پرونده / ویژگی‌های ساختاری مرکز عملیات امنیت‌

پرونده / ویژگی‌های ساختاری مرکز عملیات امنیت‌
تاریخ انتشار : ۰۳ اسفند ۱۴۰۱

مفهوم مرکز عملیات امنیت یک اصطلاح عمومی برای توصیف یک بخش یا تمام یک سکو و هدفش ارائه‌ی سرویس‌های کشف و واکنش به حوادث امنیتی است. بر طبق این تعریف، مرکز عملیات امنیـت باید پنج عملگر تولید، جمع‌آوری، ذخیره، تحلیل و واکنش به رخداد امنیتی را داشته باشد.

به گزارش گرداب، تعیین و انجام واکنش صحیح و به‌موقع از مهم‌ترین دلایل راه‌اندازی سامانه مرکز عملیات امنیت و یکی از موضوعات مهـم در زمان طراحی آن است. مرکز عملیات امنیت باید ویژگی‌های عمومی زیر را داشته باشد.

مقیاس‌پذیری‌

امروزه به‌طورمعمول در یک مرکز داده با اندازه متوسط، روزانه چندین میلیون رخداد تولید می‌شود؛ بنابراین پارامتر مقیاس‌-پذیری در طراحی مرکز عملیات امنیت و بخش‌های مختلف آن می‌بایست موردتوجه قرار گیرد. سامانه مرکز عملیات امنیت باید به نحوی طراحی گردد که با افزایش میزان ترافیک و رخداد‌های تولیدی، بتواند با کارایی بالا وظیفه خود را انجام دهد.

- واحدمند بودن‌

کارگزارها، خدمات، کاربرد‌ها و تجهیزات شبکه منابع جمع‌آوری رخداد‌ها در سامانه مرکز عملیات امنیت هستند. این منابع معمولا در زیرساخت‌های مختلف، متنوع و گوناگون بوده و در طی زمان افزایش‌یافته و با جایگزین می‌شوند؛ بنابراین منابع جمع‌آوری رخداد‌ها در یک مرکز عملیات امنیت در دوره‌های زمانی مختلف دچار تغییر و تحول می‌گردند. مرکـز عملیـات امنیت باید به نحوی طراحی گردد که به‌راحتی بتوان منابع و الگوریتم‌های تحلیل و همبستگی جدید را به سامانه اضافه نمود و یا تغییر داد. به‌طورکلی باید طراحی پیمانه‌ای در کلیه بخش‌ها و زیرسامانه‌های مرکز عملیات امنیت موردتوجه قرار گیرد.

- کارایی بالا

هدف از طراحی و پیاده‌سازی مرکز عملیات امنیت در یک زیرساخت اطلاعاتی، نظارت بر امنیت کل شبکه (امنیت داده‌هـا، امنیت خدمات و غیره) و کشف حملات و تهدید‌های واقعی در کوتاه‌ترین زمان ممکن است. به این منظور، مرکز عملیـات امنیت باید پوشش کاملی روی زیرساخت مربوطه داشته باشد. بدین معنی که تمام اجزای شبکه شامل کلیه کارگزارها، نرم‌-افزارها، تجهیزات و ترافیک شبکه را رصد و همچنین الگوریتم‌های تحلیـل، همبسـتگی و همچنـین اطلاعـات مربـوط بـه آسیب‌پذیریها، الگوی حملات، سیاست‌های امنیتی و وضعیت سامانه‌ها را به‌روز نماید.

- امنیت‌

ازآنجاکه هدف مرکز عملیات امنیت تأمین و تضمین امنیت و پایداری داده و خدمات است، پیاده‌سازی آن نبایـد منجـر بـه بروز مخاطرات امنیتی جدید در بستر اطلاعاتی گردد؛ لذا لازم است که در کلیه بخش‌های مرکـز عملیـات امنیـت، مسـائل امنیتی موردتوجه جدی قرار گیرد. جمع‌آوری رخداد‌ها از منابع مختلف باید از طریق کانال‌های امن صورت گیرد. تا آنجا که امکان دارد باید سعی گردد از نصب عامل‌ها بر روی سامانه‌ها جهت جمع‌آوری رخداد‌ها اجتناب گردد. چراکه خود عامل‌ها‌ می‌توانند باعث به وجود آمدن شکاف‌های امنیتی در سامانه‌ها گردند. نگهداری رخدادها، رویدادها، پیکربنـدی سـامانه‌هـا، سیاست‌های امنیتی و دسترسی به آن‌هبا ید کاملا امن باشد. دسترسی کاربران به درگاه باید بر اسـاس نقـش آن‌هـا بـوده و تمامی فعالیت‌های انجام‌گرفته توسط هر کاربری باید ثبت گردد.

- ارتباط با مراکز واکنش به رخدادهای رایانه‌ای

از دیگر ویژگی‌های حائز اهمیت، ارتباط و همبستگی مرکز عملیات امنیت و مراکز امداد و نجات رایانه‌ای است. به‌گونه‌ای که مرکز عملیات امنیت جهت به‌روزرسانی و جامع نمودن پایگاه دانش خود از خروجی‌های حاصل از اقدامات مراکز امداد و نجات رایانه‌ای استفاده می‌نماید و مراکز امداد و نجات رایانه‌ای نیز جهت تحلیل و کشف حوادث و حملات روز، نیازمند اطلاعات جامعی هستند که تنها از طریق مراکز عملیات امنیت به دست می‌آید.

انواع خدمات مدیریت‌شده در مرکز عملیات امنیت‌

برخی از خدماتی که توسط مرکز عملیات امنیت مدیریت می‌شوند در ادامه آورده شده است.

- دیوار آتش‌

دیوار‌های آتش به‌عنوان اولین مانع بین اطلاعات محرمانه در یک شبکه و دنیای خارج از آن عمل می‌کننـد. در یـک مرکـز عملیات امنیت، لازم است این تجهیزات به‌طور مداوم ازنظر امنیتی بررسی شوند. برای اطمینان کامل از امنیت این تجهیزات، به‌طور معمول از دیوار‌های آتش مختلف در شبکه استفاده می‌شود. برای مثال در یک شبکه که چندین دیـوار آتـش وجـود دارد، معمولا این تجهیزات را از سازنده‌های مختلف انتخاب می‌کنند و با استفاده از یک مدیریت متمرکـز، آن‌هـا را کنتـرل می‌نمایند.

برای مدیریت امنیت این تجهیزات مراحل زیر پیموده می‌گردد:

▪ بررسی عملکرد دیوار‌های آتش‌

▪ پاسخ به اخطار‌ها پس از اعلام شدن‌

▪ بررسی واقعه‌نگاری‌های ثبت‌شده در دیوار آتش‌


▪ بررسی نرم‌افزار و سخت‌افزار‌های مربوط به دیوار آتش

سامانه‌های تشخیص نفوذ

سامانه‌هایی نظیر سامانه‌های تشخیص نفوذ در یک شبکه به کارآمدی کلیه تجهیزات، فرآیند‌ها و کارکنانی وابسته هستند که در مواقع لزوم به رخداد‌ها پاسخ می‌دهند. با توجه به این نکته که حسگر‌های سامانه‌های تشخیص حمله در هر زمـان تعداد زیادی اخطار تولید می‌کنند و در شبکه امکان پاسخگویی به همه آن‌ها وجود ندارد، لازم است حساسیت سامانه‌هـای تشخیص حمله را به‌گونه‌ای تنظیم نمود که فقط تهدیدات اساسی را اعلام نمایند. اما این کار باعـث مـی‌شـود تعـدادی از حمله‌ها تشخیص داده نشود. برای جلوگیری از بروز اشکال، می‌تواند هر یک از سامانه‌های تشخیص حملـه را بـرای یـک کاربرد خاص در نظر گرفت. با استفاده از ویژگی‌های مختلف این سامانه‌ها، می‌تواند از طریق مرکز عملیات امنیت حمـلات را کنترل نمود.

سامانه‌های تشخیص نفوذ، بسته‌های عبوری از شبکه را شنود کرده و با تحلیل بسته‌های شنود شده بر اساس الگوی حملات شناخته‌شده و یکسری قواعد، برخی از حملات، تهدید‌ها و وضعیت غیرعادی در شـبکه را کشـف و نتـایج را بـه‌صـورت رخدادهایی ثبت می‌کنند. به‌عنوان‌مثال، در یک مرکز داده ممکن است به‌طور متوسط روزانه چندین میلیـون رخـداد توسـط سامانه تشخیص نفوذ تولید گردد، که بخش عمده آن‌ها بلااستفاده است. بررسی ایـن حجـم عظـیم رویـداد‌های تولیدشـده توسط سامانه‌های تشخیص نفوذ و کشف حملات و تهدید‌های واقعی از چالش‌های بزرگ مدیریت امنیتی است.


- امکان پالایش محتوا

یکی از اصلی‌ترین سرویس‌ها در مراکز عملیات امنیت، امکان پالایش محتوای ورودی به کارگزار‌ها است. پالایش محتوا در مرکز عملیات امنیت با هدف جلوگیری از دسترسی به سایت‌هـای غیـر لازم، جلـوگیری از دسترسـی بـه انـواع خاصـی از پرونده‌ها و محدود کردن حملات ویروس‌ها، کرم‌ها و تروجان‌ها صورت می‌پذیرد.

نرم‌افزارهایی که در این مراکز برای پالایش مورد استفاده قرار می‌گیرنـد، بایـد از روش‌هـای مناسـبی جهـت جلـوگیری از دسترسی، دسته‌بندی پایگاه‌های اطلاعاتی و لیست‌های کنترلی برخوردار باشند. همچنین به‌روزرسانی‌ها باید با فواصل کوتاه انجام شوند و بهتر است به‌طور کامل صورت پذیرند. به‌روزرسانی‌ها نباید سامانه‌های عملیاتی را دچار وقفه سازند.


- امکان تشخیص ویروس‌

ویروس‌ها بیشتر توسط پست الکترونیک و ترافیک اینترنتی منتقل می‌شوند؛ بنابراین، دفاع در خط مقدم بهترین راه مقابله با آن‌ها است. با افزودن قابلیت پویش ویروس بر روی حافظه‌های نهان، می‌تواند با اعمال روش‌های مختلـف ویـروس‌یـابی، اقدامات مناسبی جهت از بین بردن آن‌ها انجام داد. مرکز عملیات امنیت، عملیات کنترل و پویش ویروس‌ها را با بهره‌گیـری از نرم‌افزار‌های مناسب بر عهده دارد.

معماری کلان مرکز عملیات امنیت‌

از دید کلان، مرکز عملیات امنیت به‌صورتی که در شکل زیر نشان داده‌شده است عمل می‌نماید:

رخداد‌های امنیتی در یک زیرساخت اطلاعاتی توسط حسگر‌های شبکه آن تولید می‌گردند. حسگر‌های شـبکه شـامل کلیـه سیستم‌عامل‌ها، کاربردها، نرم‌افزار‌ها و تجهیزات سخت‌افزاری شبکه اسـت. رخـداد‌های امنیتـی بـه روش‌هـای مختلـف از حسگر‌ها جمع‌آوری و با قالب یکسانی در بانک اطلاعاتی رخداد‌ها ذخیره می‌گردند. رخـداد‌های جمـع‌آوریشـده توسـط تحلیلگر مرکز عملیات امنیت مورد تحلیل قرارگرفته و پس از بررسی همبستگی بین رخدادها، حملات و تهدید‌های امنیتی زیرساخت اطلاعاتی مربوطه به‌صورت رویداد اعلام می‌شود.

تحلیلگر مرکز عملیات امنیت جهت تحلیل و تشخیص همبستگی مابین رخداد‌ها از دانش ذخیره‌شده در پایگاه دانش مرکـز عملیات امنیت بهره می‌برد. معیار اصلی کشف حملات و تهدیدها، اطلاعات پایگاه دانش است. اطلاعات مربوط به آسیب‌پذیری‌های سامانه، سیاست‌های امنیتی تعریف‌شده و همچنین وضعیت فعلی سامانه‌ها از اطلاعات مهم ذخیره‌شده در پایگاه دانش است که توسط واحدی در مرکز عملیات امنیت به‌طور مرتب باید به‌روز گرد.

در بالاترین لایه مرکز عملیات امنیت که کاربر با آن سروکار دارد، درگاه و پیشانه قرار دارد. درگاه بـه‌صـورت پیشـخوان مرکز عملیات امنیت عمل کرده و امکان مشاهده و مرور وضعیت امنیتی زیرساخت اطلاعاتی به‌صورت گرافیکی، تهیه انواع مختلفی از گزارش‌ها و همچنین تنظیم مؤلفه‌های مرکز عملیات امنیت را فراهم می‌سازد. در ادامه این بخش عملکرد هرکدام از بخش‌های اصلی سامانه مرکز عملیات امنیت موردبررسی قرار می‌گیرد.

در کنار مشکلات آشکار تعویض قالب داده‌ها بین واحدها، هر واحد عملکرد‌های مختص به خود را دارد کـه هـر یـک در ادامه توضیح داده می‌شود.


ثبت رخدادهای امنیتی‌

این واحد دارای حسگر‌ها و رأی‌دهنده‌هابه‌عنوان دو منبع جمع‌آوری رخداد است.


۱_ حسگر‌ها

حسگر‌ها مسئول تولید رخداد هستند که تولید رخداد‌ها مطابق با عملیات اجراشده بر روی سیستم‌عامل، برنامه‌های کاربردی یا بر روی شبکه است. شناخته‌شده‌ترین نوع حسگرها، سامانه‌های تشخیص نفوذ مبتنی بر میزبان یا مبتنی بر شبکه هسـتند. در حقیقت هر سامانه‌ی پالایش ارائه‌کننده‌ی واقعه‌نگاری مبتنی بر شبکه، برنامه کاربردی یا کاربر، بـرای مثـال دیـواره‌هـای آتش، مسیریاب‌ها، گیرنده پیام‌ها و هاب‌های بی‌سیم پیاده‌سازی کننده‌ی محدودیت آدرس مـک، کارگزارهـا و پشـته‌هـا را می‌توان به‌عنوان حسگر‌ها در نظر گرفت.

هر حسگر به‌عنوان یک عامل خودمختار اجرا شده در محیط‌های مختلف و با ویژگی‌های ارائه‌شده در در نظـر گرفتـه می‌شود؛ این ویژگی‌ها عبارت‌اند از:

• اجزای پیوسته‌

• تحمل‌پذیری خطا

• مقاومت در برابر انهدام‌

• تحمیل سربار کمینه‌

• قابل پیکربندی و سازگار بودن،

• مقیاس‌پذیر بودن‌

• اجازه به پیکربندی مجدد پویا ازآنجاکه تعداد رخداد‌های بی‌خطر بیش از رخداد‌های مخرب است، حتی نرخ کم مثبت کاذب باعث تولیـد اخطـار اشـتباه‌

می‌شود که مرکز عملیات امنیت توانایی سروکار داشتن با آن را ندارد؛ بنابراین باید نرخ مثبت کاذب بسیار کمی برای قابـل استفاده بودن وجود داشته باشد. رخداد‌های بیشتر ممکن است منجر به آمار کامل‌تری شود، اما نهتای باعث بـی‌معنـی شـدن همبستگی‌ها می‌شود. از همین رو روش‌های تحلیلی باید برای پالایش همبستگی‌های جعلی توانـا باشـد. بـااین‌حـال، بسط‌های غیررسمی هنوز هم برای اهداف همبستگی و همچنین مدیریت حسگر‌های توزیع‌شده موردنیاز است.

۲_رأی‌دهنده‌ها یک نوع خاص از تولیدکنندگان رخداد هستند. عملکرد آن‌ها تولید یک رخداد در زمانی است که یک حالـت‌

خاص بر روی یک سامانه‌ی سوم شخص کشف شود. ساده‌ترین قیاس، سامانه‌های مدیریت شبکه هستند که در این مورد، یک ایستگاه سرشماری وضعیت سامانه‌ها را بررسی می‌کند. اگر یک سامانه ازکارافتاده به نظر برسد، ایسـتگاه سرشـماری یک اخطار برای ایستگاه مدیریت تولید می‌کند.

- جمع‌آوری‌


هدف واحد‌های جمع‌آوری، گردآوری اطلاعات از حسگر‌های مختلف و ترجمه‌ی آن‌هـا بـه یـک قالـب اسـتاندارد اسـت. به‌منظور داشتن یک اساس همگن از پیام‌ها، جمع‌آوری داده‌ها از منابع ناهمگن به راه‌اندازی دو نوع عامل، یعنی توافق‌نامه و برنامه کاربردی نیاز دارد. ابتدا اطلاعات از حسگر‌ها و رأیدهنده‌ها جمع‌آوری می‌شود و سـپس تجزیـه‌ی اطلاعـات بـرای ذخیره در یک قالب استاندارد انجام می‌گیرد.

- پایگاه داده پیام‌

پایگاه داده‌پیام، استانداردترین واحد در یک مرکز عملیات امنیت است. در کنار نگرانی‌هـای سـنتی در مـورد در دسـترس بودن، جامعیت و محرمانگی پایگاه داده، پایگاه داده‌پیام‌عموما با مشکل کارایی روبه‌رو می‌شود، بـه‌صـورتی کـه حسـگر‌ها ممکن است ده‌ها پیام در هر ثانیه تولید کنند. به‌منظور یک واکنش به‌موقع در مقابل تلاش‌های نفوذ، این پیام‌ها باید به‌سرعت ذخیره، پردازش و تحلیل شوند.

- تحلیل رخداد

هر یک از سامانه‌های یک زیرساخت اطلاعاتی، روزانه حجم بسیار زیادی از رخداد‌ها را تولید می‌کند که لزوما تمامی آن‌ها به‌طور مستقیم یا غیرمستقیم مربوط به مسائل امنیتی نمی‌شوند. با افزایش تعداد کارگزارها، خدمات و درنتیجه ترافیک شبکه، بررسی بی‌درنگ رخداد‌های تولیدشده توسط نیروی انسانی غیرممکن می‌شود. تنها راه‌حل پیش رو، انتقال دانش و مهارت‌-های کارشناسان امنیتی خبره به یک برنامه هوشمند است که بتواند با تحلیل گـزارش‌هـا و رخـداد‌های دریـافتی از اجـزای موجود، اقدام به تشخیص حملات و تهدید‌ها و یا خلاصه کردن رخداد‌ها نمایند، همچنین در صورت تشـخیص هـر نـوع حمله احتمالی بتواند نسبت به آن واکنش مناسب نشان دهد. این واکنش بسته به شرایط، ممکن است تغییـر در پیکربنـدی یک دیواره آتش یا مسیریاب، از کار انداختن موقت یک یا چند سامانه و یا سرویس، و یـا ارسـال اعـلان خطـر از طریـق روش‌های ارتباطی تعبیه‌شده در سامانه (مانند پست الکترونیک، پیامک، ارتباط تلفنی، اخطار صوتی و ...) باشد.
این واحد مسئول تحلیل رخداد‌های ذخیره‌شده در پایگاه داده‌پیام است. به‌منظور ارائه‌ی پیام‌هـای هشـدار معتبـر، عملیـات مختلفی در تحلیل رویداد شامل الگوریتم‌های همبستگی و کشف پیام مثبت کاذب انجام می‌گیرد. مشهود اسـت کـه فرآینـد تحلیل به ورودیهایی از یک پایگاه داده نیاز دارد که در آن ویژگی‌های مسیر نفـوذ، وضـعیت سـامانه‌ی محافظـت‌شـده و سیاست امنیت ذخیره‌شده باشد. این موضوع هدف اصلی پایگاه دانش است.

- واکنش و گزارش‌دهی‌

واکنش و گزارش دهی برای واکنش در مقابل رخداد‌های مغایری که مکانی را در داخل سامانه‌های تحـت نظـارت اشـغال کرده‌اند به کار می‌رود که شامل ارگونومی‌های رابط گرافیکی کاربر ۱، استراتژی اجرای سیاست و محـدودیت‌هـای قـانونی می‌شود. این محدودیت‌های فردی، تقریبا تعریف هر چیزی به‌جز اطلاع‌رسانی و بهترین عمل مبتنی بر تجربه‌هـای زنـدگی واقعی در طول زمان را غیرممکن می‌سازد. بااین‌حال، واکنش و گزارش دهی بسیار مهم است، به‌طوریکه یک تلاش بـرای نفوذ ممکن است کاملا تحلیل و تأیید شود، اما اگر واکنش مناسبی با تأخیر مناسب انجام نگیرد، کل عملیاتی که اجرا خواهد شد، بلااستفاده می‌شود.