مرکز عمليات امنيت
-(6 Body)  Print

با گذار بشر به عصر ارتباطات و گسترش روز افزون استفاده از فناوري اطلاعات و ارتباطات، انتقال حجم وسيعي از داده ها و مبادلات اداري، مالي و تجاري بر بستر شبکه هاي رايانه‌اي صورت مي پذيرد. با توجه به اهميت داده‌هاي توليدي و لزوم حفظ مالکيت فکري و معنوي آن ها توسط شرکت‌ها و افراد مرتبط با کسب و کار ايشان، نقش و مقوله امنيت رايانه‌اي جايگاه به سزايي پيدا ميکند. بدين منظور ضرورت اجراي راهکارهاي امنيتي مبتني براستانداردها و متدولوژي هاي رسمي جهت پوشش و مرتفع شدن نياز‏ هاي اين حوزه، بيش از پيش احساس مي‌شود. لذا سازمان ها به ايجاد فضايي به عنوان مرکز عمليات امنيت (SOC)، مکاني جهت پايش، کنترل و تحليل 24 ساعته امنيت ورود و خروج اطلاعات در قلمروي فضاي تبادل اطلاعات با نگرش شناسايي، کشف تهديدات امنيتي و مقابله با آنها اقدام مي نمايند. اين بخش به عنوان نقطه مرکزي جهت دريافت گزارشات امنيتي،تحليل وقايع،اتخاذ تدابير و اعمال سياست‌هاي امنيتي برروي بخش هاي مختلف فضاي تبادل اطلاعات عمل مي نمايد. SOC با تکيه بر مجموعه اي از تجهيزات سخت افزاري و نرم افزاري نسبت به جمع آوري گزارشات سيستم ها و سرويس هاي امنيتي شبکه هاي ارتباطي ، سيستم هاي عامل، نرم افزارهاي مختلف و همچنين دستگاه هاي مختلف، اقدام نموده و سپس با تلفيق گزارش هاي مختلف و با کمک نرم افزارها و سخت‌افزار ها و متخصصين امر به تحليل آن اقدام مي نمايد. به منظور انجام يک پايش جامع، وقايع و رخدادها از تمامي سيستم هاي اطلاعاتي متشکل از تجهيزات امنيتي و غير امنيتي براي مرکز علميات امنيت ارسال شده و اين بخش بعد از جمع آوري اطلاعات، آنها را دسته بندي نموده و توسط( SIEM(Security Information and Event Managementها و ساير سخت افزار ها و نرم افزار ها آن اطلاعات تحليل مي گردند. به عبارت ديگر مرکز عمليات امنيت با هدف جمع آوري، پايش و تحليل گزارشات امنيتي سيستم هاي امنيتي نظير فايروال ها، روتر ها، آنتي ويروس ها، سيستم هاي تشخيص و جلوگيري از نفوذ و تشخيص دهنده‌هاي آسيب پذيري، در يک سازمان يا حتي در سطح کشور راه اندازي مي شود. به دليل نقش حساس اين مراکز و وجود داده‌ها و تجهيزات خاص، مراکز عمليات امنيت از حساسيت ويژه‌اي برخوردارند لذا از لحاظ فيزيکي نيز مکان‌هاي خاص و امني براي آنها طراحي و پياده سازي ميشود و ورود و خروج به آنجا کنترل شده است. شرکت ثامن ارتباط عصر با داشتن سابقه موفق و دانش عميق در اجراي پروژه هاي مراکز عمليات امنيت (SOC) مي تواند عهده دار اجراي پروژه هاي مرتبط در اين زمينه با انواع راه حلهاي بومي و يا بين المللي باشد.

Responsive image

Responsive image

مجموعه نرم افزار و سخت‌افزاري است جهت تحليل هاي امنيتي داده هاي حجيم در کليه سازمان ها و مراکز مخصوصا حوزه مالي. اين راهکار مجموعه ابزاري جامع براي تحليلگران امنيتي سيستم هاي اطلاعاتي جهت تحليل و کشف نفوذ، تحليل کاربران و تحليل‌هاي مختلف تجاري فراهم آورده است. از اين ابزار براي واکنش به حادثه و مديريت وقايع امنيتي نيز مي‌توان استفاده کرد. اين ابزار کمک مي کند که افراد در عين داشتن ديد جزئي بتوانند ديد جامعي نيز در راستاي اهداف خود براي کشف و تحليل وقايع امنيتي داشته باشند. اين ابزار يکي از مهمترين عنصر هاي مراکز عمليات امنيت (SOC) است. در اين مجموعه ابزار، عمليات زير صورت مي‌پذيرد:

  1. پايش رويدادها
  2. شنود و کشف در شبکه
  3. تلفيق رويدادها و عوامل براساس پيشفرض هاي تحليلگر و مقررات سازماني
  4. تشخيص Anomaly
  5. تحليل داده هاي حال و گذشته
  6. پاسخ و اصلاح به صورت خودکار
  7. مديريت تغييرات
  8. ارزيابي، مميزي، نظارت و بازرسي امنيتي
  9. کمک در تحليل جرائم رايانه اي
مقايسه محصولات معتبر در حوزه SIEM:

با توجه به اهميت روزافزون استفاده از SIEM در سازمان ها، شرکت هاي معتبر در حوزه فناوري اطلاعات و امنيت رايانه اي اقدام به ايجاد محصولاتي مبتني بر آن کرده‌اند؛ از جمله برترين SIEMهاي موجود مي توان به IBM Security QRadar، HP ArcSight، Splunk، McAfee و... اشاره نمود. در سال 2014 تحقيقي در حوزه عملکرد برترين SIEMهاي موجود در سه دسته مطابقت با استانداردها، مديريت تهديد و تکنولوژي به کار گرفته شده در SIEM صورت گرفت و امتيازات حاصله به شرح ذيل مي باشد:

Responsive image

Responsive image

Responsive image

جدول مقايسه اي خصوصيات اختصاصي ArcSight بعنوان SIEM را در مقايسه با ساير SIEM ها از نظر گارتنر(Gartner) را ميتوانيد اينجا ببينيد.

لازم به ذکر است اجراي ناصحيح پروژه هاي ArcSight در ايران، القاء عدم توانمندي در اجراي اين راهکار قدرتمند جهاني را در اذهان متبادر کرده است. اما بايد در نظر داشت براي آن که ArcSight به عنوان ابزاري جهت کشف نفوذ و تحليل هاي پيشرفته بکار رفته و در عين حال بتواند براي راهکارهاي مديريت لاگ مورد استفاده قرار گيرد، نيازمند پياده سازي صحيح مي باشد. طراحي و پياده سازي ArcSight نيازمند دانش و تجربه قابل قبولي است تا بتوان از آن به نحوي مطلوب استفاده نمود. در غير اينصورت علاوه بر تحميل هزينه هاي گزاف و بعضا غير ضروري به سازمان، خروجي مطلوبي از ArcSight گرفته نخواهد شد. شرکت ثامن ارتباط عصر با داشتن کارشناسان خبره و دانش بومي شده ArcSight مي تواند در طراحي و پياده‌سازي کامل، کارا و در عين حال مقرون به صرفه، خدمات لازم در اين زمينه را ارائه نمايد. در اين راستا و براي نشر دانش ArcSight و پياده سازي درست و بهينه SOC و ArcSight، کتاب "مقدمه اي بر مراکز عمليات امنيت (SOC) و HP ArcSight" از سوي اين شرکت توسط انتشارات ناقوس به چاپ رسيده است.

بيشتر بدانيد ...

 

برخي اصطلاحات پايه اي ArcSight :

تلفيق : (Correlation) در تلفيق به دنبال کشف رابطه هاي بين چندين رويداد از منابع مختلف يا زمان هاي گوناگون هستيم تا زيرساخت و روشي براي نحوه واکنش و اولويت بندي آن ها استخراج نماييم.

جريان کاري (Workflow): يک ساختار قابل تغيير و بهينه است که در راستاي برخورد با حوادث، کنترل فرآيند و تخصيص نيرو به کارها تدوين و اجرا مي‌گردد، به نحوي که اطمينان حاصل شود حادثه يا رويداد به شخص مناسب و در زمان مقرر محول شده است. سپس فرد مسئول پس از انجام وظيفه مربوطه، نتيجه را از همان طريق براي ادامه بررسي اعلام مي نمايد.

تحليل(َAnalysis):هArcSight  يک سري ابزار هاي تحقيق و جستجو را براي عميق تر شدن بررسي در اختيار تحليل گر قرار مي دهد تا در صورتي که رويدادي نياز به تحقيق داشته باشد به کمک آن ها به انجام تحليل بپردازد.

گزارش گيري (Reporting) : گزارش هاي خلاصه مديريتي و گزارش هاي تحليلي و با جزئيات لازم، به سرعت قابل تهيه و ارائه است. اين گزارش‌ ها مي تواند توسط مديران IT، مديران امنيت يا بازرسان تطبيق با قوانين، مورد استفاده قرار گيرد.

Responsive image

 

اجزاي معماري ArcSight:

ESM Console: اين کنسول رابط کاربري است که بر روي ايستگاه کاربر يا سرور جداگانه نصب مي گردد و توسط کارمندان SOC مورد استفاده قرار مي گيرد. ابزاري جهت نوشتن فيلترها، Ruleها، گزارشات، Pattern Discovery، Dashboardها و Data Monitorها است. به طور خلاصه اين کنسول قابليت انجام تمام عمليات کاري از لايه پايين تا سطح تحليل را دارد.
Management Console : در اين کنسول مديريت کاربران و فضاي ذخيره سازي با استفاده از رابط کاربري وب امکان پذير است. به روز رساني License، مديريت عناصر تعيين هويت و تنظيم هشدارهاي فضاي ذخيره سازي در آن انجام مي شود. بنا به دلايل امنيتي وظيفه نوشتن Ruleها و فعاليت هاي حساس و برخي عمليات مديريتي در فضاي وب امکان پذير نمي‌ باشد.
Manager : اين عنصر قلب سيستم ArcSight مي باشد و وظيفه تحليل و پيگري امور و کنترل سرويس ها را برعهده دارد. Manager رويدادها را در CORR-Engine به صورت جرياني از داد ه هاي ورودي آنلاين مي نويسد و همزمان از طريق موتور تلفيق، پردازش اين داده ها انجام مي شود و اطلاعات ارزشمندي را در لحظه بازمي گرداند. 
Connector :Connectorها به صورت نرم‌افزاري (Smart Connectors) و سخت‌افزاري (Connector Appliance) وظيفه جمع آوري لاگ‌ها از تجهيزات شبکه به صورت دوره‌اي و منظم، حذف رويدادهاي غيرلازم در فضاي ذخيره سازي و تجميع داده هاي ارسالي به Manager را بر عهده دارند. Connectorها پيش از ارسال رويدادها آن ها را نرمال سازي کرده و به صورت الگويي عام و قابل خواندن توسط انسان در مي آورند. علاوه بر اين Connector مي تواند رويدادها را فيلتر و تجميع کند تا ميزان داده اي که به Manager فرستاده مي شود کاهش يابد. اين ويژگي دقت و کارايي ArcSight را بالا برده و زمان پردازش را کاهش مي دهد. Connector پس از جمع آوري داده ها از نقاط تعيين شده داده‌ها را به روش زير نرمال سازي مي کنند:
الف) نرمال سازي مقاديري چون حساسيت، اولويت و زمان به يک فرمت عام
ب) نرمال سازي ساختار داده ها براي کاهش حجم رويدادهايي که به Manager ارسال مي شوند.
Flex Connector : زيرساختي است که شما را قادر مي سازد Connector خود را بسازيد تا فراخور سيستم اطلاعاتي شما، نيازهاي شما را رفع کند. در برخي موارد SmartConnector مورد نياز براي عنصر سيستم اطلاعاتي شما در ليست Smart Connectorهاي ArcSight وجود ندارد. اين زيرساخت شما را قادر مي سازد SmartConnector مورد نظر خود را بنويسيد و بسازيد.
ذخيره ساز CORR-Engine: يک ذخيره ساز و پردازشگر داده مختص و انحصاري ArcSight است که قادر است با سرعت و کارايي بالا داده را مورد جستجو و پردازش قرار دهد. ArcSight Interactive Discovery: يک برنامه مجزا است کهPattern Discovery ، Dashboardهاي مربوطه، گرافيک و گزارش‏ هاي لازم را تکميل مي سازد و توانايي کاوش عميق در داده هاي امنيتي پيچيده، افزايش سرعت در تحليل هاي زمان بر و در عين حال نياز به کشف سريع و ارائه گزارش هاي قابل درک و نمايش هايي از انبوه داده هاي پيچيده را دارا مي باشد.
Pattern Discovery : اين ابزار مي تواند به صورت خودکار الگوهاي خاص، بلند مدت و ماندگار در سيستم را کشف کند و   نمايانگر جرياني از آسيب پذيري ها يا حملات کشف نشده مي‌باشد. لذا از مزاياي Pattern Discovery کشف حملات Zero-day و کشف حملات آرام و ماندگار مي باشد.
Logger : دستگاهي براي ذخيره سازي انبوهي از داده هاي با حجم بالا مي باشد. داده ها به صورت فشرده ذخيره  مي گردند و در عمليات کشف جرائم رايانه اي به صورت دست  نخورده قابل دست يابي هستند.
ArcSight NCM/TRM : دستگاهي است که با فهم نقشه شبکه و سيستم اطلاعاتي امکان مديريت زيرساخت شبکه و سيستم اطلاعاتي را مي دهد. از توانمندي   هاي دستگاه مي توان به تعيين محل و قرنطينه هر دستگاه متصل به شبکه، اعمال فيلتر پروتکل‌هاي خاص جهت کاهش حمله، بستن محدوده IP خاص، از کار انداختن نام کاربري خاص، مديريت متمرکز تغييرات روي يک دستگاه يا مجموعه اي از دستگاه ها، بازرسي تغييرات و فرآيند کنترل و تسريع انجام امور روزمره شبکه با Wizardهاي موجود اشاره کرد.
HP RepSM : اين سرويس توسط HP Tipping Point Reputation Digital Vaccine پشتيباني مي شود و توانايي کشف حملات Zero-Day را به ما مي دهد. به طوريکه شامل تعداد زيادي از آدرس هاي IP، نام ايستگاه هاي کاري و نام دامنه هاي خطرناک و مشکوک است.

شرکت ثامن ارتباط عصر با داشتن سابقه موفق و دانش عميق در اجراي پروژه هاي مراکز عمليات امنيت (SOC) مي تواند عهده دار اجراي پروژه هاي مرتبط در اين زمينه با انواع راه حلهاي بومي و يا بين المللي باشد.

برخي از توانمندي ها در اين زمينه عبارتند از:

  1. طراحي و پياده سازي کامل زيرساخت فيزيکي مرکز عمليات امنيت
  2. طراحي و پياده سازي ساختار سازماني و فرآيندهاي مرکز
  3. طراحي و پياده سازي سخت افزارها و نرم افزارهاي کشف نفوذ و واکنش به حادثه
  4. تهيه کليه اقلام سخت افزاري و نرم افزاري مورد نياز براي راه اندازي SOC
  5. تامين و پيکربندي کامل SIEM هاي مختلف با برندهاي ايراني و خارجي
  6. پشتيباني فني و نگهداري مراکز عمليات امنيت (SOC)
  7. ارائه خدمات مقابله وآگاهي بخشي در حوزه حملات سايبري سازمان يافته

1)تفاوت NOC با SOC در چيست؟

ساختار SOCو NOC تا حدود بسياري به هم شباهت دارد. هر دو داراي سيستم‎هاي مانيتورينگ و مرکز تماس و تيم بررسي رخداد مي‎باشند. فرايندها و رخدادها در NOC و SOC مانيتور شده و در صورت بروز مشکلات به آن عکس‎العمل نشان داده مي‌شود. اما مرکز عمليات شبکه (NOC) فاقد ساختاري جهت مديريت رخدادهاي امنيتي مي‎باشد و صرفا نگهداري و اطمينان از صحت عملکرد اجزاي شبکه و زيرساخت يک سازمان را برعهده دارد در حاليکه مرکز عمليات امنيت (SOC) مديريت رخدادهاي امنيتي جهت حفاظت از سيستم اطلاعاتي شما را بر عهده دارد. اصولا در SOC عمليات بصورت نيمه خودکار و نيمه هوشمند به قصد کشف نفوذ و مقابله با حوادث انجام ميگردد. به دليل تجميع اطلاعات حساس در اين مراکز ، دسترسي به اين مراکز محدود شده ميباشد.

2)حملات Zero-Day چيست؟

حمله يا تهديد رايانه‎اي است که از يک آسيب پذيري در يک نرم‎افزار کاربردي که تا پيش از آن ناشناخته بوده است، بهره‎جويي مي‎کند. مهاجمان حفره‎هاي موجود در نرم افزار را که از ديد طراحان و توسعه دهندگان مخفي مانده است شناسايي و کشف کرده و براي حمله و نفوذ به سيستم کاربران از آن مي‎کنند.

3)ArcSight Pattern Discovery چگونه حملات Zero-Day را کشف مي‎کند؟

اين ابزار مي‎تواند به صورت خودکار الگوهاي خاص، بلند مدت و ماندگار در سيستم را کشف نموده و نمايانگر جرياني از آسيب‎پذيري‎ها يا حملات کشف نشده باشند. لذا از مزاياي Pattern Discovery کشف حملات Zero-day و کشف حملات آرام و ماندگار مي‎باشد.

4)SIEM چيست؟

سيستم‌ مديريت اطلاعات و رخدادهاي امنيتي (SIEM) اطلاعات مربوط به رخدادهاي امـنيتي تجهـيزات و برنامه‌هاي کـاربردي مـوجود در سيستم اطلاعاتي را جـمع‌آوري کرده و به بررسي و شناسايي ريسک‌هايي که حملات متعدد و پيچيده به همراه دارند، مي‌پردازد. به عبارت ديگر SIEM قلب مرکز عمليات امنيت (SOC) مي‎باشد.

5)معيارهاي مناسب جهت انتخاب SIEM چه چيزهايي مي باشد؟

از جمله معيارهاي مناسب جهت انتخاب يک SIEM مي‎توان به موارد ذيل اشاره کرد:

  • قوانين کشوري و سازماني مرتبط با حوزه فعاليت سازمان
  • گزارش هاي موسسه‎هاي معتبر نظير گارتنر
  • سازگاري SIEM با ساير سيستم هاي موجود در سازمان
  • وجود دانش فني
  • امکان پشتيباني در ايران و نحوه ارائه خدمت توسط شرکت سازنده SIEM

6) چه چيزي ArcSight را از ديگر SIEMها متمايز کرده است؟

وجود توانمندي هاي خاص که در تعداد اندکي از SIEM هاي مشابه دارد وجود دارد مانند Pattern Discovery که براي تشخيص حملات Zero Day به کار ميرود. نکته ديگر آن است که اين گونه توانمندي هاي خاص بصورت کاربر پسند در ArcSight طراحي و به اجرا درآمده است.

7) آيا ArcSight Express به تنهايي يک SIEM است؟

بله اما براي سازمانهاي کوچک که داراي نرخ رويداد بر ثانيه پاييني مي باشند و همچنين قابليت هاي خاص SIEM که در مورد شش اشاره شد مد نظرشان نيست.

8) آيا ArcSight ESM يک SIEM است ؟

بله براي سازمانهاي بزرگ با نرخ رويداد برثانيه بالا مناسب است ليکن براي داشتن تمام قابليت هاي ArcSight SIEM بايستي قابليت هاي خاص اين محصول نيز تهيه شوند، مانند TRM و Pattern Discovery

9) HPE چيست ؟

در اواخر سال 2015 و اوايل سال 2016 شرکت HP تصميم گرفت محصولات Enterprise خود را در قالب شرکتي جداگانه توليد و مديريت نمايد لذا شرکت HP به دو شرکت HPE و HP Inc تبديل شد که ArcSight توسط شرکت HPE مديريت ميگردد.

 

آپارات آراس اس تلگرام
تمامي حقوق متعلق به موسسه ارتباط عصر ثامن مي باشد.