مرکز عمليات امنيت
-(17 Body)  Print

ما در عصر سرقت اطلاعات زندگي مي‌کنيم. در دسامبر 2016 بيش از 980 سرقت اطلاعات در 2016 رخ داده بود که رکورد بالاي 783 نقض داده در سال 2014 را تحت‌الشعاع قرار داد.

هزينه متوسط اين سرقت ها چقدر است؟ طبق تحقيقات مؤسسه پونمان(Ponemon) 3.8 تا 4 ميليون دلار نقض‌هاي داده به جز هزينه مالي اوليه، مي‌توانند منجر به از دست دادن اعتماد مشتري شوند. اما سازمان‌هاي فناوري اطلاعات نه فقط با هکرها و بدافزارها مي‌جنگند بلکه با جريان سيلابي داده شبکه‌هاي خودشان نيز مبارزه مي‌کنند.

شرکت فورچون 500 (Fortune 500: شرکت ارائه دهنده ليست 500 شرکت بزرگ آمريکايي) به راحتي مي‌تواند ماهيانه 10 ترابيات داده متن ساده(plain-text) توليد کند. اگر لاگ‌ها، ساختار هوشمند شناسايي تهديدات، ردگيري جرايم،‌مديريت هويت و دسترسي(IAM) به درستي مديريت نشوند، اين سيستم‌ها مي‌توانند انبوهي از داده را ايجاد کنند که بسياري از سازمان‌ها و شرکت‌ها در آن غرق مي‌شوند درحالي‌که داده‌هاي امنيتي مربوط در جريان هستند.

پس شرکت‌ها چطور مي‌توانند به شکل مؤثر داده را ثبت و مانيتور کرده و اين داده‌ها را به هم ارتباط دهند تا به يک بينش قابل پيگيري دست يابند؟ به راهکار مديريت رويداد و اطلاعات امنيتي(SIEM) وارد شويد.

عبارت SIEM توسط مارک نيکولت و آمريت ويليامز که تحليلگران گارتنر هستند در سال 2015 معرفي شد. SIEM يک راهکار امنيتي است که مديريت رويداد امنيتي (SEM) که روي جمع‌آوري لاگ و توليد گزارش تمرکز دارد را با مديريت اطلاعات امنيتي(SIM) که روي تحليل رويدادهاي زمان واقعي با استفاده از همبستگي رويداد و مکانيسم‌هاي رويداد تمرکز دارد ترکيب مي‌کند.

راهکارهاي SIEM به شرکت‌ها کمک مي‌کنند حجم‌هاي زياد لاگ‌هايي که از منابع پراکنده مي‌آيند را مديريت کرده و با مانيتور کردن پيشگيرانه زمان‌واقعي فعاليت‌هاي مشکوک در شبکه‌ها، آسيب ناشي از حملات سايبري پيچيده را کمتر کنند. به صورت سنتي، SIEM براي دو مورد کاربرد استقرار داده مي‌شود:‌ مديريت تهديد: مانيتور بالقوه و گزارش فعاليت و دسترسي يا گزارش پيروي از قانون که به کسب و کارها کمک مي‌کند نيازمندي‌هاي قانوني سختي مانند HIPAA، PCI DSS، SOX‌ و غيره را برآورده کنند. اما با تکامل امنيت اطلاعات، قابليت‌هاي SIEM نيز تکامل يافته‌اند. سيستم‌هاي SIEM امروزي به سرعت از قابليت‌هاي جديد مانند تحليل‌هاي رفتاري استفاده مي‌کنند که به شرکت‌ها کمک مي‌کند تهديدات بالقوه را شناسايي کرده و قبل از اينکه تبديل به نقض‌هاي پرهزينه شوند آن‌ها را حذف کنند.

در سال 2017، SIEM بخشي ضروري از تلاش‌هاي امنيتي هر شرکت با کسب و کار حياتي است اما انتخاب راهکار SIEM مناسب شرکت کار آساني نيست. SIEM به عنوان يک محصول پيچيده و دشوار شناخته مي‌شود و پياده‌سازي آن فرايند دشواري دارد که هفته‌ها يا حتي ماه‌ها به طول مي‌انجامد. اگر در اين فرايند عجله کنيد ممکن است با هزينه‌هاي هنگفت يا بدتر از آن يک استقرار گران و شکست‌خورده روبه‌رو شويد. چيزي که مسئله را پيچيده‌تر مي‌کند اين است که SIEM يک بازار بالغ با تعداد زيادي فروشنده است که مي‌توانند نيازمندي‌هاي مديريت لاگ، پيروي از قوانين و مانيتورينگ رويداد يک مشتري معمول را برآورده کنند اما تفاوت‌هاي اين محصولات براي افراد غيرمتخصص قابل تشخيص نيست. اما با وجود اينکه SIEMها به هم شبيه به نظر مي‌رسند، بسياري از راه‌کارها براي موردهاي کاربرد کاملاً متفاوت بهينه‌ شده‌اند و يک محصول وجود ندارد که براي همه موارد مناسب باشد. هر تصميمي که بگيريد يک نکته هميشه ثابت است : فرقي نمي‌کند يک شرکت سهامي عام، يک مؤسسه دولتي يا حتي کسب‌وکاري کوچک يا متوسط باشيد، مزاياي SIEM ارزش بررسي کردن را دارند. در اين راهنماي خريد براي همه از گروه‌هاي کوچک گرفته تا سازمان‌هاي چندمليتي راهکاري وجود دارد. کار ما اين است که به شما کمک کنيم تا بهترين محصول را متناسب با شرايط سازمان ارزيابي وخريداري نماييد.

(SIOC(Security Intelligence and Operation Consulting

Responsive image

نسل پنجم مرکز عمليات امنيت مبتني بر اطلاعات زير ميباشد:

  1. آناليز داده‌ها و استفاده از داده هاي عظيم، متدولوژي مبني بر هوش و آگاهي، به اشتراک‌گذاري اطلاعات و شيوه‌ي مقابله با دشمن انساني نسل پنجم مرکز عمليات امنيت، بر خلاف راه‌کار‌هاي امروزه، تلاش خود را مبني بر آموزش دادن تحليل‌گران براي درک رفتار بد افزارها و پيش‌بيني رفتار آن‌ها، يادگيري نحوه‌ي تفکر اشخاص مجرم و هکر و تفکر تحليلگرانه بنا مي‌کند.
  2. نسل پنجم مرکز عمليات امنيت، به شکلي بهينه کار مي‌کند. اکثر فعاليت‌ها مانند پاسخ به حمله و قرنطينه کردن سيستم‌هاي به خطر افتاده که توسط تحليل‌گران امنيتي در نسل چهارم به صورت دستي انجام مي‌گرفتند در اين نسل به شکل خودکار انجام مي‌شوند.
  3. چرخه‌هايي که در نسل پنجم، در آن‌ها نيروي انساني دخيل است، عموماً تحليل دقيق و موشکافانه‌ي مواردِ مشکوک براي يافتن خطرات احتمالي است.
  4. تمرکز نسل پنجم مرکز عمليات امنيت بر تحليل‌گري است.
  5. نسل پنجم مرکز عمليات امنيت متشکل از رياضيدان‌ها، تئوريسين‌ها، تحليل‌گران آماري و دانشمندان علم «بزرگ داده ( Big Data )» است.
  6. عملکرد نسل پنجم مرکز عمليات در عمل به تنهايي ممکن نيست. حداقل، همکاري لازم براي سازمان‌هاي مختلفي که نسل پنجم را پياده‌سازي کرده‌اند بايد به اندازه ميزان همکاري هکر‌هايي است که مصممانه قصد تخريب آن سازمان را داشته?اند
  7. نسل پنجم، بازي را براي هکر‌ها سخت‌تر و برد را براي سازمان‌ها به مراتب آسان‌تر مي‌کند.
  8. سازمان‌ها در حال حاضر تمرکز زيادي روي جمع‌آوري نيرو‌هاي متخصص جمع‌آوري‌ داده‌ها، نيرو‌هاي شکارچي براي پيدا کردن عوامل جرايم کامپيوتري و سيستم‌هاي مقابله با حملات کرده‌اند
  9. نسل پنجم بايد توانايي زير‌ نظر گيري آسيب‌پذيري‌هاي جديد، يافتن بد افزارهاي جديد و پاسخگويي سريع به وقايع را داشته باشد مرکز عمليات امنيت نسل پنجم ديگر فقط درباره‌ي امن کردن شبکه نيست، بلکه هدف آن امن کردن کسب‌وکار است.

براي اينکه بتوانيد اين فرايند را به صورت حساب‌شده و منظم انجام دهيد، در ادامه 10 سؤال آورده شده که پنج سوال براي شما و پنج سؤال براي ارائه‌دهنده راهکارهاي بالقوه براي نيازهاي SIEM شماست. اين سؤالات به شما کمک خواهند کرد چيزي که از يک راهکار مي‌خواهيد و کاري که قرار است براي شما انجام دهد را بررسي کنيد و پيشنهادها، خدمات و توان ماندگاري راهکار را ارزيابي کنيد.

5 سؤالي که قبل از انتخاب يک راهکار SIEM بايد از خودتان بپرسيد

1)ما چگونه راهکار SIEM خودمان را پشتيباني مي‌کنيم؟

SIEM فقط در صورتي کار مي‌کند که ما آن را به کار اندازيم و استقرار يک SIEM معمولي به کار تمام وقت يک تيم تا هشت نفره نياز دارد تا بتوان آن را صحيح مديريت کرد. SIEM بدون يک تيم اختصاصي از تحليل‌گران امنيتي مانند قلعه‌اي خالي است:‌ شايد ابهت داشته باشد اما نمي‌تواند جلوي کسي را بگيرد. SIEM جايگزيني براي بخش امنيتي نيست، بلکه يک ابزار است و به صورت پيوسته به يک متخصص فني خوب نياز دارد که به درستي کار کند و ارزش ارائه دهد. قبل از اينکه تصميم بگيريد کدام SIEM براي شما مناسب است، مطمئن شويد سازمان شما مي‌تواند آن SIEM را مديريت کند. آيا منابع و کارمنداني داريد که بتوانيد به صورت مؤثر SIEM را مديريت کنيد؟ آيا مي‌توانيد کارمندان مورد نياز براي پشتيباني از SIEM را استخدام کرده و آموزش دهيد؟ اگر نمي‌توانيد، بهتر است يک پيشنهاد خدمات مديريت‌شده را در نظر بگيريد.

2)سازمان من از SIEM چه چيزي مي‌خواهد؟

شايد بديهي به نظر برسد، اما بايد هنگام ارزيابي SIEM يا راهکارهاي تحليل‌هاي امنيتي، نيازهاي خودتان را بشناسيد. قبل از شروع کردن فرايند ارزيابي بايد نيازها و محرک‌هاي تجاري خودتان براي استفاده از اين SIEM را درجه‌بندي کنيد. براي لاگ کردن به چه منابع داده‌اي نياز داريد؟ آيا به جمع‌آوري زمان واقعي نياز داريد؟ آيا به جمع‌آوري همه داده‌هاي امنيتي يا فقط زيرمجموعه‌اي از آن نياز داريد؟ به آرشيو کردن چه چيزي نياز داريد؟ به چه مدت به آن نياز داريد؟ وقتي داده جمع‌آوري شد چگونه از داده استفاده خواهيد کرد؟ براي مباحث قانوني؟ براي تشخيص تهديدات؟ براي حسابرسي و تطبيق مقررات؟

3)آيا به يک راهکار SIEM کامل نياز داريم؟‌يا مديريت لاگ کافي است؟

سيستم‌هاي SIEM قابليت‌‌هاي زيادي دارند اما پرهزينه و پيچيده نيز هستند. اگر سازمان شما بدون داشتن يک مورد کاربردي پيچيده، به دنبال خريد راهکارهاي SIEM پيچيده است، بهتر است تجديد نظر کنيد. براي مثال، بسياري از نيازمندي‌هاي تطبيق مقرراتي را مي‌توان با راهکارهاي مديريت لاگ سنتي برآورده کرد. اگر شما بيشتر از همبستگي، SEM و SIM به دنبال مديريت لاگ هستيد، استفاده از اين راهکارهاي سنتي براي شما مناسب است.

4)آيا به «تحليل‌هاي امنيتي» يا SIEM سنتي نياز داريم؟

راهکارهاي «تحليل‌هاي امنيتي» که از فنآوري‌هاي داده عظيم و الگوريتم‌هاي تحليل جديد استفاده مي‌کنند، تأثير بزرگي روي بازار SIEM مي‌گذارند. اين‌ها راهکارهاي بسيار مؤثري هستند اما پيچيدگي زيادي نيز دارند. سازمان‌هايي که تيم‌هاي عملياتي امنيتي بالغ، با تأمين مالي مناسب و اختصاصي دارند بايد اين نوع راهکارها را که مي‌توانند بهتر تهديدات امنيتي را تشخيص دهند و بار کاري تحليل‌گراني که مسئول نظارت سيستم‌هاي شما هستند را کاهش دهند بررسي کنند. دقت کنيد، اگر سازمان شما با استقرار SIEM فعلي خود مشکل دارد، امکان کمي وجود دارد بتواند يک سيستم تحليل امنيتي داده عظيم را مديريت کند. همانطور که تحليل‌گر گارتنر يعني آنتون چاواکين (Anton Chuvakin) گفته است «اگر شانس کمي براي سود از سرمايه‌گذاري وجود دارد به فريبندگي داده هاي عظيم توجه نکنيد.»

5)چقدر مي‌خواهيم هزينه کنيم؟

SIEM توسعه يافته نياز به بودجه قابل توجهي دارد. هزينه‌هاي لايسنس اوليه که شامل يک هزينه پايه به اضافه هزينه هاي هر نود يا کاربر مي‌شوند، هزينه هاي پايگاه داده سرورها، هزينه‌هاي آموزش پرسنل و اغلب هزينه‌هاي فضاي ذخيره‌سازي اضافي خارجي وجود دارند. يک هزينه دائمي براي پرسنل مورد نياز براي کار مؤثر با SIEM نيز وجود دارد. يک سيستم SIEM حرفه اي و کامل مي‌تواند هزاران دلار هزينه داشته باشد،درحالي‌که آخرين قابليت‌ها را در اختيار شما قرار مي‌دهد.همه کسب‌وکارها قادر نيستند اين مقدار پول هزينه کنند. بعضي فروشندگان SIEM نسخه سبکي از محصول ارائه مي‌دهند که قابليت‌هاي گزارش‌گيري و مديريت لاگ پايه را ارائه مي‌دهند اما فاقد قابليت‌هاي تحليلي پيشرفته و ساير ويژگي‌هايي هستند که ساير SIEMها از آن پشتيباني مي‌کنند. اين SIEMهاي سبک بسيار ارزان‌تر از ساير SIEMها هستند و مي‌توانند جايگزين مناسبي براي کسب‌وکارهايي باشند که مي‌خواهند پول کمتري خرج کنند.

5 سؤالي که بايد از ارائه‌دهنده SIEM بالقوه خودتان بپرسيد

1)محصول شما چگونه نيازهاي حسابرسي و تطبيق مقرراتي ما را برآورده مي‌کند؟

مديريت تطبيق مقرراتي يکي از موردهاي کاربرد پرتکرار راهکارهاي SIEM است و به همين دليل بيشتر SIEMها از مقررات رايج مانند HIPAA،PCI DSS و SOX پيشتيباني مي‌کنند. سازمان شما مي‌تواند با استفاده از يک SIEM براي براورده کردن نيازهاي گزارش تطبيق خود در زمان صرفه‌جويي کند اما قبل از اينکه بتوانيد اين کار را انجام دهيد بايد مطمئن شويد که راهکار بالقوه با مقررات صنعت خاص شما سازگار باشد. از فروشنده بالقوه خودتان بخواهيد رابطه روشني ميان نيازهاي مقررات صنعت شما و خط‌مشي‌ها و مجموعه قوانين خودشان ارائه دهد. چه گزارش‌هاي تطبيق مقرراتي آماده‌اي در دسترس هستند؟ چه ميزان سفارشي‌‌سازي براي گزارش‌گيري در دسترس است؟

2) آيا در استقرار همکاري مي‌کنيد؟ آيا براي پرسنل آموزش ارائه مي‌دهيد؟

SIEM يک فنآوري پيچيده است و طبيعتاً استقرار آن نيز يک فرايند پيچيده است. در حقيقت استقرار SIEM به وضوح دشوار است، اوليور راچفورد (Oliver Rochford ) (تحليلگر گارتنر) در گزارشي در سال 2014، تخمين زد چيزي بين 20 تا 30 درصد استقرار‌هاي SIEM شکست مي‌خورند. وقتي يک راهکار SIEM با موفقيت استقرار داده شود، براي مديريت نرم‌افزار و تضمين کاربرد مؤثر از آن نياز به يک تيم اختصاصي از تحليل‌گران و تکنيسين‌هاي ماهر وجود دارد. از فروشندگان بالقوه بپرسيد چه پشتيباني‌هايي در فرايند استقرار ارائه مي‌دهند و آيا آموزش براي تيم شما ارائه مي‌دهند يا خير.

3) آيا از پلتفرم‌هاي ابر عمومي و خصوصي(public and private cloud) و محيط‌هاي داده عظيم پشتيباني مي‌کنيد؟ اگر اين طور نيست، آيا برنامه داريد اين کار را انجام دهيد؟

چه شما از اين راهکارهاي داده عظيم و رايانش ابري عمومي استفاده مي‌کنيد چه استفاده نمي‌کنيد، به احتمال بسيار زياد اين فنآوري‌ها نقش مهمي در آينده محيط فنآوري اطلاعات سازمان شما بازي مي‌کنند. اگر امروز مي‌خواهيد براي يک راهکار SIEM هزينه زيادي انجام دهيد، بايد بدانيد آيا مي‌توانيد از آن در سيستم‌هايي که در آينده از آن‌ها استفاده مي‌کنيد بهره ببريد يا خير.

4)SIEM شما با چه کيفيتي منابع لاگ را مديريت مي‌کند؟ آيا از بومي‌سازي پشتيباني کاملي دارد يا نياز به توسعه سفارشي دارد؟

اگر SIEM شما داده لاگ منابع مهم توليدکننده لاگ سازمان شما را نفهمد ارزشي نخواهد داشت. مطمئن شويد راهکار SIEM بالقوه شما از سيستم امنيتي سازمان مانند فايروال‌ها، سيستم‌هاي پيشگيري از نفوذ، VPNها، دروازه‌هاي ايميل و محصولات ضد بدافزار پشتيباني مي‌کند. هر راهکار بالقوه SIEM بايد از فايل‌هاي لاگ سيستم عاملي که سازمان شما از آن استفاده مي‌کنيد نيز پشتيباني کند(هم از نظر نوع و هم از نظر نسخه).

5) محصول شما چه امکاناتي براي تحليل داده ارائه مي‌دهد؟

يک SIEM که براي تشخيص و واکنش به حادثه استفاده مي‌شود بايد در کنار هشدارها و گزارش‌هاي SIEM، ويژگي‌هايي ارائه دهد که به تحليل‌گران امنيتي شما کمک مي‌کنند لاگ را مرور و تحليل کنند. حتي هوشمندترين SIEM با بهترين پيکربندي بدتر از بهترين تحليلگر عمل مي‌کند. يک SIEM بسيار دقيق باز هم مي‌تواند رويدادها را اشتباه تفسير کند، بنابراين اطمينان حاصل کنيد که تيم شما مي‌تواند نتايج SIEM را بررسي کند. قابليت جستجو و بصري‌سازي قدرتمند داده نيز به آسان کردن بررسي رويدادها کمک مي‌کند.

img-responsive center-block

مجموعه نرم افزار و سخت‌افزاري است جهت تحليل هاي امنيتي داده هاي حجيم در کليه سازمان ها و مراکز مخصوصا حوزه مالي. اين راهکار مجموعه ابزاري جامع براي تحليلگران امنيتي سيستم هاي اطلاعاتي جهت تحليل و کشف نفوذ، تحليل کاربران و تحليل‌هاي مختلف تجاري فراهم آورده است. از اين ابزار براي واکنش به حادثه و مديريت وقايع امنيتي نيز مي‌توان استفاده کرد. اين ابزار کمک مي کند که افراد در عين داشتن ديد جزئي بتوانند ديد جامعي نيز در راستاي اهداف خود براي کشف و تحليل وقايع امنيتي داشته باشند. اين ابزار يکي از مهمترين عنصر هاي مراکز عمليات امنيت (SOC) است. در اين مجموعه ابزار، عمليات زير صورت مي‌پذيرد:

  1. پايش رويدادها
  2. شنود و کشف در شبکه
  3. تلفيق رويدادها و عوامل براساس پيشفرض هاي تحليلگر و مقررات سازماني
  4. تشخيص Anomaly
  5. تحليل داده هاي حال و گذشته
  6. پاسخ و اصلاح به صورت خودکار
  7. مديريت تغييرات
  8. ارزيابي، مميزي، نظارت و بازرسي امنيتي
  9. کمک در تحليل جرائم رايانه اي

شرکت ثامن ارتباط عصر با داشتن سابقه موفق و دانش عميق در اجراي پروژه هاي مرکز عمليات امنيت (SOC) مي تواند عهده دار اجراي پروژه هاي مرتبط در اين زمينه با انواع راه حلهاي بين المللي باشد.

برخي از توانمندي ها در اين زمينه عبارتند از:

  1. طراحي و پياده سازي زيرساخت فيزيکي مرکز عمليات امنيت
  2. طراحي و پياده سازي سخت افزارها و نرم افزارهاي کشف نفوذ و واکنش به حادثه
  3. تهيه کليه اقلام سخت افزاري و نرم افزاري مورد نياز براي راه اندازي SOC
  4. پشتيباني فني و نگهداري مراکز عمليات امنيت (SOC)
  5. ارائه خدمات مقابله وآگاهي بخشي در حوزه حملات سايبري سازمان يافته
  6. طراحي روال ها و فرآيندهاي متناسب با پايش و پويش رخدادهاي امنيتي
  7. تهيه و تدوين اسناد RFP پياده سازي زيرساخت تجميع لاگ
  8. ارائه آموزش و راهکارهاي مناسب در جهت افزايش دانش تحليل رخداد امنيتي

1)تفاوت NOC با SOC در چيست؟

ساختار SOCو NOC تا حدود بسياري به هم شباهت دارد. هر دو داراي سيستم‎هاي مانيتورينگ و مرکز تماس و تيم بررسي رخداد مي‎باشند. فرايندها و رخدادها در NOC و SOC مانيتور شده و در صورت بروز مشکلات به آن عکس‎العمل نشان داده مي‌شود. اما مرکز عمليات شبکه (NOC) فاقد ساختاري جهت مديريت رخدادهاي امنيتي مي‎باشد و صرفا نگهداري و اطمينان از صحت عملکرد اجزاي شبکه و زيرساخت يک سازمان را برعهده دارد در حاليکه مرکز عمليات امنيت (SOC) مديريت رخدادهاي امنيتي جهت حفاظت از سيستم اطلاعاتي شما را بر عهده دارد. اصولا در SOC عمليات بصورت نيمه خودکار و نيمه هوشمند به قصد کشف نفوذ و مقابله با حوادث انجام ميگردد. به دليل تجميع اطلاعات حساس در اين مراکز ، دسترسي به اين مراکز محدود شده ميباشد.

2)حملات Zero-Day چيست؟

حمله يا تهديد رايانه‎اي است که از يک آسيب پذيري در يک نرم‎افزار کاربردي که تا پيش از آن ناشناخته بوده است، بهره‎جويي مي‎کند. مهاجمان حفره‎هاي موجود در نرم افزار را که از ديد طراحان و توسعه دهندگان مخفي مانده است شناسايي و کشف کرده و براي حمله و نفوذ به سيستم کاربران از آن مي‎کنند.

3)ArcSight Pattern Discovery چگونه حملات Zero-Day را کشف مي‎کند؟

اين ابزار مي‎تواند به صورت خودکار الگوهاي خاص، بلند مدت و ماندگار در سيستم را کشف نموده و نمايانگر جرياني از آسيب‎پذيري‎ها يا حملات کشف نشده باشند. لذا از مزاياي Pattern Discovery کشف حملات Zero-day و کشف حملات آرام و ماندگار مي‎باشد.

4) چه چيزي ArcSight را از ديگر SIEMها متمايز کرده است؟

وجود توانمندي هاي خاص که در تعداد اندکي از SIEM هاي مشابه دارد وجود دارد مانند Pattern Discovery که براي تشخيص حملات Zero Day به کار ميرود. نکته ديگر آن است که اين گونه توانمندي هاي خاص بصورت کاربر پسند در ArcSight طراحي و به اجرا درآمده است.

 

آپارات آراس اس تلگرام لينکدين
تمامي حقوق متعلق به شرکت ثامن ارتباط عصر مي باشد.