مقابله با حملات پیشرفته هکرها، همگامی با قوانین دولتی و سازمانی، نظارت بر راه حال های مبتنی بر فناوری و بلاخره رصد تعاملات بی پایان انسان و فناوری، سازمان ها را به کارشناسان حوزه امنیت اطلاعات تبدیل کرده است.آنها برای نیل به این اهداف ممکن است از نرم افزار IBM Internet Security Systemsبرای راه اندازی سیستم مقابله با نفوذ (Intrusion Prevention Systemکه اختصاراً IPSنامیده می شود)، یا تولیدات سیسکو برای سولوشن های دیواره آتش و یا محصولات کافی برای محافظت مبتنی بر میزبان (Host-based Protection) استفاده کنند.
این رویکردهای ناهمگون برای انتخاب سولوشن های امنیتی و حفاظتی، چالش بزرگی بر سر راه شرکت ها به شمار می رود: بلاخره بهترین، کارامدترین و به صرفه ترین گزینه کدام است؟ در وهله اول می توان گفت هیچ فرمول مشخصی برای ارائه پاسخی مشخص به این سوال وجود ندارد، زیرا یک تیم ممکن است از دیواره آتش پشتیبانی کند و دیگری از دیوایس های IPSشبکه. تیم دیگر هم ممکن است وظیفه پشتیبانی از ابزار IPSرا عهده دار باشد. نتیجه آن که در فرایند نظارت و رصد امنیتی، ابزارها و تیم های مختلفی نقش آفرین و دخیل هستند. به همین دلیل امروزه کشاندن یک رویداد یا حمله اینترنتی به زیر چتر مدیریت واحد، کار بسیار دشوار و بعضاً غیرممکنی تلقی می شود.
به همین دلیل است که کارشناسان معتقدند فراهم آوردن امنیت پایدار برای یک سازمان، مستلزم متمرکز نمودن اقدامات نظارتی و تحلیل گرایانه است، تا از این طریق سازمان بتواند در سریع ترین زمان ممکن به رویدادهای امنیتی واکنش نشان دهد.برای جامه عمل پوشاندن به این ایده، بسیاری از سازمان ها به استفاده از خدمات شرکت های ارائه دهنده خدمات امنیت مدیریت شده (Managed Security Services Providersکه به اختصار MSSPنامیده می شود) روی آورده اند.
با توجه به آنچه که گفته شد، بسیاری از گروه های فناوری اطلاعات مایلند خودشان به ایجاد مرکز عملیات امنیت (SOC) دست بزنند تا از این طریق بتوانند ضمن اشراف بیشتر نسبت به رویدادهای امنیتی، تحلیل ها و نظارت های مربوط به حوزه امنیت را به گونه ای متمرکز در اختیار بگیرند و فقط از جانب یک تیم و گروه، به رویدادهای امنیتی واکنش نشان دهند. برای این دسته از سازمان ها، نواقص و اختلالات MSSPبر مزایای آن می چربد.از سوی دیگر، ایجاد یک SOCدرون سازمانی کار پیچیده ای بوده و به نوبه خود با چالش ها و محدودیت هایی روبروست.در این نوشتار ما می کوشیم در چند بخش، ضمن ارائه درک روشنی از نحوه ایجاد یک SOCدر سازمان، شیوه برقراری تعادل بین سه عنصر انسان، فرایند و فناوری را تبیین کنیم.
پیش از راه اندازی یک SOC، سازمان ها باید زمانی را به طرح ریزی و ترسیم نمای کلی کار اختصاص دهند.سازمان ها معمولاً در مرحله طراحی فقط بر سه عنصر انسان، فرایند و فناوری متمرکز می شوند و از پرداختن به این مفاهیم که اصولاً دلایل نیاز به SOCچیست و این تکنیک قرار است چه مشکلاتی را حل کند، غفلت می ورزد. پیش از آن که مراحل راه اندازی یک SOCمورد بحث و بررسی قرار گیرد، باید اطلاعات لازم در اختیار حامیان پروژه قرار گیرد و آنها به فضای کلی بحث اشراف داشته باشند. اصولاً اعضای هر تیم و گروهی برای موفق شدن باید از حس همدلی و همکاری برخوردار باشند.در چنین حالتی، انگیزش اعضا بالا می رود، اولویت های کاری بهتر و سریع تر مشخص می گردد، و واکنش نشان دادن به تغییراتی که در طی مسیر رخ می نماید، خردمندانه تر صورت می گیرد.این قضیه در مورد راه اندازی SOCنیز صادق است.
بسیاری از سازمان هایی که قصد طراحی یک SOCبرای خود دارند، بدون این که چشم انداز روشنی از هزینه ها و استراتژی های تامین و برگشت هزینه ها در دست داشته باشند به میدان عمل پا می گذارند، و واضح است که چنین شیوه ای خطاست. در برآورد هزینه های راه اندازی و نگهداری SOCباید گزینه های ذیل را مدنظر داشت:
صاحب نظران معتقدند که بازگرداندن این هزینه ها کار بسیار دشواری است لذا در این خصوص باید با دقت و احتیاط عمل کرد تا هزینه های هنگفت غیرضروری به سازمان تحمیل نشود. برخی شیوه های انجام این کار عبارت است از به کارگیری متدهایی همچون کارایی هزینه (Cost Efficiency)، تسهیم هزینه ها (Cost sharing) و بازگیری هزینه (Cost Recovery).
تیم های درگیر در پروژه SOCباید بر سه عنصر مندرج در پروژه های سنتی آی.تی یعنی نیروی کاری، فرایند و فناوری متمرکز شوند. هیچ یک از این سه عنصر بر دیگری برتری ندارد و هر کدام به یک اندازه مهم و قابل توجه است.این حال سازمان ها اغلب در جذب و حفظ کارشناسان زبده برای عملیاتی کردن SOCخود ناتوانند.رایج ترین خطا در پیاده سازی SOCدرون سازمانی، جذب پرسنلی است که فاقد مهارت های کافی و مناسب در این زمینه هستند.سازمان ها اغلب مایلند تحلیلگران کم تجربه را به کار گیرند.
این در حالی است که یک تحلیلگر SOCباید دارای ویژگی ها و توانایی های خاصی باشد، زیرا وی عضوی از جامعه امنیت اطلاعات محسوب می شود و مانند یک جنگجو همواره باید با دشمن سرسختش به مبارزه بپردازد.تحلیلگر SOCباید به هنگام مشکلات صبور باشد، بتواند در مورد چالش های پیش آمده دست به تحقیق و تفحص بزند و در کوران حوادث استرس زا، خونسردی خود را از دست ندهد.
چنین کارشناسی باید همیشه مترصد پیدا شدن یک ویروس یا تهدید جدید بماند.اگر چه تحلیلگران زبده SOCمی توانند از تکنیسین های بخش پشتیبانی فنی گزینش شوند ولی توانایی های لازم برای این نوع تجزیه و تحلیل، اغلب در نیروهای حوزه مدیریت سیستم ها، Desktop Supportو عملیات شبکه بیشتر مشاهده می شود.پرسنلی که در مباحث شبکه، سرور و Desktop Supportمهارت دارند، با استفاده از تجربه ای که اندوخته اند، معمولاً بهتر می توانند مشکلات پدید آمده در حوزه SOCرا تحلیل نموده و برای مقابله با آنها راهکار ارائه نمایند.
مانیتورینگ وقایع امنیتی و واکنش نشان دادن به تهدیداتی که در این حوز رخ می نماید، کار دشواری است که برای موفقیت در آن، باید عناصر مختلفی از جمله تخصص، تجربه، روحیه کار تیمی و غیره گرد هم جمع شود.بر این اساس، دوره کاری یک تحلیلگر SOCبین یک تا سه سال است. این امر برای شناسایی نامزدهای احتمالی این پست که بعدها بتوانند امور را به دست بگیرند، ضروری است.از سوی دیگر یک مدیر SOCباید ارتباطات مستحکمی با دیگر گروه های فناوری اطلاعات سازمان برقرار نماید تا از این طریق شناسایی شدن کاندیدادهای مستعد را تسهیل نماید.
هیچ تحلیلگر SOCنمی تواند بدون دریافت آموزش های مناسب، کارایی موفقی از خود ارائه دهد.خوشبختانه برای راه اندازی یک دوره آموزشی کارامد در این خصوص، گزینه های مناسب فراوانی پیش روی مدیران قرار دارد، از جمله آموزش در حین کار (که به آموزش ضمن خدمت نیز معروف است) و آموزش های رسمی شامل SANS(مدیریت سیستم و امنیت شبکه)، Intrusion Detection in Depthو گواهینامه GCIA(GIAC Certified Intrusion Analyst). در دوره های آموزش ضمن خدمت باید ضمن ارائه مفاهیم کلی امنیت اطلاعات به مخاطب، کار با ابزارهای خاص تشخیص نفوذ، فرایندهای تحلیلی و تکنیک های برقراری ارتباطات موثر به وی آموزش داده شود زیرا تحلیلگر SOCباید بتواند در زمان وقوع حادثه و در حالی که فضای کار سرشار از استرس و نگرانی است، با مهندسان و مدیران ارشد به گونه ای مقتضی تماس برقرار کند و با آنان هماهنگی به عمل آورد.
پس از راه اندازی SOCدرون سازمانی، سوالات متعددی در خصوص نحوه فعالیت و سرویس دهی این بخش مطرح می شود که البته یافتن پاسخ صحیح این پرسش ها ضروری است :
بر این اساس هر تحلیلگر سه روز در هفته کار می کند و چهار روز استراحت دارد. این رقم در مجموع 48 ساعت در دو هفته می شود.
به طور کلی فرایند (process) به فردی که مسئول انجام عمل خاصی است اشاره دارد، و شیوه عمل (procedure) چگونگی انجام آن کار را به تفصیل بیان می کند.راهکارهای SOCمی تواند چیزی در حد فاصل «نیروی انسانی» و «فناوری» تلقی شود.به عنوان مثال تحلیلگران تازه کار ممکن است در خصوص نحوه شروع فعالیت های SOCدر سازمان آشنایی و اطلاعات اندکی داشته باشند.اینجاست که اهمیت فرایندهای حساب شده، دارای چارچوب روشن و مستند به خوبی روشن می شود.
این اسناد می تواند تحلیلگران تازه کار را در روزهای آغازین شروع فعالیت های SOCیاری رساند.بر این اساس تهیه چنین مستنداتی باید از همان ابتدای امر، در دستور کار مدیران و عناصر کلیدی SOCقرار گیرد.البته مشکلی ممکن است در این جا رخ دهد و آن این که چه بسا SOCبه کار رفته در سازمان، از تمام ویژگی ها و قابلیت های لازم برای پوشش نیازهای سازمانی برخوردار نباشد. به همین دلیل دستورالعمل های اجرایی SOCباید از یک سو عملاً وجود و فعلیت داشته باشدو از سوی دیگر بتوان آن را به مرحله بلوغ (آمادگی) رساند.
بلوغ فرایندی متدی است که طی آن سازمان ها باید بکوشند فرایندهای جاری خود را هر چه بیشتر کاملتر و «بالغ تر» کنند به این معنا که فرایندها باید پیوسته به نتایج دلخواه و عملکرد مورد نظر برسند.مدل بلوغ فرایندی یا CMMI(سرواژه Capability Maturity Model Integration) شیوه ای نوین در مدیریت فرایندهاست.CMMIیک چارچوب ثابت شده در صنعت است که مدل های پنج گانه ای برای توصیف سطح بلوغ سازمان ارائه می کند.CMMI توسط گروهی از کارشناسان صنعتی و دولتی و نیز پرسنل موسسه تحقیقاتی Software Engineering Instituteتوسعه یافته است.
در وب سایت موسسه مهندسی نرم افزار کارنگی ملون (Carnegie Mellon Software Engineering Instituteکه به اختصار SEIخوانده می شود) آمده است:CMMIیک شیوه بهبود فرایند (Process Improvement) است که عناصر اصلی موفقیت فرایندها را در اختیار سازمان ها قرار می دهد.از CMMIمی توان برای مدیریت بهبود فرایندها در یک پروژه، یک بخش یا کل سازمان سود جست. از آنجا که SOCمعمولاً فرایندهای زیادی را در بر می گیرد، CMMIمعماری خوبی برای سازماندهی، نگهداری و بهبود مولفه های SOCارائه می نماید. در اغلب سازمان ها، دستیابی به سطح سه CMMIکافی است.در این سطح، فرایندها و فعالیت ها مستند و مدون شده و بهبود آنها در طول زمان اثبات پذیر است.
به طور کلی فرایندهای SOCبه چهار دسته اصلی تقسیم می شود:
علاوه بر مستندسازی فرایندهای ضروری و دستورالعمل های اجرایی، پرسنل و مدیران SOCاید روابط عمیق و گسترده ای با دیگر بخش ها برقرار سازند.این روابط که اغلب با هدف مدیریت بحران شکل می گیرد، با دیگر تیم های داخل سازمان از جمله تیم پاسخگویی به حوادث (Incident Response)، مدیریت امنیتی (Security Management)، مهندسی امنیت (Security Engineering)، بخش حقوقی شرکت، منابع انسانی، روابط عمومی، دپارتمان برنامه های تجاری (LOB) برقرار می شود. روابط مزبور بعضاً باید با تیم های برون سازمانی نیز برقرار شود، از قبیل سرت (CERT)، مراکز تحلیل و تبادل اطلاعات (ISAC)، مراکز حقوقی محلی و ملی، فروشندگان محصول و غیره.
«زمان تشخیص» دوره زمانی است که از زمان تشخیص یک رویداد در SOCتا زمانی که تحلیلگر در خصوص نحوه مقابله با آن تصمیم می گیرد را شامل می شود. به عنوان مثال یک تحلیلگر متوجه وقوع حمله ای از نوع تزریق به پایگاه داده (SQL injection) به وب سرور می شود. وی برای درک ماهیت حمله تحقیقات اولیه ای انجام می دهد. پس از تحقیقات، تحلیلگر اولویت حمله را شناسایی کرده و گزارشی در این خصوص تهیه می کند.
از جمله مواردی که احتمالاً در این گزارش به آنها اشاره خواهد شد، مواردی همچون پیکربندی ناقص و اشتباه در سیستم امنیتی مجموعه، یک رویداد تشخیص غلط حمله (False Positive) به دلیل یک برنامه وب معیوب، ضرورت یا عدم ضرورت مانیتورینگ بیشتر و قوی تر، ضرورت یا عدم ضرورت تحقیقات بیشتر در خصوص حادثه و... خواهد بود.«زمان تحلیل» از شروع عملیات آغاز شده و تا 90 روز پس از آن می تواند ادامه یابد.پس از تحقیقات اولیه، تحلیلگر اقدام به ثبت و تفسیر مشاهدات خود برای تحلیل ها و موشکافی های بیشتر می نماید.این چارچوب زمانی تفکیک شده کمک شایان توجهی به مدیریت فرایندهای SOCمی کند و به روشنی نقش افراد و بخش های مختلف درگیر در پروژه را تبیین می نماید.
نویسنده : وجیهه خلیلی
منبع : انجمن تخصصی فناوری اطلاعات ایران
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد