لاگ (Log)

در دنیای محاسبات، لاگ فایلی است که هر بار که رویدادی خاص در سیستم شما رخ دهد به صورت اتوماتیک تولید می شود. فایل های لاگ معمولا شامل مهر زمانی هستند و هر آنچه در پس سیستم عامل ها یا برنامه های نرم افزاری اتفاق می افتد را ضبط و ثبت می کنند. در واقع آن ها همه مواردی که در سرور، شبکه، سیستم عامل و برنامه های کاربردی برای پیگیری مسیر رویداد مهم است را ثبت می کنند.

لاگ خام (Raw Log)

لاگ پارس شده (Parsed Log)

SIEM

سیستم مدیریت اطلاعات و رویدادهای امنیتی، The security information and event management یا SIEM رویکردی برای مدیریت امنیت است که عملکردهای SIM یا سیستم مدیریت اطلاعات و SEM یا سیستم مدیریت رویداد را در یک سیستم مدیریت امنیت ترکیب می‌کند. سیستم‌های SIEM برای سازمان‌هایی که هجوم تهدیدات را کاهش می‌دهند، بسیار اهمیت دارند. با اینکه مرکز عملیات امنیتی یا SOC یک سازمان، به‌طور متوسط، ​​روزانه بیش از 10000 هشدار و سازمان­های بزرگ بیش از 150000 هشدار دریافت می‌کنند، اما تیم‌های امنیتی اکثر سازمان‌ها آنقدر بزرگ نیستند که بتوانند با تعداد زیادِ هشدارها هماهنگ باشند. با این حال، خطرِ فزاینده‌ی ناشی از تهدیدات سایبری پیچیده‌تر، این بی‌توجهی به هشدارها را بسیار خطرناک می‌کند. تنها یک هشدار ممکن است باعث تشخیص و جلوگیری از یک حادثه بزرگ و رد کردن کامل آن باشد. امنیت SIEM ابزاری کارآمدتر برای طبقه‌بندی و بررسی هشدارها را ارائه می‌دهد. با استفاده از تکنولوژی SIEM، تیم‌های امنیتی می‌توانند با انبوهی از داده‌های امنیتی همراه باشند.

نحوه عملکرد SIEM

راهکارهای سیستم مدیریت اطلاعات و رویدادهای امنیتی یا The security information and event management یا همان SIEM، به منظور سرعت بخشیدن به شناسایی تهدیدات و پشتیبانی از حوادث امنیتی و مدیریت رویداد و انطباق، گزارش‌ها را جمع‌آوری و رویدادهای امنیتی را همراه با سایر داده‌ها تجزیه و تحلیل می‌کند. اساساً، یک سیستم فناوری SIEM داده‌ها را از منابع متعدد جمع‌آوری می‌کند و پاسخی سریع‌تر به تهدیدات را ممکن می‌سازد. اگر یک ناهنجاری تشخیص داده شود، ممکن است اطلاعات بیشتری را جمع‌آوری کرده، و یک هشدار ایجاد شود و یا ممکن است یک دارایی را قرنطینه کند.

در حالی که فناوری SIEM، به طور سنتی، توسط کسب‌وکارها و سازمان‌های دولتی‌، برای ارائه‌ی انطباق استفاده می‌شد، آن‌ها متوجه شده‌اند که اطلاعات امنیتی و مدیریت رویداد بسیار قدرتمندتر است. از آن زمان، فناوری‌های SIEM به‌عنوان یک ابزار کلیدی جهت شناسایی تهدیدات، برای سازمان‌ها، در هر اندازه‌ا‌ی، تکامل یافته اند. با توجه به پیچیدگی تهدیدات امروزی و استمرار کمبود مهارت‌های امنیت سایبری، داشتن مدیریت اطلاعات و رویدادهای امنیتی‌ای که بتواند به‌سرعت و به‌طور خودکار رخنه‌ها و سایر مسائل امنیتی را شناسایی کند، بسیار مهم است. قابلیت‌های SIEM سازمان‌های کوچک و متوسط ​​بیشتری را به سمت استقرار راهکار مدیریت امنیت و رویداد سوق می‌دهد.

تعریف EPS و EPM

مرکز عملیات امنیت (SOC )

بررسی اجمالی

یک مرکز عملیات امنیت یا SOC متشکل از یک تیم از افراد متخصص و تجهیزاتی است که در آن تهدیدات امنیتی سایبری شناسایی و بررسی شده و بر پاسخ به هرگونه حادثه در رایانه ها، سرورها و شبکه ها نظارت می کنند. آنچه که SOC را منحصر بفرد می کند، توانایی نظارت بر تمام سیستمها بطور مداوم است. کارکنان SOC شامل یک تیم از تحلیل گران سایبری باتجربه و مهندسان آموزش دیده هستند. این افراد از طیف وسیعی از برنامه های کامپیوتری و فرآیندهای امنیتی اختصاصی استفاده می کنند که می توانند ضعف های زیربنای مجازی شرکت را که منجر به نفوذ و سرقت اطلاعات می شود، مشخص کنند. تیم SOC طیف گسترده ای از فعالیتها مانند پیشگیری از تهدیدات بالقوه با تجزیه و تحلیل منابع فعال، ایجاد قوانین، شناسایی موارد استثنا، افزایش سرعت پاسخ به رویدادها و جلوگیری از آسیب پذیری های احتمالی در استراتژی های دفاعی از پیش تعیین شده، را انجام می دهد. اطمینان از مطابقت این برنامه ها با الزامات امنیتی شرکت، صنعت و دولت نیز بخش قابل توجهی از کار SOC است.

سطح کاربران SOC

CISO

که عملیات‌های امنیت سازمان را تعریف می­‌کند. این کارکنان مشکلات امنیتی را به مدیریت مخابره کرده و بر فعالیت‌های انطباق‌پذیری نظارت می‌کنند. CISO حرف آخر را درباره سیاست­‌ها، استراتژی و رویه­‌های مرتبط با امنیت سایبری سازمان می­‌زند. همچنین، این کاربران نقشی مرکزی در مدیریت مخاطرات و انطباق‌پذیری و پیاده‌سازی سیاست­‌ها به‌­منظور دستیابی به نیازهای امنیتی مشخص دارند.

مدیر SOC

تیم عملیات امنیت را مدیریت کرده و به CISO گزارش می­‌دهد. این کارکنان به نظارت بر تیم امنیتی پرداخته، راهنمایی‌های فنی ارائه کرده و فعالیت­‌های مالی را مدیریت می­‌کنند. مدیر SOC بر فعالیت‌های تیم SOC، از جمله استخدام، آموزش و ارزیابی کارکنان، سرپرستی می‌کند. از دیگر مسئولیت­‌های مدیران SOC می‌توان به ایجاد فرآیندها، ارزیابی گزارش­‌های حوادث، و توسعه و پیاده‌سازی طرح­‌های ارتباط در زمان بحران است. این کارکنان گزارش‌­های انطباقی را ایجاد کرده، فرآیند حسابرسی را پشتیبانی کرده، کارایی SOC را اندازه‌گیری کرده و عملیات‌های امنیت را به رهبران کسب‌وکار گزارش می­دهند.

مهندس/معمار امنیت

نگهداری و پیشنهاد ابزارهای تجزیه و تحلیل و نظارت را بر عهده دارد. این کارکنان یک معماری امنیتی ایجاد کرده و و با توسعه‌دهندگان جهت اطمینان از اینکه این معماری بخشی از چرخه توسعه است، همکاری می‌کنند. یک مهندس امنیت می‌­تواند متخصص نرم‌­افزار یا سخت­‌افزار باشد که در طراحی سیستم­‌های اطلاعاتی به طور ویژه به جنبه‌های امنیت توجه می­‌کند. این کارکنان ابزارها و راه­‌حل­‌هایی را جهت جلوگیری از حملات و پاسخ‌دهی موثر به آن‌ها برای سازمان­‌ها توسعه می‌دهند. مهندسین امنیت همچنین رویه‌ها، نیازمندی­‌ها و پروتکل­‌ها را مستند می­‌کنند.

تحلیل­گر امنیت

اولین پاسخ­‌دهنده به وقایع است. این پاسخ عموما در سه مرحله صورت می‌گیرد: تشخیص تهدید، بررسی تهدید و پاسخ به­ موقع. تحلیل­‌گران امنیت باید اطمینان حاصل کنند که آموزش صحیح وجود داشته و کارکنان قادر به پیاده‌سازی رویه‌ها و سیاست­‌ها هستند. این کارکنان با کارکنان بخش IT داخلی و مدیران کسب‌وکار برای تبادل اطلاعات درباره محدودیت‌های امنیتی و فرایند مستندسازی همکاری می‌کنند.

زنجیره حمله (کشتار) سایبری (Cyber Kill Chain)

همیشه در جنگ های نظامی شناخت فعالیت های دشمن و پیگیری تاکتیک های نظامی در یکی از مهارت های فرماندهان دو ارتش یا سپاه محسوب می شود تا به این طریق بتوانند اقدامات نظامی لازمی را جهت رویارویی، مقابله، ضد حمله یا دفاع برنامه ریزی و پیاده سازی نمایند. از آنجا که بسیاری از ایده های اصلی در جنگ های سایبری نیز نشأت گرفته از همین ایده های نظامی در جنگ های فیزیکی بوده، بنابراین آقای Lockheed Martin نیز چارچوبی را به نام Cyber Kill Chain با ایده گرفتن از یک مدل نظامی معرفی نمود که به زنجیره کشتار نفوذ یا زنجیره کشتار سایبری نیز شناخته می شود.

این چارچوب در ابتدا جهت شناسایی، آماده سازی در مقابل حملات و مقابله و از بین بردن آنها بوجود آمد، اما رفته رفته و با گذشت زمان این چارچوب جهت پیش بینی و شناخت تهدیدات یا threatها، مهندس اجتماعی، مقابله با باج افزارها یا Ransomwareها، نشت های امنیتی یا Security breachesها و همچنین حملات APT یا Advanced Persistent Threat ‌توسعه یافت.

 مراحل مدیریت حادثه (Incident Handeling)

تفاوت SOC و NOC

مرکز عملیات امنیتی (SOC) و مرکز عملیات شبکه (NOC) دو اصطلاح هستند که در بسیاری موارد با یکدیگر اشتباه گرفته می‌شوند. در حالی که هم SOC و هم NOC با ارائه‌دهندگان خدمات مدیریت شده برای رفع مشکلات مربوط به فناوری اطلاعات کار می‌کنند، SOC از نظر ارائه تخصصی‌تر از NOC است. هدف اصلی یک مرکز عملیات امنیتی تامین امنیت شبکه مشتری است. تیم تخصصی آن‌ها تمام منابع خود را به نظارت و مدیریت تهدید اختصاص می‌دهد. یک مرکز عملیات شبکه دارای اهداف متعددی است که فراتر از امنیت شبکه است. به عنوان مثال، یک NOC همچنین ممکن است وظایفی را از حصول اطمینان از زمان به‌روزرسانی و پشتیبان‌گیری مداوم از داده‌ها گرفته تا مدیریت ارتقای سخت‌افزار انجام دهد.