معرفی
در سازمانهایی که از بستر فناوری اطلاعات استفاده میکنند، روزانه حجم عظیمی از رخدادنماها و هشدارها توسط تجهیزات و حسگرهای مختلف شبکهای و امنیتی تولید میشود که بررسی دقیق، ارزیابی و اهمیتدهی به موارد مهم، به صورت انسانی کاری بسیار پرزحمت، پرهزینه و همراه با اشتباه و چه بسا غیرممکن خواهد بود. در یک شبکه سازمانی با اندازه متوسط روزانه بیش از چند میلیون رخدادنما تولید میشود که تا اندازهای میتواند مشخص کننده مشکلات پردازش انسانی رخدادنماها باشد. همچنین تنوع رخدادنماها و قالبها و زبانهای مختلف به کار گرفته شده در آنها برای بیان یک اتفاق یکسان، مشکلات پردازش انسانی رخدادنماها را آشکارتر میسازد. به منظور حل این مشکل، راهکارهای مختلفی ارائه شده است. این راهکارها با نامهایی همچون مدیریت رخدادنما (Log Management)، مدیریت رویدادها و اطلاعات امنیتی (SIEM: Security Information & Event Management) و مرکز عملیات امنیت (SOC: Security Operations Center) ارائه میشوند.
مرکز عملیات امنیت، به عنوان کاملترین راهکار برای موضوع یاد شده، ارائه شده است. همان طور که از نام آن مشخص است به صورت یک مرکز راهاندازی شده و بنابراین از سه جزء تکنولوژی، تیمهای انسانی و فرآیندها تشکیل شده است. این مرکز با پایش ۲۴ × ۳۶۵ شبکه سازمان، نمایی بلادرنگ از وضعیت امنیتی شبکه و رخدادهای جاری فراهم میکند و در صورت بروز حادثه، در سریعترین زمان ممکن حادثه را تشخیص داده و سازمان را در رفع حادثه یاری نماید.
مرکز عملیات امنیت، با بهرهگیری از تکنولوژیهای مختلف، در سریعترین زمان ممکن، تغییرات وضعیت امنیتی سازمان را مورد ارزیابی قرار داده و حوادث مهم را مشخص میکند. انجام این کار با استفاده از تکنولوژیهای به کار رفته و نیروهای متخصص که آموزش داده میشوند، باعث کاهش هزینههای بسیاری خواهد شد که در زیر به برخی از آنها اشاره شده است:
- کاهش هزینه زمانی لازم برای جمعآوری رخدادنماها و هشدارها در مواقع ضروری
- کاهش هزینه نگهداری رخدادنماها و هشدارها، با استفاده از مکانیزمهای فشردهسازی، حذف تکرار و پالایش رخدادنماهای غیر مفید
- کاهش هزینه انسانی پردازش رخدادنماها و هشدارهای اولیه با دستهبندی و سابقهگیری خودکار از حوادث
- کاهش هزینههای وارسی و ارزیابی رویدادها و حوادث سابقهدار و شناخته شده با استفاده از مکانیزمهای یادگیری
- کاهش هزینههای تحلیل و کشف ارتباط بین حوادث و رویدادهای مختلف
- کاهش هزینههای انسانی رسیدگی به حادثه، با استفاده از تیم متخصص آموزش دیده و اجتناب از انجام اعمال اضافی و دوری از روشهای آزمون و خطا در شناسایی علل وقوع حوادث
- کاهش هزینههای ناشی از تداوم خسارت منتج از حوادث مخرب با جلوگیری از اتلاف زمان و پیشروی حادثه
- کاهش هزینههای ناشی از قطع سرویس با فراهم نمودن پیوستگی ارائه خدمات
- کاهش هزینههای هماهنگی مکانیزمهای تشخیص حوادث با تغییرات سیستم اطلاعاتی سازمان
مرکز عملیات امنیت، با ارائه خدمات زیر به تشخیص حوادث مهم امنیتی از میان حجم عظیم گزارشها، هشدارها و رخدادنماها میپردازد و به آنها رسیدگی میکند. راهاندازی مرکز عملیات امنیت، به عنوان ابزاری جهت تشخیص، تحلیل و رسیدگی به حوادث در این مرکز مورد استفاده قرار میگیرد.
مرکز عملیات امنیت علاوه بر قابلیتهای یک SIEM مرسوم، امکانات لازم جهت رسیدگی به حوادث امنیتی و همچنین ابزارهای لازم جهت بهروزرسانی دانش متناسب با شرایط سازمان را نیز فراهم مینماید. با راهاندازی مرکز عملیات امنیت، خدمات زیر به سازمان موردنظر ارائه میشود:
- جمعآوری رخدادنماها و هشدارها از کاربردها، تجهیزات مختلف شبکهای و حسگرهای امنیتی
- یکنواخت نمودن قالب تمامی گزارشها، رخدادنماها و هشدارها و نرمالسازی معنایی
- نگهداری بلند مدت هشدارها و رخدادنماها با قابلیت بازیابی بلادرنگ آنها
- پالایش هشدارها، رخدادنماها و گزارشهای بیمصرف
- تشخیص هشدارها و گزارشهای غیر مفید و ناصحیح با قابلیت هماهنگی با محیط عملیاتی
- تحلیل و همبستهسازی بلادرنگ رویدادهای مربوط به حملات مختلف
- کشف علت ریشه وقوع حوادث جهت برخورد اصولی با آنها
- تطبیق رویدادها با سیاستهای امنیتی سازمان
- تطبیق حوادث با آسیبپذیریهای سازمان
- تشخیص و اولویتبندی حوادث امنیتی از میان حملات اینترنتی و رویدادهای شبکهای
- ارائه داشبورد پایش بلادرنگ حوادث و رویدادهای امنیتی
- تعیین و پیگیری گردش کار رسیدگی به حادثه از طریق سیستم
- تولید گزارشهای آماری مختلف از رویدادها و حوادث جهت آگاهی از وضعیت امنیتی
- کاوش الگوهای رویدادها و حملات جدید با استفاده از ابزارهای خودکار
- بهروزرسانی قوانین و روالهای تشخیص، تحلیل و رسیدگی به حادثه به طور پیوسته
- تحلیل و پایش ۲۴ ساعته رویدادها و حوادث امنیتی
- امکانات لازم برای استفاده از دانش نیروهای متخصص در راهبری و عملکرد سیستم با آگاهی از شرایط سازمان
- تشخیص زودهنگام حوادث امنیتی با تحلیل رفتاری شبکه
- ارائه راهبرد رسیدگی به حادثه
- تشخیص تغییرات وضعیت امنیتی سازمان
- پیگیری روال تشخیص، تحلیل و رسیدگی به حادثه
- تخصیص صحیح منابع انسانی در رسیدگی به حوادث بر اساس میزان اهمیت حوادث و حساسیت داراییهای سازمان
مشخصات
مشخصات جمعآوری رخدادنماها (LC)
- انعطافپذیری در دریافت ورودی از تجهیزات مختلف شبکهای و امنیتی و کاربردها
- امکان افزودن هر نوع کاربرد یا تجهیز جدید خاص هر سازمان به سامانه
- پشتیبانی از تعداد نامحدود حسگر و نرخ نامحدود برای هر حسگر
- امکان تعریف فیلترهای مختلف برای حذف دادههای نامرتبط یا دادههای مورد نظر سازمان
- فشردهسازی سازی با ضریب ۱۰:۱، به منظور کاهش مصرف پهنای باند شبکه
- انتقال امن رخدادنماها و تضمین صحت آنها و حفظ محرمانگی به طور کامل
- اعتماد پذیری انتقال و نگهداری موقت دادهها در صورت قطع ارتباط بین واحد جمعآوری و سرور
مشخصات آرشیو (LM)
- قابلیت نگهداری بلند مدت دادهها به صورت قابل تنظیم و در بازههای زمانی شش ماه و بیشتر
- فشرده سازی و رمزنگاری کلیه دادههایی که در آرشیو نگهداری میشوند
- استفاده از قالبهای داده استاندارد(IDMEF) و (IODEF) برای نگهداری حمله و حادثه و حداکثر انعطاف پذیری در ارتباط با سایر محصولات و راه کارها
- بازیابی بلادرنگ اطلاعات مربوط به حملات و حوادث
- امکان جستجو بر روی دادههای موجود در آرشیو بر اساس ویژگیهای مختلف رویدادها و حوادث
- امکان دریافت گزارشهای مختلف از رویدادها و حوادث به صورت لحظهای و دورهای و زمانبندی شده
- سازگاری با راهکارهای مختلف سختافزاری موجود برای ذخیرهسازی دادههای انبوه
موتور تحلیل و همبستهسازی (بخشی از CRE)
- تحلیل و شناسایی بلادرنگ حملات
- تشخیص حملات چندگامی و آهسته با پنجره زمانی نامحدود (ویژه)
- تحلیل هشدارهای حسگرهای امنیتی در کنار رویدادهای دیگر حسگرهای شبکه
- تشخیص خودکار هشدارها و رخدادنماهای مثبت کاذب و حذف آنها
- قدرت کاهش حجم رویدادها به نحوی که در عین کاهش قابل ملاحظه ورودیها و ایجاد حجم خروجی قابل پردازش، مانع از دست نرفتن حوادث و حملات، میشود
- تطابق سنجی سیاستهای امنیتی و صدور هشدار در صورت نقض سیاستها
- قوانین از پیش تعریف شده همبستهسازی
- امکان تعریف قوانین خاصمنظوره همبستهسازی
- ایجاد پروفایل برای داراییهای مهم و تحلیل ناهنجاری رویدادها
- پشتیبانی از تعداد نامحدود سناریوی حمله
- مقیاس پذیری قدرت پردازش
- نمایش گرافیکی گراف حمله با قابلیت پیمایش
- تشخیص خودکار پارامترهای هماهنگ سازی با محیط عملیاتی
پایگاه دانش (بخشی از CRE)
- پایگاه دانش یکپارچه برای مدیریت کل دانشهای موجود در سیستم از قبیل: سناریوهای حملات، اطلاعات تشخیص رخدادنماهای مثبت کاذب، رسیدگی به حوادث، اطلاعات داراییها و آسیبپذیریهای سازمان، سیاستهای امنیتی و …
- امکان مدیریت دانشها و سفارشیسازی برای سازمان
- کاوش خودکار و مدیریت شده سناریوهای جدید و متناسب با شبکه سازمان (ویژه)
- امکان به روز رسانی از راه دور و از طریق سرور شرکت و به روز رسانی آفلاین از طریق فایلهای به روز رسانی
رسیدگی به حوادث (بخشی از CRE)
- وجود فرآیند رسیدگی به حوادث (ویژه)
- سیستم بلیت برای تخصیص نیروی انسانی رسیدگی به حوادث به صورت یکپارچه با فرآیند رسیدگی به حوادث (ویژه)
- امکان تعامل با CERT، NOC و تیم جرمشناسی و امکان سفارشیسازی تعاملات با این موجودیتها و سایر موجودیتهای مدنظر سازمان
- ارائه راهبرد واکنش متناسب و خاص هر حادثه (ویژه)
- قابلیت تدوین راهبرد رسیدگی برای حوادث جدید (ویژه)
- تخصیص کارآمد منابع انسانی در رسیدگی به حوادث و استفاده از معیارهای متنوع برای اولویتبندی و زمانبندی
- امکان سفارشیسازی و اتصال به راه کارهای موجود در سازمان (مانند سیستم بلیت)
- امکان اعلان حوادث به صورت ایمیل و پیامک
واسط کاربر (بخشی از CRE)
- رابط کاربر یکنواخت و یکپارچه برای کل اجزاء سامانه
- داشبورد وضعیت امنیتی، وضعیت کلی سامانه و اجزاء سامانه
- امکان مدیریت و پیکربندی همه اجزاء به صورت متمرکز
- امکان پایش وضعیت منابع (پردازنده، حافظه، دیسک سخت) مختلف همه اجزاء سامانه به صورت متمرکز
- واسط کاربر مبتنی بر وب و امکان دسترسی از هر محل مورد نظر
- امکان پایش حسگرها و مدیریت واحدهای جمعآوری کننده رخدادنما
- پشتیبانی از صدها گزارش پیشفرض و امکان تعریف گزارشهای سفارشی و دلخواه سازمان
- داشبوردهای متنوع پیشفرض و قابلیت تعریف و سفارشیسازی داشبوردها
- قابلیت مدیریت کاربران و سطوح دسترسی
- احراز اصالت دو عاملی کاربران با استفاده از توکن کیا
- امکان ارسال ایمیل و پیامک
- پشتیبان گیری خودکار و دورهای و بر حسب تقاضا
- سیستم پیام به منظور تبادل پیام امن بین کاربران
- رابط کاربری مناسب جهت اطلاع راهبران سیستم از آخرین نسخه نرم افزار و دانش سیستم و دریافت بهروزرسانیها
حسگرهای ویژه – حسگر تحلیل جریان ترافیک (NTA)
- تشخیص بیش از ۱۷۰ پروتکل لایه کاربرد شبکه
- پایش ترافیک و ارائه نمودارها و گزارشهای مختلف و قابل تعریف و سفارشیسازی در بازههای زمانی مختلف
- قابلیت دریافت گزارشهای Netflow علاوه بر استخراج اطلاعات جریان از ترافیک خام
- پردازش و همبستهسازی اطلاعات جریان ترافیک با سایر ورودیهای دریافتی از حسگرهای مختلف
- پردازش ترافیک 10Gbe
- تشخیص حملات و بدافزارهای صفر-روز (Zero-Day)
- نگهداری و جستجو بر روی جریانهای ترافیک
- توزیع پذیری در نقاط و نواحی مختلف شبکه
حسگرهای ویژه – حسگر تشخیص نفوذ (NIDS)
- امکان پردازش ترافیک با نرخ 10Gbe
- امکان پردازش 5 میلیون نشست همزمان بر روی خطوط 10Gbe
- بهرهمندی از روشهای تشخیص ناهنجاری رفتار مبتنی بر یادگیری
- بالغ بر 18 هزار امضاء حمله فعال
- به روز رسانی مداوم امضاءهای حملات
- واسط کاربر مجزا و مبتنی بر وب
- قابلیت جلوگیری از نفوذ برخط
- قابلیت ارسال فرمان به دیوارهی آتش
ویژگیهای کلی راهکار
- مقیاسپذیری بخشهای پردازشی و امکان استفاده با معماری سلسله مراتبی برای شبکههای بزرگ و دارای گستردگی جغرافیایی
- قابلیت فعالیت در شبکههای بزرگ و بسیار بزرگ و با تعداد داراییهای زیاد
- توسعه عملکرد خودکار سامانه در طول زمان
- استفاده مناسب و بهینه از سختافزار
- تحملپذیری خطا و از دست نرفتن دادهها
- قابلیت یکپارچگی با سامانه MSSP
- توسعه بومی همهی قسمتهای راهکار و عدم وجود هیچگونه وابستگی به محصولات و شرکتهای خارجی
- امنیت ارتباط بین اجزای سامانه و برخورداری از مدل امنیتی
- قابلیت یکپارچه سازی با سیستمهای ASSET Discovery و استفاده از خروجی آنها
- وجود حسگرهای ویژه (دو حسگر بومی سیستم تشخیص نفوذ و تحلیل جریان ترافیک)
- امکان اعمال تغییرات و سفارشیسازی در هر سطح بر حسب نیاز سازمان
- تیم پشتیبانی و تیم پایش حوادث 7×24 مطابق SLA
- سیستم بلیت به منظور پیگیری درخواستهای پشتیبانی تا حصول نتیجه
- برگزاری دورههای آموزشی لازم برای نیروهای مورد نظر سازمان و ارائه راهنمای حملات و سناریوها
- پشتیبانی بومی از دانش و عدم وابستگی به منابع خارجی در بهروزرسانی دانش
لیست گزارشهای مرکز عملیات امنیت
از روی انواع ورودیهای مختلف موجود در سیستم میتوان صدها گزارش تعریف نمود و زمانبندی جهت تولید این گزارشها ایجاد کرد. گزارشها به صورت دورهای و در قالب زمانبندی ساعتی، روزانه، هفتگی و ماهانه قابل تهیه بوده و نیز پارامترهای مختلفی برای هر گزارش قابل تعریف و سفارشیسازی است. بخشی از نمونه انواع گزارشها شامل موارد زیر میباشد:
- تلاش برای ورود در کل شبکه
- تلاش برای ورود به یک سیستم
- تلاش برای ورود ناموفق در کل شبکه
- تلاش برای ورود ناموفق به یک سیستم
- از کار افتادن سرویسهای مختلف شبکه
- تلاشهای ناموفق برای کسب دسترسی بر روی یک فایل
- تغییرات در مدیریت کاربران و حذف و اضافه کردن آنها
- بیشترین ترافیکهای مشکوک گزارش شده بر روی شبکه
- بیشترین ترافیکهای مشکوک گزارش شده بر روی یک سیستم
- بیشترین آدرسهایی که از آنها رخداد گزارش شده است
- بیشترین آدرسهایی که مقصد حملات مختلف بودهاند
- بیشترین بدافزارهایی که در سازمان گزارش شدهاند
- بیشترین نوع بدافزارهایی که در شبکه فعالیت میکنند
- بالاترین انواع حملاتی که به داراییهای سازمان انجام شده است
- بالاترین امضاءهای حملاتی که در شبکه مشاهده شده است
- بالاترین قوانین همبستگی که در تحلیل رویدادها منجر به تولید خروجی شدهاند
- بیشترین انواع منابعی از سرویسها و سیستمهایی که هدف حمله بودهاند
- بیشترین آثاری که رخدادهای گزارش شده و حملات مشاهده شده بر روی داراییهای شبکه داشتهاند
- بیشترین تغییرات پیکربندی در سیستمهای مختلف شبکه
- تعداد ورودهای موفق یا ناموفق یک کاربر به سرویسهای مختلف
- پورتهای مختلف شبکه که مورد حمله قرار گرفتهاند
- بیشترین پروتکلهایی که بستر اتفاقات مختلف امنیتی بودهاند
- بالاترین نقاط شبکه که مورد هدف حمله شناسایی قرار گرفتهاند
- بالاترین مهاجمینی که حملات منع سرویس علیه داراییهای شبکه انجام دادهاند
- آلودهترین داراییهایی موجود در شبکه که مبدأ انتشار بدافزارهای مختلف هستند
- بالاترین نقاطی از شبکه که ارسال کننده هرزنامه به سرویسدهندههای ایمیل هستند
- بالاترین سیستمهایی که دارای سابقه فعالیت در شبکههای بات هستند
- بالاترین سیستمهایی که انتقال داده به صورت فایل مشترک بر روی پروتکلهای مربوطه داشتهاند
- بالاترین تغییرات دادهای که بر روی سرویسدهندههای پایگاه داده گزارش شده است
- بیشترین حملاتی که بر روی یک پورت خاص گزارش شده است
- بیشترین حملاتی که بر علیه یک سرویس خاص گزارش شده است
- بیشترین رویدادهای فعالیت استاندارد در شبکه
- بیشترین آسیبپذیریهای کشف شده در شبکه
- حسگرهایی که بیشترین تعداد رخداد را گزارش کردهاند
- بیشترین پورتهایی که بستههای ترافیک شبکه بر روی آنها دور ریخته شده است
- بیشترین پورتهایی که جهت انتشار بدافزار از آنها استفاده شده است
- بیشترین حملاتی که علیه سرویس دهنده وب در سازمان انجام شده است
- بیشترین داراییهایی که نام دامنه مشکوک به سرویس دهنده نام دامنه پرس و جو کردهاند
- بالاترین آدرسهایی که ترافیک ناهنجار از آنها گزارش شده است
- بیشترین آدرسهایی که سیاستهای تعریف شده در ACL را نقض کردهاند
- بیشترین پورتهایی که مقصد حملات درب پشتی سرویسها و بدافزارهای موجود در سازمان بودهاند
- بالاترین دسترسیهایی که بر روی سرور VPN انجام میشود
- بالاترین آدرسهایی که بر روی سرویس دهنده SSH حمله کردهاند
- بالاترین فعالیتهای گزارش شده بر روی سرویس دهنده DHCP
- بالاترین حملاتی که بر علیه پهنای باند شبکه انجام شدهاند
- بالاترین پروتکلهایی که بر روی آنها انواع ترافیک با کانال پوشیده منتقل شده است
- بالاترین سرویسدهندههایی که علیه آنها حمله نفوذ جهت کسب دسترسی به سرویس انجام شده است
- بالاترین برنامهها یا سرویسدهندههایی که متوقف شده است
- بالاترین آدرسهای بدنامی که ترافیک داده به سمت شبکه هدف منتقل کردهاند
- و …
لیست داشبوردهای مرکز عملیات امنیت
از روی انواع ورودیهای مختلف موجود در سیستم میتوان داشبوردهای متنوعی تعریف نمود، که تعدادی داشبورد پیشفرض نیز در سیستم در نظر گرفته شده است. بخشی از نمونه انواع داشبوردهای پیشفرض شامل موارد زیر میباشد:
- وضعیت دارائیها
- حملهکنندگان اخیر
- مقاصد حمله اخیر در سازمان
- وضعیت بدافزارها
- وضعیت آسیبپذیریهای سازمان
- وضعیت جریانهای ترافیک شبکه در لایه کاربرد
- وضعیت جریانهای ترافیک شبکه در لایه شبکه
- انواع حملات اخیر
- مکانیزمهای حملات اخیر
- سرویسها و منابع مورد حمله اخیر
- وضعیت کلی امنیتی سازمان
مدلها
به جهت پوشش نیازهای مشتریان مختلف و قابلیت استفاده در ساختارهای مختلف شبکه، مرکز عملیات امنیت در قالب سه جزء مدلبندی شده است. این سه جزء شامل جمعآوری (LC)، نگهداری (LM) و تحلیل و واکنش (CRE) است، علاوه بر این سه جزء، دو حسگر ویژه تشخیص نفوذ (IDS) و تحلیل جریان ترافیک (NTA) در راهکار قابل استفاده است. در شکل زیر ساختار کلی و نحوه کنار هم قرار گرفتن اجزای SIEM و جایگاه حسگرهای ویژه نشان داده شده است.
مدلهای مختلف اجزاء شامل مشخصات موجود در جداول زیر است. مدل LCS نسخه نرم افزاری جزء جمعآوری است که بر روی میزبان تولید کننده رویدادها نصب میشود. در نقاط مختلف شبکه، به ازاء یک یا چند تجهیز شبکهای نزدیک به هم، یک عامل جمعآوری محلی(LCS) استفاده میشود. این عامل، وظیفه دارد هشدارهای مربوط به تجهیزات مورد نظر را به سیستم مرکزی نگهداری (LM) رویدادهای ثبت شده منتقل نماید. رویدادهای دریافت شده به وسیله CRE مورد تحلیل قرار میگیرد و نتایج آن در سیستم نگهداری شده و قابل پایش است. همچنین مدلهای مختلف دو حسگر ویژه سیستم تشخیص نفوذ(NIDS) و سیستم تحلیل جریان ترافیک(NTA) نیز در ادامه آورده شده است.
علاوه بر حالت توضیح داده شده که راهکار به صورت سه جزء ارائه شده است و برای هر کدام از آنها میتوان مدل مناسب را بسته به نیاز مشتری انتخاب نمود، برای مشتریانی که نمیخواهند وارد این گونه تصمیمگیریها شوند، یک حالت SOC In Box نیز در نظر گرفته شده است که شامل یک Collector است و میتوان به آن هر تعداد Collector دیگر که لازم باشد، افزود. همچنین در این حالت میتوان فضای ذخیرهسازی بیشتر را نیز در صورت درخواست مشتری به وی ارائه نمود و نهایتا استفاده از حسگرهای ویژه به هر تعداد در صورت درخواست مشتری قابل انجام خواهد بود. در جدول زیر ویژگیها و مدلها برای حالت SOC In Box ارائه شده است.