۱۳۹۷-۰۲-۰۴، ۰۴:۳۳ ب.ظ
نسل پنجم مرکز عملیات امنیت SOC
از زمان آغاز اینترنت تا کنون تغییرات پیشرفته و گسترده ای در حوزه ی مرکز عملیات امنیت رخ داده است. در حال حاضر صنعت با پنجمین نسل مرکز عملیات امنیت خدمات شبکه روبرو است. در این مقاله به بررسی و مرور نسل های مختلف و ویژگی های آن ها و آینده ی پیش روی مرکز عملیات امنیت می پردازیم.
خلاصه ی اجرایی
مرکز عملیات امنیت وجود دارد تا پایش و محافظت از دارایی های با ارزش سازمان را در راستای حفظ سلامت کسب وکار، با استفاده از روال ها و رویه های منظم و استاندارد تکرار پذیر و چرخش وار انجام دهد. اولین مرکز عملیات امنیت رسمی
در بخش نظامی و حکومتی شکل گرفت؛ این زمانی بود که اولین شبکه ی مبتنی بر TCP/IP راه اندازی شده بود و مفاهیمی نظیر هوشمندی، مدیریت ریسک و عملیات به خوبی مشخص شده بودند. همانطور که بخش تجاری و خصوصی به طور مداوم
بیشتر و بیشتر با یکدیگرارتباط یافته و به فناوری اطلاعات وابسته تر شده است، بهره برداری و حمایت امنیتی لازم از این ساختار نیز به سرعت ظهور کرده است. نفوذگران پشتیبانی شبکه به طوری گسترده تنها با استفاده از روش های مهندسی اجتماعی و تنوع ساده ای
از روش های بهره بردای از آسیب پذیری های تحت فناوری و ساختار شبکه اختیار کرده وقصد درپیشی گرفتن داشته اند؛ تیم عملیات امنیت با اختیار کردن کنترل های امنیتی در سطوح مناسب به تقابل با این مهاجمان برخاسته است.این شرایط باعث می شود
یک بازار کاملا جدید هم برای افراد خوش نیت محافظت امنیت و هم افراد خرابکار و نفوذگر در یک دورنمای خیلی پویا از تهدیدات ایجاد گردد.تمرکز تیم عملیات امنیت برسامان دهی این چشم انداز تهدیدات فناوری اطلاعات، با استفاده ازشرکت های توسعه یافته
فناوری اطلاعات،بررسی میزان خطرات، یا واحد های انطباق با استاندارد(Compliance departments) و در شکل های گوناگون می باشد.این تیم های عملیاتی امنیت در دنیایی بین سیلو های سازمانی و خط مقدم دفاع سایبری قرار دارند.
یکی از چالش های متداول و همیشگی سازمان های عملیاتی امنیت شناسایی تهدیدات در حال ظهور و جاری، همچنین پیش بینی روش های حمله و نفوذ آینده بوده و ارائه راهکاری مناسب جهت پیش گیری از وقوع و مقابله با این دسته از تهدیدات میباشد.
برای این مهم جهت کسب اطلاعات بیشتر می توان به مدل زنجیره نابودکننده سایبری(Cyber kill chain model)، ارائه شده توسط مارتین لاوکهیید مراجعه کرد.مدل اخیر ارائه شده ی زنجیره نابودکننده سایبری شامل پنج مرحله می باشد که یک فرد نفوذگر
در طول یک حمله بدست می آورد.مطابق با این مدل، مشاهده نصب شبکه می کنیم که فرد مهاجم اهداف خود را مورد بررسی و تحقیق قرار می دهد، در وضعیت امنیتی و دفاعی موجود سازمان نفوذ کرده و اقدام به گردش در سازمان کرده و سعی در شناسایی کلیه ی
دارایی های در دسترس و یافتن اطلاعات ویا دارایی های با ارزش می کند. سپس از آنجا اقدام به در اختیار گرفتن سیستم کلیدی هدف خود کرده و شروع به نفوذ میکنند. با درک کردن این گونه تهدیدات، می توانیم عملیات امنیت خود را گونه ای سازمان دهی
نماییم تا تمامی این مراحل را تحت پوشش قرار دهد. شناسایی و قطع کردن هریک از فعالیت های هر مرحله از مدل فرایند زنجیره نابود کننده سایبری بسیار حیاتی می باشد. در صورتی که یک حمله در مراحل اولیه این زنجیره ی تخریب شناسایی نشود، تاثیر
حمله بیشتر شده و در مرحله ی بعد شناسایی آن بسیار حیاتی خواهد شد.
نام گذاری و انتخاب نام مرکز عملیات امنیت
فرایند نام گذاری و انتخاب نام مرکز عملیات امنیت نیز روندی تکاملی را طی کرده است.سازمان ها با ترکیب های نام گوناگونی بازی کرده اند. برای به تصویر کشیدن قابلیت های پیشرفته و اهداف، ویا اجتناب از مشکلات سیاست گذاری مرتبط با کلمه ی "عملیاتی" در سازمان ها.
" مراکز دفاع " بیانگر طبیعت محافظت کننده از سازمان می باشد، " مراکز هوشمند " بیانگر توانایی ها و قابلیت های پیشرفته، با حجم بالای میکروتیک پردازش و تحلیل می باشد. با افزودن کلمه ی " سایبر" مشخص می شود، به جای تیم امنیت فیزیکی مقصودتمرکز یا توجه بر جنبه ی
الکترونیکی و سایبری وجود دارد. دخول کلمه ی "تهدید" در نام گذاری نیز برای بازتاب دادن مواجهه با ویژگی های مبتنی بر خطرات و تهدیدات پیش روی تیم پایش می باشد. سازمان ها خلاقانه نام های متعددی جهت بیان فعالیت های پایش امنیت ارائه داده اند. تمامی این
عناوین استفاده شده تا بیانگر تعریف مجموعه ای از افراد، پردازش ها، روال ها و فناوری هایی در ارتباط با آگاهی رسانی بر اساس موقعیت از طریق شناسایی، مهار(containment) و بازسازی(remediation) از تهدیدات فناوری اطلاعات باشد.
به لحاظ قابلیت های ارائه شده توسط مرکز عملیات ها در طول زمان آن ها را می توان به 5 نسل گروه بندی کرد. نسل اول مرکز عملیات امنیت در حدود سال 1975 شکل گرفت. نخستین مراکز عملیات امنیت از فناوری های نوظهور استفاده می کردند که اغلب تک کاربره و بدون کاربر بودند.
تهیه و تنظیم: رضا آدینه
برگرفته از مقاله منتشر شده شرکت HP
از زمان آغاز اینترنت تا کنون تغییرات پیشرفته و گسترده ای در حوزه ی مرکز عملیات امنیت رخ داده است. در حال حاضر صنعت با پنجمین نسل مرکز عملیات امنیت خدمات شبکه روبرو است. در این مقاله به بررسی و مرور نسل های مختلف و ویژگی های آن ها و آینده ی پیش روی مرکز عملیات امنیت می پردازیم.
خلاصه ی اجرایی
مرکز عملیات امنیت وجود دارد تا پایش و محافظت از دارایی های با ارزش سازمان را در راستای حفظ سلامت کسب وکار، با استفاده از روال ها و رویه های منظم و استاندارد تکرار پذیر و چرخش وار انجام دهد. اولین مرکز عملیات امنیت رسمی
در بخش نظامی و حکومتی شکل گرفت؛ این زمانی بود که اولین شبکه ی مبتنی بر TCP/IP راه اندازی شده بود و مفاهیمی نظیر هوشمندی، مدیریت ریسک و عملیات به خوبی مشخص شده بودند. همانطور که بخش تجاری و خصوصی به طور مداوم
بیشتر و بیشتر با یکدیگرارتباط یافته و به فناوری اطلاعات وابسته تر شده است، بهره برداری و حمایت امنیتی لازم از این ساختار نیز به سرعت ظهور کرده است. نفوذگران پشتیبانی شبکه به طوری گسترده تنها با استفاده از روش های مهندسی اجتماعی و تنوع ساده ای
از روش های بهره بردای از آسیب پذیری های تحت فناوری و ساختار شبکه اختیار کرده وقصد درپیشی گرفتن داشته اند؛ تیم عملیات امنیت با اختیار کردن کنترل های امنیتی در سطوح مناسب به تقابل با این مهاجمان برخاسته است.این شرایط باعث می شود
یک بازار کاملا جدید هم برای افراد خوش نیت محافظت امنیت و هم افراد خرابکار و نفوذگر در یک دورنمای خیلی پویا از تهدیدات ایجاد گردد.تمرکز تیم عملیات امنیت برسامان دهی این چشم انداز تهدیدات فناوری اطلاعات، با استفاده ازشرکت های توسعه یافته
فناوری اطلاعات،بررسی میزان خطرات، یا واحد های انطباق با استاندارد(Compliance departments) و در شکل های گوناگون می باشد.این تیم های عملیاتی امنیت در دنیایی بین سیلو های سازمانی و خط مقدم دفاع سایبری قرار دارند.
یکی از چالش های متداول و همیشگی سازمان های عملیاتی امنیت شناسایی تهدیدات در حال ظهور و جاری، همچنین پیش بینی روش های حمله و نفوذ آینده بوده و ارائه راهکاری مناسب جهت پیش گیری از وقوع و مقابله با این دسته از تهدیدات میباشد.
برای این مهم جهت کسب اطلاعات بیشتر می توان به مدل زنجیره نابودکننده سایبری(Cyber kill chain model)، ارائه شده توسط مارتین لاوکهیید مراجعه کرد.مدل اخیر ارائه شده ی زنجیره نابودکننده سایبری شامل پنج مرحله می باشد که یک فرد نفوذگر
در طول یک حمله بدست می آورد.مطابق با این مدل، مشاهده نصب شبکه می کنیم که فرد مهاجم اهداف خود را مورد بررسی و تحقیق قرار می دهد، در وضعیت امنیتی و دفاعی موجود سازمان نفوذ کرده و اقدام به گردش در سازمان کرده و سعی در شناسایی کلیه ی
دارایی های در دسترس و یافتن اطلاعات ویا دارایی های با ارزش می کند. سپس از آنجا اقدام به در اختیار گرفتن سیستم کلیدی هدف خود کرده و شروع به نفوذ میکنند. با درک کردن این گونه تهدیدات، می توانیم عملیات امنیت خود را گونه ای سازمان دهی
نماییم تا تمامی این مراحل را تحت پوشش قرار دهد. شناسایی و قطع کردن هریک از فعالیت های هر مرحله از مدل فرایند زنجیره نابود کننده سایبری بسیار حیاتی می باشد. در صورتی که یک حمله در مراحل اولیه این زنجیره ی تخریب شناسایی نشود، تاثیر
حمله بیشتر شده و در مرحله ی بعد شناسایی آن بسیار حیاتی خواهد شد.
نام گذاری و انتخاب نام مرکز عملیات امنیت
فرایند نام گذاری و انتخاب نام مرکز عملیات امنیت نیز روندی تکاملی را طی کرده است.سازمان ها با ترکیب های نام گوناگونی بازی کرده اند. برای به تصویر کشیدن قابلیت های پیشرفته و اهداف، ویا اجتناب از مشکلات سیاست گذاری مرتبط با کلمه ی "عملیاتی" در سازمان ها.
" مراکز دفاع " بیانگر طبیعت محافظت کننده از سازمان می باشد، " مراکز هوشمند " بیانگر توانایی ها و قابلیت های پیشرفته، با حجم بالای میکروتیک پردازش و تحلیل می باشد. با افزودن کلمه ی " سایبر" مشخص می شود، به جای تیم امنیت فیزیکی مقصودتمرکز یا توجه بر جنبه ی
الکترونیکی و سایبری وجود دارد. دخول کلمه ی "تهدید" در نام گذاری نیز برای بازتاب دادن مواجهه با ویژگی های مبتنی بر خطرات و تهدیدات پیش روی تیم پایش می باشد. سازمان ها خلاقانه نام های متعددی جهت بیان فعالیت های پایش امنیت ارائه داده اند. تمامی این
عناوین استفاده شده تا بیانگر تعریف مجموعه ای از افراد، پردازش ها، روال ها و فناوری هایی در ارتباط با آگاهی رسانی بر اساس موقعیت از طریق شناسایی، مهار(containment) و بازسازی(remediation) از تهدیدات فناوری اطلاعات باشد.
به لحاظ قابلیت های ارائه شده توسط مرکز عملیات ها در طول زمان آن ها را می توان به 5 نسل گروه بندی کرد. نسل اول مرکز عملیات امنیت در حدود سال 1975 شکل گرفت. نخستین مراکز عملیات امنیت از فناوری های نوظهور استفاده می کردند که اغلب تک کاربره و بدون کاربر بودند.
تهیه و تنظیم: رضا آدینه
برگرفته از مقاله منتشر شده شرکت HP
