Bad Sector
14th February 2011, 05:41 PM
اشاره :
با گسترش روزافزون استفاده از ارتباطات و انتقال اطلاعات در بستر شبكهها و اينترنت، حجم وسيعي از مبادلات تجاري و اداري، از اين طريق صورت ميپذيرد. امروزه سرويسهاي اينترنتي و تحتشبكه، به عنوان قابلاعتمادترين، سريعترين و در دسترسترين ابزارهاي ارتباطي به شمار ميروند. با توجه به اهميت فوق العادهاي كه شركتهاي بزرگ به استفاده از چنين بسترهايي در اداره امور خود ميدهند، جايگاه و اهميت مقوله امنيت به وضوح مشخص است. زماني كه نوبت به امنيت ميرسد، هر سازماني نياز و سياست مختص خود را دارد. به اين ترتيب راهحلهاي امنيتي، بايد به گونهاي استاندارد طراحي شوند تا بتوانند نيازهاي كليه سازمانها را بدون نياز به تغييرات اساسي در ساختار سيستمهاي آنها، پوشش دهند. در شماره قبل به معرفي استاندارد BS7799 اشاره نموديم. در اين شماره قصد داريم به نحوه مديريت يكپارچه امنيت اطلاعات و ارتباطات با استفاده از استاندارد BS7799 در يك مركز امنيت شبكه SOC يا Security Operations Center اشاره نماييم.
مركز عمليات امنيت كجاست؟
مركز عمليات امنيت شبكه، (SOC) مكاني جهت مانيتورينگ و كنترل 24 ساعته ورود و خروج اطلاعات در شبكه مي باشد. به طور كلي هر مركز SOC به سه سطح عمده تقسيم مي شود كه هر يك وظايف خاصي را بر عهده دارند. اين سطوح عبارتند از: سطح يكم، نقطه تماس Clientها و مسئول پاسخ گويي به اخطارهاي دريافتي ازClient هاست. در اين سطح به كليه اخطارهايي كه از پيچيدگي پايينتري برخوردارند، پاسخ داده ميشود.
سطح دوم، در حقيقت مكمل سطح يكم است و مسئول پاسخگويي به مشكلات پيچيده تر در سيستمهاي امنيتي شبكه ميباشد. براي اخطارهايي كه از اهميت بالايي برخوردارند، سيستم هاي سطح دوم به طور كامل درگير ميشوند.
سطح سوم، در اين سطح كارشناسان ارشد و مشاوران امنيتي شبكه قرار دارند. اين سطح در حقيقت پشتيبان دو سطح پايينتر است. در صورتي كه به اشكالات امنيتي در دو سطح پايين پاسخ داده نشود، كارشناسان و سيستمهاي اين سطح، درگير ميشوند. كليه تدابير امنيتي و مديريت امنيت شبكه، در اين سطح انديشيده ميشود.
در طراحي مراكز امنيت شبكه، متدولوژيهاي مختلفي مطرح ميباشد. با اين حال پايه همه متدولوژيها براساسِ تركيب تكنولوژي، نيروي انساني، فرآيندها در هسته فعاليت مركز امنيت شبكه و احاطه آن توسط فرآيندهاي اجرايي ميباشد. اين فرآيندها شامل برنامهريزي، طراحي، پيادهسازي، عملياتي نمودن و توسعه مركز امنيت شبكه ميباشد. لايه بعدي در طراحي مركز SOC، شامل ابزارها و معيارهايي است كه از طريق آنها خدمات ارائه شده ارزيابي ميگردند. اين ابزارها و معيارها شامل چشمانداز، منابع، زمان، هزينه، ارتباطات و ريسكهاي موجود در راه اندازي SOC ميباشد.
نكته قابلتوجه در طراحي يك SOC، انعطافپذيريِ متدولوژي طراحي آن است كه به واسطه آن ميتوان براي هر يك از مشتريان مطابق سرويسهاي مورد نيازشان راه حل خاصي براي مديريت امنيت شبكه ارائه نمود.
در هر يك از سطوح مطرحشده، ابزاري براي مديريت سيستمهاي امنيتي در نظر گرفته مي شود. اين ابزارها امنيت شبكه را از دو ديدگاه درونسازماني و برونسازماني مورد بررسي قرار ميدهند. براي اين منظور، هر SOC داراي يك
سري تجهيزات در داخل شبكه و يك سري تجهيزات در خود مركز مي باشد. همه سرويسهايي كه از مراكز SOC ارائه ميگردند، مانيتورينگ و مديريتشده هستند. ديگر سرويسهايي كه از طريق اين مراكز قابلارائه ميباشند، سرويسهاي پيشرفتهاي به شرح زير ميباشد:
- توسعه سياستهاي امنيتي
- آموزش مباحث امنيتي
- طراحي ديوارههاي آتش
- پاسخگويي آني
- مقابله با خطرات و پيادهسازي
سرويسهايي كه از طريق اين مراكز ارائه ميگردند، عبارتند از سرويسهاي مديريت شدهاي كه از تجهيزات و ارتباطات مركز SOC محافظت مينمايند. اين سرويسها از متدولوژي و ابزارهاي نرمافزاري و سخت افزاري قدرتمندي براي مديريت امنيت استفاده مينمايند. اجزاي سختافزاري كه در شبكهها توسط سيستمهاي مديريتشده براي اعمال سياستهاي امنيتي مورد استفاده قرار ميگيرند، عبارتند از: سيستمهاي كشف و رفع حملات (Intrusion Detection System)، سيستمهاي فايروال و سيستمهاي مديريت امنيت در شبكههاي خصوصي مجازي.
نياز به سرويسهاي مديريت شده
حملات چه از طريق منابع داخلي چه از طريق منابع خارجي، در هر لحظه شبكه و برنامههاي كاربردي ارائه شده از طريق آن را تهديد مينمايد. هكرها در جاهاي مختلف دنيا در هر لحظه كل تجهيزات امنيتي شبكه را مانيتور مينمايند و در صورتي كه يكي از تجهيزات به طور دقيق فعاليت خود را انجام ندهد، از آن نقطه، يك ورودي براي خود ايجاد خواهند نمود. به منظور جلوگيري از نفوذ هكرها به شبكه، لازم است سيستم امنيتي در SOC از قابليت اطمينان بالايي برخوردار باشد.
براي ايجاد يك سيستم امنيتي با ويژگيهاي مناسب براي مديريت يك شبكه با برنامههاي كاربردي متنوع، پرسنل كارآمدي لازم است كه بتوانند كليه سيستم هاي امنيتي از ضد ويروس ها تا شبكههاي خصوصي مجازي را بدون وابستگي به محصول خاص و يا تكنولوژي مشخص مديريت نمايند.
سيستمهايي كه در SOC جهت مديريت امنيت شبكه نصب و راهاندازي ميگردند، داراي مكانيزمهاي بررسي تجهيزات شبكه به صورت خودكار مي باشند. تجهيزاتي كه توسط اين سيستم موردبررسي قرار ميگيرند، محدود به سيستمهاي امنيتي نيستند، بلكه كليه تجهيزات زيرساختي شبكه نيز توسط اين سيستم مديريت امنيت يكپارچه مورد بررسي قرار ميگيرند. اين سيستم درحقيقت الگوهاي ترافيكي ارسالي از كليه تجهيزات شبكه از جمله سرورها، مسيريابها، فايروالها و سيستمهاي امنيتي فيزيكي را مورد بررسي قرار داده و هركدام از آنها كه توان ايجاد يك ريسك امنيتي را دارند مشخص ميسازد و راه نفوذ به آن سيستم را ميبندد. هر الگوي ترافيكي غيرعادي مشاهده شده، توسط زيرسيستمهاي آناليزكننده مورد بررسي قرار ميگيرد و متناسب با نوع خطاي تشخيص دادهشده، اخطارهاي لازم در شبكه براي هر يك از تجهيزات مربوطه ارسال ميگردد. در حالت عادي نيز با توجه به برنامه Polling در نظر گرفته شده، كليه سيستمها در شبكه مانيتور ميگردند و با توجه به Profile هاي امنيتي موجود براي هر سيستم، حملههاي احتمالي تشخيص داده شده و دفع ميگردند.
انواع سرويس هاي مديريت شده در SOC
● ديواره آتش (Firewall)
فايروالها اولين سد ورودي بين اطلاعات محرمانه در يك شبكه و دنياي خارج از آن مي باشند. در يك مركز SOC ، لازم است اين تجهيزات به طور مداوم از نظر امنيتي بررسي گردند. براي اطمينان كامل از امنيت اين تجهيزات، به طور معمول از ماركهاي مختلف فايروالها در شبكه استفاده ميگردد. به طور مثال در يك شبكه كه چندين فايروال وجود دارد، معمولاً اين تجهيزات را از سازنده هاي مختلف انتخاب ميكنند و با استفاده از يك مديريت متمركز، آنها را كنترل مينمايند.
براي مديريت امنيت اين تجهيزات مراحل زير پيموده مي گردد:
- بررسي عملكرد Firewallها
- پاسخ به اخطارها پس از اعلام شدن
- بررسي log هاي ثبت شده در فايروال
- بررسي نرم افزار و سخت افزارهاي مربوط به فايروال
● سيستم هاي تشخيص حملات (IDS)
سيستمهايي نظير IDSها در يك شبكه به كارآمدي كليه تجهيزات، فرآيندها و كاركناني وابسته ميباشند كه در مواقع لزوم به رخدادها پاسخ ميدهند. با توجه به اين نكته كه حسگرهاي IDS در هر زمان تعداد زيادي اخطار توليد ميكنند و در شبكه امكان پاسخگويي به همه آنها وجود ندارد، لازم است حساسيت IDSها را به گونهاي تنظيم نمود كه فقط تهديدات اساسي را اعلام نمايند. اما اين كار باعث ميشود تعدادي از حملهها تشخيص دادهنشود. براي جلوگيري از بروز اشكال، ميتوان هر يك از IDSها را براي يك Application خاص تخصيص داد.
با استفاده از ويژگيهاي مختلف اين سيستمها، ميتوان از طريق مركز SOC حملات را كنترل نمود. در مراكزSOC از ويژگيهاي IDSها نظير كمترنمودن False Positives ، Stateful Signature كه يك فرم پيشرفته تشخيص حملهها با استفاده از Signatureها ميباشد،Protocol Anomaly Detection كه قابليت تحليل ترافيك و اطمينان از عدم وجودPacketهاي غير قانوني با استفاده از مقايسه Protocol portion را دارد، ميباشد،Traffic Anomaly Detection جهت مقايسه ترافيكهاي نرمال و غيرنرمال براي مقابله طبيعي و غيرطبيعي با حملات، استفاده ميشود. در مراكزSOC با تركيبكردن تكنولوژيهاي Stateful Signature Detection و Protocol Anormaly ، Traffic Anomaly Detection قابليت تشخيص حملهها افزايش داده ميشود.
● امكان فيلتر كردن محتوا
يكي از اصلي ترين سرويسها در مراكز SOC ، امكان فيلتركردن محتواي ورودي به سرورها ميباشد. فيلتر كردن محتوا در SOC با هدف جلوگيري از دسترسي به سايتهاي غيرلازم، جلوگيري از دسترسي به انواع خاصي از فايلها و محدود كردن حملات ويروسها، Wormها و Trojanها (بسياري از ويروسهاي خطرناك مانند Nimda وCodeRed به عنوان برنامههاي اجرايي با استفاده از HTTP و يا پروتكلهاي رايج ديگر كه Firewallها به آنها اجازه ورود ميدهند، وارد شبكه ميشوند. در نتيجه كاربران به صورت ناآگاهانه اين محتويات را از سايتهاي ايمنDownload ميكنند.) صورت ميپذيرد.
نرم افزار URL Filtering كليه Page ها را در گروههاي ازپيشتعيينشده دستهبندي ميكند و برطبق آن دستهبنديها، دسترسي به يك Page را ممكن و يا غيرممكن ميسازد. همچنين قادر است ليستي از سايتهايي كه كاربران ميتوانند به آنها دسترسي داشته باشند، تهيه نمايد. به طور عمده لازم است اين نرمافزار قادر باشد دسترسي به محتويات دستهبنديشده را فيلتر كند. همچنين لازم است بتواند استثناهايي براي سياست خاص خود بر مبناي فاكتورهاي مختلفي از جمله گروه كاربران، موقعيت كاربران، ساعت استفاده و... قائل شود.
نرم افزارهايي كه در اين مراكز براي فيلتر كردن مورد استفاده قرار ميگيرند، بايد از متدهاي مناسبي جهت جلوگيري از دسترسي، دسته بندي پايگاه هاي اطلاعاتي و ليستهاي كنترلي برخوردار باشند. همچنين بروزرسانيها بايد با فواصل كوتاه انجام شوند و بهتر است به طور كامل صورت پذيرند نه به صورت تفاضلي. بروزرسانيها نبايد سيستمهاي عملياتي را دچار وقفه سازند.
● امكان تشخيص ويروس
ويروسها بيشتر توسطEmai l و ترافيك اينترنتي منتقل ميشوند. بنابراين، دفاع در خط مقدم يعني Internet Gateway بهترين راه مقابله با آنها ميباشد. با افزودن قابليت Virus Scanning برروي Cache ها، ميتوان با اعمال روشهاي مختلف ويروسيابي، اقدامات مناسبي جهت از بين بردن آنها در Internet Gateway انجام داد. مركز SOC، عمليات كنترل و اسكن ويروسها را با بهرهگيري از نرمافزارهاي مناسب برعهده دارد.
● سرويسهاي AAA
در مركز SOC براي تعريف و كنترل دسترسي به تجهيزات و سرويسهاي شبكه از AAA استفاده ميشود. AAA سرورها در مراكز مختلف و براي سرويسهاي گوناگون به كار گرفته ميشوند و مديران شبكه و كاربران نيز از طريق آن اجازه دسترسي به منابع شبكه را در سطوح مختلف كسب ميكنند. يكي از روشهايي كه در مراكز SOC براي تشخيص هويت كاربران و اعمال سياستهاي امنيتي به كار ميرود، استفاده از CA يا Certificate Authority است.CAها، كليدعمومي يك شخص يا يك سازمان را به همراه ديگر مشخصات تشخيص هويت در گواهينامه ديجيتال قرار داده و سپس آن را امضا مينمايند. اين كار صحت اطلاعات موجود در آنرا اعلام و تأييد مينمايد. گواهينامههاي ديجيتال، فايلهايي هستند كه در اصل به عنوان نوعي گذرنامه عمل مينمايند و توسط CAها صادر ميشوند. نقش CA در اين پروسه، تأييد فردي است كه يك گواهينامه به آن اختصاص داده شده است. در واقع همان كسي است كه خود شخص اظهار مي دارد.
با قرار دادن CA در يك مركز SOC، ميتوان محدوده وسيعي از Applicationها را با ايمني بالاتري نسبت به امنيتي كه توسط نام كاربري و رمز عبور فراهم مي شود، پشتيباني كرد.
پياده سازي امنيت در مركز SOC
با بهره گيري از ابزارهاي مختلف امنيت شبكه در SOC، حملات به شبكه در سه رده و از جهات مختلف مورد بررسي قرار ميگيرد. اين سه رده عبارتند از: Visibility ، Verification و vulnerability كه با ادغام عملياتي كه در هر رده انجام ميپذيرد، ميتوان امكان كنترل و مديريت امنيت را در شبكه ايجاد نمود. در هر يك از اين ردهها فعاليتهاي خاصي انجام ميگيرد كه به واسطه آنها از نفوذ به داخل شبكه جلوگيري ميشود و در صورت ورود نيز از پيشروي آنها جلوگيري به عمل ميآيد. در هر يك از اين ردهها، تجهيزاتي وجود دارند كه ميتوانند متناسب با وظايفشان از شبكه محافظت نمايند.
● Vulnerability
تجهيزاتي كه در اين رده مورد استفاده قرار ميگيرند، به محض اينكه نصب و راهاندازي ميشوند، بايد Update گردند. فاكتورهايي كه از طريق اين تجهيزات Update ميگردند، شامل پيكربندي سرورها، برنامههاي كاربردي، پكيجهاي نرمافزارهاي امنيتي مرتبط با سيستمعاملها ميباشند كه با توجه به سرعت رشد راههاي نفوذ، به سرعت از درجه اعتبار ساقط ميگردد. با در نظر گرفتن اين نكته، اين رده كمترين تاثير را در برخورد با حملات دارد.
● Visibility
با استفاده از تجهيزات اين سطح كه عمدتاً شامل فايروالها ميباشند، ميتوان امنيت كليه تجهيزات شبكه را مانيتورينگ نمود. در اين قسمت كليه امكانات مربوط به ديوارههاي آتش Update ميشود و پيكربندي آنها متناسب با عملكردشان در شبكه، تغيير ميكند. اين تغييرات بدون زمانبندي خاص و در ازاي تغيير مكانيزمها و روند حملات به شبكه اعمال ميگردند. مشكلاتي كه در رابطه با تغيير پيكربندي فايروالها بهوجود ميآيند، منحصر به تكنولوژي نيست. هر بار كه پيكربندي اين تجهيزات توسط پرسنل Update ميگردد، امكان دارد كه با يك اشتباه در پيكربندي راه نفوذي براي هكرها ايجاد گردد.
با توجه به حجم و ابعاد شبكهها و پورتهايي كه از طريق آدرسهاي IP سرويس داده ميشوند، تعداد نقاطي كه بايد اسكن گردند مشخص ميشود. براي برقراري سطوح امنيتي متناسب با نيازهاي هر كاربر، اين پورتها به گروههاي مختلف دستهبندي ميگردند. به اين ترتيب پورتهايي كه از اهميت بالايي برخوردارند، توسط سيستمهاي مربوطه در فواصل زماني كوتاه (معمولاً هر 5 دقيقه يكبار) اسكن مي شوند. با توجه به حجم بالاي اطلاعاتي كه در هر بازه زماني توليد ميشود، بايد مكانيزمهايي در SOC وجود داشته باشد تا به واسطه آن اين حجم بالاي اطلاعات پردازش گردد و گزارشهاي مورد نياز استخراج شود.
Verification
اصلي ترين و البته مشكل ترين قسمت در يك مركز SOC، حصول اطمينان از امنيت قسمتهايي است كه كنترل مستقيمي بر آنها وجود ندارد. براي اين منظور بايد ابزاري بهكار گرفته شود كه از طريق آن بتوان به صورت غيرمستقيم تجهيزات مربوطه را كنترل نمود. در حقيقت بايد راه نفوذ از طريق آن تجهيزات را مسدود ساخت.
سرويس هاي پيشرفته در مراكز SOC
سرويسهاي پيشرفتهاي كه از طريق اين مراكز قابلارائه ميباشد، درحقيقت سرويسهايي است كه به واسطه آن ميتوان سياستهاي امنيتي را مطابق با نيازها پيشبيني نمود. در مراكز SOC علاوه بر مديريت امنيت تجهيزات شبكه، زيرساختهاي اطلاعاتي نيز از لحاظ امنيتي پشتيباني ميشوند. اين زيرساختها به طور كلي شامل پرسنل، فرآيندها و روالهاي كاري در شبكه ميباشند. در استانداردهاي تدوينشده براي امنيت نظير استانداردهاي BS9977 نحوه پيادهسازي روالهاي مديريت امنيت در شبكهها مشخص شده است.
در بخش مديريت امنيت فرآيندها در مركز SOC مراحل مختلفي طي ميشود تا بهواسطه آن يك روال در شبكه از هر لحاظ ايمن گردد. مرحله اول مرحله سياستگذاري است. پس از تدوين سياستها و تطبيق آنها با استانداردهاي موجود در زمينه امنيت شبكه، روالهاي استخراجشده جهت پيادهسازي به مسئولان تحويل ميشوند. نكته ديگري كه در اين زمينه قابلبررسي است، آگاهي پرسنل SOC از تهديدات امنيتي است. باتوجه به وجود طيف وسيعي از سختافزارهاي امنيت شبكه، كه هر كدام متناسب با شركت سازنده خود نياز به مهارتهاي خاصي براي استفاده دارند، و همچنين تغييرات سريع تكنولوژي و نحوه حمله به تجهيزات شبكه، نياز است پرسنل SOC از مهارتهاي خاصي برخوردار بوده و همواره به كسب اطلاعات جديد مشغول باشند. براي بروز نگهداشتن اطلاعات پرسنل از كلاسهاي آموزشي جهت تشخيص حملات جديد و نحوه برخورد با آنها استفاده ميشود. با توجه به حساسيت وظايف در مراكز SOC، پرسنل اين مراكز اهميت بالايي دارند. به اين ترتيب حفظ منافع و رضايت خاطر پرسنل از مهمترين مسئوليتهاي صاحبان SOC ميباشد.
منبع :
کپی رایت توسط انجمن علمي دانشگاه شيخ بهايي کلیه حقوق مادی و معنوی مربوط و متعلق به این سایت است
با گسترش روزافزون استفاده از ارتباطات و انتقال اطلاعات در بستر شبكهها و اينترنت، حجم وسيعي از مبادلات تجاري و اداري، از اين طريق صورت ميپذيرد. امروزه سرويسهاي اينترنتي و تحتشبكه، به عنوان قابلاعتمادترين، سريعترين و در دسترسترين ابزارهاي ارتباطي به شمار ميروند. با توجه به اهميت فوق العادهاي كه شركتهاي بزرگ به استفاده از چنين بسترهايي در اداره امور خود ميدهند، جايگاه و اهميت مقوله امنيت به وضوح مشخص است. زماني كه نوبت به امنيت ميرسد، هر سازماني نياز و سياست مختص خود را دارد. به اين ترتيب راهحلهاي امنيتي، بايد به گونهاي استاندارد طراحي شوند تا بتوانند نيازهاي كليه سازمانها را بدون نياز به تغييرات اساسي در ساختار سيستمهاي آنها، پوشش دهند. در شماره قبل به معرفي استاندارد BS7799 اشاره نموديم. در اين شماره قصد داريم به نحوه مديريت يكپارچه امنيت اطلاعات و ارتباطات با استفاده از استاندارد BS7799 در يك مركز امنيت شبكه SOC يا Security Operations Center اشاره نماييم.
مركز عمليات امنيت كجاست؟
مركز عمليات امنيت شبكه، (SOC) مكاني جهت مانيتورينگ و كنترل 24 ساعته ورود و خروج اطلاعات در شبكه مي باشد. به طور كلي هر مركز SOC به سه سطح عمده تقسيم مي شود كه هر يك وظايف خاصي را بر عهده دارند. اين سطوح عبارتند از: سطح يكم، نقطه تماس Clientها و مسئول پاسخ گويي به اخطارهاي دريافتي ازClient هاست. در اين سطح به كليه اخطارهايي كه از پيچيدگي پايينتري برخوردارند، پاسخ داده ميشود.
سطح دوم، در حقيقت مكمل سطح يكم است و مسئول پاسخگويي به مشكلات پيچيده تر در سيستمهاي امنيتي شبكه ميباشد. براي اخطارهايي كه از اهميت بالايي برخوردارند، سيستم هاي سطح دوم به طور كامل درگير ميشوند.
سطح سوم، در اين سطح كارشناسان ارشد و مشاوران امنيتي شبكه قرار دارند. اين سطح در حقيقت پشتيبان دو سطح پايينتر است. در صورتي كه به اشكالات امنيتي در دو سطح پايين پاسخ داده نشود، كارشناسان و سيستمهاي اين سطح، درگير ميشوند. كليه تدابير امنيتي و مديريت امنيت شبكه، در اين سطح انديشيده ميشود.
در طراحي مراكز امنيت شبكه، متدولوژيهاي مختلفي مطرح ميباشد. با اين حال پايه همه متدولوژيها براساسِ تركيب تكنولوژي، نيروي انساني، فرآيندها در هسته فعاليت مركز امنيت شبكه و احاطه آن توسط فرآيندهاي اجرايي ميباشد. اين فرآيندها شامل برنامهريزي، طراحي، پيادهسازي، عملياتي نمودن و توسعه مركز امنيت شبكه ميباشد. لايه بعدي در طراحي مركز SOC، شامل ابزارها و معيارهايي است كه از طريق آنها خدمات ارائه شده ارزيابي ميگردند. اين ابزارها و معيارها شامل چشمانداز، منابع، زمان، هزينه، ارتباطات و ريسكهاي موجود در راه اندازي SOC ميباشد.
نكته قابلتوجه در طراحي يك SOC، انعطافپذيريِ متدولوژي طراحي آن است كه به واسطه آن ميتوان براي هر يك از مشتريان مطابق سرويسهاي مورد نيازشان راه حل خاصي براي مديريت امنيت شبكه ارائه نمود.
در هر يك از سطوح مطرحشده، ابزاري براي مديريت سيستمهاي امنيتي در نظر گرفته مي شود. اين ابزارها امنيت شبكه را از دو ديدگاه درونسازماني و برونسازماني مورد بررسي قرار ميدهند. براي اين منظور، هر SOC داراي يك
سري تجهيزات در داخل شبكه و يك سري تجهيزات در خود مركز مي باشد. همه سرويسهايي كه از مراكز SOC ارائه ميگردند، مانيتورينگ و مديريتشده هستند. ديگر سرويسهايي كه از طريق اين مراكز قابلارائه ميباشند، سرويسهاي پيشرفتهاي به شرح زير ميباشد:
- توسعه سياستهاي امنيتي
- آموزش مباحث امنيتي
- طراحي ديوارههاي آتش
- پاسخگويي آني
- مقابله با خطرات و پيادهسازي
سرويسهايي كه از طريق اين مراكز ارائه ميگردند، عبارتند از سرويسهاي مديريت شدهاي كه از تجهيزات و ارتباطات مركز SOC محافظت مينمايند. اين سرويسها از متدولوژي و ابزارهاي نرمافزاري و سخت افزاري قدرتمندي براي مديريت امنيت استفاده مينمايند. اجزاي سختافزاري كه در شبكهها توسط سيستمهاي مديريتشده براي اعمال سياستهاي امنيتي مورد استفاده قرار ميگيرند، عبارتند از: سيستمهاي كشف و رفع حملات (Intrusion Detection System)، سيستمهاي فايروال و سيستمهاي مديريت امنيت در شبكههاي خصوصي مجازي.
نياز به سرويسهاي مديريت شده
حملات چه از طريق منابع داخلي چه از طريق منابع خارجي، در هر لحظه شبكه و برنامههاي كاربردي ارائه شده از طريق آن را تهديد مينمايد. هكرها در جاهاي مختلف دنيا در هر لحظه كل تجهيزات امنيتي شبكه را مانيتور مينمايند و در صورتي كه يكي از تجهيزات به طور دقيق فعاليت خود را انجام ندهد، از آن نقطه، يك ورودي براي خود ايجاد خواهند نمود. به منظور جلوگيري از نفوذ هكرها به شبكه، لازم است سيستم امنيتي در SOC از قابليت اطمينان بالايي برخوردار باشد.
براي ايجاد يك سيستم امنيتي با ويژگيهاي مناسب براي مديريت يك شبكه با برنامههاي كاربردي متنوع، پرسنل كارآمدي لازم است كه بتوانند كليه سيستم هاي امنيتي از ضد ويروس ها تا شبكههاي خصوصي مجازي را بدون وابستگي به محصول خاص و يا تكنولوژي مشخص مديريت نمايند.
سيستمهايي كه در SOC جهت مديريت امنيت شبكه نصب و راهاندازي ميگردند، داراي مكانيزمهاي بررسي تجهيزات شبكه به صورت خودكار مي باشند. تجهيزاتي كه توسط اين سيستم موردبررسي قرار ميگيرند، محدود به سيستمهاي امنيتي نيستند، بلكه كليه تجهيزات زيرساختي شبكه نيز توسط اين سيستم مديريت امنيت يكپارچه مورد بررسي قرار ميگيرند. اين سيستم درحقيقت الگوهاي ترافيكي ارسالي از كليه تجهيزات شبكه از جمله سرورها، مسيريابها، فايروالها و سيستمهاي امنيتي فيزيكي را مورد بررسي قرار داده و هركدام از آنها كه توان ايجاد يك ريسك امنيتي را دارند مشخص ميسازد و راه نفوذ به آن سيستم را ميبندد. هر الگوي ترافيكي غيرعادي مشاهده شده، توسط زيرسيستمهاي آناليزكننده مورد بررسي قرار ميگيرد و متناسب با نوع خطاي تشخيص دادهشده، اخطارهاي لازم در شبكه براي هر يك از تجهيزات مربوطه ارسال ميگردد. در حالت عادي نيز با توجه به برنامه Polling در نظر گرفته شده، كليه سيستمها در شبكه مانيتور ميگردند و با توجه به Profile هاي امنيتي موجود براي هر سيستم، حملههاي احتمالي تشخيص داده شده و دفع ميگردند.
انواع سرويس هاي مديريت شده در SOC
● ديواره آتش (Firewall)
فايروالها اولين سد ورودي بين اطلاعات محرمانه در يك شبكه و دنياي خارج از آن مي باشند. در يك مركز SOC ، لازم است اين تجهيزات به طور مداوم از نظر امنيتي بررسي گردند. براي اطمينان كامل از امنيت اين تجهيزات، به طور معمول از ماركهاي مختلف فايروالها در شبكه استفاده ميگردد. به طور مثال در يك شبكه كه چندين فايروال وجود دارد، معمولاً اين تجهيزات را از سازنده هاي مختلف انتخاب ميكنند و با استفاده از يك مديريت متمركز، آنها را كنترل مينمايند.
براي مديريت امنيت اين تجهيزات مراحل زير پيموده مي گردد:
- بررسي عملكرد Firewallها
- پاسخ به اخطارها پس از اعلام شدن
- بررسي log هاي ثبت شده در فايروال
- بررسي نرم افزار و سخت افزارهاي مربوط به فايروال
● سيستم هاي تشخيص حملات (IDS)
سيستمهايي نظير IDSها در يك شبكه به كارآمدي كليه تجهيزات، فرآيندها و كاركناني وابسته ميباشند كه در مواقع لزوم به رخدادها پاسخ ميدهند. با توجه به اين نكته كه حسگرهاي IDS در هر زمان تعداد زيادي اخطار توليد ميكنند و در شبكه امكان پاسخگويي به همه آنها وجود ندارد، لازم است حساسيت IDSها را به گونهاي تنظيم نمود كه فقط تهديدات اساسي را اعلام نمايند. اما اين كار باعث ميشود تعدادي از حملهها تشخيص دادهنشود. براي جلوگيري از بروز اشكال، ميتوان هر يك از IDSها را براي يك Application خاص تخصيص داد.
با استفاده از ويژگيهاي مختلف اين سيستمها، ميتوان از طريق مركز SOC حملات را كنترل نمود. در مراكزSOC از ويژگيهاي IDSها نظير كمترنمودن False Positives ، Stateful Signature كه يك فرم پيشرفته تشخيص حملهها با استفاده از Signatureها ميباشد،Protocol Anomaly Detection كه قابليت تحليل ترافيك و اطمينان از عدم وجودPacketهاي غير قانوني با استفاده از مقايسه Protocol portion را دارد، ميباشد،Traffic Anomaly Detection جهت مقايسه ترافيكهاي نرمال و غيرنرمال براي مقابله طبيعي و غيرطبيعي با حملات، استفاده ميشود. در مراكزSOC با تركيبكردن تكنولوژيهاي Stateful Signature Detection و Protocol Anormaly ، Traffic Anomaly Detection قابليت تشخيص حملهها افزايش داده ميشود.
● امكان فيلتر كردن محتوا
يكي از اصلي ترين سرويسها در مراكز SOC ، امكان فيلتركردن محتواي ورودي به سرورها ميباشد. فيلتر كردن محتوا در SOC با هدف جلوگيري از دسترسي به سايتهاي غيرلازم، جلوگيري از دسترسي به انواع خاصي از فايلها و محدود كردن حملات ويروسها، Wormها و Trojanها (بسياري از ويروسهاي خطرناك مانند Nimda وCodeRed به عنوان برنامههاي اجرايي با استفاده از HTTP و يا پروتكلهاي رايج ديگر كه Firewallها به آنها اجازه ورود ميدهند، وارد شبكه ميشوند. در نتيجه كاربران به صورت ناآگاهانه اين محتويات را از سايتهاي ايمنDownload ميكنند.) صورت ميپذيرد.
نرم افزار URL Filtering كليه Page ها را در گروههاي ازپيشتعيينشده دستهبندي ميكند و برطبق آن دستهبنديها، دسترسي به يك Page را ممكن و يا غيرممكن ميسازد. همچنين قادر است ليستي از سايتهايي كه كاربران ميتوانند به آنها دسترسي داشته باشند، تهيه نمايد. به طور عمده لازم است اين نرمافزار قادر باشد دسترسي به محتويات دستهبنديشده را فيلتر كند. همچنين لازم است بتواند استثناهايي براي سياست خاص خود بر مبناي فاكتورهاي مختلفي از جمله گروه كاربران، موقعيت كاربران، ساعت استفاده و... قائل شود.
نرم افزارهايي كه در اين مراكز براي فيلتر كردن مورد استفاده قرار ميگيرند، بايد از متدهاي مناسبي جهت جلوگيري از دسترسي، دسته بندي پايگاه هاي اطلاعاتي و ليستهاي كنترلي برخوردار باشند. همچنين بروزرسانيها بايد با فواصل كوتاه انجام شوند و بهتر است به طور كامل صورت پذيرند نه به صورت تفاضلي. بروزرسانيها نبايد سيستمهاي عملياتي را دچار وقفه سازند.
● امكان تشخيص ويروس
ويروسها بيشتر توسطEmai l و ترافيك اينترنتي منتقل ميشوند. بنابراين، دفاع در خط مقدم يعني Internet Gateway بهترين راه مقابله با آنها ميباشد. با افزودن قابليت Virus Scanning برروي Cache ها، ميتوان با اعمال روشهاي مختلف ويروسيابي، اقدامات مناسبي جهت از بين بردن آنها در Internet Gateway انجام داد. مركز SOC، عمليات كنترل و اسكن ويروسها را با بهرهگيري از نرمافزارهاي مناسب برعهده دارد.
● سرويسهاي AAA
در مركز SOC براي تعريف و كنترل دسترسي به تجهيزات و سرويسهاي شبكه از AAA استفاده ميشود. AAA سرورها در مراكز مختلف و براي سرويسهاي گوناگون به كار گرفته ميشوند و مديران شبكه و كاربران نيز از طريق آن اجازه دسترسي به منابع شبكه را در سطوح مختلف كسب ميكنند. يكي از روشهايي كه در مراكز SOC براي تشخيص هويت كاربران و اعمال سياستهاي امنيتي به كار ميرود، استفاده از CA يا Certificate Authority است.CAها، كليدعمومي يك شخص يا يك سازمان را به همراه ديگر مشخصات تشخيص هويت در گواهينامه ديجيتال قرار داده و سپس آن را امضا مينمايند. اين كار صحت اطلاعات موجود در آنرا اعلام و تأييد مينمايد. گواهينامههاي ديجيتال، فايلهايي هستند كه در اصل به عنوان نوعي گذرنامه عمل مينمايند و توسط CAها صادر ميشوند. نقش CA در اين پروسه، تأييد فردي است كه يك گواهينامه به آن اختصاص داده شده است. در واقع همان كسي است كه خود شخص اظهار مي دارد.
با قرار دادن CA در يك مركز SOC، ميتوان محدوده وسيعي از Applicationها را با ايمني بالاتري نسبت به امنيتي كه توسط نام كاربري و رمز عبور فراهم مي شود، پشتيباني كرد.
پياده سازي امنيت در مركز SOC
با بهره گيري از ابزارهاي مختلف امنيت شبكه در SOC، حملات به شبكه در سه رده و از جهات مختلف مورد بررسي قرار ميگيرد. اين سه رده عبارتند از: Visibility ، Verification و vulnerability كه با ادغام عملياتي كه در هر رده انجام ميپذيرد، ميتوان امكان كنترل و مديريت امنيت را در شبكه ايجاد نمود. در هر يك از اين ردهها فعاليتهاي خاصي انجام ميگيرد كه به واسطه آنها از نفوذ به داخل شبكه جلوگيري ميشود و در صورت ورود نيز از پيشروي آنها جلوگيري به عمل ميآيد. در هر يك از اين ردهها، تجهيزاتي وجود دارند كه ميتوانند متناسب با وظايفشان از شبكه محافظت نمايند.
● Vulnerability
تجهيزاتي كه در اين رده مورد استفاده قرار ميگيرند، به محض اينكه نصب و راهاندازي ميشوند، بايد Update گردند. فاكتورهايي كه از طريق اين تجهيزات Update ميگردند، شامل پيكربندي سرورها، برنامههاي كاربردي، پكيجهاي نرمافزارهاي امنيتي مرتبط با سيستمعاملها ميباشند كه با توجه به سرعت رشد راههاي نفوذ، به سرعت از درجه اعتبار ساقط ميگردد. با در نظر گرفتن اين نكته، اين رده كمترين تاثير را در برخورد با حملات دارد.
● Visibility
با استفاده از تجهيزات اين سطح كه عمدتاً شامل فايروالها ميباشند، ميتوان امنيت كليه تجهيزات شبكه را مانيتورينگ نمود. در اين قسمت كليه امكانات مربوط به ديوارههاي آتش Update ميشود و پيكربندي آنها متناسب با عملكردشان در شبكه، تغيير ميكند. اين تغييرات بدون زمانبندي خاص و در ازاي تغيير مكانيزمها و روند حملات به شبكه اعمال ميگردند. مشكلاتي كه در رابطه با تغيير پيكربندي فايروالها بهوجود ميآيند، منحصر به تكنولوژي نيست. هر بار كه پيكربندي اين تجهيزات توسط پرسنل Update ميگردد، امكان دارد كه با يك اشتباه در پيكربندي راه نفوذي براي هكرها ايجاد گردد.
با توجه به حجم و ابعاد شبكهها و پورتهايي كه از طريق آدرسهاي IP سرويس داده ميشوند، تعداد نقاطي كه بايد اسكن گردند مشخص ميشود. براي برقراري سطوح امنيتي متناسب با نيازهاي هر كاربر، اين پورتها به گروههاي مختلف دستهبندي ميگردند. به اين ترتيب پورتهايي كه از اهميت بالايي برخوردارند، توسط سيستمهاي مربوطه در فواصل زماني كوتاه (معمولاً هر 5 دقيقه يكبار) اسكن مي شوند. با توجه به حجم بالاي اطلاعاتي كه در هر بازه زماني توليد ميشود، بايد مكانيزمهايي در SOC وجود داشته باشد تا به واسطه آن اين حجم بالاي اطلاعات پردازش گردد و گزارشهاي مورد نياز استخراج شود.
Verification
اصلي ترين و البته مشكل ترين قسمت در يك مركز SOC، حصول اطمينان از امنيت قسمتهايي است كه كنترل مستقيمي بر آنها وجود ندارد. براي اين منظور بايد ابزاري بهكار گرفته شود كه از طريق آن بتوان به صورت غيرمستقيم تجهيزات مربوطه را كنترل نمود. در حقيقت بايد راه نفوذ از طريق آن تجهيزات را مسدود ساخت.
سرويس هاي پيشرفته در مراكز SOC
سرويسهاي پيشرفتهاي كه از طريق اين مراكز قابلارائه ميباشد، درحقيقت سرويسهايي است كه به واسطه آن ميتوان سياستهاي امنيتي را مطابق با نيازها پيشبيني نمود. در مراكز SOC علاوه بر مديريت امنيت تجهيزات شبكه، زيرساختهاي اطلاعاتي نيز از لحاظ امنيتي پشتيباني ميشوند. اين زيرساختها به طور كلي شامل پرسنل، فرآيندها و روالهاي كاري در شبكه ميباشند. در استانداردهاي تدوينشده براي امنيت نظير استانداردهاي BS9977 نحوه پيادهسازي روالهاي مديريت امنيت در شبكهها مشخص شده است.
در بخش مديريت امنيت فرآيندها در مركز SOC مراحل مختلفي طي ميشود تا بهواسطه آن يك روال در شبكه از هر لحاظ ايمن گردد. مرحله اول مرحله سياستگذاري است. پس از تدوين سياستها و تطبيق آنها با استانداردهاي موجود در زمينه امنيت شبكه، روالهاي استخراجشده جهت پيادهسازي به مسئولان تحويل ميشوند. نكته ديگري كه در اين زمينه قابلبررسي است، آگاهي پرسنل SOC از تهديدات امنيتي است. باتوجه به وجود طيف وسيعي از سختافزارهاي امنيت شبكه، كه هر كدام متناسب با شركت سازنده خود نياز به مهارتهاي خاصي براي استفاده دارند، و همچنين تغييرات سريع تكنولوژي و نحوه حمله به تجهيزات شبكه، نياز است پرسنل SOC از مهارتهاي خاصي برخوردار بوده و همواره به كسب اطلاعات جديد مشغول باشند. براي بروز نگهداشتن اطلاعات پرسنل از كلاسهاي آموزشي جهت تشخيص حملات جديد و نحوه برخورد با آنها استفاده ميشود. با توجه به حساسيت وظايف در مراكز SOC، پرسنل اين مراكز اهميت بالايي دارند. به اين ترتيب حفظ منافع و رضايت خاطر پرسنل از مهمترين مسئوليتهاي صاحبان SOC ميباشد.
منبع :
کپی رایت توسط انجمن علمي دانشگاه شيخ بهايي کلیه حقوق مادی و معنوی مربوط و متعلق به این سایت است