مرکز عملیات امنیت شبکه SOC و نکاتی مهم درباره آن

قناعت کارنو 1400/02/29

مرکز عملیات امنیت شبکه SOC یکی از موضوعات بسیار مهم می باشد که در این مقاله قصد داریم نکات مهمی درباره آن برای شما بیان کنیم. ارتباط بین مرکز عملیات امنیت شبکه SOC با مرکز عملیات شبکه NOC باید همواره برقرار باشد. همچنین، بسترهای لازم جهت ارتباط و هماهنگی این مرکز با مراکز CERT فراهم شود. در صورتی که بخواهیم SOC یک عملکرد درست داشته باشد، باید به درستی با مراکز فوق ارتباط برقرار کند.

  • NOC

یک مرکز جهت پایداری و ارائه خدمات با حفظ صحت عملکرد شبکه است.

  • CERT

مرکزی است که در موقع لزوم راهکارهای امنیتی را ارائه می دهد.

شرکت های تولید کننده و محصولات مهم در رابطه با امنیت شبکه

در این بخش، قصد داریم تا اطلاعات بیشتری در مورد شرکت هایی که وظیفه تولید و فعالیت در زمینه امنیت شبکه دارند را برای شما عزیزان شرح دهیم.

open source security information management یا OSSIM:

ویژگی های OSSIM

  • شناسایی مک آدرس
  • بررسی تغییرات سیستم عامل ها
  • تشخیص حالت های غیر عادی سرویس ها
  • تشخیص سیستم های غیر فعال
  • شناسایی نقاط آسیب پذیر در تمامی تجهیزات
  • جلوگیری از نفوذ
  • جمع آوری اطلاعات مفید در رابطه با حملات
  • ضبط اطلاعات آماری روی پروتکل ها
  • مانیتور کردن host ها و سرویس ها
  • بررسی ترافیک سرویس ها
  • ضبط اطلاعات گردش شبکه و بررسی آن
  • از طریق ترافیک ضبط شده، داده های گردش شبکه را ایجاد می کند.

arc sight security intelligence and risk management یا SIEM:

این نرم ‌افزار وظیفه جمع آوری اطلاعات امنیتی و بررسی آن ها را برعهده دارد.

ویژگی های SIEM

  • دارا بودن ماشین تحلیل امنیت مرکزی جهت مدیریت خطرات امنیتی
  • دارا بودن یک ابزار جهت مدیریت log ها
  • ارسال گزارش های مبتنی بر فعالیت کاربران
  • ارسال گزارش هایی مبتنی بر کنترلر ها

اهداف به کارگیری مرکز عملیات امنیت SOC در شبکه

این که شما بدانید که در استفاده از مرکز عملیات امنیت شبکه SOC چه اهدافی از اهمیت بیشتری نسبت به برخی دیگر برخوردار هستند، اهمیت زیادی دارد. به همین منظور، در ادامه به طور کامل، مزایا و معایب موجود در این زمینه را برای شما بیان خواهیم کرد.

 مزایای استفاده از SOC

  • هزینه های حملات امنیتی و تهدید ها پایین می آید.
  • بر فعالیت کاربران نظارت می شود.
  • تمامی سیستم ها و داده ها کنترل می شوند.
  • تمامی رخدادها بررسی شده و به آن ها پاسخ داده خواهد شد.

 اهداف اصلی مرکز عملیات امنیت SOC

  • امنیت سایبری بررسی شده و تمامی ناکارآمدی ها گزارش شوند.
  • نسبت به تهدیدات واقعی در زمان کوتاه تری واکنش نشان داده شود.
  • با مدیریت و هماهنگی نسبت به حملات سایبری پاسخ داده شود.
  • با نهادهای امنیتی همکاری شود.
  • تهدیدات و نقاط آسیب پذیر بررسی شوند.
  • رویدادهای امنیتی سایبری در یک پایگاه داده نگهداری شوند.
  • تمامی تهدیدات و حملات مانیتور شوند.
  • گزارش هایی در رابطه با فعالیت سیستم تنظیم شده و به مدیریت ارسال شوند.

وظایفی که مرکز عملیات امنیت انجام می دهد

  • سرویس های کاربران را مدیریت می کند.
  • تجهیزات امنیتی را مدیریت می کند.
  • رویدادها و عملیات امنیتی را بررسی و اداره می کند.
  • تهدید ها و آسیب پذیری ها را اداره می کند.
  • مباحث قانونی در امنیت را اعمال می‌کند.
  • چک لیست های امنیتی را به صورت دوره ای تحلیل می کند.
  • آخرین وضعیت سخت افزاری و نرم افزاری مدیریت می شود. این وضعیت شامل تغییر در پیکربندی سرویس های فعال پورت های باز و غیره می‌شود.
  • وصله های نرم افزاری را مدیریت می نماید. کنترل و استفاده از وصله ها به علت حجم بالای آن ها کار دشواری است، از همین رو، مدیریت آن ها به مرکز عملیات شبکه واگذار می‌شود. با این کار سرعت مدیریت بالا رفته و از نفوذ هکرها جلوگیری خواهد شد.

شبکه soc,مرکز عملیات امنیت شبکه soc,مزایای soc,

SOC و NOC چه تفاوتی با یکدیگر دارند؟

NOC توانایی مدیریت متمرکز حوادث امنیتی را ندارد، بلکه وظیفه آن نگهداری از شبکه و زیرساخت ساختمان می باشد. اما درمقابل، SOC تمامی حوادث امنیتی را کنترل می کند. بنابراین، وجود این دو ابزار امنیتی در کنار یکدیگر برای حفظ امنیت شبکه و اطلاعات از عملکرد تجهیزات و سرویس‌های آن ضروری است.

 فعالیت‌های مرتبط SOC و NOC

  • بر تمامی عملیات شبکه نظارت می‌کنند .
  • Ticket ها را پیگیری و ردیابی می کنند.
  • تمامی event ها را مدیریت می‌کنند.
  • تمامی log ها را مدیریت می کنند.
  • وظیفه تشخیص نفوذ و ردیابی قطعی شبکه را برعهده دارند.

فعالیت های مجزای SOC و NOC

NOC:

  • مسئول تمامی عملیات شبکه است.
  • زیرساخت شبکه را از لحاظ حفظ کارکرد صحیح کنترل می کند.

SOC:

  • تمامی حوادث را بررسی و آن ها را تجزیه و تحلیل می‌کند.
  • تمامی فعالیت های اشتباه را مدیریت و نسبت به حوادث واکنش نشان می دهد.
  • ریسک های امنیتی شبکه را تحلیل می کند.
  • وظیفه مدیریت رخداد های امنیتی در راستای حفظ شبکه را بر عهده دارد.

مولفه های اصلی SOC

مولفه های اصلی SOC به صورت زیر تقسیم بندی می شوند:

1. نیروی انسانی

مرکز امنیت شبکه از یک تیم حرفه ‌ای که نسبت به تمامی سیاست های امنیتی، تجهیزات  و اجرای شبکه و مواردی از این قبیل آشنایی کامل دارند، تشکیل شده است.

 2. فرآیند ها

در حالت کلی فرآیندهای SOC به چهار دسته تقسیم می شوند:

  • فرآیندهای تحلیلی

این فعالیت ها جهت شناسایی رویدادهای مخرب مورد استفاده قرار می گیرند.

  • فرآیندهای عملیاتی

شامل عملیات روزانه مانند برنامه ریزی، شیفت های کاری و مواردی از این قبیل می‌شود.

  • فرایندهای فنی

شامل تمامی فرایندهای مربوط به پیکربندی و راه اندازی سیستم شبکه می شود.

  • فرآیندهای تجاری

شامل تمام مولفه هایی می شود که جهت اجرای مرکز امنیت شبکه لازم است.

3. تکنولوژی

  • تکنولوژی داخل شبکه شامل تمام سنسور ها و بررسی فعالیت های امنیتی می شود.
  • تکنولوژی خود مرکز مربوط به مرکز امنیت شبکه است.