پایگاه عملیات امنیت soc

 

معرفی سامانه مدیریت رخدادها NetEngine  

در سازمان‌هایی که از بستر فناوری اطلاعات استفاده می‌کنند، روزانه حجم عظیمی از رخدادها و هشدارها توسط تجهیزات و حسگرهای مختلف شبکه‌ای و امنیتی تولید می‌شود که بررسی دقیق، ارزیابی و اهمیت‌دهی به موارد مهم، به صورت انسانی کاری بسیار پرزحمت، پرهزینه و همراه با اشتباه و چه بسا غیرممکن خواهد بود. در یک شبکه سازمانی با اندازه متوسط روزانه بیش از چند میلیون رخداد تولید می‌شود که تا اندازه‌ای می‌تواند مشخص کننده مشکلات پردازش انسانی رخدادها باشد. همچنین تنوع رخدادها و قالب‌ها و زبان‌های مختلف به کار گرفته شده در آن‌ها برای بیان یک اتفاق یکسان، مشکلات پردازش انسانی رخدادها را  آشکارتر می‌سازد.

سامانه مدیریت رخداد NetEngine ، محصول شرکت سیاره فناوری اطلاعات برتر قشم در قالب یک مرکز عملیات امنیت، به عنوان یک راهکار کامل برای موضوع یاد شده، ارائه شده است. این سامانه به صورت یک مرکز راه‌اندازی شده و بنابراین از سه جزء تکنولوژی، تیم‌های انسانی و فرآیندها تشکیل شده است. این مرکز با پایش ۲۴ × ۳۶۵ شبکه سازمان، نمایی بلادرنگ از وضعیت امنیتی شبکه و رخدادهای جاری فراهم می‌کند و در صورت بروز حادثه، در سریع‌ترین زمان ممکن حادثه را تشخیص داده و سازمان را در رفع حادثه یاری نماید. مرکز عملیات امنیت، با بهره‌گیری از تکنولوژی‌های مختلف، در سریع‌ترین زمان ممکن، تغییرات وضعیت امنیتی سازمان را مورد ارزیابی قرار داده و حوادث مهم را مشخص می‌کند. انجام این کار با استفاده از تکنولوژی‌های به کار رفته و نیروهای متخصص که آموزش داده می‌شوند، باعث کاهش هزینه‌های بسیاری خواهد شد که در زیر به برخی از آن‌ها اشاره شده است:

  • کاهش هزینه‌ زمانی لازم برای جمع‌آوری رخدادها و هشدارها در مواقع ضروری

  • کاهش هزینه نگهداری رخدادها و هشدارها، با مکانیزم‌های فشرده‌سازی، حذف تکرار و پالایش رخدادهای غیر مفید

  • کاهش هزینه‌ انسانی پردازش رخدادها و هشدارهای اولیه با دسته‌بندی و سابقه‌گیری خودکار از حوادث

  • کاهش هزینه‌های وارسی و ارزیابی رویدادها و حوادث سابقه‌دار و شناخته شده با استفاده از مکانیزم‌های یادگیری

  • کاهش هزینه‌های تحلیل و کشف ارتباط بین حوادث و رویدادهای مختلف

  • کاهش هزینه‌های انسانی رسیدگی به حادثه، با استفاده از تیم متخصص آموزش دیده و اجتناب از انجام اعمال اضافی و دوری از روش‌های آزمون و خطا در شناسایی علل وقوع حوادث

  • کاهش هزینه‌‍‌های ناشی از تداوم خسارت منتج از حوادث مخرب با جلوگیری از اتلاف زمان و پیشروی حادثه

  • کاهش هزینه‌های ناشی از قطع سرویس با فراهم نمودن پیوستگی ارائه‌ خدمات

  • کاهش هزینه‌های هماهنگی مکانیزم‌های تشخیص حوادث با تغییرات سیستم اطلاعاتی سازمان

مرکز عملیات امنیت علاوه بر قابلیت‌های یک SIEM مرسوم، امکانات لازم جهت رسیدگی به حوادث امنیتی و همچنین ابزارهای لازم جهت به‌روزرسانی دانش متناسب با شرایط سازمان را نیز فراهم می‌نماید. با راه‌اندازی مرکز عملیات امنیت، خدمات زیر به سازمان مورد نظر ارائه می‌شود:

  • جمع‌آوری رخدادها و هشدارها از کاربردها، تجهیزات مختلف شبکه‌ای و حسگرهای امنیتی

  • یکنواخت نمودن قالب تمامی گزارش‌ها، رخدادها و هشدارها و نرمال‌سازی معنایی

  • نگهداری بلند مدت هشدارها و رخدادها با قابلیت بازیابی آنها

  • پالایش هشدارها، رخدادها و گزارش‌های بی‌مصرف

  • ادامه لیست خدمات و قابلیت‌هایSIEM

  • تشخیص هشدارها و گزارش‌های غیر مفید و ناصحیح با قابلیت هماهنگی با محیط عملیاتی

  • تحلیل و همبسته‌سازی بلادرنگ رویدادهای مربوط به حملات مختلف

  • کشف علت ریشه‌ وقوع حوادث جهت بررسی آنها

  • تطبیق رویدادها با سیاست‌های امنیتی سازمان

  • تطبیق حوادث با آسیب‌پذیری‌های سازمان

  • تشخیص و اولویت‌بندی حوادث امنیتی از میان حملات اینترنتی و رویدادهای شبکه‌ای

  • ارائه‌ داشبورد پایش بلادرنگ حوادث و رویدادهای امنیتی

  • تعیین و پیگیری گردش کار رسیدگی به حادثه از طریق سیستم

  • تولید گزارش‌های آماری مختلف از رویدادها و حوادث جهت آگاهی از وضعیت امنیتی

  • کاوش الگوهای رویدادها و حملات جدید با استفاده از ابزارهای خودکار

  • به‌روزرسانی قوانین و روال‌های تشخیص، تحلیل و رسیدگی به حادثه به طور پیوسته

  • تحلیل و پایش ۲۴ ساعته رویدادها و حوادث امنیتی

  • امکانات لازم برای استفاده از دانش نیروهای متخصص در راهبری و عملکرد سیستم با آگاهی از شرایط سازمان

  • تشخیص زودهنگام حوادث امنیتی با تحلیل رفتاری شبکه

  • ارائه‌ راهبرد رسیدگی به حادثه

  • تشخیص تغییرات وضعیت امنیتی سازمان

  • پیگیری روال تشخیص، تحلیل و رسیدگی به حادثه

  • تخصیص صحیح منابع انسانی در رسیدگی به حوادث بر اساس میزان اهمیت حوادث و حساسیت دارایی‌های سازمان

 

ویژگی های مهم  NetEngine

  • شناسایی دارایی ها (Asset Management)

  • پویش آسیب پذیری (Vulnerability Management)  

  • شناسایی تهدیدات (Threat Detection)  

  • مدیریت رویداد ها و حوادث امنیتی  (SIEM)

 

مزایای قابل توجه NetEngine

  • کنترل، پویش، اندازه گیری و ارتقا کلی تهدیدات امنیت

  • قابل مشاهده بودن وضعیت شبکه و هوشمند سازی امنیت

  • شناسایی سریع نقاط ضعف ساختارشبکه و رفع آن ها

  • شناسایی سریع حملات پیشرفته و شناسایی منایع حمله

  • بدست آوردن اطلاعات کافی از منابع حمله

  • شناسایی تهدیدات داخلی

  • امکان واکنش سریع نسبت به حملات صورت گرفته

  • امکان ثبت و جمع آوری ادله لازم جهت پیگری های قانونی

  • امکان تحقیق، تحلیل و تجسس وقایع ثبت شده

  • بررسی و انطباق استاندارد های امنیت اطلاعات از قبیل ISO 27001، PCI DSS V2، PCI DSS V3

  • قابلیت Ticketing در داخل سیستم

  • پشتیبانی از تعداد قابل توجهی از سامانه­های برندهای شناخته شده جهت دریافت رخداد­ها

  • ارائه داشبرد های کنترلی وضعیت امنیت

  • ارائه داشبرد کنترل در لحظه وقایع و هشدارها

  • ارائه انواع گزارش های آماری و تحلیلی مناسب با نیازمندی های سازمان

 

قابلیت های تشخیصی NetEngine

  • Known Vulnerability (CVE) Exploits

  • Brute force Attacks

  • Denial of Service Attacks

  • Malware Detection

  • Network-level Attacks

  • SCADA Attacks

  • System Probing and Scanning

  • Malicious Activity

 

اهداف پیاده سازی سامانه مدیریت رخداد NetEngine

  • برخورد مناسب و موثر با رویدادهای امنیتی و تامین امنیت شبکه در مقابل تهدیدهای احتمالی

  • ارتقاء امنیت و پایداری داده ها و خدمات بوسیله حفاظت از زیرساخت های اطلاعاتی، ترافیک، سرویس ها و داده ها

  • کاهش زمان اختلال در ارائه خدمات به مشتری

  • بهبود و تسریع در پاسخ ها و  واکنش های امنیتی

  • بهبود کارایی شبکه

  • کاهش هزینه های ناشی از تهدیدها و حملات امنیتی

با استفاده از سامانه فوق کلیه لاگ‌های تجهیزات موجود در شبکه جمع آوری شده و پس از انجام مراحل نرمال سازی لاگ‌های غیر ضروری از سیستم حذف و لاگ‌های با اهمیت بالا ثبت و نگه­داری می‌شوند. زمانی که حمله ای صورت می گیرد در صورتی که از چند سامانه مختلف آلارم­ ایجاد شود بر اساس درجه اهمیت که از قبل تعیین گردیده،  Correlation Center با کنار هم قرار دادن لاگ­های مختلف تشخیص می دهد که چه نوع حمله ای صورت گرفته و چه فعالیتی بایستی در دستور کار خود قرار دهد. بر این اساس علاوه بر حل مشکل، آسیب پذیری سیستم نیز شناسایی شده و اقدامات اصلاحی جهت پیشگیری از حملات آتی انجام خواهد شد.

 

مشخصات جمع‌آوری رخدادها

  • انعطاف‌پذیری در دریافت ورودی از تجهیزات مختلف شبکه‌ای و امنیتی و کاربردها

  • فراهم داشتن امکان جستجوی تجهیزات  به صورت  اکتیو و پسیو

  • امکان افزودن هر نوع کاربرد یا تجهیز جدید خاص هر سازمان به سامانه

  • پشتیبانی از تعداد نامحدود حسگر و نرخ نامحدود برای هر حسگر

  • امکان تعریف فیلترهای مختلف برای حذف داده‌های نامرتبط یا داده‌های مورد نظر سازمان

  • فشرده‌سازی سازی به منظور کاهش مصرف پهنای باند شبکه‌

  • انتقال امن رخدادهاو تضمین صحت آن‌ها و حفظ محرمانگی به طور کامل

  • اعتماد پذیری انتقال  و نگهداری موقت داده‌ها در صورت قطع ارتباط بین واحد جمع‌آوری و سرور

 

مشخصات آرشیو

  • قابلیت نگهداری بلند مدت داده‌ها به صورت قابل تنظیم و در بازه‌های زمانی شش ماه و بیشتر

  • فشرده سازی و رمزنگاری کلیه داده‌هایی که در آرشیو نگهداری می‌شوند

  • استفاده از قالب‌های داده استاندارد برای نگهداری حمله و حادثه

  • بازیابی بلادرنگ اطلاعات مربوط به حملات و حوادث

  • امکان جستجو بر روی داده‌های موجود در آرشیو بر اساس ویژگی­های مختلف رویدادها و حوادث

  • امکان دریافت گزارش‌های مختلف از رویدادها و حوادث به صورت لحظه‌ای و دوره‌ای و زمان‌بندی شده

  • سازگاری با راه‌کارهای مختلف سخت‌افزاری موجود برای ذخیره‌سازی داده‌های انبوه

 

موتور تحلیل و همبسته‌سازی

  • تحلیل و شناسایی بلادرنگ حملات

  • تشخیص حملات چندگامی و آهسته با پنجره زمانی

  • تحلیل هشدارهای حسگرهای امنیتی در کنار رویدادهای دیگر حسگرهای شبکه

  • تشخیص خودکار هشدارها و رخدادهای مثبت کاذب و حذف آن‌ها

  • قابلیت کاهش حجم رویدادها به نحوی که باعث از دست نرفتن حوادث و حملات نمی‌شود

  • تطابق سنجی سیاست‌های امنیتی و صدور هشدار در صورت نقض سیاست‌ها

  • بیش از 4000 قوانین از پیش تعریف شده همبسته‌سازی

  • امکان تعریف قوانین خاص‌منظوره همبسته‌سازی

  • ایجاد پروفایل برای دارایی‌های مهم و تحلیل ناهنجاری رویدادها

  • پشتیبانی از تعداد نامحدود سناریوی حمله

  • مقیاس پذیری قدرت پردازش

  • نمایش گرافیکی گراف حمله با قابلیت پیمایش

  • تشخیص خودکار پارامترهای هماهنگ سازی با محیط عملیاتی

 

پایگاه دانش

  • پایگاه دانش یکپارچه برای مدیریت کل دانش‌های موجود در سیستم از قبیل: سناریوهای حملات، اطلاعات تشخیص رخدادهای مثبت کاذب، رسیدگی به حوادث، اطلاعات دارایی‌ها و آسیب‌پذیری‌های سازمان، سیاست‌های امنیتی.

  • امکان مدیریت دانش‌ها و سفارشی‌سازی برای سازمان

  • امکان به روز رسانی آنلاین و آفلاین از طریق سرور شرکت و از طریق فایل‌های به روز رسانی

  • رسیدگی به حوادث

  • وجود فرآیند رسیدگی به حوادث

  • سیستم تیکت ( Ticket) برای تخصیص نیروی انسانی رسیدگی به حوادث به صورت یکپارچه

  • ارائه راهبرد واکنش متناسب و خاص هر حادثه

  • قابلیت تدوین راهبرد رسیدگی برای حوادث جدید

  • تخصیص کارآمد منابع انسانی در رسیدگی به حوادث و استفاده از معیارهای متنوع برای اولویت‌بندی و زمان‌بندی

  • امکان سفارشی‌سازی و اتصال به راه کارهای موجود در سازمان (مانند سیستم بلیت)

  • امکان اعلان حوادث به صورت ایمیل و پیامک

 

واسط کاربر

  • رابط کاربر یکنواخت و یکپارچه برای کل اجزاء سامانه

  • داشبورد وضعیت امنیتی، وضعیت کلی سامانه و اجزاء سامانه

  • امکان پایش وضعیت منابع (پردازنده، حافظه، دیسک سخت)

  • واسط کاربر مبتنی بر وب و امکان دسترسی از هر محل مورد نظر

  • امکان پایش حسگرها و مدیریت واحدهای جمع‌آوری کننده رخداد

  • دارای ده ها گزارش پیش‌فرض و امکان درخواست گزارش‌های سفارشی و دلخواه سازمان

  • قابلیت مدیریت کاربران و سطوح دسترسی

  • امکان ارسال ایمیل و پیامک

  • پشتیبان گیری خودکار و دوره‌ای و بر حسب تقاضا

  • رابط کاربری مناسب جهت اطلاع راهبران سیستم از آخرین نسخه نرم افزار و دانش سیستم و دریافت به‌روزرسانی‌ها

 

حسگر تحلیل جریان ترافیک

  • تشخیص ناهنجاری رفتار مبتنی بر رفتار

  • قابلیت تشخیص حملات و بدافزارهای صفر-روز  (Zero-Day)

  • نگهداری و جستجو بر روی جریان‌های ترافیک

  • توزیع پذیری در نقاط و نواحی مختلف شبکه

  • پایش ترافیک و ارائه نمودارها و گزارش‌های مختلف

  • قابلیت دریافت گزارش‌های Netflow

  • قابلیت تولید گزارش­های Netflow از جریان ترافیک خام

  • پردازش و همبسته‌سازی اطلاعات جریان ترافیک با سایر ورودی‌های دریافتی از حسگرهای مختلف

  • حسگر تشخیص نفوذ

  • تشخیص ناهنجاری رفتار مبتنی بر الگو

  • بالغ بر 20 هزار امضاء حمله فعال

  • به روز رسانی مداوم امضاءهای حملات

  • واسط کاربر مجزا و مبتنی بر وب

  • قابلیت اقدام متقابل در مقابل نفوذ

  • قابلیت ارسال فرمان به دیواره‌ی آتش

  • لیست گزارش‌های مرکز عملیات امنیت

از روی انواع ورودی‌های مختلف موجود در سیستم می‌توان صدها گزارش تعریف نمود و زمان‌بندی جهت تولید این گزارش‌ها ایجاد کرد. گزارش‌ها به صورت دوره‌ای و در قالب زمان‌بندی ساعتی، روزانه، هفتگی و ماهانه قابل تهیه بوده و نیز پارامترهای مختلفی برای هر گزارش قابل تعریف و سفارشی‌سازی است. بخشی از نمونه انواع گزارش‌ها شامل موارد زیر می‌باشد:

  • تلاش برای ورود به شبکه

  • تلاش برای ورود به یک سیستم

  • تلاش برای ورود ناموفق در کل شبکه

  • تلاش برای ورود ناموفق به یک سیستم

  • از کار افتادن سرویس‌های مختلف شبکه

  • تلاش‌های ناموفق برای کسب دسترسی بر روی یک فایل

  • تغییرات در مدیریت کاربران و حذف و اضافه کردن آن‌ها

  • بیشترین ترافیک‌های مشکوک گزارش شده بر روی شبکه

  • بیشترین ترافیک‌های مشکوک گزارش شده بر روی یک سیستم

  • بیشترین آدرس‌هایی که از آن‌ها رخداد گزارش شده است

  • بیشترین آدرس‌هایی که مقصد حملات مختلف بوده‌اند

  • بیشترین بدافزارهایی که در سازمان گزارش شده‌اند

  • بالاترین انواع حملاتی که به دارایی‌های سازمان انجام شده است

  • بالاترین امضاءهای حملاتی که در شبکه مشاهده شده است

  • بالاترین قوانین همبستگی که در تحلیل رویدادها منجر به تولید خروجی شده‌اند

  • بیشترین انواع منابعی از سرویس‌ها و سیستم‌هایی که هدف حمله بوده‌اند

  • بیشترین آثاری که رخدادهای گزارش شده و حملات مشاهده شده بر روی دارایی‌های شبکه داشته‌اند

  • بیشترین تغییرات پیکربندی در سیستم‌های مختلف شبکه

  • تعداد ورودهای موفق یا ناموفق یک کاربر به سرویس‌های مختلف

  • پورت‌های مختلف شبکه که مورد حمله قرار گرفته‌اند

  • بیشترین پروتکل‌هایی که بستر اتفاقات مختلف امنیتی بوده‌اند

  • بالاترین نقاط شبکه که مورد هدف حمله شناسایی قرار گرفته‌اند

  • بالاترین مهاجمینی که حملات منع سرویس علیه دارایی‌های شبکه انجام داده‌اند

  • آلوده‌ترین دارایی‌هایی موجود در شبکه که مبدأ انتشار بدافزارهای مختلف هستند

  • بالاترین سیستم‌هایی که دارای سابقه فعالیت در شبکه‌های بات هستند

  • بالاترین تغییرات داده‌ای که بر روی سرویس‌دهنده‌های پایگاه داده گزارش شده است

  • بیشترین حملاتی که بر روی یک پورت خاص گزارش شده است

  • بیشترین حملاتی که بر علیه یک سرویس خاص گزارش شده است

  • بیشترین رویدادهای فعالیت استاندارد در شبکه

  • بیشترین آسیب‌پذیری‌های کشف شده در شبکه

  • بیشترین پورت‌هایی که بسته‌های ترافیک شبکه بر روی آن‌ها دور ریخته شده است

  • بیشترین حملاتی که علیه سرویس دهنده وب در سازمان انجام شده است

  • بیشترین آدرس‌هایی که سیاست‌های تعریف شده در ACL را نقض کرده‌اند

  • بیشترین پورت‌هایی که مقصد حملات درب پشتی سرویس‌ها و بدافزارهای موجود در سازمان بوده‌اند

  • بالاترین آدرس‌هایی که بر روی سرویس دهنده SSH حمله کرده‌اند

  • بالاترین پروتکل‌هایی که بر روی آن‌ها انواع ترافیک با کانال پوشیده منتقل شده است

  • بالاترین سرویس‌دهنده‌هایی که علیه آن‌ها حمله نفوذ جهت کسب دسترسی به سرویس انجام شده است

 

لیست داشبوردهای مرکز عملیات امنیت

از روی انواع ورودی‌های مختلف موجود در سیستم مبتنی بر درخواست می‌توان داشبوردهای متنوعی تعریف نمود، که تعدادی داشبورد پیش‌فرض نیز در سیستم در نظر گرفته شده است. بخشی از نمونه انواع داشبوردهای پیش‌فرض شامل موارد زیر می‌باشد:

  • وضعیت دارائی‌ها

  • حمله‌کنندگان اخیر

  • مقاصد حمله اخیر در سازمان

  • وضعیت بدافزارها

  • وضعیت آسیب‌پذیری‌های سازمان

  • وضعیت جریان‌های ترافیک شبکه در لایه کاربرد و شبکه

  • انواع و مکانیزم‌های حملات اخیر

  • سرویس‌ها و منابع مورد حمله اخیر

  • وضعیت کلی امنیتی سازمان

 

مراحل راه‌اندازی  سامانه NetEngine

استقرار مرکز عمليات امنيت در هر سازمان طی هفت فاز انجام خواهد شد. در ادامه شرح فعالیت‌های این هفت فاز آورده شده است، با این توضیح که فازهای دوم و سوم به موازات هم صورت می‌گیرند و فاز هفتم به موازات بقیه فازها انجام می‌شود، سایر فازها تقریبا به صورت سری قابل انجام هستند. همچنین لازم به ذکر است که زمان‌بندی اجرا در هر سازمان در انتهای فاز مهندسی خواسته‌ها مشخص خواهد شد.

 

از اول، مهندسی درخواست‌ها:

  • بررسی شبکه سازمان (توپولوژی / تنوع حسگرها / ترافیک و ارتباطات بیرونی/ پراکندگی جغرافیایی)

  • انتخاب نهایی مدل محصول با توجه به محدوده شبکه و توسعه آتی مدنظر سازمان

  • بررسی وجود موجودیت‌ها و فرآیندهای مرتبط با SOC در سازمان

  • مشخص کردن پرسنل فنی و افراد مسئول برای پیش برد پروژه

  • توافق بر زمان بندی اجرا با توجه به شرایط  طرفین

 

فاز دوم، آماده‌سازی محیط  و زیر ساخت:

  • تامین نیازمندی‌های محیط و زیر ساخت های استقرار

  • تعیین و معرفی پرسنلی مرتبط با مرکز عملیات امنیت

 

فاز سوم، سفارشی‌سازی:

  • سفارشی‌سازی ساختار سازمانی و فرآیندهای SOC متناسب با شرایط سازمان

  • دریافت و وارد کردن اطلاعات محیطی در پایگاه دانش (با مشارکت سازمان)

  • دریافت مستندات حسگرهای خاص سازمان (در صورت وجود)

  • توسعه و افزودن پلاگین مربوط به حسگرهای خاص سازمان (در صورت وجود)

 

فاز چهارم، استقرار:

  • نصب و راه‌اندازی زیرساخت سخت‌افزاری و نرم‌افزاری سامانه

  • دریافت لیست و اطلاعات حسگرها (شامل IP  نوع حسگر/ نسخه و فعال کردن پلاگین‌های مربوطه)

  • انجام تنظیمات لازم بر روش شبکه و حسگرها جهت دریافت  LOGها با مشارکت کارکنان سازمان

  • تجهیز به حسگرهای جدید به منظور تکمیل پوشش شبکه با توجه به توافق فاز اول

  • بررسی و حصول اطمینان از دریافت LOG از حسگرها

  • انجام تغییرات در تنظیمات تولید و ارسال LOG در حسگرها در صورت نیاز با مشارکت کارکنان سازمان

  • به روز رسانی پلاگین‌های نرمال‌سازی و قوانین همبستگی در صورت لزوم

 

فاز پنجم، پیکربندی و کالیبره کردن:

  • بررسی خروجی‌های اولیه سامانه متناسب با فعالیت سازمان و ساختار شبکه

  • تعیین مقادیر آستانه در سناریوها و پیکربندی مناسب خروجی‌ها

  • انجام پیکربندی مناسب و تعیین فیلترهای وارسی با مشارکت کارکنان سازمان

  • به روز رسانی قوانین وارسی و سیاست‌های امنیتی با مشارکت سازمان

 

فاز ششم، آموزش و تحویل:

  • برگزاری دوره آموزشی راهبری و کاربری سامانه

  • تحویل راهبری و کاربری سامانه

طراحی شده توسط 3DQuest.ir