ضرورت ایجاد مرکز عملیات امنیت از نگاه پدافند غیرعامل

SOCسامانه SIEM بعنوان قلب یک مرکز عملیات امنیت است که تمامی فعالیت هاي امنیتی شبکه را زیر نظر گرفته، رخدادهاي امنیتی را جمع آوري و تحلیل کرده و مخاطرات امنیتی رخ داده و یا در حال وقوع را کشف نموده و اقدام مقتضی را صورت می دهد. رصد امنیتی یکپارچه و جامع شبکه علاوه بر اینکه این امکان را فراهم می سازد تا در مقابل تهدیدات بهترین عکس العمل انجام شود؛ باعث می شود تا مدیران تحلیل دقیق تري از وضعیت امنیتی شبکه و میزان خطرپذیری آن داشته باشند. این روند نهایتاً منجر به اصلاح روش ها، سیاست ها و راهکارهاي امنیتی خواهد شد. در این مقاله ساختار، ضرورت و ویژگی هاي لازم براي پیاده سازي مرکز عملیات امنیت در کشور بررسی می شود.

مقدمه
امروزه بکارگیري مراکز داده براي میزبانی کاربردها، داده ها، خدمات و اتصال به اینترنت توسط شرکت ها و سازمان هاي مختلف در سراسر دنیا به یک نیاز اساسی تبدیل شده است.مدیریت رویدادهاي امنیتی در چنین محیط هاي بزرگ و پیچیده اي یک مسأله اساسی براي محافظان امنیت است.اگرچه بکارگیري راهکارهاي امنیتی نظیر استفاده از ضدبدافزارها، فایروال ها،IPSها، IDS ها و سامانه های احراز هویت و کنترل دسترسی تا حدي می تواند شبکه را از حالت انفعالی و بدون نظارت نجات داده و به تأمین امنیت آن کمک نماید، ولی باید به این نکته مهم توجه نمود که بکارگیري این تجهیزات امنیتی، خود باعث تولید حجم عظیمی از رخدادهاي امنیتی در قالب هاي متفاوت می شود. این حجم بالاي داده هاي امنیتی تولید شده، باعث سردرگمی و سلب امکان مدیریت و استفاده از آنها می شود.

در طی چند سال اخیر با توجه به افزایش قابل توجه ارزش و اهمیت دارایی ها و داده هاي موجود در مراکز داده و پیرو آن افزایش انواع مختلفی از تهدیدهاي امنیتی، استفاده از راهکارهاي مدیریت و رصد امنیتی به ضرورتی اجتناب ناپدیر جهت افزایش امنیت و پایداري شبکه و سامانه هاي اطلاعاتی و ارتباطی تبدیل شده است.

ساختار کلی مرکز عملیات امنیت
رخدادهای امنیتی در یک زیرساخت اطلاعاتی توسط حسگرهای شبکه آن تولید می گردند. حسگرهای شبکه شامل کلیه سیستم عامل ها، کاربردها، نرم افزارها و تجهیزات سخت افزاری شبکه است. رخدادهای امنیتی به روش های مختلف از حسگرها جمع آوری و با قالب یکسانی در بانک اطلاعاتی رخدادها ذخیره می گردند. رخدادهای جمع آوری شده توسط تحلیلگر SOC مورد تحلیل قرار گرفته و پس از بررسی همبستگی بین رخدادها، حملات و تهدیدهای امنیتی زیرساخت اطلاعاتی مربوطه به صورت رویداد اعلام می شود.

تحلیلگر SOC جهت آنالیز و تشخیص همبستگی مابین رخدادها از دانش ذخیر شده در پایگاه دانش مرکز عملیات امنیت بهره می برد.معیار اصلی کشف حملات و تهدیدها، اطلاعات پایگاه دانش است. اطلاعات مربوط به آسیب پذیری های سامانه، سیاست های امنیتی تعریف شده و همچنین وضعیت فعلی سامانه ها از اطلاعات مهم ذخیره شده در پایگاه دانش می باشد که توسط واحدی در SOC به طور مرتب باید بروز گردد.

در بالاترین لایه مرکز عملیات امنیت که کاربران با آن سرو کار دارند، پورتال و کنسول قرار دارد. پورتال به صورت داشبود SOC عمل کرده و امکان مشاهده و مرور وضعیت امنیتی زیرساخت اطلاعاتی بصورت گرافیکی، تهیه انواع مختلفی از گزارش ها و همچنین تنظیم مؤلفه هاي SOC را فراهم می سازد.در ادامه این بخش عملکرد هر کدام از بخش های اصلی سامانه SOC را مورد بررسی قرار می دهیم.

حسگرها
حسگرها در SOC منابع جمع آوری رخدادهای امنیتی می باشند.از جمله حسگرهای مهم و معمول جهت جمع آوری رخدادها می توان به IDS ها، IPSها، فایروال ها، تجهیزات شبکه شامل سوئیچ ها و مسیریاب ها، سیستم عامل ها، سرویس های اینترنت و ضد بدافزارها اشاره نمود.
IDSها بسته های عبوری از شبکه را شنود کرده و با تحلیل بسته های شنود شده براساس الگوی حملات شناخته شده و یکسری قواعد، برخی از حملات، تهدیدها و وضعیت غیر عادی در شبکه را کشف و نتایج را به صورت رخدادهایی ثبت می کند. یک IDS، روزانه حجم زیادی از رخدادها را تولید می کند. به عنوان مثال، در یک مرکز داده ممکن است به طور متوسط روزانه چندین میلیون رخداد توسط IDS تولید گردد، که بخش عمده آنها بلااستفاده می باشد. بررسی این حجم عظیم رویدادهای تولید شده توسط IDS ها و کشف حملات و تهدیدهای واقعی از چالش های بزرگ مدیریت امنیتی می باشد.

فایروال ها براساس قواعد و سیاست های امنیتی تعریف شده به پایش بسته های شبکه به منظور کنترل دسترسی به منابع می پردازند. این دستگاه ها رخدادهای مربوط به پایش ترافیک شبکه را ثبت می کنند. این رخدادها یکی از منابع مهم جمع آوری داده در SOC می باشند.البته امروزه به دلیل پیچیده شدن روش های حملات، معمولاً مهاجمان فایروال ها را دور می زنند. با این حال اطلاعات ثبت شده توسط این تجهیزات هنگامیکه در کنار سایر اطلاعات قرارگرفته و تحلیل می شود، به کشف حملات توسط SOC کمک می کند.

منبع دیگر جمع آوری رخدادهای امنیتی، تجهیرات شبکه هستند. از آنجا که تمام ترافیک یک شبکه از سوئیچ ها و مسیریاب های اصلی می گذرد، مؤلفه های مختلف مدیریتی بر روی این تجهیزات قابل دسترسی هستند و از ابزارها و معیارهای مهم کشف بسیاری از حملات می باشند.

سیستم عامل ها، کاربردها و نرم افزارهای مختلف نصب شده بر روی کارگزارها انواع مختلفی از رخدادها را تولید می کنند. اطلاعات مربوط به دسترسی کاربران به منابع، احراز هویت کاربران، تغییرات پیکربندی، خطاهای رخ داده و غیره، توسط این منابع ثبت می شوند.

جمع آوری رخدادهای امنیتی از حسگرها توسط این واحد انجام می شود. بطورکلی این واحد رخدادها را از منابع مختلف و با استفاده از روش ها و پروتکل های مربوطه جمع آوری و پس از انجام عمل پیش پردازش و پایش، آنها را در بانک اطلاعاتی رخدادها ذخیره می کند. از آنجا که رخدادهای مربوط به حسگرهای مختلف دارای قالب های متفاوتی هستند، قبل از ذخیره شدن توسط واحد تجمیع رخدادها به قالب یکسانی تبدیل می شوند.

واحد آنالیز و تشخیص همبستگی رخدادها
هر یک از سامانه های یک زیرساخت اطلاعاتی، روزانه حجم بسیار زیادی از رخدادها را تولید می کند که لزوماً تمامی آنها به طور مستقیم یا غیر مستقیم مربوط به مسائل امنیتی نمیشوند. با افزایش تعداد کارگزارها، خدمات و در نتیجه ترافیک شبکه، بررسی بی درنگ رخدادهای تولید شده توسط نیروی انسانی غیرممکن می شود. تنها راه حل پیشِرو، انتقال دانش و مهارتهای کارشناسان امنیتی خبره به یک برنامۀ هوشمند است که بتواند با تحلیل گزارشها و رخدادهای دریافتی از اجزای موجود، اقدام به تشخیص حملات و تهدیدها و یا خلاصه کردن رخدادها نمایند، همچنین در صورت تشخیص هر نوع حملۀ احتمالی بتواند نسبت به آن واکنش مناسب نشان دهد. این واکنش بسته به شرایط، ممکن است تغییر در پیکربندی یک فایروال یا مسیریاب، از کار انداختن موقت یک یا چند سامانه و یا سرویس، و یا ارسال اعلان خطر از طریق روش های ارتباطی تعبیه شده در سامانه (مانند پست الکترونیک، پیامک، ارتباط تلفنی، اخطار صوتی و ....) باشد.

واحد تحلیل و Correlation رخدادها در مرکز عملیات امنیت، وظیفه آنالیز رخدادهای جمع آوری شده از سراسر زیرساخت اطلاعاتی را بر عهده دارد. تحلیل رخدادها به منظور کشف تهدیدها، بر اساس اطلاعاتی است که در پایگاه دانش ذخیره و نگهداری می شود.

روش ها و الگوریتم های آنالیز رخدادها و تشخیص حملات در حال حاضر از موضوعات روز تحقیقاتی در سراسر دنیا می باشد از آنجا که هر کدام از الگورتیم های تحلیل و Correlation دسته های خاصی از حملات را تشخیص می دهند، باید ماژول های متعددی جهت آنالیز رخداد در SOC طراحی و پیاده سازی گردند. سامانه SOC باید همواره امکان اضافه کردن ماژول جدید تحلیل را به سهولت فراهم نماید.

زیرسامانه دیگری در واحد تحلیل رخدادها وجود دارد که وظیفه واکنش به رویدادهای تولید شده را بر عهده خواهد داشت. این زیر سامانه نسبت به برخی از رویدادهای امنیتی کشف شده توسط موتورهای تحلیل، درصورت اضطرار و بر اساس قواعد واکنش تعریف شده در SOC واکنش های لازم را انجام می دهد.

مدیریت وصله ها و مرور پیکربندی
یکی از وظایف مهم مرکز عملیات امنیت، مدیریت مؤثر وصله های نرم افزاری و همچنین پیکربندی وضعیت فعلی کلیه سامانه ها می باشد.
آسیب پذیری های امنیتی مربوط به سیستم عامل ها و همچنین کاربردهای مختلف پس از کشف آنها توسط تولید کننده با ارائه وصله نرم افزاری ترمیم می گردد. مدیریت صحیح وصله ها و اعمال به موقع آنها، علاوه بر اینکه درجه امنیتی سامانه ها را ارتقا می بخشد، کشف حملات و تهدیدات در فرآیند تحلیل رخدادها و همچنین واکنش به رویدادهای تولید شده توسط مدیران امنیتی را بهبود می بخشد.

علاوه بر مدیریت وصله ها، مدیریت پیکربندی و نگهداری آخرین وضعیت سامانه ها (مشخصات سخت افزاری، سیستم عامل، سرویس های فعال، نرم افزارهای نصب شده، پورت های باز، پیکربندی) نیز از وظایف این واحد از SOC می باشد. وضعیت سامانه ها به عنوان دانش در تحلیل رخدادها مورد استفاده قرار می گیرد. از آنجا که کلیه پیکربندی اجزاء و همچنین آخرین وضعیت سامانه ها توسط این واحد بروز و نگهداری می شود، امکان مرور اطلاعات آنها از طریق پورتال SOC فراهم خواهد بود. این اطلاعات جهت کشف ریشه حملات و آسیب های امنیتی و همچنین انجام بهترین واکنش هنگام وقوع رویدادهای امنیتی بسیار سودمند خواهد بود.

پیاده سازی سامانه مدیریت موثر وصله ها در SOC به دلایل متعددی دارای اهمیت است: اولاً حجم بالای وصله هایی که منتشر میشوند، عملاً کنترل دستی آنها را ناممکن می کند. ثانیاً فرآیند استفاده از یک وصله جدید پیچیده بوده و شامل مراحل ارزیابی، دریافت، آزمایش، نصب و نگهداری وصله میباشد که مدیریت کل این فرآیند به صورت دستی خطازا می باشد. ثالثاً، سرعت از ملزومات مدیریت وصله های منتشر شده است، چراکه نفوذگران بسرعت از رخنه های امنیتی کشف شده سوءاستفاده میکنند و باید این زمان را از آنان گرفت.

پورتال و کنسول SOC
به طور کلی پورتال و کنسول مرکز عملیات امنیت وظایفی از قبیل اعلان بی درنگ رویدادهای امنیتی، تنظیم پارامترهای مربوط به هرکدام از زیر سامانه های SOC و تهیه انواع مختلفی از گزارش ها از وضعیت امنیت شبکه، رخدادها و رویدادهای امنیتی تولید شده و همچنین گزارش های تحلیل مخاطرات امنیتی را برعهده دارد.

اهمیت و ضرورت مرکز عملیات امنیت
زیرساخت های اطلاعاتی سازمان های دولتی، شرکت های خصوصی و همچنین مراکز عمومی، امروزه داده های بسیارارزشمندی را میزبانی می کنند.علاوه براین، بسیاری از مراکز داده خدماتی را به مشتریان و کاربران خود ارائه می کنند که چه بسا خرابی هرچند کوتاه مرکز داده و توقف ارائه خدمات آن، خسارت سنگینی مالی و اعتباری به یک سازمان وارد سازد. از سوی دیگر انواع مختلفی از حملات و تهدیدها از حملات ویروس ها و کرم های اینترنتی گرفته تا حملات Dos و نفوذ در شبکه همواره زیرساخت های اطلاعاتی را تهدید می کند. این تهدیدها می تواند لطمات و خسارات جبران ناپذیری را به داده ها و خدمات تحمیل نماید. این خسارات می تواند شامل از دست دادن داده های ارزشمند، مشتریان و اعتبار سازمان باشد. درسازمان ها و مراکز داده دولتی خسارت های سنگین امنیتی و اقتصادی در سطح ملی را نیز باید به موارد فوق اضافه نمود.

با رشد روز افزون تهدیدهای امنیتی، اهمیت پرداختن به امنیت زیرساخت های اطلاعاتی بیشتر نمایان می گردد. به همین دلیل طی سالیان اخیر راهکارهای امنیتی متعددی مورد توجه سازندگان، تولیدکنندگان، اپراتورهای شبکه و مدیران سازمان ها و مراکز داده و همچنین محققان مراکز تحقیقاتی قرار گرفته است. ساختن فایروال های مختلف با قابلیت های مختلف، IDSها و IPS از جمله این راهکارهاست. این راهکارها عمدتاٌ، مبتنی بر حفاظت است که در آنها سعی می شود با بکارگیری مکانیزم هایی جلوی حملات گرفته شود. آنچه در این میان توجه بدان دارای اهمیت است، این نکته است که اگرچه بکارگیری راهکارهای حفاظتی در جلوگیری از برخی حملات و تهدیدهای امنیتی مؤثر است، ولی به تنهایی تامین کننده امنیت نخواهد بود. راهکاری که اخیراٌ مورد توجه قرار گرفته است، پیاده سازی مرکز عملیات امنیت می باشد.

SOC حملات و تهدیدهای کشف شده را می تواند به صورت بی درنگ اعلان و ثبت نماید. این اعلان می تواند از طریق واسط های مختلف از قبیل، اعلان از طریق کنسول مرکز داده و به صورت صوتی، ارسال پست الکترونیکی، ارسال پیامک و یا خط تلفن صورت گیرد. با اعلان خطر، کارشناسان مرکز عملیات می توانند وارد عمل شده و در کوتاه ترین زمان ممکن بهترین واکنش را به حمله و یا تهدید نشان دهند. این واکنش می تواند شامل ریشه یابی حمله، جلوگیری از انتشار حمله و در صورت نیاز برگرداندن سیستم ها به وضعیت قبلی باشد.

امروزه راهکارهای حفاظت در مقابل حملات تضمین کننده امنیت زیرساخت اطلاعاتی نمی باشد. آنچه امروزه به نیاز اساسی تبدیل شده است، رصد امنیتی شبکه از طریق پیاده سازی یک مرکز عملیات امنیت می باشد. پیاده سازی SOC در یک زیرساخت اطلاعاتی از جنبه های مختلف دارای اهمیت است که در ادامه این بخش به برخی از آنها می پردازیم.