Menu

مقالات

دلایل نیاز سازمان ها به مرکز عملیات امنیت (SOC)

ترکیب انبوه وسایل الکترونیکی، کاربران و ترافیک تولید‌شده به ازدیاد غیرقابل‌باور اطلاعات از لحاظ حجم، سرعت و گوناگونی منجر شده است. سازمان‌ها به راهکارهای حفاظت، بهره‌برداری، و درک آنی و هوشمند از داده‌های فراوان نیاز دارند. اما واقعیت این است که این هوشمندی نه تنها برای شرکت‌ها و مشتریان‌شان، که برای هکرها نیز سود...

دلایل نیاز سازمان ها به مرکز عملیات امنیت (SOC)
ترکیب انبوه وسایل الکترونیکی، کاربران و ترافیک تولید‌شده به ازدیاد غیرقابل‌باور اطلاعات از لحاظ حجم، سرعت و گوناگونی منجر شده است. سازمان‌ها به راهکارهای حفاظت، بهره‌برداری، و درک آنی و هوشمند از داده‌های فراوان نیاز دارند. اما واقعیت این است که این هوشمندی نه تنها برای شرکت‌ها و مشتریان‌شان، که برای هکرها نیز سودمند و با ارزش است. وجود چنین اطلاعات فراوان و متنوعی نیز، بازاری بزرگی شامل فروش اطلاعات کارت‌های اعتباری، کلمه‌ی ورود و عبور حساب‌های مختلف، اطلاعات حساس ملی و دارایی‌های شخصی را برای هکرها ایجاد کرده‌است. پس افراد چگونه می‌توانند اطلاعات محرمانه را نگهداری کرده و از دسترس هکرها به دور نگه دارد؟
در گذشته به علت سادگی زیر‌ساخت‌های شبکه، کنترل دسترسی به اطلاعات بسیار ساده‌تر می‌نمود و اگر اطلاعات محرمانه‌ای در شبکه شرکت قرار داشت، نهایت سیاستی که در جهت ایمنی اطلاعات باید انجام می‌گرفت، قرارگرفتن یک فایروال قوی در شبکه بود. به تدریج، با وجود اینترنت، سرویس‌های متحرک و سیستم‌های Cloud، تنها وجود فایروال کافی به نظر نمی‌رسید و شرکت‌ها برای حل هر مشکل امنیتی به یک سیاست امنیتی خاص روی آورده و از تجهیزات مختلفی استفاده می‌کردند. اما، از آن‌جا که این تجهیزات لزوماً با یکدیگر سازگاری نداشته و کار نمی‌کنند، امکان دفاع واحد و یک‌پارچه نیز در مقابل حملات هکرها امکان‌پذیر نخواهد بود. 


 

 

اینک به منظور حل مشکلات امنیتی، در سازمان‌های مختلف نیاز به الگوها و ایده‌های جدید پدید آمده‌است و سازمان‌ها باید قادر به تأمین امنیت اطلاعات، جمع‌آوری و تبدیل آن به فرمت‌های هوشمند باشند تا بتوانند در صورت لزوم از آلارم‌ها و گزارش‌های حاصله استفاده کنند. در این راستا و در مرحله‌ی اول، باید سیستمی پیاده‌‌سازی کرد که بتواند به اطلاعات و افرادی که به اطلاعات دسترسی دارند، نظارت کند. سپس، با تمرکز بر دارایی‌های حیاتی سازمان، بر محتوا و تغییرات اطلاعات احاطه پیدا کرده و نهایتاً، باید به‌صورت هوشمندانه‌ای از چنین اطلاعات جمع‌آوری‌شده و تحت نظارت قرارگرفته با هدف افزایش امنیت شبکه و توقف حملات هکرها استفاده کرد. هم‌چنین، امروزه مديريت رخدادهاي امنيتي در دنياي تجاري، چالش‌‌‌‌هاي متعددي براي کارکنان معمولاً گرفتار فناوري اطلاعات در شرکت‌‌‌‌ها و سازمان‌‌‌‌هايشان پديد آورده‌است. چرا که حجم زيادي از اطلاعات امنيتي از سيستم‌‌‌‌ها، سکوها و برنامه‌‌‌‌هاي کاربردي متنوع و مختلف به صورت روزانه توليد مي‌‌‌‌شوند، که تعداد این لاگ‌ها می تواند بالغ بر چندین هزار در هر ثانیه باشد. راه‌‌حل‌‌‌‌هاي امنيتي متفاوت و چندلايه‌ی مانند آنتي‌‌‌‌ويروس‌‌‌‌ها، فايروال‌‌‌‌ها، سيستم‌‌‌‌هاي شناسايي و جلوگيري از نفوذ، کنترل دستيابي، مديريت هويت، سيستم‌‌‌‌هاي احراز هويت و غيره. همگي اطلاعات زيادي در قالب‌‌‌‌هاي متنوعي توليد مي‌‌‌‌کنند و در مکان‌‌‌‌هاي متفاوتي ذخيره يا گزارش مي‌‌‌‌کنند.

 

اما برای شروع چه باید کرد؟

   به دلیل حجم انبوه این اطلاعات و پراکندگی آن‌ها، اغلب مديران و تحليل‌گران امنيتي سيستم‌‌‌‌ها اعتراف مي‌‌‌‌کنند که در اين گونه موارد نمي‌‌‌‌توانند درک درستي از ميزان اهميت و ريسک هر يک از اين رخداد‌‌‌‌ها داشته باشند و در انتخاب و تصميم‌‌‌‌گيري موارد درست براي بررسي با مشکل مواجه مي‌‌‌‌شوند. از سوی دیگر، حملات امنيتي بر روي سيستم‌‌‌‌ها به طور پيوسته در حال بيشتر شدن و پيچيده‌‌‌‌تر شدن هستند که همين موضوع باعث فشار بيشتر به توانايي‌‌‌‌هاي محدود سيستم‌‌‌‌هاي امنيتي موجود گشته‌است. این عوامل باعث شده‌ که شرکت‌‌‌‌هاي زيادي روزانه با ميليون‌‌‌‌ها گزارش و واقعه‌ی امنيتي مواجه باشند، که نتيجه‌ی آن کار دوباره‌‌‌‌کاري و سربار قابل ملاحظه در بررسي اين گزارش‌‌ها و مهم‌تر از همه عدم دستيابي به امنيت در سطح مورد انتظار و مناسب مي‌‌‌‌باشد.

براي حل اين مشکلات خطرناک رويكردی وجود دارد:

يک‌سان‌سازي و يک‌دست‌کردن تمام اجزای امنيتي مورد استفاده در شبکه از محصولات يک برند تجاري، به نوعي که امکان پيوستگي و ارتباط متقابل بين انواع قالب‌هاي گزارش­ دهي سيستم‌هاي مختلف امنيتي به واسطه امکانات تسهيلاتي فراهم شده توسط خود شرکت ارائه‌کننده فراهم شود.

   استفاده از محصولات امنيتي به صورت يک‌پارچه و تنها از يک برند يک ضعف بزرگ به حساب مي­آيد. در اين روش شرکت در ازاي به‌دست‌آوردن قابليت تطبيق و يکسان­سازي اطلاعات، خود را منحصر به استفاده از محصولات نه چندان مطرح حوزه‌ی خاصي از امنيت (به جاي در نظر گرفتن محصولات پيش‌رو) مي‌کند. بيشتر برندها تمامي طيف محصولات امنيتي را پوشش نداده­ و براي بعضي حوزه­ها حتی راه‌‌حلي از سوي آن شرکت وجود ندارد. حتی با فرض موجود بودن راه‌حل مناسب و پيش‌رو از سوي برند مورد نظر براي کليه‌ی نيازهاي مطرح امنيتي، هنوز هم هيچ تضميني بر اين وجود نخواهد داشت که برند مورد نظر از قابليت يک‌پارچه‌سازي محصولات خود حمايت کرده‌باشد.

   بنابراين براي آن که روش­ هاي فعلي مديريت رخداد را بهبود ببخشيم و امنيت عملکردهاي کسب و کار را تضمين کنيم، به سيستمي با توانايي مديريتي جامع و متمرکز نياز داريم. سامانه های SIEM (Security Information and Management System)  چنين قابليتي را فراهم مي­کنند. مراکز عمليات امنيتي شبکه با استفاده از SIEM يک نماي زنده از وضعيت امنيتي شبکه را فراهم مي­کنند و امکان واکنش همزمان و بلافاصله به رخدادهاي امنيتي را با قابليت هشدار خودکار، گزارش­هاي تفصيلي و اصلاح همزمان فراهم می کنند. راهكار SOC (Security Operation Centre)  کليه جوانب امنيت اطلاعات و شبکه در يک شرکت تجاري بزرگ را به‌دست مي­گيرد و کليه‌ی عمليات را از يک نقطه‌ی متمرکز مديريت مي­کند. اين سيستم با شناسايي و اولويت ­بندي رخدادهاي امنيتي آغاز به کار می­کند و پس از حذف و ادغام رخداد­هاي مرتبط سطح ريسک هر يک از آن­ها و دارايي­ هايي که از اين تهديد متأثر مي­شوند، محاسبه مي­شود و سيستم بنا به نحوه پياده­ سازي  راه حل مناسبي را پيشنهاد يا اجرا مي­کند.

 

22 دی 1394 11:40

نظرات ارسال شده

هم اکنون هیچ نظری ارسال نشده است. شما می توانید اولین نظردهنده باشد.

ارسال نظر جدید

نام

ایمیل

وب سایت