امروزه با توجه به افزایش قابل توجه ارزش و اهمیت دارایی ها و داده های موجود در مراکز داده و پیرو آن افزایش انواع مختلفی از تهدید های امنیتی، استفاده از راهکارهای مدیریت و رصد امنیتی به ضرورتی اجتناب ناپذیر جهت افزایش امنیت، پایداری شبکه و سامانه های اطلاعاتی تبدیل شده است.
مرکز عملیات امنیتی یک سامانه رصد و مدیریت امنیتی یکپارچه است که با توجه به بهره مندی از مقداری هوشمندی امکان مدیریت حجم عظیم رویداد ها و رخداد های تولید شده توسط دیگر راهکارهای حفاظتی را فراهم می آورد. سامانه مرکز عملیات امنیت می تواند حملات و تهدید های کشف شده را بی درنگ اعلان و ثبت کند. این اعلان می تواند از طریق واسط های مختلف از قبیل کنسول مرکز داده، به صورت صوتی، ارسال پست الکترونیکی و یا ارسال پیامک صورت گیرد. در همین ارتباط پایگاه اطلاع رسانی بانک صنعت و معدن گفتگویی با حمید غفاری رئیس اداره حفاظت اسناد و اطلاعات رایانه ای این بانک ترتیب داده است که در پی می خوانید:
مدیریت رخدادها در یک شبکه با چه چالش هایی روبرو است ؟
مدیریت رخدادها در یک شبکه با چالشهای متعددی روبرو است. از جمله این چالش ها می توان به حجم بسیار زیاد رخدادهای تولید شده و همچنین پراکندگی و تنوع آنها اشاره کرد. بزرگترین چالش براین پایه استوار است که به دلیل حجم زیاد رویدادها دیگر توانایی و منابع انسانی کافی برای بررسی رویدادها در سازمان ها وجود ندارد و باید از تجهیزاتی که به هوش مصنوعی مجهز هستند استفاده کرد.
رویکرد اجرائی مرکز عملیات امنیت (SOC)، در قبال حجم بسیار بالای رخداد های تولیدی چیست؟
مرکز عملیات امنیت (soc) با جمع آوری رخدادها، انجام پیش پردازش، حذف رخدادهای تکراری و اضافی، تحلیل و بررسی همبستگی بین رخدادها می تواند تعداد زیاد رویدادها را به فراهشداری هایی محدود تبدیل نماید به طوری که اگر تصور کنیم در یک سازمان روزانه یک میلیون رویداد تولید می شود soc باید این قابلیت را داشته باشد که یک میلیون رویداد را به هزار هشدار (Alert) و هزار هشدار را به 10 فراهشدار Meta Alert تبدیل نماید و از دل فرا هشدار ها با همبسته سازی Corrolation حوادث چند گامی را شناسایی کند همچنین با مکانیزم های هشدارNotification از قبیل ایمیل و پیامک کارشناسان مرکز عملیات را نیز مطلع نماید.
از مکانیزم های منحصر به فرد و پیشرو در جهان امروز پاسخگویی نیمه خودکار یا خودکار می باشد که در این حالت Automatic Response تجهیزات به گونه ای تنظیم شده است که در صورت بروز حوادث اورژانسی قابلیت جلوگیری خودکار را داشته باشد به طوریکه بتواند سیستم به صورت اتوماتیک به تجهیزات شبکه و زیرساخت فرمان انجام کاری را ارسال کند.
شرایطی را فرض کنید که حمله ای همانند wanna cry در ساعات غیر اداری در حال شکل گیری است و مکانیزم هوشمند شناسایی حملات شناخته نشده سامانه مرکز یکپارچه دیده بانی عملیات امنیتی حراست اولین گامهای حمله را شناسایی می کند. در اولین گام حمله واناکرای شروع به جستجوی فایلهای دیتا بر روی هارد دیسک می نماید. این اولین گام حمله است.
در این حالت این سیستم قابلیت این را دارد که به صورت خودکار جلوی پخش این آسیب پذیری را بگیرد. در صورتی که ما یک سناریوی حملات اورژانسی تعریف کرده باشیم، این سیستم قادر است ابتدا از مهمترین اطلاعات سرورها بک آپ تهیه کند و برای جلوگیری از گسترش آسیب پذیری سرور را خاموش نماید تا در زمان مناسب کارشناسان سرتCert اقدامات ترمیمی را شروع کنند.
نقش مرکز عملیات امنیت در جلوگیری از فساد موسسات مالی و اعتباری چگونه است؟
امروزه یکی از مهمترین راهکارها برای مبازره با فساد مالی استفاده از تکنیکهای داده کاوی Data Mining می¬باشد. یکی از اصلی ترین تکنولوژی های به کار گرفته شده در مراکز عملیات امنیتی تکنولوژی داده کاوی است. بهره برداری از این قبیل سامانه ها این قابلیت را دارد که با بهره گیری از دانش پردازش بر داده های حجیمBig Data بتواند تمامی فعالیت های سیستم های مالی و بانکداری متمرکز (CBS) را رصد کند به شرط آنکه تولیدکنندگان نرم افزارهای مالی و بانکی عزم شفاف سازی داشته باشند و داده ها و رویدادهای خود را در اختیار مرکز عملیات امنیت قرار دهند، بانک صنعت و معدن آمادگی دارد برای اولین بار در کشور سامانه ردگیری تبادلات مالی و بانکی را در درون بانک راه اندازی کند. این سامانه می تواند با هوشمندی، از فساد و خطای عمدی و غیر عمدی جلوگیری نماید.
نقش موثر مرکز عملیات امنیتی در خصوص حفاظت از داده ها و خدمات میزبانی سرویس های زیر ساخت چگونه است؟
مرکز عملیات امنیت با رصد بی درنگ کل زیر ساخت، این امکان را فراهم می سازد که قبل از وقوع بسیاری از حملات به سامانه های خطر پذیر ، اصلاحات لازم در شبکه و سامانه های زیر ساخت انجام گردد و از خسارات به سامانه ها و داده های اطلاعاتی پیشگیری شود.
نقش مدیران امنیتی و کارشناسان فعال در مرکز عملیات امنیتی مدیریت حراست چيست؟
پیرو تولید و اعلان رویدادها ، مدیران امنیتی شبکه می توانند با بررسی و ردیابی حملات، واکنش نشان داده و از حملات و گسترش دامنه ها جلوگیری کنند و یا در صورت خسارت دیدن سامانه ها، آن ها را با استفاده از پشتیبان های تهیه شده به حالت قبلی برگردانند.
به چند مورد نقش مهم مرکز عملیات امنیتی اشاره کنید؟
تجمیع کلیه سرویس های امنیتی از باب پایش و نظارت ، گزارش گیری ، تجمیع و تحلیل اطلاعات امنیتی ، دیده بانی قدرتمند بر تمام منابع و دارایی های اطلاعاتی بانک ، ارائه راهکارهای مناسب در خصوص افزایش ضریب امنیتی و کاهش ریسک های تکنولوژیکی.
آیا مرکز عملیات امنیتی (SOC) نقشی در تحلیل ریسک های امنیتی شبکه دارد؟
یکی از مهمترین وظایف مرکز يكپارچه ديده باني عملیات امنیت ، شناسایی آسیب پذیری تجهيزات و نرم افزارها می باشد به گونه ای که سیستم ، قابلیت ارزیابی امنیت را به صورت هوشمند ،خودكار دوره اي در بازه های زمانی مشخص فراهم می نماید. وضعیت آخرین بروزرسانی وصله های امنیتی Pacth ، پورتها و سرویس های عملیاتی از مهمترین مخاطرات سازمان ها است.
حالتی را در نظر بگیرید که یکی از کارشناسان برای انجام اقدامات مدیریتی بر یکی از سرورهای حیاتی بانک درخواست باز کردن RDP را ارائه داده است اما بعد از پایان یافتن خدمات، مدیر امنیت فراموش می کند که پورت مورد نظر را مسدود کند. در این حالت ممکن است کاربران غیر مجاز با اطلاع از باز شدن این پورت شروع به حمله brute force کنند در اینجا مرکز با انجام ممیزی های هفتگی و ماهانه قابلیت شناسایی و رفع آن را فراهم می کند.
مرکز عملیات امنیت با رصد سراسری شبکه و تمام اجزای آن، و تحلیل و گزارش مشاهدات خود، اطلاعات دقیقی از وضعیت امنیتی شبکه و میزان ریسک آن ارائه می دهد. براساس گزارش های تولیدی توسط SOC می توان پیکربندی امنیتی تجهیزات، سامانه ها، کاربردها و همچنین سیاست های امنیتی را مورد بررسی و بازنگری قرار داده و در صورت نیاز راهکارهای حفاظتی را بهبود و یا ارتقاء بخشید.
آیا مکانیزمی براي اجرای آزمایش های امنیتی در مرکز حراست بانک صنعت و معدن تعبیه شده است؟ بله، این مرکز با استفاده از تجهیزات سخت افزاری و نرم افزاری روز دنیا جهت آزمایش و تحلیل مشکلات امنیتی و بررسی سخت افزار ها و نرم افزار های امنیتی که می خواهند مورد استفاده در شبکه قرار گیرند ایجاد شده است و از اهم وظایف آن می توان به موارد ذیل اشاره کرد:
بررسی و آزمایش های تخصصی در حوزه تحلیل امنیت ترافیک عبوری از شبکه
بررسی امنیت نرم افزار و سخت افزارهای مورد استفاده در بانک
بررسی و آزمایش های تخصصی در خصوص فایل های مخرب، ویروس ها و....