لطفا مشارکت :

مقدمه
چند وقت پیش مطلبی از بنده با همین عنوان در ویژه نامه ی به چاپ رسید که تصمیم گرفتم اینجا هم بازگو کنم :
اطمینان از محرمانگی، یکپارچگی و در دسترس بودن شبکه و اطلاعات در هر شبکه ای به ویژه شبکه های بزرگ کار بسیار مهم و برجسته ای است. امروزه شنیدن نقض امنیت سایبری سازمان ها و شرکت های بزرگ به اخبار روزمره زندگی ما تبدیل شده است و در کنار آن نقش امنیت اطلاعات هر روز پرنگ تر گشته است. برای حل مسائل امنیتی، ارائه ی راه حل های سریع و پاسخ به رخداد های امنیتی، بسیاری از سازمان ها و شرکت ها به سمت راه اندازی و استفاده از واحدی تحت عنوان SOC (Security Operations Center) حرکت کرده اند.SOC این توانایی را دارد تا با عملکرد متمرکز خود بسیاری از مخاطرات را به راحتی حل کند و راهکارهایی را برای پایبندی به سه اصل مطرح شده در ابتدای این نوشته فراهم سازد.
در این مراکز اطلاعات سازمانی درکنار سایر مراکز حساس مانند سامانه های تحت وب، پایگاه های داده، سرورها، شبکه و ... تحت نظارت مستمر و دقیق قرار خواهند گرفت و شاید بتوان گفت سه وظیفه ی اصلی یک مرکز SOC نظارت، ارزیابی و دفاع است. صرف نظر از اندازه ی سازمان معیار مهم در ارزیابی یک SOC خوب، توانایی آن در محافظت و رسیدگی به مشکلات امنیتی سازمان است.
بسیاری از شرکت ها و سازمان های فاقد SOC دلایلی چون نبود نیروی متخصص امنیت، مسائل مالی و یا حتی عدم در اختیار داشتن ابزار مناسب و کارآمد برای این منظور را دلایل فقدان این مرکز حساس و کارآمد نام می برند و در طرف دیگر بسیاری از سازمان ها بر این باورند که سازمان آنها هدف خوبی برای حملات سایبری نیست چرا که تا کنون از این دست حملات را تجربه نکرده اند، اما واقعیت این است که شاید تا کنون به جنبه های بعد از وقوع یک حمله ی سایبری درست نگاه نکرده اند و نمی دانند یک تیم SOC چه فرآیند های مهمی را در سازمان زیر چتر حمایت خود خواهد آورد.
یک تیم SOC در درجه ی اول از تحلیلگران امنیتی برای شناسایی، تجزیه و تحلیل، گزارش گیری، پاسخ و جلوگیری از حملات سایبری تشکیل می شود. شاید همین جمله ی قبل نشان از اهمیت وجود این تیم در سازمان دارد.
برای تعیین ماهیت حملات، تیم پاسخ به رخداد های SOC اغلب در حال تجزیه و تحلیل و تحقیقات قانونی بروی شواهدی مانند کپی اطلاعات هارد دیسک ها، مهندسی معکوس بدافزارها و جمع آوری اطلاعاتی است که می تواند در محیط کاملا عملیاتی به کار گرفته شوند. شواهد قانونی باید به شیوه ای دقیق و کارآمد دسته بندی و جمع آوری شوند تا بتوان در زمان هایی مانند بررسی دقیق رویداد های قبلی از آنها به دفعات استفاده کرد بطوری که به اصل اطلاعات کشف شده در یک روند واقعی لطمه ای وارد نشود.
هنگامی که نشانه های از یک حمله مطابق با الگوهای از پیش تعریف شده در سیستم های تشخیص نفوذ (IDS) دیده می شود، حمله ممکن است در همان نقاط اولیه به کمک سیستم جلوگیری از نفوذ شبکه (NIPS) و یا به وسیله ی سیستم جلوگیری از نفوذ میزبان (HIPS) با تمهیدات دفاعی لازم روبرو شود. در حالی که اگر این حملات با الگوی رفتاری پیچیده تر پیاده سازی می شد به سادگی به مقصود خود می رسید و دلیل آن تنها یک مطلب است فقدان تجزیه و تحلیل حملات و بروز رسانی پایگاه دانش سیستم های مورد استفاده در فاز شناسایی و جلوگیری از حملات.
در کنار استفاده از تکنولوژی های مدرن و سیستم های کارآمد نباید هیچگاه نقش کلیدی نظارت انسانی را بی مورد دانست چرا که بررسی های دقیق انسانی می تواند نقاط ضعف و قوت پیاده سازی این قبیل سیستم ها را به خوبی نشان دهد و در زمان مناسب چاره جویی بهتری برای آن شود.
اطمینان از محرمانگی، یکپارچگی و در دسترس بودن شبکه و اطلاعات در هر شبکه ای به ویژه شبکه های بزرگ کار بسیار مهم و برجسته ای است. امروزه شنیدن نقض امنیت سایبری سازمان ها و شرکت های بزرگ به اخبار روزمره زندگی ما تبدیل شده است و در کنار آن نقش امنیت اطلاعات هر روز پرنگ تر گشته است.
در واقع بصورت خلاصه برای افزایش سطح امنیت اطلاعات و ارتباطات و کاهش مخاطرات رخدادهای سایبری سازمان دو رویکرد فنی با حمایت کامل مدیران ارشد در هر سازمان ی داریم :
1- امنیت سایبری پیشگیرانه -Proactive
2- امنیت سایبری واکنشی - Reactive
+ آگاهی رسانی های امنیت سایبری مستمر و جدی -Security awareness

که از لحاظ فنی گزینه ی 1 به ایجاد مرکز عملیات امنیت سایبری منجر میشود
security operations center (SOC)
و
گزینه ی 2 به ایجاد مرکزتحلیل امنیت سایبری منجر میشود
Computer Incident Response Team (CIRT)

با سپاس از مطالعه
95.03.23



موضوعات مشابه: