده شدن سیستمها تهیه شده،
نصب Patchها، تغییر پسوردها، تشدید امنیت محیطی شبکه
فعالیتهای پس از رویداد امنیتی
برگزاری جلسه با حضور تمامی افراد مرتبط بسته به اهمیت حادثه امنیتی
تدوین گزارش حادثه و Root Cause Analysis
برآورد هزینهها و خسارات
ارائه راهکارهای دفاعی به منظور جلوگیری از تکرار حادثه که اصلاح یا Remediate نامیده میشود
فازهای اجرایی CSIRT
بهرهگیری از خدمات CSIRT ارائه شده توسط امن گستران فرزان برای یک سازمان شامل مراحل زیر است:
مرکز پاسخگویی
به رویدادهای امنیتی
مرکز پاسخگویی به رویدادهای امنیتی یا CSIRT وظیفه مدیریت و پاسخ به وقوع حوادث امنیتی را در یک سازمان دارد. هدف اصلی CSIRT، بهبود قابلیتهای امنیتی سازمان، مدیریت و کنترل حوادث امنیتی، پیشگیری از وقوع تهدیدها و به حداقل رساندن تأثیرات منفی حوادث امنیتی بر سازمان است.
چارچوب CSIRT
دو چارچوب عمده برای فرآیندهای مدیریت پاسخ به رویدادهای امنیتی وجود دارد که توسط NIST و SANS طراحی شده است و درادامه معرفی میشود. چارچوب NIST دارای 4 گام است که در شکل زیر نمایش داده شده است.
چارچوب SANS دارای 6 گام زیر است.
زمانی که چارچوب های NIST و SANS را کنار هم قرار می دهیم، می بینیم که اجزای آن ها تقریباً یکسان هستند، اما در عبارت ها و گروه بندی، تفاوت های کوچکی وجود دارد. بزرگترین تفاوت در مرحله 3 وجود دارد، جایی که NIST باور دارد که مراحل مهار، حذف و بازیابی با هم همپوشانی دارند، به این معنی که نباید منتظر مهار همه تهدیدات بود تا بتوان مراحل حذف و بازیابی را شروع کرد، بلکه امکان اجرای همزمان آنها وجود دارد.
نظرات گوناگون پیرامون مقایسه این دو چارچوب وجود دارد اما در حقیقت این مسئله، به اولویت و منابع سازمان بستگی دارد. امنگستران فرزان ایرانیان همانند بسیاری از شرکتهای بزرگ از چارچوب NIST به عنوان مرجع استفاده میکند.
فازهای اجرایی
CSIRT
گامهای CSIRT در چارچوب NIST قبلا نام برده شد. در ادامه هر یک از این گامها شرح داده میشود.
مزایای داشتن یک مرکز عملیات امنیت به شرح زیر است:
-
افزایش کارآمدی در پاسخگویی به حوادث امنیتی.
-
تشخیص زودهنگام تهدیدات امنیتی و پیشگیری از وقوع حوادث.
-
ارتقاء اطلاعات و آگاهی امنیتی در سازمان.
-
کاهش آسیب احتمالی از تهدیدات امنیتی.
-
ایجاد یک فرهنگ امنیتی قوی در سازمان.
services
در ادامه جدول شرح خدمات CSIRT ارائه شده توسط شرکت امن گستران فرزان ایرانیان ارائه شده است.
آمادهسازی
شناسایی و تعریف نقش و وظایف اعضای تیم CSIRT
تهیه دستورالعملها و راهنماهایی که برای پاسخ به انواع حوادث امنیتی مختلف استفاده میشوند.
شناسایی منابع و ابزارهایی که در اختیار تیم CSIRT قرار دارند.
تهیه و نگهداری اطلاعات تماس و راههای ارتباطی در صورت بروز رویداد امنیتی.
تشخیص و تحلیل
شناسایی حوادث امنیتی با استفاده از ابزارها و روشهای مختلف.
جمعآوری اطلاعات مرتبط با حوادث، از جمله ترافیک شبکه، لاگها و دادههای سیستم.
تجزیه و تحلیل دقیق حوادث امنیتی به منظور تعیین منشأ، طبقهبندی و شدت آنها.
مهار، حذف و بازیابی
محدود کردن گستردگی رویداد امنیت تا جلوگیری از گسترش آن با استفاده از Isolation و جدا کردن
یا خاموش کردن سیستمهای تحت تأثیر، تغییر مسیر ترافیک داده شده به آنها.
از بین بردن اثرات مانند حذف بدافزار و غیرفعال کردن حسابهای کاربری نقضشده.
بازیابی سیستمها از نسخههای پشتیبان، جایگزینی فایلهای در معرض خطر با نسخههایی که قبل از آلوده شدن سیستمها تهیه شده،
نصب Patchها، تغییر پسوردها، تشدید امنیت محیطی شبکه
فعالیتهای پس از رویداد امنیتی
برگزاری جلسه با حضور تمامی افراد مرتبط بسته به اهمیت حادثه امنیتی
تدوین گزارش حادثه و Root Cause Analysis
برآورد هزینهها و خسارات
ارائه راهکارهای دفاعی به منظور جلوگیری از تکرار حادثه که اصلاح یا Remediate نامیده میشود
