تارا فایل

تحقیق مرکز عملیات امنیت معرفی مولفه ها و چالش های اصلی آن



فهرست مطالب

فصل اول: معرفی مرکزعملیات امنیت 2
1-1- اهداف مرکزعملیات امنیت 3
1-2- مولفه های مرکز عملیات امنیت 4
1-2-1- نیروی انسانی مرکز عملیات امنیت 4
مسئولیت های اصلی نیروی انسانی مرکز عملیات امنیت 5
نقش های نیروی انسانی در مرکزعملیات امنیت 5
1-2-2- تکنولوژی های مرکزعملیات امنیت 7
سامانه مدیریت امنیت اطلاعات و رویداد 8
اسکنرهای شناسایی آسیب پذیری های شبکه 12
سیستم های تشخیص نفوذ و سیستم های پیشگیری از نفوذ 15
دیواره آتش 20
ابزار تجزیه و تحلیل ترافیک شبکه 24
ابزارهای بسترهای حفاظت نقاط پایانی 25
ابزار تشخیص و پاسخ در نقاط انتهایی 25
ابزار تجزیه و تحلیل رفتارهای کاربران 26
1-2-3- فرآیندهای مرکزعملیات امنیت 27
فصل دوم: چالش های مرکزعملیات امنیت 30
2-1 چالش های مرتبط با پرسنل 31
2-2 چالش های مرتبط با فرآیندها 35
2-3- چالش های مرتبط با تکنولوژی​ 36
منابع 39

مقدمه
در دنیای امروز با افزایش قدرت تهدیدات امنیتی، پیچیدگی حملات و نرخ وقوع آنها، مدیریت حوادث امنیتی روز به روز دشوارتر گردیده است. استفاده از راهکارهای امنیتی مانند استفاده از ضد بدافزارهای معتبر، دیواره آتش و غیره بدون داشتن یک مدیریت مرکزی چندان کارآمد به نظر نمی آید. در صورت مجتمع شدن گزارشات و لاگ های این راهکارهای امنیتی در یک مرکز و تحلیل آنها می توان به تشخیص به موقع تهدیدات امنیتی و ارائه راهکار جهت کاهش تهدیدات در کمترین زمان ممکن امیدوار بود. این مرکز را 1SOC یا همان مرکز عملیات امنیت می نامند.
مرکز عملیات امنیت با استفاده از مجموعه ای از ابزارها، فرآیندها و عوامل انسانی تمامی فعالیت های ورود و خروج اطلاعات در شبکه را زیر نظر گرفته، رخدادهای امنیتی را جمع آوری و تحلیل کرده و مخاطرات امنیتی رخ داده و یا در حال وقوع را کشف نموده و با اعمال سیاست های امنیتی بر روی بخش های مختلف شبکه، اقدامات لازم را انجام می دهد. رصد یکپارچه و جامع امنیتی شبکه، علاوه بر اینکه این امکان را فراهم می سازد تا در مقابل تهدیدات بهترین عکس العمل انجام شود، باعث می شود تا مدیران تحلیل دقیق تری از وضعیت امنیتی شبکه و میزان خطرپدیری آن داشته باشند. این روند نهایتاً منجر به اصالح روش ها، سیاست ها ، راهکارهای امنیتی و همچنین حفاظت از نقص های امنیتی از طریق شناسایی، تجزیه و تحلیل و واکنش به تهدیدات خواهد شد.

فصل اول:
مرکزعملیات امنیت و مولفه های آن

1-1- اهداف مرکزعملیات امنیت
* جمع آوری رخدادها و هشدارها از تجهیزات مختلف شبکه ای و حسگرهای امنیتی
* یکنواخت نمودن قالب تمامی گزارش ها، رخدادها و هشدارها و نرمال سازی
* تحلیل و پایش ۲۴ ساعته رویدادها و حوادث امنیتی
* نگهداری بلند مدت هشدارها و رخدادها با قابلیت بازیابی بلادرنگ آنها
* تشخیص هشدارها و گزارش های غیر مفید و ناصحیح با قابلیت هماهنگی با محیط عملیاتی
* تحلیل و هم بسته سازی بالدرنگ رویدادهای مربوط به حملات مختلف
* کشف علت ریشه وقوع حوادث جهت برخورد اصولی با آنها
* تطبیق رویدادها و حوادث با سیاست های امنیتی سازمان
* تشخیص و اولویت بندی حوادث امنیتی از میان حمالت اینترنتی و رویدادهای شبکه ای داخلی
* ارائه داشبورد پایش بلادرنگ حوادث و رویدادهای امنیتی
* تعیین و پیگیری گردش کار رسیدگی به حادثه از طریق سیستم
* تولید گزارش های آماری مختلف از رویدادها و حوادث جهت آگاهی از وضعیت امنیتی
* به روزرسانی قوانین و روالهای تشخیص، تحلیل و رسیدگی به حادثه به طور پیوسته
* ارائه راهبرد رسیدگی به حادثه
* تشخیص تغییرات وضعیت امنیتی سازمان
* تخصیص صحیح منابع انسانی در رسیدگی به حوادث بر اساس میزان اهمیت حوادث و حساسیت دارایی های سازمان
* برخورد مدیریت شده، یکپارچه و موثر با رویدادهای امنیتی
* افزایش سطح امنیت شبکه بر بستر کسب و کار سازمان در مقابل تهدیدهای احتمالی
* کاهش هزینه های ناشی از حملات امنیتی
* کاهش سطح آسیب پذیری ها و تهدیدات سایبری به کمترین سطح ممکن
* رصد آنی ترافیک شبکه، فایروالها، IDSها، IPSها، کارگزارها، ضدبدافزارها و دیگر اجزای شبکه
* تشخیص آسیب پذیری های تجهیزات شبکه، گزارش نقاط آسیب پذیر قبل از وقوع حادثه امنیتی
* نظم بخشیدن و استانداردسازی فرآیندهای جاری در سطح سازمان با اجرای استانداردISO/IEC27001
* تهیه و ارائه انواع گزارش های امنیتی در سطوح فنی و مدیریت
* و غیره

1-2- مولفه های مرکز عملیات امنیت (SOC)
1-2-1- نیروی انسانی مرکز عملیات امنیت
مرکزعملیات امنیت دارای یک ساختار سازمانی می باشد که به طورکلی هدف آن شناسایی ، تجزیه و تحلیل تهدیدات امنیت سایبری و مقابله با آن ها می باشد.
تصویر فضای مرکزعملیات امنیت

مسئولیت های اصلی نیروی انسانی مرکز عملیات امنیت
* ابزارهای امنیتی را پیاده سازی و مدیریت می کند.
* فعالیت های مشکوک را بررسی ، مهار و درنهایت از وقوع رخداد امنیتی جلوگیری می کند.
* زمان قطعی و خرابی را کاهش میدهند.
* مانیتورینگ 24*7 رخدادهای امنیتی

نقش های نیروی انسانی در مرکزعملیات امنیت
o مدیر مرکزعملیات امنیت
* مدیریت تیم عملیات امنیت
* استخدام نیرو
* پیگیری حقوق و مزایای کارکنان عملیات امنیت
* ارائه گزارش به مدیران سطح بالای سازمان و ارتباط با آنها
* ارزیابی کارکنان عملیات امنیت
* آموزش کارکنان عملیات امنیت
* تهیه و اجرای فرآیند های مرکزعملیات امنیت
* اندازه گیری معیارهای عملکرد مرکز عملیات امنیت
* مدیریت شیفت های کاری کارکنان مرکزعملیات امنیت

o تیم معمار امنیت
این گروه وظیفه تهیه ابزار مورد نیز مرکزعملیات امنیت و نحوه استقرار آن ها را برعهده دارند و همچنین می بایست رویه ها ، الزامات و سیاست های امنیتی را مستند نمایند.

o تیم تحلیلگران
اولین گروهی که وظیفه تشخیص تهدید، بررسی تهدید و پاسخ به موقع در برابر تهدید را برعهده دارند گروه تحلیگران امنیتی می باشند که در 3 سطح دسته بندی می شوند:
● تحلیلگر سطح یک:
* به صورت مستمر بر ابزارهای های امنیتی را نظارت می کند.
* ابزاری های امنیتی را پیکربندی می کند.
* هشدارهای امنیتی دریافت شده از ابزارهای نظارتی از جمله SIEM را بررسی و تحلیل و تریاژ می کند.
* جهت بررسی دقیق تر حملات و حوادث، آنها را در قالب گزارش برای تحلیگر سطح دو ارسال می کند.

● تحلیلگران سطح دو
* حوادث شناسایی شده توسط تحلیلگر سطح یک را ارزیابی میکند.
* فرآیندهای درحال اجرا برروی سیستم های آسیب دیده شده تجزیه تحلیل و در صورت هرگونه نقص در فرآیند و ابزار، سیاست های امنیتی ، آن را به معمار امنیت اعلام تا نسبت به اصلاح آن اقدام گردد.
* جهت شناسایی حمله کننده، نوع حمله، داده ها یا سیستم هایی که تحت تاثیر قرار گرفته اند، تجزیه و تحلیل دقیق تری انجام میدهد.
* تهدیدات امنیتی را شناسایی و به جهت مهار آن پاسخ مناسب ارائه می کند.
* در خصوص مهار و پاسخ به رخدادهای جدی گزارشات خود را به تحلیلگر سطح سه ارسال نمی نماید.
● تحلیلگران سطح سه
* به صورت روزانه ارزیابی آسیب پذیری و تست نفوذ انجام میدهد.
* آسیب پذیری ها و شکاف های پنهان را کشف و مرتفع می سازد.
* در زمان رخداد امنیتی جدی، در پاسخ و مهار آن به تحلیلگر سطح دو کمک می کند.

o تیم جرم شناسی
در طول تجزیه و تحلیل رخدادها، این متخصصان داده ها را جمع آوری و شواهد را حفظ می کنند تا نهایتا در اثبات جرم شناسی استفاده گردد.

1-2-2- تکنولوژی های مرکزعملیات امنیت
* سامانه مدیریت امنیت اطلاعات و رخدادها 2 (SIEM)
* اسکنرهای شناسایی آسیب پذیری
* سیستم های تشخیص نفوذ3 (IDS)و سیستم های پیشگیری از نفوذ4 (IPS)
* دیواره آتش5
* ابزار تجزیه و تحلیل ترافیک شبکه6 (NTA)
* ابزار تشخیص و پاسخ در نقاط انتهایی7 (EDR)
* ابزار تجزیه و تحلیل رفتارهای کاربران8 (UEBA)
* ابزارهای بسترهای حفاظت نقاط پایانی EPP9

o سامانه مدیریت امنیت اطلاعات و رویداد(SIEM)
سامانه SIEM یکی از ابزارهای اصلی مرکزعملیات امنیت در بخش تکنولوژی می باشد که توانایی جمع آوری، آنالیز و گزارش گیری اطلاعات رویدادهای تجهیزات امنیتی، سرورها، نرم افزار ها و غیره را به صورت متمرکز دارد که به چهار زیرسیستم اصلی تقسیم می گردد:
* سیستم مدیریت رویدادها
* سیستم مدیریت اطلاعات امنیتی
* سیستم همبستگی بین رخدادها
* سیستم گزارش دهی

شمایی از اجزای SIEM
شمایی از اجزای SIEM

کاربردهای سامانه مدیریت امنیت SIEM
* جمع آوری اطلاعات
کلیه رویدادهای تولید شده توسط سرورها، پایگاه های داده، نرم افزارها، تجهیزات امنیتی ازقبیل فایروال ها، آنتی ویروس ها، سیستم های تشخیص و پیشگیری از نفوذ، اسکنرهای امنیتی و غیره را جمع آوری می کند.

جدول رویدادهای مورد نیاز SIEM
* تجزیه و تحلیل رویدادها
از مدل های آماری و یادگیری ماشینی برای شناسایی روابط عمیق تر میان ماهیت داده ها و نابهنجاری ها در قیاس با الگوهای شناخته شده و ارتباط دادن آن به مسائل امنیتی، استفاده می کند.

* هشدار دادن
سامانه SIEM رویدادها را تجزیه و تحلیل می کند و موارد امنیتی را از طریق ایمیل، پیام رسان ها یا داشبوردهای امنیتی را به تحلیلگران امنیت اعلام میکند.

* داشبوردها و مصور سازی
با فراهم کردن امکان مصورسازی به تحلیلگران امنیتی این امکان را می دهد که الگوها را ببینند و فعالیت هایی را که با الگوهای استاندارد و نرمال مطابقت ندارند، شناسایی کنند.

* تطبیق پذیری
فرآیند جمع آوری داده های مربوط به تطبیق پذیری از استانداردها را خودکارسازی کرده و گزارش های مطابق با پروسه های امنیت، کنترل و ممیزی کردن استانداردها و قوانین امنیتی به عنوان مثال مقررات عمومی حمایت از اطلاعات GPDR

* جستجو کردن
به تحلیلگران این امکان را می دهد تا پرس و جوهایی را برروی داده های SIEM اجرا کنند، داده ها را فیلتر ، تهدیدات و آسیب پذیری ها را کشف نمایند.

* حفظ و نگهداری
داده های به دست آمده از رویدادها را به مدت طولانی جهت ردیابی و تحقیقات جرم شناسی نگهداری می نماید.

* همبستگی
رویدادها و داده های مرتبط را به صورت مجموعه ای معنادار که نشان دهنده ی یک حادثه ی امنیتی واقعی، تهدید، آسیب پذیری می باشد ارائه می دهد.

نام برخی از محصولات موجود در زمینه SIEM
● QRadar SIEM
● LogRhythm NextGen SIEM Platform
● ArcSight Enterprise Security Manager (ESM)
● McAfee Enterprise Security Manager
● LogPoint – SIEM
● Exabeam Security Management Platform
● Splunk Enterprise
● ManageEngine EventLog Analyzer
● AlienVault Unified Security Management (USM)

o اسکنرهای شناسایی آسیب پذیری ها شبکه
اسکنر آسیب پذیری یک نرم افزار برای تشخیص آسیب ها و حفره های امنیتی شبکه، سیستم عامل و وب سایت ها است. نحوه عملکرد نرم افزارهای اسکنر آسیب پذیری به شکلی است که با استفاده از یک دیتابیس عظیم از انواع کدهای مخرب که قبلا شناسایی شده اند به تست و چک کردن می پردازد و در صورت وجود حفره-های امنیتی آن ها را نشان می دهد. پس از اسکن این نرم افزارها در صورت وجود حفره امنیتی، نام حفره و در برخی مواقع نحوه رفع آن را نیز نشان خواهد داد. اسکن کردن نقاط آسیب پذیری با اهداف متفاوتی مانند حمله به یک شبکه و یا وب سایت، ایجاد امنیت و پوشش نقاط ضعف امنیتی دنبال می شود. اسکنر آسیب پذیری یک برنامه کامپیوتری است که به منظور دسترسی به ضعف های برنامه های کاربردی شبکه ها و سیستم های کامپیوتری طراحی شده است. امروزه انواع مختلفی از اسکنرهای آسیب پذیری وجود دارد که با توجه به اهداف ویژه ای که آن ها بر آن تمرکز دارند، از یکدیگر متمایز می شوند. در حالی که عملکردها بین انواع مختلف اسکنرهای آسیب پذیری، تفاوت ایجاد می کند اما همه آن ها در یک هدف اصلی با هم مشترک هستند (برشمردن آسیب های موجود در یک یا چند هدف). درنهایت اطلاعات به دست آمده از این اسکنرهای امنیت به سامانه SIEM ارسال می گردد.

انواع اسکنرهای شناسایی آسیب پذیری
* اسکنر پورت
* اسکنرشناسایی آسیب پذیری های شبکه
* اسکنرشناسایی آسیب پذیری های سیستم عامل
* اسکنرشناسایی آسیب پذیری های نرم افزار های مستقر در سیستم عامل
* اسکنرشناسایی آسیب پذیری های دیتابیس ها
* اسکنرشناسایی آسیب پذیری های وب سایت
* اسکنرشناسایی آلودگی و بدافزار های درون شبکه و سیستم عامل
* و غیره

معرفی برخی از نرم افزار های اسکنر شناسایی آسیب پذیری
* نرم افزار NMAP
یک ابزار اسکنر است که در دسته اسکنر پورت قرار دارد و برای اسکن پورت ها در یک شبکه و یا سرور کاربرد دارد، این ابزار قابل استفاده در تمامی سیستم عامل های خانواده لینوکس و ویندوز است که بر پایه زبان C , ++C , Python , Lua نوشته شده است. از قابلیت های بسیار مهم این نرم افزار می توان به شناسایی نوع سیستم عامل مقصد و اسکن تمام پورت ها سیستم مقصد اشاره کرد.

* نرم افزار Nessus
یک نرم افزار معروف و بسیار قدرتمند در زمینه شناسایی حفره ها و آسیب پذیری ها با ویژگی های کاربردی ذیل می باشد:
* تشخیص بات ها و تروجن ها
* پشتیبانی از پلتفرم های مختلف
* کشف آسیب پذیری ها در حالت Passive
* قابلیت اجرای چند اسکن به صورت همزمان
* دارای ابزار مقایسه نتایج اسکن
* سرعت اسکن و پویش بالا
* ارزیابی وضعیت آسیب پذیری ها
* کارکرد با انواع تجهیزات کامپیوتری
* تشخیص ضعف های امنیتی در شبکه Local و Remote
* تشخیص عدم نصب بروزرسانی های جدید در سیستم
* شبیه سازی حملات مختلف با شرایط مختلف
* و ده ها امکانات جدید در نسخه حرفه ای
* نرم افزار OpenVAS
OpenVAS مخفف Open Vulnerability Assessment System است که یک اسکنر آسیب پذیری و البته یک ارزیاب امنیتی بسیار خوب به حساب می آید و تحت لیسانس GNU//GPL ارائه می شود. این ابزار را شما می توانید در قالب ماشین مجازی یا کد کامپایل نشده یا حتی بر روی سیستم عامل لینوکس بصورت مستقیم نصب کنید و از تمامی امکانات ( تقریبا ) یک Nessus بصورت رایگان استفاده کنید.
* نرم افزار Acunetix
این ابزار یکی از نرم افزارهای بسیار قدرتمند است که با استفاده از ابزارهای پیشرفته پویشگری و ارزیابی خود به بررسی و ممیزی وب سایت پرداخته تا نقاط ضعف آن را نمایش دهد.این نرم افزار با استفاده از برقراری ارتباط از طریق رابط کاربر نهایی با برنامه ی وب، آسیب پذیری های ساختاری آن را شناسایی میکند و از ویژگی های اسکنر آن می توان به موارد ذیل اشاره نمود.
* تکنولوژی AcuSensor
* اسکنر تمام اتوماتیک برای تست وبسایت های Ajax و Web 2.0 applications
* قابلیت اسکن قدرتمند وبسایت ها برای یافتن باگ های SQL injection و Cross site scripting
* ابزارهای تست penetration قدرتمند مانند HTTP Editor و the HTTP Fuzzer
* پشتیبانی از صفحات دارای CAPTHCA و نیازمند پسورد.
* دارای فاکتور های گزارش دهنده بسیار زیاد نظیر VISA PCI
* قابلیت اسکن هزاران صفحه به طور همزان و پر سرعت.
* دارای خزنده هوشمند با قابلیت پیدا کردن نوع وب سرور و اسکریپت.
* قابلیت اسکن سایت هایی با محتوای flash , SOAP و AJAX
* اسکن پورت سرور و یافتن مشکلات امنیتی سروری که سایت روی آن میزبانی میشود.
* توضیحات درباره آسیب پذیری هایی که در وب سایت یا سرور شما پیدا کرده است و روش رفع آن.

o سیستم های تشخیص نفوذ (IDS)و سیستم های پیشگیری از نفوذ (IPS)
* سیستم های تشخیص نفوذ (IDS)
سیستمی است که به منظور کشف فعالیت های مشکوک، بر ترافیک شبکه نظارت کرده و آن ها را تجزیه و تحلیل می کند.سیستم های تشخیص نفوذ، برای تشخیص ناهنجاری ها و ترافیک های مشکوک و با هدف به دام انداختن هکرها، قبل از آسیب واقعی در یک شبکه، استفاده می شوند. سیستم های IDS می توانند بر دو نوع مبتنی بر شبکه و یا مبتنی بر هاست باشند. یک سیستم تشخیص نفوذ مبتنی بر میزبان بر روی رایانه کلاینت نصب می شود، در حالی که یک سیستم تشخیص نفوذ مبتنی بر شبکه، در شبکه مستقر است. سیستم های تشخیص نفوذ با جستجوی امضاهای حملات شناخته شده یا انحراف از فعالیت عادی کار می کنند. از قابلیت های این سیستم به می توان به موارد ذیل اشاره نمود:
* نظارت بر عملکرد روترها، فایروال ها، سرورهای مدیریت کلیدی و فایل های مورد نیاز سایر کنترل های امنیتی با هدف شناسایی، جلوگیری یا بازیابی از حملات سایبری.
* ارائه روش هایی به مدیران سیستم ها به منظور تنظیم، سازماندهی و درک مسیرهای مربوط به حسابرسی سیستم عامل و سایر گزارش هایی که ردیابی یا تجزیه آن دشوار است.
* ارائه یک رابط کاربر پسند به طوری که کارمندان غیرمتخصص بتوانند در مدیریت امنیت سیستم کمک کنند.
* تشخیص و گزارش، هنگامی که IDS تشخیص داده است که فایل های اطلاعات تغییر یافته پیدا کرده اند.
* ایجاد سیستم هشداردهی در هنگام نقض امنیت اطلاعات.

* انواع سیستم های تشخیص نفوذ
* سیستم تشخیص نفوذ شبکه10 NIDS
در یک نقطه استراتژیک یا نقاطی در داخل شبکه مستقر می شود، جایی که می تواند ترافیک ورودی و خروجی از طریق همه دستگاه های شبکه را کنترل کند.

* سیستم تشخیص نفوذ میزبان HIDS11
در کلیه رایانه ها یا دستگاه های موجود در شبکه با دسترسی مستقیم به اینترنت و شبکه داخلی شرکت، اجرا می شود.
* سیستم تشخیص نفوذ مبتنی بر امضاء12 SIDS
تمام بسته های موجود در شبکه را رصد می کند و آن ها را در برابر پایگاه داده ای از امضاهای حملات یا ویژگی های تهدیدهای مخرب شناخته شده، دقیقاً مانند نرم افزار آنتی ویروس، مقایسه می کند.
* سیستم تشخیص نفوذ مبتنی بر ناهنجاری یا رفتار غیرعادی13 AIDS
بر ترافیک شبکه نظارت می کند و آن را در برابر یک رول که از قبل برای آن نوشته شده است؛ برای شبکه با توجه به پهنای باند، پروتکل ها، پورت ها و سایر دستگاه ها مقایسه می کند. این نوع غالباً از یادگیری ماشین برای ایجاد یک baseline و سیاست امنیتی همراه استفاده می کند.

شکل معماری استقرار IDS در شبکه

* سیستم های پیشگیری از نفوذ (IPS)
سیستم جلوگیری از نفوذ (IPS) یک وسیله امنیتی است که بر فعالیت های یک شبکه و یا یک سیستم نظارت کرده تا رفتار های ناخواسته یا مخرب را شناسایی کند. در صورت شناسایی این رفتارها، بلافاصله عکس العمل نشان داده و از ادامه فعالیت آن ها جلوگیری می کند. سیستم های جلوگیری از نفوذ به دو دسته مبتنی بر میزبان و مبتنی بر شبکه تقسیم می شوند. یک سیستم جلوگیری از نفوذ مبتنی بر شبکه بر همه ی ترافیک شبکه نظارت کرده تا حملات یا کدهای مخرب را شناسایی کند. در صورت تشخیص یک حمله، بسته های مورد استفاده در آن حمله را دور ریخته و به سایر بسته ها اجازه عبور می دهد. سیستم جلوگیری از نفوذ به عنوان گسترشی از سیستم تشخیص نفوذ(IDS) درنظر گرفته می شود.

انواع سیستم های پیشگیری از نفوذ
* سیستم پیشگیری از نفوذ شبکه14NIPS
* سیستم پیشگیری از نفوذ میزبان15HIPS
* سیستم پیشگیری از نفوذ بر مبنای رفتار غیرعادی16NBAIPS

شکل معماری استقرار IPS

معرفی ابزارهای IPS, IDS
* نرم افزار Snort
اسنورت یک سیستم جلوگیری از نفوذ مبتنی بر شبکه رایگان و متن باز است که توسط سیستم های سیسکو نگهداری می شود. اسنورت شناخته شده ترین ابزار در بازار متن باز در این حوزه است که بر روی سیستم عامل های مختلف از جمله ویندوز و لینوکس اجرا می شود و قادر به تجزیه و تحلیل ترافیک شبکه در زمان واقعی است.

* نرم افزار Suricata
Suricata یکی دیگر از سیستم های جلوگیری از نفوذ مبتنی بر شبکه است که بصورت رایگان و متن باز می باشد. همانطور که اسناد رسمی این نرم افزار نشان می دهد، Suricata علاوه بر ویژگی هایی برای نظارت بر امنیت شبکه، قابلیت شناسایی و جلوگیری از نفوذ در زمان واقعی را نیز فراهم می کند. بنابراین، Suricata می تواند به عنوان یک اکوسیستم کامل نظارت بر شبکه عمل کند. همچنین با ساختار داده Snort سازگار است.

* نرم افزار Zeekk
این ابزار نیز متن باز و رایگان بوده و به منظور نظارت بر امنیت شبکه طراحی و منتشر شده است. این نرم افزار نیز مبتنی بر شبکه است که امکان نظارت بر عملکردهای دیگر شبکه را نیز فراهم می کند. Zeek می تواند روی یونیکس، لینوکس و Mac OS اجرا شود و دو عمل را دنبال می کند. ابتدا ترافیک ورودی به سیستم توسط یک موتور رویداد و پس از آن آنالیز انجام می شود.

* نرم افزار OpenWIPS-ng
OpenWIPS-ng یک NIDS متن باز اختصاص داده شده به شبکه های بی سیم است.

o دیواره آتش( فایروال)
فایروال سیستمی است که شبکه و یا کامپیوتر شخصی شما را در مقابل نفوذ مهاجمین، دسترسی های غیرمجاز، ترافیک های مخرب و حملات هکرها محافظت کند. فایروال هم ترافیک ورودی به شبکه و هم ترافیک خروجی از آن را کنترل و مدیریت کرده و با توجه به قوانینی که در آنها تعریف می شود به شخص یا کاربر خاصی اجازه ورود و دسترسی به یک سیستم خاص را می دهد.

* انواع فایروال
* فایروال پالایش کننده بسته ارتباطی(Packet Filtering)
فایروالهای Packet Filtering در نقاط اتصالی که در آن دستگاه هایی مانند روترها و سوییچ ها کار خود را انجام می دهند، کار می کنند. با این حال، این نوع فایروالها، بسته ها را هدایت نکرده، بلکه هر بسته دریافت شده را با مجموعه ای از معیارهای مشخص شده مانند آدرس های IP مجاز، نوع بسته، شماره پورت و دیگر جنبه های هدرهای پروتکل بسته ، مقایسه می کنند. بسته هایی که دردسرزا شناخته می شوند، بدون هیچ ملاحظه ای حذف شده و هدایت نمی شوند و بدین ترتیب از بین می روند.

* فایروال سطح جریان (Circuit-Level Gateway)
با استفاده از روش نسبتا سریع دیگری برای شناسایی محتوای مخرب، فایروال های Circuit-level Gateway ، Handshakeهای TCP و پیام های آغازین در سراسر شبکه را در هنگام برقراری ارتباط میان هاست های محلی و Remote، برای تعیین اینکه آیا Session شروع شده، مجاز است یا خیر، تحت نظر می گیرند. با این حال، این نوع فایروال داخل بسته ها را بازرسی نمی کنند.

* فایروال در سطح نرم افزار Application- Level (پراکسی فایروال)
این فایروال های پایش خود را در لایه 7 پروتکل OSI و لایه 5 پروتکل TCP/IP یعنی سطح نرم افزار انجام میدهد. در واقع این فایروال ها به مانند پروکسی عمل می کنند. این فایروال ها ترکیبی از ویژگی های فایروال های Packet Filtering با Circuit-Level gateways را دارا می باشد. نه تنها با توجه به سرویسی که بروی پورت در نظر گرفته شده است بلکه ویژگی های خاص دیگر به مانند رشته درخواست HTTP فیلترینگ انجام می دهد.

* فایروال نظارت بر وضعیت Stateful Inspection
اگر ویژگی های های های فایروال های Application Level gateway و Circuit Level Gatewaysو Packet Filtering را با هم ترکیب کنیم، به فایروال نوع Stateful Inspection می رسیم. در اینجا ما از سه سطح امنیتی در فایروال ها بهره می بریم. در اینجا رصد و پایش در لایه 3 و لایه IP انجام می شود. هر سیشن (Session) جدید هم در زمانی مجاز به شروع است که تمامی قوانین و مقررات را طی کرده باشد و محتوای آن ها در لایه application ارزیابی شده باشد.

تصویر محل استقرار فایروال ها در شبکه

* مواردی که باید در انتخاب فایروال در نظر گرفته شود:
* اهداف فنی فایروال چه هستند و آیا یک محصول ساده تر به جای یک فایروال با ویژگی ها و قابلیت های بیشتر، که ممکن است ضروری نباشد، عملکرد بهتری نخواهد داشت ؟
* چگونه فایروال را با معماری سازمان ها تطبیق می دهند؟ این به معنی در نظر گرفتن این است که آیا فایروال برای محافظت از یک سرویس با قابلیت دید پایین در اینترنت یا یک برنامه وب در نظر گرفته شده است یا خیر.
* دانستن این که چه نوع بازرسی امنیتی بر روی ترافیک لازم است. برخی از برنامه های کاربردی ممکن است نیاز به نظارت بر محتوای همه بسته ها ها داشته باشند،

نام برخی از محصولات فایروال ها
● Fortigate
● Fortiweb
● Cisco ASA
● Juniper
● Pfsense
● Cyberroom
● Kerio
● Modsecurity
● Cisco Firepower NGFW Firewall
● Sophos XG Firewall

o ابزار تجزیه و تحلیل ترافیک شبکه17 (NTA)
در مرکزعملیات امنیت به کمک ابزارهای تجزیه و تحلیل ترافیک شبکه میتوان ترافیک های غیرعادی و برخی از حملات شبکه را تشخیص داد.
● Datadog
● IBM Security QRadar
● InsightIDR
● Vectra AI
● Symantec Network Forensics & Security Analytics
● FireEye Network Security and Forensics
● NetFlow Analyzer

o ابزارهای بسترهای حفاظت نقاط پایانی EPP18
یک پلتفرم حفاظت از نقاط پایانی شبکه است که راه حل یکپارچه امنیتی برای شناسایی و بلاک کردن تهدیدات در سطح دستگاه ها می باشد. معمولا شامل آنتی ویروس، ضد تروجان، رمزنگاری دیتا، فایروال، سیستم پیشگیری از نفوذ(IPS) و جلوگیری از نشت اطلاعات( DLP) است.
نام برخی از ابزارهای EPP
● Kaspersky Lab Product
● McAfee Endpoint Protection Advanced Suite (Legacy)
● Windows Defender ATP
● SentinelOne Endpoint Protection Platform
● Symantec Endpoint Protection
● Trend Micro OfficeScan
o ابزار تشخیص و پاسخ در نقاط انتهایی19 (EDR)
یک پلتفرم و سیستم امنیتی شناسایی و پاسخ در نقاط انتهایی شبکه است که المان های آنتی ویروس های نسل بعدی با ابزار های بیشتری مثل تشخیص و اعلان هشدار ناهنجاری های سیستمی به صورت Real Time را دارد و قابلیت تجزیه و تحلیل جرائم (Forensic Analysis) و قابلیت اصلاح Endpoint را با هم ترکیب می کند. EDR حملاتی را که شناسایی می کند که EPP نمی تواند آن را شناسایی و تشخیص دهد. با ثبت کردن وقایع هر گونه اجرا و تغییر فایل، تغییر در ریجستری، اتصال به شبکه و اجرای فایل های باینری در Endpoint سازمان ها، قابلیت شناسایی تهدیدات در EDR به مراتب بهتر از EPP می شود.
نام برخی از ابزاهای EDR
● CrowdStrike Falcon
● Carbon Black
● FireEye Endpoint Security (HX)
● RSA Netwitness Endpoint
● Endgame
● Kaspersky EDR Optimum

o ابزار تجزیه و تحلیل رفتارهای کاربران20 (UEBA)
تجزیه و تحلیل رفتار کاربران و موجودیت ها" (UEBA) یک راه کار امنیت سایبری است که به رفتار عادی کاربران توجه داشته و به شناسایی رفتارهای غیرعادی که دارای انحراف از الگوهای طبیعی هستند، می پردازد. راه کارهای UEBA قادر به تشخیص این ناهنجاری بوده و بلافاصله اعلام هشدار می کنند. راه کارهای UEBA تمام داده های منابع مختلف را به منظور تجزیه و تحلیل و ترکیب خودکار نتایج با یکدیگر به کار می گیرند و با استفاده از ابزارهایی مانند یادگیری ماشین، هوش مصنوعی، تجزیه و تحلیل های پیشرفته، غنی سازی داده ها و علوم داده، رویکردی متفاوت برای مقابله ی موثر با تهدیدات پیشرفته اتخاذ می کنند. به دنبال استفاده از این راه کارها، تحلیل گران به جای غرق شدن در انبوهی از هشدارها، حجمی کمتر اما دقیق تر از هشدارها را دریافت می کنند.

نام برخی از ابزارهای UBEA
● LogRhythm UserXDR
● QRadar User Behavior Analytics
● Exabeam Advanced Analytics
● Splunk UBA
● Securonix User and Entity Behavior Analytics (UEBA)

1-2-3- فرآیندهای مرکزعملیات امنیت
در هر مرکز عملیات امنیت به منظور تشخیص و پاسخگویی به رخدادهای امنیتی در زمان مناسب و کمک به حفظ امیت سایبری نیاز است فرآیند ها و رویه هایی در قالب وظایف و به تقسیم بندی ذیل فراهم گردد.

* ایجاد آگاهی از دارایی ها
از ابتدای کار، مرکز عملیات امنیت باید با ابزارها وفناوری های موجود و همچنین سخت افزارها و نرم افزارهایی که در شبکه کار می کنند، مهارت و شناخت کافی داشته باشند، آگاهی بالا نسبت به تجهیزات و سامانه ها می تواند تا حد قابل توجهی به تشخیص تهدیدات در حال توسعه کمک کند.
* نظارت پیشگیرانه
به جای تمرکز بر اقدامات واکنشی در صورت بروز بی نظمی و ناهنجاری های سیستمی، مرکزعملیات امنیت قبل از اینکه سیستمی منجر به آسیب های اساسی شود، اقدامات عمدی برای کشف فعالیت های مخرب انجام می دهد.

* مدیریت گزارش ها و پاسخ ها
در صورت مشاده نقض در عملکرد کار مرکزعملیات امنیت ، ضروری است که گام های کاری بازبینی گردد تا مشکلات کشف و مرتفع گردد. بنابراین با مدیریت دقیق گزارش ها، پاسخ ها و فعالیت های کاری می توان اقدامات کاهشی در زمینه اشتباهات غیرعمدی انجام داد.

* رتبه بندی هشدارها
هنگامی گه یک بی نظمی و ناهنجاری مشاهده می شود، یکی از وظایفی که مرکزعملیات امنیت انجام می دهد رتبه بندی شدن حوادث و رخدادهاست، هرچه نفوذ تهاجمی تر باشد یا هرچه نزدیک تر به آسیب پذیری باقوه هدف باشد، فورا SOC برای رفع تهدید اقدام خواهد کرد.

* تنظیمات دفاعی
مدیریت آسیب پذیری و افزایش آگاهی از تهدیدات، بخش های اساسی جلوگیری از نقض امنیت است. این شامل نظارت مداوم در محیط و عملیات داخلی سازمان است. زیرا گاهی اوقات نقض هایی از درون سازمان صورت می گیرد و یا راه نفوذ از شبکه بیرون را مهیا می شود.

* ارتقاء سطح آگاهی های امنیتی
با توجه به پیشرفت روزافزون تکنولوژی ها و به روزشدن حملات ، پرسنل امنیت و سازمان باید طبق برنامه ای مدون آموزش های لازم امنیتی را دریافت نمایند.

* بررسی انطباق
در عصر فناوری داده ها، حفظ و نگهداری مقررات اساسی امنیت اطلاعات بسیار مهم هستند به طوری که انطباق سازمان با استانداردهای امنیتی منجر به افزایش سطح امنیت سایبری خواهد شد. مرکزعملیات امنیت برای رعایت هرگونه اقدامات اجباری در این راستا به طور روزانه تلاش می کندو این منجر می شود که یک گام جلوتر برای جلوگیری از صدمه زدن به سازمان باشد.
* پاسخگویی در زمان رخداد:
شش مرحله از چرخه پاسخ به حادثه:
1. آماده سازی: در این مرحله سازمانها سیاست ، برنامه پاسخ به حملات امنیتی، ارتباطات ، اسناد و مدارک ، تیم ، ابزارهای کنترل دسترسی و آموزش را تنظیم می کنند.
2. شناسایی: این مرحله شامل شناسایی فعالیت غیرمعمول و تعیین اینکه آیا حادثه امنیتی صورت گرفته است یا خیر را مشخص میکنند .
3. مهار: پس از تشخیص اینکه حادثه ای رخ داده است ، قدم بعدی شما باید برای جلوگیری از هرگونه صدمه احتمالی باشد.
4. قلع و قمع: در مرحله بعد ، شما باید هر کد مخرب را حذف کرده و هرگونه آسیب وارده به سیستم ها و شبکه های خود را تعمیر کنید. و کلیه آثار به جا مانده از حمله را پاکسازی کنید .
5. بهبود: پس از رفع مشکل ، سازمان ها باید سیستم های آسیب دیده را به آرامی و با دقت به اینترنت برگردانند ، و اقدامات لازم را برای اطمینان از این که این حادثه بلافاصله مجدداً رخ نخواهد داد ، انجام دهند.
6. بکار گیری آموخته ها : بعد از اینکه سیستم ها دوباره به طور عادی کار می کنند ، تیم باید حادثه را مستند کند و به دنبال راه هایی برای امنیت بیشتر سیستم ها در برابر حملات مشابه باشد.

فصل دوم:
چالش های مرکزعملیات امنیت

چالش های مرکز عملیات امنیت
هر SOC به طور طبیعی با چالش های مختلفی بسته به مدل عملیاتی، معماری، دامنه یا اندازه خود مواجه است. با این حال، ما چندین چالش قابل اعمال برای اکثر SOCs را استنتاج می کنیم. شکل ذیل خلاصه ای از این چالش ها را ارائه می دهد و برخی وابستگی های مربوطه بین آن ها را برجسته می کند.

چالش های مرکز عملیات امنیت

2-1چالش های مرتبط با پرسنل
o وضعیت یکنواخت و تکراری و غیرهیجانی
همانطور که قبلا ذکر شد، هر ثانیه تعداد زیادی هشدار به SOC ارسال می شود. اگرچه ابزارها در تلاش برای نشان دادن تنها هشدارهای مثبت واقعی هستند، اما تعداد تشخیص های مثبت کاذب هنوز هم بسیار بالا است. هر هشدار ورودی باید به صورت دستی توسط یک تحلیلگر، بیشتر اوقات در سطح ردیف ۱ بررسی شود. تحلیلگران باید این هشدار را باز کنند و تعیین کنند که آیا این یک مثبت کاذب است یا خیر. گاهی اوقات چند ثانیه طول می کشد تا تصمیم بگیرید، گاهی اوقات چند دقیقه یا حتی چند ساعت طول می کشد. انجام این کار بارها و بارها بسیار تکراری و یکنواخت است، علاوه بر این، این کار به دلیل حجم زیاد داده ها، برای توانایی تحلیلگران امنیتی در پردازش اطلاعات و استدلال تحلیلی بسیار دشوار است .با وجود انجام یک کار بسیار یکنواخت، تحلیلگران تحت فشار بالا کار می کنند و مسئولیت بالایی دارند. هر گونه تصمیم نادرست می تواند منجر به عواقب غیرقابل پیش بینی برای شرکت در صورت بروز حادثه شود. این مساله، همراه با فشار زمانی مواجه با رخداد در یک مرکزعملیات امنیت و فقدان خلاقیت مورد نیاز برای حل مشکلات باعث خستگی تحلیلگر می شود، که در نهایت می تواند منجر به فرسودگی شود. علاوه بر این، ماهیت غیر چالش برانگیز وظایف و این حقیقت که اکثر تحلیلگران نیاز به پیروی از روش های از پیش تعریف شده در تمام زمان دارند، توانایی آن ها برای واکنش به تهدیدهای جدید و نوآورانه در آینده را محدود می کند.یکی اقدامات هیجان انگیز برای حفظ انگیزه تحلیلگران SOC ممکن است گنجاندن جنبه های بازی در عملیات SOC باشد. هنگامی که وظایف برای کارمندان SOC بیش از حد دنیوی و خسته کننده می شوند، حفظ کارکنان ماهر دشوار است. این امر چالش بعدی در زمینه افراد درون SOC ها را تقویت می کند. ​

o فقدان کارکنان ماهر و نگهداری دشوار آنها
یک چالش بسیار جدی که شرکت ها با آن مواجه خواهند شد فقدان پرسنل امنیتی ماهر است.. شرکت ها باید منابع زیادی را صرف آموزش کارکنان جدید کنند، مگر اینکه بخواهند منابع خود را صرف حفظ کارکنان کنند. ما برخی از گزینه ها را شناسایی کردیم تا کارکنانی مانند آموزشی یا کارکنان ماهر را حفظ کنیم با این حال، فقدان آموزش امنیت شغلی همچنان مشهود است. تجربه عملی برای انجام تریاژ داده ها مورد نیاز است، اما به دست آوردن آموزش عملی و تجربه در وهله اول دشوار به نظر می رسد . تحلیلگران ردیف ۱ همیشه قادر به انجام وظایف چالش برانگیز تر برای بهبود دانش و تجربه خود نیستند. فقدان بازخورد از سوی تحلیلگران ارشد این چالش را تشدید می کند و می تواند باعث ناامیدی شود. برخی از راه حل های تکنولوژیکی، سعی کرده اند​ فعالیت ها را از کارکنان با تجربه اخذ و به افراد جوان تر بسپارند تا تجربه آنها بالا رود تا این مشکلات مهارتی کارمندان تا حدی رفع شود، با این حال، به دست آوردن دانش ضمنی درگیر در تصمیم گیری یک کار چالش برانگیز است. علی رغم این واقعیت، برخی از رویکردها، به خصوص از رابط انسان – کامپیوتر (‏HCI)‏و جوامع مربوطه، مدتی است در تلاش برای به دست آوردن استدلال پشت تصمیمات تحلیلی هستند و این جنبه ها می توانند به بهبود شرایط کاری مراکزعملیات امنیت کمک کنند. ​

o همکاری کارشناسان ماهر
همکاری بین تحلیلگران هنوز نادر است و تحلیلگران معمولا به طور مستقل بر روی یک مشکل کار می کنند این چالش ممکن است ناشی از فشار زمانی باشد که کارکنان با آن مواجه هستند یا فقدان پلت فرم های هم کاری مناسب. همین امر در مورد ارتباط نیز صدق می کند که اغلب به طور مستقیم بین تحلیلگران انجام می شود. این نوع ارتباط ضروری است اما همچنین وقت گیر و ناکارآمد است . یک بار دیگر، عدم وجود یک پلت فرم ارتباطی مناسب برای نیازهای خاص مرکزعملیات امنیت تعاملات کلی کارکنان را کاهش می دهد. تنها با ابزارهای مناسب برای همکاری و ارتباط تحلیلگران مرکزعملیات امنیت از هر ردیف می توانند از یکدیگر یاد بگیرند و در نتیجه کارایی و انگیزه خود را بهبود بخشند. ​

o یکپارچگی دانش و ارتقا دامنه دانش کارشناسان امنیتی
شناسایی تهدیدها و حوادث با رشد زیرساخت های فن آوری اطلاعات و گسترش از فضای مجازی به دنیای فیزیکی، برای مثال از طریق استفاده از سیستم های فیزیکی سایبری، به طور فزاینده ای سخت تر می شود . ابزارهای تشخیص تهدید خودکار کنونی برای شناسایی حملات شناخته شده بسیار خوب عمل می کنند، زیرا آن ها براساس امضاها و الگوهای حمله عمل می کنند ، بنابراین، تنها در شرایط ناشناخته نیاز به دانش کارشناسان امنیتی می باشد زیرا هیچ قانونی هنوز برای آن حملات تعریف نشده است. برای شناسایی حملات ناشناخته، در نظر گرفتن دامنه دانش کارشناسان امنیتی و حتی کارشناسان غیر امنیتی اجتناب ناپذیر است. کارشناسان امنیتی با ارزش تر از کارشناس غیرامنیتی در تشخیص رخداد هستند زیرا درک عمیقی از روال های امنیتی، الزامات و اقدامات متقابل دارند. چرا که آن ها دانشی دارند که اغلب برای تصمیم گیری در مورد اینکه آیا یک هشدار یا رفتار گزارش شده، مخرب است یا خیر، به ویژه در زمینه سیستم های سایبرفیزیکی. ​علاوه بر این، ارتباط دانش تجزیه و تحلیل های خودکار مانند مدل های یادگیری ماشین به کارکنان مرکزعملیات امنیت برای درک آنچه الگوریتم های تجزیه و تحلیل آن ها آموخته است، ضروری است. نزدیک کردن کارشناسان و ماشین های انسانی به یکدیگر و فراهم کردن فرایندها و فن آوری های لازم برای انتقال دانش در هر جهت، یک چالش مهم برای مراکز عملیات امنیت است. تنها زمانی که ما موفق به اعمال نفوذ در هر دو حوزه دانش از انسان ها و دانش صریح از ماشین ها می شویم، با نسل بعدی تهدیدات سایبری مواجه می شویم.

2-2 چالش های مرتبط با فرآیندها
o تعاریف فرآیند جامع
بررسی ها نشان می دهد که تنها مقالات بسیار کمی در مورد فرآیندهای درون یک مرکزعملیات امنیت وجود دارد. از آنجا که این فرآیندها در درک SOC ها و استقرار بسیار موثر هستند، فقدان فرایندهای دقیقا تعریف شده، دانشگاه را از درک کامل آنچه که سازمان ها در یک SOC انجام می دهند، منع می کند. بنابراین، فضا برای پیشرفت های کوچک، چه رسد به نوآوری ها، برای شناسایی در سطح انتزاعی بسیار دشوار است. این ممکن است دلیل نتایج نامتعادل در رابطه با فرآیندها و فن آوری باشد. از آنجا که هیچ انتزاعی، سطح بالا وجود ندارد.
با درک فرآیندهای مرکزعملیات امنیت ، بسیاری از محققان بر تلاش برای بهبود فن آوری هایی تمرکز می کنند که ممکن است بدون هیچ درک روشنی از اینکه کدام فرآیند خاص یا وظیفه مرکزعملیات امنیت نیاز به بهبود دارد، مفید باشند. همچنین، داشتن درک روشنی از فرآیندها، وظایف و واسط های مرکزعملیات امنیت نیاز به یکپارچگی با دیگر فرآیندهای کسب وکار دارد. این نقطه کور باید توسط دانشگاه بسته شود تا فرآیندهای در حال اجرا در مرکزعملیات امنیت را درک کند. تنها در این صورت است که امکان پیشبرد تکثیر فعلی که در مرکزعملیات امنیت به شیوه ای پایدار قریب الوقوع است، وجود خواهد داشت. به خصوص "فعالیت پس از حادثه" به ندرت در ادبیات مرکزعملیات امنیت ذکر شده است، اگرچه اهمیت زیادی دارد زیرا عمدتا با یادگیری و بهبود تکرار شونده سر و کار دارد. ​

o ‏انطباق فرآیندهای عمومی با مرکزعملیات امنیت
چندین استاندارد امنیتی، مقررات، و چارچوب ها، فرایندهای مرتبط با امنیت عمومی را تعریف می کنند که منجر به این فرض می شود که این موارد می توانند حداقل تا حدی به مرکزعملیات امنیت مرتبط باشند. بنابراین اینها می توانند به عنوان پایه ای برای چشم انداز فرآیند خاص مرکزعملیات امنیت عمل کنند. با این حال، تجزیه و تحلیل ما هیچ ادبیات علمی مرتبط با چگونگی ارتباط این فرآیندها با مرکزعملیات امنیت را شناسایی نکرده است. تحقیقات بیشتر باید به شناسایی جنبه هایی بپردازند که برای مرکزعملیات امنیت ها اعمال می شوند و آن ها را با SOC سازگار می کنند، و ویژگی های SOC گسترش می دهند. این امر می تواند به سادگی به یک تعریف و درک جامع تر از فرآیندها منجر شود.

2-3- چالش های مرتبط با تکنولوژی​
o ‏افزایش پیچیدگی زیرساخت IT
ما سه چالش عمده را برای SOC ها می بینیم که ناشی از افزایش پیچیدگی IT در یک شرکت است: اول، زیرساخت در حال پیچیده تر و درهم تنیده شدن است، که حفظ آگاهی موقعیتی و یک مرور منسجم را دشوار می سازد. مدیران و تحلیلگران دید ضعیفی در شبکه دارند زیرا نمی توانند مسیر تمام دستگاه ها در شبکه را حفظ کنند. دوم، داده های بدست آمده از زیرساخت به اندازه منابع آن ناهمگن است که پردازش، تحلیل، درک و پیوند را دشوار می سازد. همچنین مانع کشف این موضوع می شود که آیا یک رویداد بخشی از یک حمله بزرگ تر است یا خیر‏. سوم، داشتن منابع اطلاعاتی بیشتر، تعداد کلی رویدادها و در بسیاری از موارد، تعداد هشدارهای مثبت کاذب را افزایش می دهد.. تحلیلگران با حجم بالایی از چنین هشدارهایی بارگذاری می شوند و در هنگام تلاش برای فیلتر کردن خطا با مشکل "سوزن در انبار کاه" مواجه می شوند. بحث زیادی در مورد تاثیر منفی مثبت کاذب بر روی مراکز عملیات امنیت وجود ندارد.

o تنوع گسترده ابزارها
در بسیاری از مراکز عملیات امنیت ، مشکلات زیادی با پیاده سازی و استقرار ابزارهای مختلف مرکزعملیات وجود دارد، ابزارها باید پیکربندی و نگهداری شوند، که یک فرآیند زمانی و مصرف منابع است اگر ابزارها به درستی حفظ و پیکربندی نشوند، مقدار داده ها و مثبت های کاذب را افزایش می دهند که باید توسط تحلیلگران به آن ها رسیدگی شود. ابزارهای مختلف ضروری هستند زیرا بیشتر آن ها تنها یک راه حل برای یک مشکل خاص ارائه می دهند. بنابراین، ابزارهای متنوعی برای پوشش تمام قابلیت ها در یک مرکزعملیات امنیت مورد نیاز است. ادغام آن ها به گونه ای که بتوانند به راحتی با یکدیگر کار کنند، چالش دیگری را به وجود می آورد به عنوان مثال، ابزارها معمولا تنها فن آوری های استاندارد IT را پوشش می دهند و هیچ دیدی نسبت به فن آوری عملیاتی ندارند. برخی از ابزارها نیز از قابلیت استفاده ضعیف و عملکرد بد منظم رنج می برند این امر کار را برای تحلیلگران بسیار پیچیده تر از آن می کند. ​

o قابلیت های تجسم
داشتن قابلیت های تصویرسازی صحیح، چالش دیگری است. به طور کلی، داده های زیادی وجود دارند که قادر به تصویرسازی درست آن نیستند. تصویرسازی ها باید ساده و به راحتی در دسترس و تشخیص و همچنین دقیق و آموزنده باشند با این حال، هیچ راه حل کاملی وجود ندارد. انتخاب تکنیک تصویرسازی درست، سخت و بسیار وابسته به زمینه و وظایفی است که باید با تصویرسازی حل شوند. ​
با این حال، تصویرهای مناسب برای یک تیم کارآمد و موثر SOC حیاتی هستند. علاوه بر این، تصویرسازی مقدار زیادی برای حمایت از انتقال دانش بین انسان و ماشین هستند. آن ها می توانند به عنوان یک واسطه عمل کنند که به تحلیلگران اجازه می دهد تا مدل های یادگیری ماشین را درک کنند و تحلیل های خودکار را با ورودی ضمنی انسان و دامنه دانش بهبود بخشند ​

منابع
● Security Operations Center: A Systematic Study and Open Challenges
● The Next Generation Cognitive Security Operations Center: Adaptive Analytic Lambda Architecture for Efficient Defense against Adversarial Attacks
● Owasp.org
● exabeam.com
● splunk.com
● apk.co.ir
● Gartner.com
● Tenable.com
● Acunetix.com
● Kaspersky.com
1 Security Operation Center
2 Security Information and Event Management
3 Intrusion Detection Systems
4 Intrusion Prevention Systems
5 Firewall
6 Network Traffic Analysis
7 Endpoint Detection and Response
8 User and Entity Behavior Analytics
9 Endpoint Protection Platform
10 Network Intrusion Detection System
11 Host Intrusion Detection System
12 Signature-Based Intrusion Detection System
13 Anomaly-Based Intrusion Detection System
14 Network-based Intrusion Prevention System
15 Host-based Intrusion Prevention System
16 Network Behavior Analysis Intrusion Prevention System
17 Network Traffic Analysis
18 Endpoint Protection Platform
19 nvfhv
20 User and Entity Behavior Analytics
—————

————————————————————

—————

————————————————————

ا

39


تعداد صفحات : 39 | فرمت فایل : WORD

بلافاصله بعد از پرداخت لینک دانلود فعال می شود

    موضوعات اصلی

    آخرین محصولات