مرکز عملیات امنیت
-(33 Body)  Print

ما در عصر سرقت اطلاعات زندگی می‌کنیم. در دسامبر 2016 بیش از 980 سرقت اطلاعات در 2016 رخ داده بود که رکورد بالای 783 نقض داده در سال 2014 را تحت‌الشعاع قرار داد.

هزینه متوسط این سرقت ها چقدر است؟ طبق تحقیقات مؤسسه پونمان(Ponemon) 3.8 تا 4 میلیون دلار نقض‌های داده به جز هزینه مالی اولیه، می‌توانند منجر به از دست دادن اعتماد مشتری شوند. اما سازمان‌های فناوری اطلاعات نه فقط با هکرها و بدافزارها می‌جنگند بلکه با جریان سیلابی داده شبکه‌های خودشان نیز مبارزه می‌کنند.

شرکت فورچون 500 (Fortune 500: شرکت ارائه دهنده لیست 500 شرکت بزرگ آمریکایی) به راحتی می‌تواند ماهیانه 10 ترابیات داده متن ساده(plain-text) تولید کند. اگر لاگ‌ها، ساختار هوشمند شناسایی تهدیدات، ردگیری جرایم،‌مدیریت هویت و دسترسی(IAM) به درستی مدیریت نشوند، این سیستم‌ها می‌توانند انبوهی از داده را ایجاد کنند که بسیاری از سازمان‌ها و شرکت‌ها در آن غرق می‌شوند درحالی‌که داده‌های امنیتی مربوط در جریان هستند.

پس شرکت‌ها چطور می‌توانند به شکل مؤثر داده را ثبت و مانیتور کرده و این داده‌ها را به هم ارتباط دهند تا به یک بینش قابل پیگیری دست یابند؟ به راهکار مدیریت رویداد و اطلاعات امنیتی(SIEM) وارد شوید.

عبارت SIEM توسط مارک نیکولت و آمریت ویلیامز که تحلیلگران گارتنر هستند در سال 2015 معرفی شد. SIEM یک راهکار امنیتی است که مدیریت رویداد امنیتی (SEM) که روی جمع‌آوری لاگ و تولید گزارش تمرکز دارد را با مدیریت اطلاعات امنیتی(SIM) که روی تحلیل رویدادهای زمان واقعی با استفاده از همبستگی رویداد و مکانیسم‌های رویداد تمرکز دارد ترکیب می‌کند.

راهکارهای SIEM به شرکت‌ها کمک می‌کنند حجم‌های زیاد لاگ‌هایی که از منابع پراکنده می‌آیند را مدیریت کرده و با مانیتور کردن پیشگیرانه زمان‌واقعی فعالیت‌های مشکوک در شبکه‌ها، آسیب ناشی از حملات سایبری پیچیده را کمتر کنند. به صورت سنتی، SIEM برای دو مورد کاربرد استقرار داده می‌شود:‌ مدیریت تهدید: مانیتور بالقوه و گزارش فعالیت و دسترسی یا گزارش پیروی از قانون که به کسب و کارها کمک می‌کند نیازمندی‌های قانونی سختی مانند HIPAA، PCI DSS، SOX‌ و غیره را برآورده کنند. اما با تکامل امنیت اطلاعات، قابلیت‌های SIEM نیز تکامل یافته‌اند. سیستم‌های SIEM امروزی به سرعت از قابلیت‌های جدید مانند تحلیل‌های رفتاری استفاده می‌کنند که به شرکت‌ها کمک می‌کند تهدیدات بالقوه را شناسایی کرده و قبل از اینکه تبدیل به نقض‌های پرهزینه شوند آن‌ها را حذف کنند.

در سال 2017، SIEM بخشی ضروری از تلاش‌های امنیتی هر شرکت با کسب و کار حیاتی است اما انتخاب راهکار SIEM مناسب شرکت کار آسانی نیست. SIEM به عنوان یک محصول پیچیده و دشوار شناخته می‌شود و پیاده‌سازی آن فرایند دشواری دارد که هفته‌ها یا حتی ماه‌ها به طول می‌انجامد. اگر در این فرایند عجله کنید ممکن است با هزینه‌های هنگفت یا بدتر از آن یک استقرار گران و شکست‌خورده روبه‌رو شوید. چیزی که مسئله را پیچیده‌تر می‌کند این است که SIEM یک بازار بالغ با تعداد زیادی فروشنده است که می‌توانند نیازمندی‌های مدیریت لاگ، پیروی از قوانین و مانیتورینگ رویداد یک مشتری معمول را برآورده کنند اما تفاوت‌های این محصولات برای افراد غیرمتخصص قابل تشخیص نیست. اما با وجود اینکه SIEMها به هم شبیه به نظر می‌رسند، بسیاری از راه‌کارها برای موردهای کاربرد کاملاً متفاوت بهینه‌ شده‌اند و یک محصول وجود ندارد که برای همه موارد مناسب باشد. هر تصمیمی که بگیرید یک نکته همیشه ثابت است : فرقی نمی‌کند یک شرکت سهامی عام، یک مؤسسه دولتی یا حتی کسب‌وکاری کوچک یا متوسط باشید، مزایای SIEM ارزش بررسی کردن را دارند. در این راهنمای خرید برای همه از گروه‌های کوچک گرفته تا سازمان‌های چندملیتی راهکاری وجود دارد. کار ما این است که به شما کمک کنیم تا بهترین محصول را متناسب با شرایط سازمان ارزیابی وخریداری نمایید.

(SIOC(Security Intelligence and Operation Consulting

Responsive image

نسل پنجم مرکز عملیات امنیت مبتنی بر اطلاعات زیر میباشد:

  1. آنالیز داده‌ها و استفاده از داده های عظیم، متدولوژی مبنی بر هوش و آگاهی، به اشتراک‌گذاری اطلاعات و شیوه‌ی مقابله با دشمن انسانی نسل پنجم مرکز عملیات امنیت، بر خلاف راه‌کار‌های امروزه، تلاش خود را مبنی بر آموزش دادن تحلیل‌گران برای درک رفتار بد افزارها و پیش‌بینی رفتار آن‌ها، یادگیری نحوه‌ی تفکر اشخاص مجرم و هکر و تفکر تحلیلگرانه بنا می‌کند.
  2. نسل پنجم مرکز عملیات امنیت، به شکلی بهینه کار می‌کند. اکثر فعالیت‌ها مانند پاسخ به حمله و قرنطینه کردن سیستم‌های به خطر افتاده که توسط تحلیل‌گران امنیتی در نسل چهارم به صورت دستی انجام می‌گرفتند در این نسل به شکل خودکار انجام می‌شوند.
  3. چرخه‌هایی که در نسل پنجم، در آن‌ها نیروی انسانی دخیل است، عموماً تحلیل دقیق و موشکافانه‌ی مواردِ مشکوک برای یافتن خطرات احتمالی است.
  4. تمرکز نسل پنجم مرکز عملیات امنیت بر تحلیل‌گری است.
  5. نسل پنجم مرکز عملیات امنیت متشکل از ریاضیدان‌ها، تئوریسین‌ها، تحلیل‌گران آماری و دانشمندان علم «بزرگ داده ( Big Data )» است.
  6. عملکرد نسل پنجم مرکز عملیات در عمل به تنهایی ممکن نیست. حداقل، همکاری لازم برای سازمان‌های مختلفی که نسل پنجم را پیاده‌سازی کرده‌اند باید به اندازه میزان همکاری هکر‌هایی است که مصممانه قصد تخریب آن سازمان را داشته?اند
  7. نسل پنجم، بازی را برای هکر‌ها سخت‌تر و برد را برای سازمان‌ها به مراتب آسان‌تر می‌کند.
  8. سازمان‌ها در حال حاضر تمرکز زیادی روی جمع‌آوری نیرو‌های متخصص جمع‌آوری‌ داده‌ها، نیرو‌های شکارچی برای پیدا کردن عوامل جرایم کامپیوتری و سیستم‌های مقابله با حملات کرده‌اند
  9. نسل پنجم باید توانایی زیر‌ نظر گیری آسیب‌پذیری‌های جدید، یافتن بد افزارهای جدید و پاسخگویی سریع به وقایع را داشته باشد مرکز عملیات امنیت نسل پنجم دیگر فقط درباره‌ی امن کردن شبکه نیست، بلکه هدف آن امن کردن کسب‌وکار است.

برای اینکه بتوانید این فرایند را به صورت حساب‌شده و منظم انجام دهید، در ادامه 10 سؤال آورده شده که پنج سوال برای شما و پنج سؤال برای ارائه‌دهنده راهکارهای بالقوه برای نیازهای SIEM شماست. این سؤالات به شما کمک خواهند کرد چیزی که از یک راهکار می‌خواهید و کاری که قرار است برای شما انجام دهد را بررسی کنید و پیشنهادها، خدمات و توان ماندگاری راهکار را ارزیابی کنید.

5 سؤالی که قبل از انتخاب یک راهکار SIEM باید از خودتان بپرسید

1)ما چگونه راهکار SIEM خودمان را پشتیبانی می‌کنیم؟

SIEM فقط در صورتی کار می‌کند که ما آن را به کار اندازیم و استقرار یک SIEM معمولی به کار تمام وقت یک تیم تا هشت نفره نیاز دارد تا بتوان آن را صحیح مدیریت کرد. SIEM بدون یک تیم اختصاصی از تحلیل‌گران امنیتی مانند قلعه‌ای خالی است:‌ شاید ابهت داشته باشد اما نمی‌تواند جلوی کسی را بگیرد. SIEM جایگزینی برای بخش امنیتی نیست، بلکه یک ابزار است و به صورت پیوسته به یک متخصص فنی خوب نیاز دارد که به درستی کار کند و ارزش ارائه دهد. قبل از اینکه تصمیم بگیرید کدام SIEM برای شما مناسب است، مطمئن شوید سازمان شما می‌تواند آن SIEM را مدیریت کند. آیا منابع و کارمندانی دارید که بتوانید به صورت مؤثر SIEM را مدیریت کنید؟ آیا می‌توانید کارمندان مورد نیاز برای پشتیبانی از SIEM را استخدام کرده و آموزش دهید؟ اگر نمی‌توانید، بهتر است یک پیشنهاد خدمات مدیریت‌شده را در نظر بگیرید.

2)سازمان من از SIEM چه چیزی می‌خواهد؟

شاید بدیهی به نظر برسد، اما باید هنگام ارزیابی SIEM یا راهکارهای تحلیل‌های امنیتی، نیازهای خودتان را بشناسید. قبل از شروع کردن فرایند ارزیابی باید نیازها و محرک‌های تجاری خودتان برای استفاده از این SIEM را درجه‌بندی کنید. برای لاگ کردن به چه منابع داده‌ای نیاز دارید؟ آیا به جمع‌آوری زمان واقعی نیاز دارید؟ آیا به جمع‌آوری همه داده‌های امنیتی یا فقط زیرمجموعه‌ای از آن نیاز دارید؟ به آرشیو کردن چه چیزی نیاز دارید؟ به چه مدت به آن نیاز دارید؟ وقتی داده جمع‌آوری شد چگونه از داده استفاده خواهید کرد؟ برای مباحث قانونی؟ برای تشخیص تهدیدات؟ برای حسابرسی و تطبیق مقررات؟

3)آیا به یک راهکار SIEM کامل نیاز داریم؟‌یا مدیریت لاگ کافی است؟

سیستم‌های SIEM قابلیت‌‌های زیادی دارند اما پرهزینه و پیچیده نیز هستند. اگر سازمان شما بدون داشتن یک مورد کاربردی پیچیده، به دنبال خرید راهکارهای SIEM پیچیده است، بهتر است تجدید نظر کنید. برای مثال، بسیاری از نیازمندی‌های تطبیق مقرراتی را می‌توان با راهکارهای مدیریت لاگ سنتی برآورده کرد. اگر شما بیشتر از همبستگی، SEM و SIM به دنبال مدیریت لاگ هستید، استفاده از این راهکارهای سنتی برای شما مناسب است.

4)آیا به «تحلیل‌های امنیتی» یا SIEM سنتی نیاز داریم؟

راهکارهای «تحلیل‌های امنیتی» که از فنآوری‌های داده عظیم و الگوریتم‌های تحلیل جدید استفاده می‌کنند، تأثیر بزرگی روی بازار SIEM می‌گذارند. این‌ها راهکارهای بسیار مؤثری هستند اما پیچیدگی زیادی نیز دارند. سازمان‌هایی که تیم‌های عملیاتی امنیتی بالغ، با تأمین مالی مناسب و اختصاصی دارند باید این نوع راهکارها را که می‌توانند بهتر تهدیدات امنیتی را تشخیص دهند و بار کاری تحلیل‌گرانی که مسئول نظارت سیستم‌های شما هستند را کاهش دهند بررسی کنند. دقت کنید، اگر سازمان شما با استقرار SIEM فعلی خود مشکل دارد، امکان کمی وجود دارد بتواند یک سیستم تحلیل امنیتی داده عظیم را مدیریت کند. همانطور که تحلیل‌گر گارتنر یعنی آنتون چاواکین (Anton Chuvakin) گفته است «اگر شانس کمی برای سود از سرمایه‌گذاری وجود دارد به فریبندگی داده های عظیم توجه نکنید.»

5)چقدر می‌خواهیم هزینه کنیم؟

SIEM توسعه یافته نیاز به بودجه قابل توجهی دارد. هزینه‌های لایسنس اولیه که شامل یک هزینه پایه به اضافه هزینه های هر نود یا کاربر می‌شوند، هزینه های پایگاه داده سرورها، هزینه‌های آموزش پرسنل و اغلب هزینه‌های فضای ذخیره‌سازی اضافی خارجی وجود دارند. یک هزینه دائمی برای پرسنل مورد نیاز برای کار مؤثر با SIEM نیز وجود دارد. یک سیستم SIEM حرفه ای و کامل می‌تواند هزاران دلار هزینه داشته باشد،درحالی‌که آخرین قابلیت‌ها را در اختیار شما قرار می‌دهد.همه کسب‌وکارها قادر نیستند این مقدار پول هزینه کنند. بعضی فروشندگان SIEM نسخه سبکی از محصول ارائه می‌دهند که قابلیت‌های گزارش‌گیری و مدیریت لاگ پایه را ارائه می‌دهند اما فاقد قابلیت‌های تحلیلی پیشرفته و سایر ویژگی‌هایی هستند که سایر SIEMها از آن پشتیبانی می‌کنند. این SIEMهای سبک بسیار ارزان‌تر از سایر SIEMها هستند و می‌توانند جایگزین مناسبی برای کسب‌وکارهایی باشند که می‌خواهند پول کمتری خرج کنند.

5 سؤالی که باید از ارائه‌دهنده SIEM بالقوه خودتان بپرسید

1)محصول شما چگونه نیازهای حسابرسی و تطبیق مقرراتی ما را برآورده می‌کند؟

مدیریت تطبیق مقرراتی یکی از موردهای کاربرد پرتکرار راهکارهای SIEM است و به همین دلیل بیشتر SIEMها از مقررات رایج مانند HIPAA،PCI DSS و SOX پیشتیبانی می‌کنند. سازمان شما می‌تواند با استفاده از یک SIEM برای براورده کردن نیازهای گزارش تطبیق خود در زمان صرفه‌جویی کند اما قبل از اینکه بتوانید این کار را انجام دهید باید مطمئن شوید که راهکار بالقوه با مقررات صنعت خاص شما سازگار باشد. از فروشنده بالقوه خودتان بخواهید رابطه روشنی میان نیازهای مقررات صنعت شما و خط‌مشی‌ها و مجموعه قوانین خودشان ارائه دهد. چه گزارش‌های تطبیق مقرراتی آماده‌ای در دسترس هستند؟ چه میزان سفارشی‌‌سازی برای گزارش‌گیری در دسترس است؟

2) آیا در استقرار همکاری می‌کنید؟ آیا برای پرسنل آموزش ارائه می‌دهید؟

SIEM یک فنآوری پیچیده است و طبیعتاً استقرار آن نیز یک فرایند پیچیده است. در حقیقت استقرار SIEM به وضوح دشوار است، اولیور راچفورد (Oliver Rochford ) (تحلیلگر گارتنر) در گزارشی در سال 2014، تخمین زد چیزی بین 20 تا 30 درصد استقرار‌های SIEM شکست می‌خورند. وقتی یک راهکار SIEM با موفقیت استقرار داده شود، برای مدیریت نرم‌افزار و تضمین کاربرد مؤثر از آن نیاز به یک تیم اختصاصی از تحلیل‌گران و تکنیسین‌های ماهر وجود دارد. از فروشندگان بالقوه بپرسید چه پشتیبانی‌هایی در فرایند استقرار ارائه می‌دهند و آیا آموزش برای تیم شما ارائه می‌دهند یا خیر.

3) آیا از پلتفرم‌های ابر عمومی و خصوصی(public and private cloud) و محیط‌های داده عظیم پشتیبانی می‌کنید؟ اگر این طور نیست، آیا برنامه دارید این کار را انجام دهید؟

چه شما از این راهکارهای داده عظیم و رایانش ابری عمومی استفاده می‌کنید چه استفاده نمی‌کنید، به احتمال بسیار زیاد این فنآوری‌ها نقش مهمی در آینده محیط فنآوری اطلاعات سازمان شما بازی می‌کنند. اگر امروز می‌خواهید برای یک راهکار SIEM هزینه زیادی انجام دهید، باید بدانید آیا می‌توانید از آن در سیستم‌هایی که در آینده از آن‌ها استفاده می‌کنید بهره ببرید یا خیر.

4)SIEM شما با چه کیفیتی منابع لاگ را مدیریت می‌کند؟ آیا از بومی‌سازی پشتیبانی کاملی دارد یا نیاز به توسعه سفارشی دارد؟

اگر SIEM شما داده لاگ منابع مهم تولیدکننده لاگ سازمان شما را نفهمد ارزشی نخواهد داشت. مطمئن شوید راهکار SIEM بالقوه شما از سیستم امنیتی سازمان مانند فایروال‌ها، سیستم‌های پیشگیری از نفوذ، VPNها، دروازه‌های ایمیل و محصولات ضد بدافزار پشتیبانی می‌کند. هر راهکار بالقوه SIEM باید از فایل‌های لاگ سیستم عاملی که سازمان شما از آن استفاده می‌کنید نیز پشتیبانی کند(هم از نظر نوع و هم از نظر نسخه).

5) محصول شما چه امکاناتی برای تحلیل داده ارائه می‌دهد؟

یک SIEM که برای تشخیص و واکنش به حادثه استفاده می‌شود باید در کنار هشدارها و گزارش‌های SIEM، ویژگی‌هایی ارائه دهد که به تحلیل‌گران امنیتی شما کمک می‌کنند لاگ را مرور و تحلیل کنند. حتی هوشمندترین SIEM با بهترین پیکربندی بدتر از بهترین تحلیلگر عمل می‌کند. یک SIEM بسیار دقیق باز هم می‌تواند رویدادها را اشتباه تفسیر کند، بنابراین اطمینان حاصل کنید که تیم شما می‌تواند نتایج SIEM را بررسی کند. قابلیت جستجو و بصری‌سازی قدرتمند داده نیز به آسان کردن بررسی رویدادها کمک می‌کند.

img-responsive center-block

مجموعه نرم افزار و سخت‌افزاری است جهت تحلیل های امنیتی داده های حجیم در کلیه سازمان ها و مراکز مخصوصا حوزه مالی. این راهکار مجموعه ابزاری جامع برای تحلیلگران امنیتی سیستم های اطلاعاتی جهت تحلیل و کشف نفوذ، تحلیل کاربران و تحلیل‌های مختلف تجاری فراهم آورده است. از این ابزار برای واکنش به حادثه و مدیریت وقایع امنیتی نیز می‌توان استفاده کرد. این ابزار کمک می کند که افراد در عین داشتن دید جزئی بتوانند دید جامعی نیز در راستای اهداف خود برای کشف و تحلیل وقایع امنیتی داشته باشند. این ابزار یکی از مهمترین عنصر های مراکز عملیات امنیت (SOC) است. در این مجموعه ابزار، عملیات زیر صورت می‌پذیرد:

  1. پایش رویدادها
  2. شنود و کشف در شبکه
  3. تلفیق رویدادها و عوامل براساس پیشفرض های تحلیلگر و مقررات سازمانی
  4. تشخیص Anomaly
  5. تحلیل داده های حال و گذشته
  6. پاسخ و اصلاح به صورت خودکار
  7. مدیریت تغییرات
  8. ارزیابی، ممیزی، نظارت و بازرسی امنیتی
  9. کمک در تحلیل جرائم رایانه ای

شرکت ثامن ارتباط عصر با داشتن سابقه موفق و دانش عمیق در اجرای پروژه های مرکز عملیات امنیت (SOC) می تواند عهده دار اجرای پروژه های مرتبط در این زمینه با انواع راه حلهای بین المللی باشد.

برخی از توانمندی ها در این زمینه عبارتند از:

  1. طراحی و پیاده سازی زیرساخت فیزیکی مرکز عملیات امنیت
  2. طراحی و پیاده سازی سخت افزارها و نرم افزارهای کشف نفوذ و واکنش به حادثه
  3. تهیه کلیه اقلام سخت افزاری و نرم افزاری مورد نیاز برای راه اندازی SOC
  4. پشتیبانی فنی و نگهداری مراکز عملیات امنیت (SOC)
  5. ارائه خدمات مقابله وآگاهی بخشی در حوزه حملات سایبری سازمان یافته
  6. طراحی روال ها و فرآیندهای متناسب با پایش و پویش رخدادهای امنیتی
  7. تهیه و تدوین اسناد RFP پیاده سازی زیرساخت تجمیع لاگ
  8. ارائه آموزش و راهکارهای مناسب در جهت افزایش دانش تحلیل رخداد امنیتی

1)تفاوت NOC با SOC در چیست؟

ساختار SOCو NOC تا حدود بسیاری به هم شباهت دارد. هر دو دارای سیستم‎های مانیتورینگ و مرکز تماس و تیم بررسی رخداد می‎باشند. فرایندها و رخدادها در NOC و SOC مانیتور شده و در صورت بروز مشکلات به آن عکس‎العمل نشان داده می‌شود. اما مرکز عملیات شبکه (NOC) فاقد ساختاری جهت مدیریت رخدادهای امنیتی می‎باشد و صرفا نگهداری و اطمینان از صحت عملکرد اجزای شبکه و زیرساخت یک سازمان را برعهده دارد در حالیکه مرکز عملیات امنیت (SOC) مدیریت رخدادهای امنیتی جهت حفاظت از سیستم اطلاعاتی شما را بر عهده دارد. اصولا در SOC عملیات بصورت نیمه خودکار و نیمه هوشمند به قصد کشف نفوذ و مقابله با حوادث انجام میگردد. به دلیل تجمیع اطلاعات حساس در این مراکز ، دسترسی به این مراکز محدود شده میباشد.

2)حملات Zero-Day چیست؟

حمله یا تهدید رایانه‎ای است که از یک آسیب پذیری در یک نرم‎افزار کاربردی که تا پیش از آن ناشناخته بوده است، بهره‎جویی می‎کند. مهاجمان حفره‎های موجود در نرم افزار را که از دید طراحان و توسعه دهندگان مخفی مانده است شناسایی و کشف کرده و برای حمله و نفوذ به سیستم کاربران از آن می‎کنند.

3)ArcSight Pattern Discovery چگونه حملات Zero-Day را کشف می‎کند؟

این ابزار می‎تواند به صورت خودکار الگوهای خاص، بلند مدت و ماندگار در سیستم را کشف نموده و نمایانگر جریانی از آسیب‎پذیری‎ها یا حملات کشف نشده باشند. لذا از مزایای Pattern Discovery کشف حملات Zero-day و کشف حملات آرام و ماندگار می‎باشد.

4) چه چیزی ArcSight را از دیگر SIEMها متمایز کرده است؟

وجود توانمندی های خاص که در تعداد اندکی از SIEM های مشابه دارد وجود دارد مانند Pattern Discovery که برای تشخیص حملات Zero Day به کار میرود. نکته دیگر آن است که این گونه توانمندی های خاص بصورت کاربر پسند در ArcSight طراحی و به اجرا درآمده است.

 

  • تهران-خیابان گاندی جنوبی- خیابان پانزدهم- پلاک 25
  • درخواست دمو محصول و ارائه خدمات: 87137330-021
    دفتر مرکزی: 87137000-021
  • info[@]samenea.com
اینستاگرام آپارات آراس اس تلگرام لینکدین