مرکز عملیات امنیت شبکه

با گسترش روزافزون استفاده از ارتباطات و انتقال اطلاعات در بستر شبكه‌ها و اینترنت، حجم وسیعی از مبادلات تجاری و اداری، از این طریق صورت می‌پذیرد. امروزه سرویس‌های اینترنتی و تحت‌شبكه، به عنوان قابل‌اعتمادترین، سریع‌ترین و در دسترس‌ترین ابزارهای ارتباطی به شمار می‌روند. با توجه به اهمیت فوق العاده‌ای كه شركت‌های بزرگ به استفاده از چنین بسترهایی در اداره امور خود می‌دهند، جایگاه و اهمیت مقوله امنیت به وضوح مشخص است. زمانی كه نوبت به امنیت می‌رسد، هر سازمانی نیاز و سیاست مختص خود را دارد. به این ترتیب راه‌حل‌های امنیتی، باید به گونه‌ای استاندارد طراحی شوند تا بتوانند نیازهای كلیه سازمان‌ها را بدون نیاز به تغییرات اساسی در ساختار سیستم‌های آن‌ها، پوشش دهند. در شماره‌ قبل به معرفی استاندارد BS۷۷۹۹ اشاره نمودیم. در این شماره قصد داریم به نحوه مدیریت یكپارچه امنیت اطلاعات و ارتباطات با استفاده از استاندارد BS۷۷۹۹ در یك مركز امنیت شبكه SOC یا Security Operations Center اشاره نماییم.
مركز عملیات امنیت كجاست؟
مركز عملیات امنیت شبكه، (SOC) مكانی جهت مانیتورینگ و كنترل ۲۴ ساعته ورود و خروج اطلاعات در شبكه می باشد. به طور كلی هر مركز SOC به سه سطح عمده تقسیم می شود كه هر یك وظایف خاصی را بر عهده دارند. این سطوح عبارتند از: سطح یكم، نقطه تماس Client‌ها و مسئول پاسخ گویی به اخطارهای دریافتی ازClient ‌هاست. در این سطح به كلیه اخطارهایی كه از پیچیدگی پایین‌تری برخوردارند، پاسخ داده می‌شود.
سطح دوم، در حقیقت مكمل سطح یكم است و مسئول پاسخ‌گویی به مشكلات پیچیده تر در سیستم‌های امنیتی شبكه می‌باشد. برای اخطارهایی كه از اهمیت بالایی برخوردارند، سیستم های سطح دوم به طور كامل درگیر می‌شوند.
سطح سوم، در این سطح كارشناسان ارشد و مشاوران امنیتی شبكه قرار دارند. این سطح در حقیقت پشتیبان دو سطح پایین‌تر است. در صورتی كه به اشكالات امنیتی در دو سطح پایین پاسخ داده نشود، كارشناسان و سیستم‌های این سطح، درگیر می‌شوند. كلیه تدابیر امنیتی و مدیریت امنیت شبكه، در این سطح اندیشیده می‌شود.
در طراحی مراكز امنیت شبكه، متدولوژی‌های مختلفی مطرح می‌باشد. با این حال پایه همه متدولوژی‌ها براساسِ تركیب تكنولوژی، نیروی انسانی، فرآیندها در هسته فعالیت مركز امنیت شبكه و احاطه آن توسط فرآیندهای اجرایی می‌باشد. این فرآیندها شامل برنامه‌ریزی، طراحی، پیاده‌سازی، عملیاتی نمودن و توسعه مركز امنیت شبكه می‌باشد. لایه بعدی در طراحی مركز SOC، شامل ابزارها و معیارهایی است كه از طریق آن‌ها خدمات ارائه شده ارزیابی می‌گردند. این ابزارها و معیارها شامل چشم‌انداز، منابع، زمان، هزینه، ارتباطات و ریسك‌های موجود در راه اندازی SOC می‌باشد.
نكته قابل‌توجه در طراحی یك SOC، انعطاف‌پذیریِ متدولوژی طراحی آن است كه به واسطه آن می‌توان برای هر یك از مشتریان مطابق سرویس‌های مورد نیازشان راه حل خاصی برای مدیریت امنیت شبكه ارائه نمود.

در هر یك از سطوح مطرح‌شده، ابزاری برای مدیریت سیستم‌های امنیتی در نظر گرفته می شود. این ابزارها امنیت شبكه را از دو دیدگاه درون‌سازمانی و برون‌سازمانی مورد بررسی قرار می‌دهند. برای این منظور، هر SOC دارای یك
سری تجهیزات در داخل شبكه و یك سری تجهیزات در خود مركز می باشد. همه سرویس‌هایی كه از مراكز SOC ارائه می‌گردند، مانیتورینگ و مدیریت‌شده هستند. دیگر سرویس‌هایی كه از طریق این مراكز قابل‌ارائه می‌باشند، سرویس‌های پیشرفته‌ای به شرح زیر می‌باشد:
- توسعه سیاست‌های امنیتی‌
- آموزش مباحث امنیتی‌
- طراحی دیواره‌های آتش‌
- پاسخگویی آنی‌
- مقابله با خطرات و پیاده‌سازی
سرویس‌هایی كه از طریق این مراكز ارائه می‌گردند، عبارتند از سرویس‌های مدیریت شده‌ای كه از تجهیزات و ارتباطات مركز SOC محافظت می‌نمایند. این سرویس‌ها از متدولوژی و ابزارهای نرم‌افزاری و سخت افزاری قدرتمندی برای مدیریت امنیت استفاده می‌نمایند. اجزای سخت‌افزاری كه در شبكه‌ها توسط سیستم‌های مدیریت‌شده برای اعمال سیاست‌های امنیتی مورد استفاده قرار می‌گیرند، عبارتند از: سیستم‌های كشف و رفع حملات (Intrusion Detection System)، سیستم‌های‌ فایروال و سیستم‌های مدیریت امنیت در شبكه‌های خصوصی مجازی.
نیاز به سرویس‌های مدیریت شده
حملات چه از طریق منابع داخلی چه از طریق منابع خارجی، در هر لحظه شبكه و برنامه‌های كاربردی ارائه شده از طریق آن را تهدید می‌نماید. هكرها در جاهای مختلف دنیا در هر لحظه كل تجهیزات امنیتی شبكه را مانیتور می‌نمایند و در صورتی كه یكی از تجهیزات به طور دقیق فعالیت خود را انجام ندهد، از آن نقطه، یك ورودی برای خود ایجاد خواهند نمود. به منظور جلوگیری از نفوذ هكرها به شبكه، لازم است سیستم امنیتی در SOC از قابلیت اطمینان بالایی برخوردار باشد.
برای ایجاد یك سیستم امنیتی با ویژگی‌های مناسب برای مدیریت یك شبكه با برنامه‌های كاربردی متنوع، پرسنل كارآمدی لازم است كه بتوانند كلیه سیستم های امنیتی از ضد ویروس ها تا شبكه‌های خصوصی مجازی را بدون وابستگی به محصول خاص و یا تكنولوژی مشخص مدیریت نمایند.سیستم‌هایی كه در SOC جهت مدیریت امنیت شبكه نصب و راه‌اندازی می‌گردند، دارای مكانیزم‌های بررسی تجهیزات شبكه به صورت خودكار می باشند. تجهیزاتی كه توسط این سیستم مورد‌بررسی قرار می‌گیرند، محدود به سیستم‌های امنیتی نیستند، بلكه كلیه تجهیزات زیرساختی شبكه نیز توسط این سیستم مدیریت امنیت یكپارچه مورد بررسی قرار می‌گیرند. این سیستم در‌حقیقت الگوهای ترافیكی ارسالی از كلیه تجهیزات شبكه از جمله سرورها، مسیریاب‌ها، فایروال‌ها و سیستم‌های امنیتی فیزیكی را مورد بررسی قرار داده و هر‌كدام از آن‌ها كه توان ایجاد یك ریسك امنیتی را دارند مشخص می‌سازد و راه نفوذ به آن سیستم را می‌بندد. هر الگوی ترافیكی غیرعادی مشاهده شده، توسط زیرسیستم‌های آنالیزكننده مورد بررسی قرار می‌گیرد و متناسب با نوع خطای تشخیص داده‌شده، اخطارهای لا‌زم در شبكه برای هر یك از تجهیزات مربوطه ارسال می‌گردد. در حالت عادی نیز با توجه به برنامه Polling در نظر گرفته شده، كلیه سیستم‌ها در شبكه مانیتور می‌گردند و با توجه به Profile های امنیتی موجود برای هر سیستم، حمله‌های احتمالی تشخیص داده شده و دفع می‌گردند.
انواع سرویس های مدیریت شده در SOC
● دیواره آتش (Firewall)
فایروال‌ها اولین سد ورودی بین اطلاعات محرمانه در یك شبكه و دنیای خارج از آن می باشند. در یك مركز SOC ، لازم است این تجهیزات به طور مداوم از نظر امنیتی بررسی گردند. برای اطمینان كامل از امنیت این تجهیزات، به طور معمول از مارك‌های مختلف فایروال‌ها در شبكه استفاده می‌گردد. به طور مثال در یك شبكه كه چندین فایروال وجود دارد، معمولاً این تجهیزات را از سازنده های مختلف انتخاب می‌كنند و با استفاده از یك مدیریت متمركز، آن‌ها را كنترل می‌نمایند.
برای مدیریت امنیت این تجهیزات مراحل زیر پیموده می گردد:
- بررسی عملكرد Firewallها
- پاسخ به اخطارها پس از اعلام شدن
- بررسی log ‌های ثبت شده در فایروال
- بررسی نرم افزار و سخت افزارهای مربوط به فایروال
● سیستم های تشخیص حملات (IDS)
سیستم‌هایی نظیر IDSها در یك شبكه به كارآمدی كلیه تجهیزات، فرآیندها و كاركنانی وابسته می‌باشند كه در مواقع لزوم به رخدادها پاسخ می‌دهند. با توجه به این نكته كه حسگرهای IDS در هر زمان تعداد زیادی اخطار تولید می‌كنند و در شبكه امكان پاسخگویی به همه آن‌ها وجود ندارد، لازم است حساسیت IDSها را به گونه‌ای تنظیم نمود كه فقط تهدیدات اساسی را اعلام نمایند. اما این كار باعث می‌شود تعدادی از حمله‌ها تشخیص داده‌نشود. برای جلوگیری از بروز اشكال، می‌توان هر یك از IDSها را برای یك Application خاص تخصیص داد.
با استفاده از ویژگی‌های مختلف این سیستم‌ها، می‌توان از طریق مركز SOC حملات را كنترل نمود. در مراكزSOC از ویژگی‌های IDSها نظیر كمتر‌نمودن False Positives ، Stateful Signature كه یك فرم پیشرفته تشخیص حمله‌ها با استفاده از Signatureها می‌باشد،Protocol Anomaly Detection كه قابلیت تحلیل ترافیك و اطمینان از عدم وجودPacketهای غیر قانونی با استفاده از مقایسه Protocol portion را دارد، می‌باشد،Traffic Anomaly Detection جهت مقایسه ترافیك‌های نرمال و غیرنرمال برای مقابله طبیعی و غیرطبیعی با حملات، استفاده می‌شود. در مراكزSOC با تركیب‌كردن تكنولوژی‌های Stateful Signature Detection و Protocol Anormaly ، Traffic Anomaly Detection قابلیت تشخیص حمله‌ها افزایش داده می‌شود.
● امكان فیلتر كردن محتوا
یكی از اصلی ترین سرویس‌ها در مراكز SOC ، امكان فیلتركردن محتوای ورودی به سرورها می‌باشد. فیلتر كردن محتوا در SOC با هدف جلوگیری از دسترسی به سایت‌های غیرلازم، جلوگیری از دسترسی به انواع خاصی از فایل‌ها و محدود كردن حملات ویروس‌ها، Wormها و Trojanها (بسیاری از ویروس‌های خطرناك مانند Nimda وCodeRed به عنوان برنامه‌های اجرایی با استفاده از HTTP و یا پروتكل‌های رایج دیگر كه Firewallها به آن‌ها اجازه ورود می‌دهند، وارد شبكه می‌شوند. در نتیجه كاربران به صورت ناآگاهانه این محتویات را از سایت‌های ایمنDownload می‌كنند.) صورت می‌پذیرد.
نرم افزار URL Filtering كلیه Page ها را در گروه‌های از‌پیش‌تعیین‌شده دسته‌بندی می‌كند و بر‌طبق آن دسته‌بندی‌ها، دسترسی به یك Page را ممكن و یا غیر‌ممكن می‌سازد. همچنین قادر است لیستی از سایت‌هایی كه كاربران می‌توانند به آن‌ها دسترسی داشته باشند، تهیه نماید. به طور عمده لازم است این نرم‌افزار قادر باشد دسترسی به محتویات دسته‌بندی‌شده را فیلتر كند. همچنین لازم است بتواند استثناهایی برای سیاست خاص خود بر مبنای فاكتورهای مختلفی از جمله گروه كاربران‌، موقعیت كاربران، ساعت استفاده و... قائل شود.
نرم افزارهایی كه در این مراكز برای فیلتر كردن مورد استفاده قرار می‌گیرند، باید از متدهای مناسبی جهت جلوگیری از دسترسی، دسته بندی پایگاه های اطلاعاتی و لیست‌های كنترلی برخوردار باشند. همچنین بروزرسانی‌ها باید با فواصل كوتاه انجام شوند و بهتر است به طور كامل صورت پذیرند نه به صورت تفاضلی. بروزرسانی‌ها نباید سیستم‌های عملیاتی را دچار وقفه سازند.
● امكان تشخیص ویروس
ویروس‌ها بیشتر توسطEmai l و ترافیك اینترنتی منتقل می‌شوند. بنابراین، دفاع در خط مقدم یعنی Internet Gateway بهترین راه مقابله با آن‌ها می‌باشد. با افزودن قابلیت Virus Scanning برروی Cache ها، می‌توان با اعمال روش‌های مختلف ویروس‌یابی، اقدامات مناسبی جهت از بین بردن آن‌ها در Internet Gateway انجام داد. مركز SOC، عملیات كنترل و اسكن ویروس‌ها را با بهره‌گیری از نرم‌افزارهای مناسب برعهده دارد.● سرویس‌های AAA
در مركز SOC برای تعریف و كنترل دسترسی به تجهیزات و سرویس‌های شبكه از AAA استفاده می‌شود. AAA سرورها در مراكز مختلف و برای سرویس‌های گوناگون به كار گرفته می‌شوند و مدیران شبكه و كاربران نیز از طریق آن اجازه دسترسی به منابع شبكه را در سطوح مختلف كسب می‌كنند. یكی از روش‌هایی كه در مراكز SOC برای تشخیص هویت كاربران و اعمال سیاست‌های امنیتی به كار می‌رود، استفاده از CA یا Certificate Authority است.CAها، كلیدعمومی یك شخص یا یك سازمان را به همراه دیگر مشخصات تشخیص هویت در گواهینامه دیجیتال قرار داده و سپس آ‌ن ‌را امضا می‌نمایند. این كار صحت اطلاعات موجود در آن‌را اعلام و تأیید می‌نماید. گواهی‌نامه‌های دیجیتال، فایل‌هایی هستند كه در اصل به عنوان نوعی گذرنامه عمل می‌نمایند و توسط CAها صادر می‌شوند. نقش CA در این پروسه، تأیید فردی است كه یك گواهینامه به آن اختصاص داده شده است. در واقع همان كسی است كه خود شخص اظهار می دارد.
با قرار دادن CA در یك مركز SOC، می‌توان محدوده وسیعی از Applicationها را با ایمنی بالاتری نسبت به امنیتی كه توسط نام كاربری و رمز عبور فراهم می شود، پشتیبانی كرد.
پیاده سازی امنیت در مركز SOC
با بهره گیری از ابزارهای مختلف امنیت شبكه در SOC، حملات به شبكه در سه رده و از جهات مختلف مورد بررسی قرار می‌گیرد. این سه رده عبارتند از: Visibility ، Verification و vulnerability كه با ادغام عملیاتی كه در هر رده انجام می‌پذیرد، می‌توان امكان كنترل و مدیریت امنیت را در شبكه ایجاد نمود. در هر یك از این رده‌ها فعالیت‌های خاصی انجام می‌گیرد كه به واسطه آن‌ها از نفوذ به داخل شبكه جلوگیری می‌شود و در صورت ورود نیز از پیشروی آن‌ها جلوگیری به عمل می‌آید. در هر یك از این رده‌ها، تجهیزاتی وجود دارند كه می‌توانند متناسب با وظایفشان از شبكه محافظت نمایند.
● Vulnerability
تجهیزاتی كه در این رده مورد استفاده قرار می‌گیرند، به محض این‌كه نصب و راه‌اندازی می‌شوند، باید Update گردند. فاكتورهایی كه از طریق این تجهیزات Update می‌گردند، شامل پیكربندی سرورها، برنامه‌های كاربردی، پكیج‌های نرم‌افزارهای امنیتی مرتبط با سیستم‌عامل‌ها می‌باشند كه با توجه به سرعت رشد راه‌های نفوذ، به سرعت از درجه اعتبار ساقط می‌گردد. با در نظر گرفتن این نكته، این رده كمترین تاثیر را در برخورد با حملات دارد.
● Visibility
با استفاده از تجهیزات این سطح كه عمدتاً شامل فایروال‌ها می‌باشند، می‌توان امنیت كلیه تجهیزات شبكه را مانیتورینگ نمود. در این قسمت كلیه امكانات‌ مربوط به دیواره‌های آتش Update می‌شود و پیكربندی آن‌ها متناسب با عملكردشان در شبكه، تغییر می‌كند. این تغییرات بدون زمان‌بندی خاص و در ازای تغییر مكانیزم‌ها و روند حملات به شبكه اعمال می‌گردند. مشكلاتی كه در رابطه با تغییر پیكربندی فایروال‌ها به‌وجود می‌آیند، منحصر به تكنولوژی نیست. هر بار كه پیكربندی این تجهیزات توسط پرسنل Update می‌گردد، امكان دارد كه با یك اشتباه در پیكربندی راه نفوذی برای هكرها ایجاد گردد.
با توجه به حجم و ابعاد شبكه‌ها و پورت‌هایی كه از طریق آدرس‌های IP سرویس داده می‌شوند، تعداد نقاطی كه باید اسكن گردند مشخص می‌شود. برای برقراری سطوح امنیتی متناسب با نیازهای هر كاربر، این پورت‌ها به گروه‌های مختلف دسته‌بندی می‌گردند. به این ترتیب پورت‌هایی كه از اهمیت بالایی برخوردارند، توسط سیستم‌های مربوطه در فواصل زمانی كوتاه (معمولاً هر ۵ دقیقه یك‌بار) اسكن می شوند. با توجه به حجم بالای اطلاعاتی كه در هر بازه زمانی تولید می‌شود، باید مكانیزم‌هایی در SOC وجود داشته باشد تا به واسطه آن این حجم بالای اطلاعات پردازش گردد و گزارش‌های مورد نیاز استخراج شود.
● Verification
اصلی ترین و البته مشكل ترین قسمت در یك مركز SOC، حصول اطمینان از امنیت قسمت‌هایی است كه كنترل مستقیمی بر آن‌ها وجود ندارد. برای این منظور باید ابزاری به‌كار گرفته شود كه از طریق آن بتوان به صورت غیرمستقیم تجهیزات مربوطه را كنترل نمود. در حقیقت باید راه نفوذ از طریق آن تجهیزات را مسدود ساخت.
سرویس های پیشرفته در مراكز SOC
سرویس‌های پیشرفته‌ای كه از طریق این مراكز قابل‌ارائه می‌باشد، در‌حقیقت سرویس‌هایی است كه به واسطه آن می‌توان سیاست‌های امنیتی را مطابق با نیازها پیش‌بینی نمود. در مراكز SOC علاوه بر مدیریت امنیت تجهیزات شبكه، زیرساخت‌های اطلاعاتی نیز از لحاظ امنیتی پشتیبانی می‌شوند. این زیرساخت‌ها به طور كلی شامل پرسنل، فرآیندها و روال‌های كاری در شبكه می‌باشند. در استانداردهای تدوین‌شده برای امنیت نظیر استانداردهای BS۹۹۷۷ نحوه پیاده‌سازی روال‌های مدیریت امنیت در شبكه‌ها مشخص شده است.
در بخش مدیریت امنیت فرآیندها در مركز SOC مراحل مختلفی طی می‌شود تا به‌واسطه آن یك روال در شبكه از هر لحاظ ایمن گردد. مرحله اول مرحله سیاست‌گذاری است. پس از تدوین سیاست‌ها و تطبیق آن‌ها با استانداردهای موجود در زمینه امنیت شبكه، روال‌های استخراج‌شده جهت پیاده‌سازی به مسئولا‌ن تحویل می‌شوند. نكته دیگری كه در این زمینه قابل‌بررسی است، آگاهی پرسنل SOC از تهدیدات امنیتی است. باتوجه به وجود طیف وسیعی از سخت‌افزارهای امنیت شبكه، كه هر كدام متناسب با شركت سازنده خود نیاز به مهارت‌های خاصی برای استفاده دارند، و همچنین تغییرات سریع تكنولوژی و نحوه حمله به تجهیزات شبكه، نیاز است پرسنل SOC از مهارت‌های خاصی برخوردار بوده و همواره به كسب اطلاعات جدید مشغول باشند. برای بروز نگه‌داشتن اطلاعات پرسنل از كلاس‌های آموزشی جهت تشخیص حملات جدید و نحوه برخورد با آن‌ها استفاده می‌شود. با توجه به حساسیت وظایف در مراكز SOC، پرسنل این مراكز اهمیت بالا‌یی دارند. به این ترتیب حفظ منافع و رضایت خاطر پرسنل از مهم‌ترین مسئولیت‌های صاحبان SOC می‌باشد.

افسانه دشتی