بخشی از مقاله
طراحي مدل SOC بومي در بانک کشاورزي با توجه به ابعاد ساختاري (نيروي انساني)، فرآيندي و سيستمي
چکيده
امروزه تأمين امنيت براي سيستم هاي اطلاعاتي امري اساسي است . بانک ها با ورود به عرصه بانکداري الکترونيک به سازوکار امنيتي پيچيده تري نسبت به سازمان هاي ديگر نياز دارند. مرکز عمليات امنيت (SOC) يک سازه ي ايمني است که تمامي فعاليت ها را زير نظر گرفته ، رخدادها را جمع آوري و تحليل کرده و مخاطرات رخ داده يا در حال وقوع را کشف و عليه آنها اقدام ميکند. بخش هاي اصلي آن حسگرها، واحدهاي تجميع ، تحليل و تشخيص همبستگي رخداد، مديريت وصله و مرور پيکربندي ميباشند. SOC تاکنون در سازمانها و بانک هاي ديگري در سطح جهان پياده سازي شده است . مراکز داده داراي راهکارهاي امنيتي از قبيل آنتيويروس ، فايروال ، شناسنده و جلوگيرنده از نفوذ، کنترل هاي دسترسي هستند، که خود حجم بالايي از گزارش هاي امنيتي ارائه ميدهند. در اين مقاله اطلسي جامع و فراگير که تمامي جوانب موجود در معماري SOC را نشان ميدهد ارائه مي گردد. مدل طراحي شده از ديد ساختاري، نيروي انساني شاغل در آن و فرآيندها و رويه هاي درگير بررسي ميشوند. اين مدل را علاوه بر بانک کشاورزي ميتوان در تمام سيستم هاي بانکي طراحي و استقرار داد.
واژگان کليدي: مرکز عمليات امنيت (SOC)، امنيت شبکه ، شبکه بانک کشاورزي، فرآيند امنيتي، کنترل دسترسي، احراز هويت
مقدمه
سيستم هاي ذخيره و تبادل کننده اطلاعات به طور دائم در معرض خرابکاري و خود اختلالي ١ قرار دارند. در اين شرايط تأمين امنيت اطلاعات ، بدون شک يکي از ضروريات هر سازماني است .
درطول دهه هاي گذشته ، رويکردي تحت عنوان سيستم مديريت امنيت اطلاعات ٢ (ISMS) به وجود آمد و با ارايه اولين استاندارد مديريت امنيت اطلاعات درسال ١٩٩٥، نگرش سيستماتيک به مقوله امنيت اطلاعات شکل گرفت [١٤].
با گسترش صنعت بانکداري به سوي بانکداري الکترونيکي و اينترنتي لزوم استفاده از راهکارهاي امنيتي بيشتر و بيشتر احساس شد. بانکداري الکترونيکي استفاده از فناوري هاي پيشرفته نرم افزاري و سخت افزاري مبتني بر شبکه و مخابرات براي تبادل منابع و اطلاعات مالي به صورت الکترونيکي است [١٣]. برخي از صاحب نظران تعريف کليتري ارائه کرده اند و استفاده از ساير ابزارها و کانال هاي الکترونيک نظير تلفن همراه ، تلفن و تلويزيون ديجيتال به منظور اطلاع رساني، ايجاد ارتباط و انجام تراکنش بانکي را نيز مشمول تعريف بانکداري الکترونيک دانسته اند[١]. لي (٢٠٠٢)، خدمات بانکداري الکترونيک را از سه جنبه مورد توجه قرار ميدهد و معتقد است مشتريان بانک ها، در سه سطح قادر به دريافت خدمات بانکداري الکترونيک هستند. اين سه سطح عبارتند از: اطلاع رساني، ارتباطات و تراکنش [١٢].
در زير به برخي اهداف کلي مورد نظر در به کارگيري خدمات بانکداري الکترونيکي اشاره مي کنيم [١٢]: پيشگيري از تراکنش هاي غير مجاز و سرقت پول ، پيشگيري و شناسايي جعل هويت ، حفظ يکپارچگي داده هاي بانکي، حفظ دسترس پذيري خدمات بانکي، عدم افشاي اطلاعات محرمانه ي مشتريان و حفظ حريم خصوصي آنها.
اينها همه دلايلي براي ضرورت ايجاد SOC در سازماني گسترده نظير بانک هستند. اين مقاله سعي دارد تا مدلي را براي طراحي مرکز عمليات امنيت يا SOC٣ را ارائه دهد.
ضرورت ايجاد مرکز در بانک
يک بانک به امنيتي بيش از آنچه مرورگرهاي معمولي فراهم مي آورند، نياز دارد. بانک دراولين گام تأمين امنيت در بانکداري الکترونيکي يا اينترنتي مشتري را وادار به استفاده از تجهيزات يا ابزار خود مي کند[٢]. ولي اين به تنهايي نميتواند کافي باشد.
مديريت رويدادهاي امنيتي در محيط هاي بزرگ و پيچيده يک مسأله اساسي براي محافظان امنيت است . اگرچه به کارگيري راهکارهاي امنيتي نظير استفاده از فايروال ٤ها ، ضد بدافزارها ، IDS٥ ها، IPS٦ ها، کنترل دسترسي ٧ و سامانه هاي احراز هويت ٨ تا حدي ميتواند شبکه را از حالت انفعالي و بدون نظارت نجات داده و به تأمين امنيت آن کمک نمايد، ولي بايد به اين نکته مهم توجه نمود که بکارگيري اين تجهيزات امنيتي، خود باعث توليد حجم عظيمي از رخدادهاي امنيتي در قالب هاي متفاوت ميشود[١١].
اين حجم بالاي داده هاي امنيتي توليد شده ، باعث سردرگمي و سلب امکان مديريت و استفاده از آنها ميشود.
مرکز عمليات امنيت ٩ (SOC) سامانه اي است که تمامي فعاليت هاي امنيتي شبکه را زير نظر گرفته ، رخدادهاي امنيتي را جمع آوري و تحليل کرده و مخاطرات امنيتي رخ داده و يا در حال وقوع را کشف نموده و اقدام مقتضي را صورت ميدهد. رصد امنيتي يکپارچه و جامع شبکه علاوه بر اينکه اين امکان را فراهم ميسازد تا در مقابل تهديدات بهترين عکس العمل انجام شود؛ باعث ميشود تا مديران تحليل دقيق تري از وضعيت امنيتي شبکه و ميزان خطرپذيري آن داشته باشند. اين روند نهايتاً منجر به اصلاح روش ها، سياست ها و راهکارهاي امنيتي خواهد شد. در پايين مهمترين دلايل ضرورت مرکز عمليات امنيت در بانک کشاورزي بيان شده است [٣]: جلوگيري از خرابيهاي هرچند کوتاه اعلان و ثبت حملات و تهديدهاي مکشوف در سيستم بانکي جلوگيري از افزايش ترافيک دسترسي به مراکز داده جلوگيري از بروز مشکل پيکربندي چندباره ي فايروال ها ، IDS ها و مسيرياب ١٠هاي شبکه مديريت بهينه رخدادها حذف رخدادهاي تکراري و اضافي و انجام آناليز و بررسي همبستگي بين رخدادها حفاظت از داده و خدمات در مقابل انواع مختلف حملات ايجاد وصله ١١هاي امنيتي جهت اصلاح سيستم عامل ها، کاربردها و تجهيزات شبکه اطلاع دقيق مديران سازمان از ميزان مخاطرات امنيتي شبکه
مرکز عمليات امنيت
راه حل هاي امنيتي، بايد به گونه اي استاندارد طراحي شوند تا بتوانند نيازهاي کليه ي سازمان ها را بدون نياز به تغييرات اساسي در ساختار سيستم هاي آنها، پوشش دهند.
با توجه به گسترش شبکه هاي اطلاعاتي در فضاي سايبر و روند رو به تزايد آسيب پذيريها و مخاطرات در اين بستر، تأمين امنيت و پايداري داده ها و خدمات اين شبکه ها از يک سو در بالاترين سطح اهميت در هر کشور قرار مي گيرد و از سوي ديگر نيل به اين هدف بدون برنامه ريزي و استفاده از راهکارهاي استاندارد و کارا ناممکن مينمايد. مرکز عمليات امنيت ، مکاني جهت پايش و کنترل ٤٢ ساعته امنيت ورود و خروج اطلاعات در قلمروي فضاي تبادل اطلاعات با نگرش تشخيص تهديدات امنيتي است [٤].
اهداف SOC
وظيفه SOC تهيه اطلاعات موقعيتي و ارائه تصوير متحد و جامع از وضعيت امنيت در شبکه به صورت لحظه اي ميباشد. SOC با جمع آوري اطلاعات از ابزارهاي مختلف مستقر در سراسر شبکه و سپس يکسان سازي اين اطلاعات و يکپارچه نمودن آنها يک گزارش بلادرنگ از آنچه در حال رخ دادن در شبکه است توليد مينمايد. مسئول شبکه ميتواند با استفاده از اين اطلاعات ، حملات را پيش از آنکه آسيبي به شبکه بزنند مديريت و پاسخ دهي کند[٤,٥]. تعيين و انجام عکس العمل صحيح و به موقع از مهمترين دلايل راه اندازي سامانه مرکز عمليات امنيت و يکي از موضوعات مهم در زمان طراحي آن است . مرکز عمليات امنيت بايد ويژگي هاي عمومي زير را داشته باشد[٥]: مقياس پذيري: با افزايش ميزان ترافيک و رخدادهاي توليدي، بتواند با کارآيي بالا وظيفه خود را انجام دهد.
ماژولار بودن : به راحتي بتواند منابع و الگوريتم هاي تحليل و همبستگي جديد را به سامانه اضافه نمود و يا تغيير داد.
کارآيي بالا: پوشش کاملي روي زيرساخت مربوطه داشته باشد.
امنيت : جمع آوري رخدادها از منابع مختلف بايد از طريق کانال هاي امن صورت گيرد.
ارتباط با مراکز امداد و نجات رايانه اي: جهت به روزرساني و جامع نمودن پايگاه دانش خود از خروجيهاي اقدامات مراکز امداد و نجات رايانه اي استفاده مينمايد و اين مراکز نيز جهت تحليل و کشف حوادث و حملات روز نيازمند اطلاعات جامعي ميباشد که تنها از طريق SOC به دست ميآيد[٤].
ساختار کلي مرکز عمليات امنيت
رخدادهاي امنيتي در يک زيرساخت اطلاعاتي توسط حسگرها توليد ميگردند. حسگرها شامل کليه سيستم عامل ها، کاربردها، نرم افزارها و تجهيزات سخت افزاري شبکه است . رخدادهاي امنيتي به روش هاي مختلف از حسگرها جمع آوري و با قالب يکساني در بانک اطلاعاتي رخدادها ذخيره ميگردند. رخدادهاي جمع آوري شده توسط تحليلگر SOC مورد تحليل قرار گرفته و پس از بررسي همبستگي بين رخدادها، حملات و تهديدهاي امنيتي زيرساخت اطلاعاتي مربوطه به صورت رويداد اعلام ميشود[١٥].
در ادامه عملکرد هر کدام از بخش هاي اصلي سامانه مورد بررسي قرار مي دهيم [٣,٤]:
حسگرها: حسگرها منابع جمع آوري رخدادهاي امنيتي ميباشند. از جمله حسگرهاي مهم و معمول جهت جمع آوري رخدادها مي توان به IDSها، IPSها ، فايروال ها، تجهيزات شبکه شامل سوئيچ ها و مسيرياب ها، سيستم عامل ها، سرويس هاي اينترنت و ضدبدافزارها اشاره نمود[١٦].
واحد تجميع رخدادها: اين واحد رخدادها را از منابع مختلف و با استفاده از روش ها و پروتکل هاي مربوطه جمع آوري و پس از انجام عمل پيش پردازش و پايش ، آنها را در بانک اطلاعاتي رخدادها ذخيره مي کند.
واحد آناليز و تشخيص همبستگي ١٢رخدادها: وظيفه آناليز رخدادهاي جمع آوري شده از سراسر زيرساخت اطلاعاتي را بر عهده دارد.
مديريت وصله ها و مرور پيکربندي: کشف حملات و تهديدات در فرآيند تحليل رخدادها و همچنين واکنش به رويدادهاي توليد شده توسط مديران امنيتي را بهبود مي دهد.
پورتال و کنسول مرکز عمليات امنيت : وظايفي از قبيل اعلان بي درنگ رويدادهاي امنيتي، تنظيم پارامترهاي مربوط به هر کدام از زير سامانه هاي مرکز عمليات امنيت و تهيه انواع مختلفي از گزارش ها از وضعيت امنيت شبکه ، رخدادها و رويدادهاي امنيتي توليد شده و همچنين گزارش هاي تحليل مخاطرات امنيتي را بر عهده دارد.
مزاياي پياده سازي مرکز عمليات امنيت [٦]
مديريت تهديد١٣، تشخيص آسيب پذيري ١٤، مديريت تجهيزات امنيتي ١٥، نمايشگر لحظه اي وضعيت امنيت شبکه ١٦، وجود سيستم پيگيري مشکلات و وجود سيستم
اعلام گزارش .
مروري بر کارهاي گذشته
SOC در سازمانهاي غيربانکي
اداره امنيت حمل و نقل (TSA) يکي از آژانس هاي وزارت امنيت داخلي ايالات متحده آمريکا، مرکز عمليات امنيت را در اکثر فرودگاه هاي اين کشور مستقر کرده است [١٧].
شرکت مايکروسافت ، راه حل هايي را در خصوص استقرار مرکز عمليات امنيت ارائه داده است . اين مرکز مراکزي را در آمريکا، انگليس و هند ايجاد کرده و از طريق حدود هفتصد وب سايت به ارائه خدمات در حوزه وظايف مرکز عمليات امنيت مي پردازد[١٨].
شرکت IBM ، سرويس هاي امنيتي مديريت شده اي را به صورت ابزارهاي امنيتي تحت وب ارائه داده است و آن را در اختيار سازمانهاي متقاضي اين سرويس ها ارائه ميدهد[١٩].
شرکت HP ، در مقاله اي به تشريح بهترين شيوه براي ايجاد و رشد يک مرکز عمليات امنيت (SOC) ميپردازد، که ميتواند براي آن دسته از سازمان هايي که در حال برنامه ريزي براي ساخت يک SOC هستند و يا آن دسته از سازمان هايي که در حال بهبود وضعيت SOC موجود خود هستند مفيد واقع شود[١٥].
شرکت ارتباطات زيرساخت : زير مجموعه وزارت ارتباطات و فناوري ايران در سال ٤١٠٢ در حال پياده سازي پروژه SOC خود است [٨].
SOC در بانک ها:
استقرار SOC در بانک مرکزي هند: مرکز عمليات امنيت در ژوئن ٤١٠٤ به طور رسمي در بانک مرکزي هند افتتاح شد. هدف از استقرار اين مرکز ، يکپارچه سازي فعاليت هاي امنيتي در بانک هاي اين کشور اعلام شده است [٢٠].
فاز نخست مرکز کنترل امنيت شبکه و فوريت هاي بانکي (کاشف ) در حالي در سال ٤١٠٤ راه اندازي شده است که برنامه هاي آينده اين مرکز از تبديل شدن آن به يک مرکز عمليات امنيت بانکي خبر مي دهد [٧].
استقرار SOC در بانک مرکزي آفريقا: در سال ٤١٠٢ SOC به طور رسمي در بانک مرکزي اين کشور ايجاد و مستقر شده است [٢٢].
ارائه مدل پيشنهادي
راه حل تمام مشکلات استفاده از يک مرکز عمليات امنيت مي باشد. امکان پياده سازي اين مرکز بايستي هم به صورت نرم افزاري و هم به صورت سخت افزاري فراهم
شود[٢٣].
SOC واحدي متمرکز براي رسيدگي به حوادث و وقايع امنيتي در سازمان ها بوده که هدف از ايجاد آن تشخيص و واکنش سريع در برابر حوادث امنيتي ميباشد که از طريق يک کنسول مرکزي، وضعيت آنچه را که در حال حاضر در شبکه در حال اتفاق ميباشد را نشان ميدهد. مرکز عمليات امنيت SOC تمامي زواياي امنيتي را به صورت بلادرنگ از يک نقطه مرکزي مديريت و مانيتور ميکند و تمامي حوادث امنيتي را کشف و اولويت دهي کرده ، سطح ريسک و داراييهايي را که تحت تأثير قرار خواهند گرفت را تشخيص ميدهد. اين مرکز همچنين به طور همزمان راهکارهاي مناسبي را متناسب با هر رويداد، اجرا يا پيشنهاد ميکند[٢٤,٢٥]. SOC خروجيهاي زير را در قالب گزارش ارئه ميدهد:
پايش امنيت جهت مديريت ريسک تحليل ريسک هاي امنيتي
دسترسي امن به کاربران بر اساس نقش و وظيفه مانيتورينگ بلادرنگ و وضعيت رويدادها و حوادث گزارشهاي رعايت سياست هاي امنيتي گزارشهاي بروز حوادث امنيتي
ارزيابي بلادرنگ حوادث در کنار گزارشات هفتگي و ماهانه روند اتفاقات و حوادث امنيتي
اطلس پيشنهادي
نکته قابل توجه در طراحي يک SOC، انعطاف پذيريِ متدولوژي طراحي آن است که به واسطه آن ميتوان براي هر يک از مشتريان مطابق سرويس هاي مورد نيازشان راه حل خاصي براي مديريت امنيت شبکه ارائه نمود. در هر يک از سطوح مطرح شده ، ابزاري براي مديريت سيستم هاي امنيتي در نظر گرفته ميشود. اين ابزارها امنيت شبکه را از دو ديدگاه درون سازماني و برون سازماني مورد بررسي قرار ميدهند. براي اين منظور، هر SOC داراي يک سري تجهيزات در داخل شبکه و يک سري تجهيزات در خود مرکز ميباشد.
همه سرويس هايي که از مراکز SOC ارائه ميگردند، مانيتورينگ و مديريت شده هستند[٢٥,٢٦]. اين اطلس بايد به گونه اي طراحي گردد که ديدگاه جامعي را نسبت به وجه هاي مختلف اين مرکز ارائه دهد.
شکل ٢-٠ معماري اطلس پيشنهادي
همانطور که در شکل بالا ديده مي شود، اطلسي جامع و کامل پيشنهاد شده است . اين اطلس تمامي جوانبي که براي يک مرکز عمليات امنيت مورد نياز است را در بر مي گيرد.
خدمات قابل ارايه توسط يک گروه امداد امنيت را مي توان در سه دسته کلي تقسيم بندي کرد : بلوک پيشگيرانه ، بلوک واکنشي، بلوک مديريت کيفيت امنيت .
بلوک پيشگيرانه
در بلوک پيشگيرانه تمامي اقدامات در جهت پيشگيري از تهديدات سايبري صورت مي پذيرد. در اين بلوک توانمند سازي مرکز عمليات امنيت پيشنهاد مي گردد. توانمندسازي شامل اين موارد است : افراد، ابزار (نرم افزارها)، پروتکل ها، تجهيزات (سخت افزارها).