بخشی از پاورپوینت

اسلاید 1 :

Network security monitoring

اسلاید 2 :

نظارت بر امنیت شبکه

Renaud Bidou ، محقق و عامل توسعه : در اصل اولین SOC (مرکز امنیت عملیات) در سال 2000 ، توسط Renaud به اجرا در آمد

فعالیت :
-- گسترش قابلیت های موجود و تبدیل منحصر به فرد سیستم محافظت کامل برای خدمات وب سایت ؛ -- ارائه یک پلاتفرم برای نظارت بر عملکرد کلی برای وب سرورها و امنیت ؛ -- بهینه سازی عملکرد زیرساخت های وب .

اسلاید 3 :

نظارت بر امنیت شبکه

مقدمه
حمله به کامپیوترهای شبکه

مرحله آماده سازی

فاز حمله

خدمات ارائه شده توسط میزبان

خدمات ارائه شده توسط شبکه 

خدمات استفاده شده توسط میزبان

چگونه حمله کننده ممکن است ازسرویس ها بهره برداری کند .

فاز پس ازحمله

حملات

کنترل مرکز عملیات (security operation center)

تعریف soc
ماژولهایsoc
تعامل مرکز عملیات امنیت شبکه SOC) )و مرکز عملیات شبکه
تعامل مرکز عملیات امنیت شبکه (SOC) و تیم پاسخگویی به فوریتهای کامپیوتری (CERT)

اسلاید 4 :

معماری ماژولهای soc
معماری soc
عوامل پروتکل
جزییات مربوط به N.S.M ساختار کلی فاز تحلیل رابط کاربری NSM
نتیجه گیری
مراجع

اسلاید 5 :

نظارت بر امنیت شبکه
مطالعه امنیت در شبکه های کامپیوتری به سرعت در حال رشد است .

شبکه های محلی با جهان خارج از طریق دروازه ها و شبکه گسترده (WAN) پیوسته هستند .

حملات شبکه یا نفوذ از قبیل استراق سمع اطلاعات برای دیگران ، دسترسی به اطلاعات به طور غیرقانونی از راه دور ، ورود به کامپیوتر از راه دور ، وارد کردن اطلاعات اشتباه به فایل ها و سیل

چندین پیشنهاد از استقرار سیستم های جدید ، امن ، و احتمالا بسته با استفاده از متد CH2884- 5/90/0000/0296$01.00 1990 IEEE پیشنهاد شده است.

هدف ما تکنیک های مانیتورینگ است که ما را قادر خواهد ساخت از فعالیت های شبکه (از جمله گره های فردی شبکه ، کاربران خود ، خدمات ارائه شده و غیره) اطلاعاتی به منظور حفظ امنیت کسب کنیم .

مونیتور قادر خواهد شد فعالیت های شبکه فعلی را نظارت کند ، که وقتی با رفتار سابق مقایسه میشود، آن را قادر به تشخیص احتمال نقض امنیت در شبکه صرف نظر از نوع شبکه ، سازمان ، و توپولوژی میسازد.

اسلاید 6 :

حمله به کامپیوترهای شبکه
مرحله آماده سازی

فاز حمله

خدمات ارائه شده توسط میزبان خدمات ارائه شده توسط شبکه خدمات استفاده شده توسط میزبان چگونه حمله ممکن است ازسرویس ها بهره برداری کند .

فاز پس ازحمله

اسلاید 7 :

مرحله آماده سازی
اثر بخشی حمله کننده این است که چگونه او می تواند از راه دوربه سیستم نفوذ کند به چه خوبی می تواند از تشخیص او اجتناب شود

اطلاعات مربوط به حمله از دو نوع است اطلاعات عمومی از قبیل روشهای نفوذ ، کلمات عبور مشترک ، و نقاط ضعف در سیستم عامل و اطلاعات موجود در مورد سیستم برای حمله مانند تعداد، انواع و نام میزبان ها ، تنظیمات شبکه ، نرم افزار (سیستم و برنامه های کاربردی)در حال اجرا، کاربران ، الگوهای کار کاربران، و اطلاعات شخصی در مورد آنها (مناسب برای guessing کلمه عبور) ، و اطلاعات مربوط به داده های حساس در سیستم

اسلاید 8 :

فاز حمله
میخواهد به مقصد T حمله کند به منظور انجام این کار ، باید یک کانال ارتباطی با T برقرار کند .

ارتباط مستقیم یا از طریق واسطه

مثال با استفاده از واسطه ارتباط برقرار می شود تا از راه دور به دستگاه وارد و سپس از طریق آن به دستگاه دیگروارد شود.
حمله با استفاده از زنجیره ای از واسطه ها را می توان به یک سری از حملات تحت کنترل حمله کننده تجزیه کرد.

برای برقراری ارتباط AوT،T باید یک سرویس ارایه کند کهA می تواند بهره برداری کند ، و یا T باید به دنبال یک سرویس ارائه شده توسط A بگردد. A ممکن استT را وادار به استفاده ازسرویسی کند که کنترل آن را بدست آورده است.

اسلاید 9 :

خدمات ارائه شده توسط میزبان
پایین ترین سطح از خدمات ارائه شده در سطح شبکه اینترنت توسط میزبان دریافت و ارسال بسته ها است.

در اترنت و سطوح IP، میزبان ممکن است بسته های اطلاعاتی خود را بر اساس منبع، آدرس مقصد، انواع پروتکل و ویژگیهای دیگری همچون گزینه های امنیتی بپذیرد، رد کند ، یا فوروارد کند .

نمونه هایی از خدمات سطح بالاتر، ورود به سیستم از راه دور، تشخیص انگشت و سیستم فایل های شبکه هستند.

از نظر امنیتی خدمات را می توان در دو گروه رتبه بندی کرد :درجه ای از کنترل روی سیستم که توسط سرویس ارایه داده شده و قدرت احراز هویت .بطور ایده آل، تا درجه ای از کنترل را افزایش دهیم ، بنابراین قدرت احراز هویت افزایش می یابد.

اسلاید 10 :

خدمات ارائه شده توسط شبکه
خدمات اصلی ارائه شده توسط شبکه ها (از جمله دروازه ، و غیره) انتقال بسته های اطلاعاتی است .

سایر خدمات عرضه شده ،مسیریابی بسته ها و پاسخ دادن به دستورات مدیریت شبکه می باشد .

این خدمات همچنین در درجه کنترل ارائه شده رتبه بندی شده و در شناسایی مورد نیاز است.

اسلاید 11 :

خدمات استفاده شده توسط میزبان
خدمات اصلی ارائه شده توسط شبکه ها (از جمله دروازه ، و غیره) انتقال بسته های اطلاعاتی است

سایر خدمات عرضه شده ،مسیریابی بسته ها و پاسخ دادن به دستورات مدیریت شبکه می باشد .

این خدمات همچنین در درجه کنترل ارائه شده رتبه بندی شده و در شناسایی مورد نیاز است.

اسلاید 12 :

چگونه حمله ممکن است از سرویسها بهره برداری کند
مهاجم ممکن است از یک سرویس به دو روش استفاده کنند.
اول ،این سرویس ،که به عنوان مدارک برای کار در نظر گرفته شده ممکن است حفره های امنیتی و نقاط ضعف داشته باشد.این عامل ممکن است با شیوه های ضعیف از کاربران و مدیران سیستم تشکیل شده باشد به عنوان مثال ، انتخاب کلمات عبور ضعیف باشد .

دوم این که، به دلیل اشکالات و تله ها در پیاده سازی سرویس ممکن است سرویس در راهی که توسط طراحان در نظر گرفته نشده است استفاده شود .به عنوان مثال ، دربرخی از سیستم عامل ها ، زدن یک کاراکتر وقفه قبل از اتمام لاگین اجازه ورود به سیستم بدون رمزمی دهد ، و برخی از سیستم عامل های میزبان هنگام دریافت انواع خاصی از بسته های اترنت از کار می افتند .

اسلاید 13 :

فاز پس ازحمله
سیستم ممکن است حتی پس از اینکه حمله به پایان برسد هنوز تغییر کند. این ممکن است اثرات مورد نظر مهاجم و عوارض جانبی آن باشد . از نقطه نظر مالک سیستم ، اثرات حمله می تواند شامل موارد زیر باشد :

انتشار داده های ذخیره شده بر روی سیستم .
از دست دادن و یا کاهش خدمات سیستم ، احتمالا به علت استفاده از نفوذگراز خدمات و یا به دلیل صدمه به

سیستم توسط مهاجم.
از دست دادن تمامیت نظام و اعتماد در سیستم. هنگامی که یک سیستم نفوذ شده است ، همیشه امکان حمله دوباره وجود دارد که این کار ممکن است ، احتمالا از طریق trapdoor ها که پس از اولین بار بازگذاشته شده انجام گیرد.

اسلاید 14 :

حملات
حملات یا کلاهبرداری های اینترنتی انواع و هدفهای گوناگونی دارد :
مدیریت کلاهبرداری . مشکل استفاده از نام تجاری غیر قانونی در اینترنت رو به افزایش است که نمی تواند نادیده گرفته شود. سازمانها - بدون در نظر گرفتن بخش صنعت و اندازه آن - پیدا کردن آندشوار است که به خودشان استفاده اطمینان از حق انحصاری از نام خود را می دهند. روش های سوء استفاده متفاوت هستند ، اما هدف همیشه همان : تخصیص هویت جعلی از شرکت . با فریب خدمات مدیریت امکان بی درنگ مبارزه با نام تجاری واستفاده غیر قانونی در تاریخ تمام وب وجود دارد. از طریق ترکیبی از سرویس مانیتورینگ وب سایت و ثبت نام دامنه وابسته به تجزیه و تحلیل انجام شده توسط مسیرارتباطات تیم های امنیتی SOC به اجرا درمی آید

فیشینگ: این یک روش کلاهبرداری آنلاین است که از روش های مختلفی را برای گمراه کردن کاربر و متقاعد کردن او برای دادن اطلاعات شخصی و حساس (نام کاربر ، رمز عبور ، شماره کارت اعتباری و غیره) استفاده می کند. شایع ترین حملات 

از طریق ایمیل پیامهای نادرست(نظرات و پیشنهادات لینک های گمراه کننده به فریب دادن سایت) انجام می شود 

فریب. این تکنیک برای حمایت از فیشینگ برای متقاعد کردن کاربر از قانونی بودن سایت های استفاده می شود. حمله کننده در دی ان اس (نام دامنه و سرور) با تغییر آدرس IP وابسته به سایت شرکت به خطر می اندازد. در این مورد کاربر نمی تواند از آنچه هنگامی که آدرس صحیح را در سایت مورد نظر به یک سایت کاذب وارد می کند و اتفاق می افتد با خبر شود.

اسلاید 15 :

Security operation center

تعریفSOC
SOC یا مرکز عملیات امنیت شبکه،هسته اصلی تأمین کننده امنیت اینترنت و اینترانت در شبکه می باشد که محافظت مداوم ،آشکار سازی و توانایی پاسخگویی در برابر تهدیدات،آسیب پذیری ها و وقایع امنیتی بلا درنگ را در شبکه بر عهده دارد.

مرکز امنیت عملیات 

مرکز امنیت عملیات محل ارتباط قابل اعتماد بین مسیرارتباطات و مشتری است که توسط قابلیت ، به روز رسانی ، آموزش و نظارت مستمر و تجربه مشخص می شود.

SOC استفاده از زیرساخت های منحصر به فرد (تصدی مدیریت امنیت) ، متشکل از یک مجموعه از برنامه های مختلف ، برای مدیریت امنیت یابی ، تشخیص الگو حمله ، تعمیر و نگهداری فن آوری و دانش و دارایی های مدیریت می باشد.

SOC استفاده شده است تا فناوری اطلاعات امنیت را برای مسیرارتباطات اصلی خدماتی فراهم کند. مرکز عملیات امنیت (SOC) از پنج مدل مجزا ساخته شده است : رویداد تازه ژنراتور(مولدها) ، رویداد مجموعه داران ( گرد آورندگان ) ، پایگاه پیام ، موتور تجزیه و تحلیل و واکنش نرم افزار مدیریت .

مشکل اصلی هنگامی مواجه می شود (روبرومی شود ) که ساختمان SOC از ادغام تمام این ماژول ها ، معمولا به عنوان قسمت مستقل ساخته شده ، هنگامی که منطبق بر دسترس پذیری ، تمامیت (بی نقصی ) و امنیت داده ها و انتقال آنها کانال به وجود می آید

اسلاید 16 :

Security operation center

ماژول ها SOC 

مرکز عملیات امنیت عمومی واژه توصیف بخشی یا تمام شده می باشد و سکوی هدف اش تامین شناسایی و خدمات را به واکنش حوادث امنیتی است. با توجه به این تعریف ، ما می توانیم پنج عملیات انجام شده توسط SOC تشخیص دهیم : تولید (ثبت) رویداد امنیت ، جمع آوری ، ذخيره سازي ، تجزیه و تحلیل و واکنش .
در معماری SOC چیستی اطلاعات جمع اوری شده و چگونگی تحلیل ،پردازش و ارتباط این اطلاعات مشخص می شود .ایجاد یک SOC با معماری مناسب مستلزم موارد ذیل است:

1-تعیین دارایی ها
2-تصمیم گیری در مورد اطلاعات امنیتی که با یستی جمع آوری گردند
3-تعیین اطلاعات مرتبط و قابل تحلیل
4-تحلیل پدیده های امنیتی مرتبط
5-از کارشناسان امنیتی به نحو شایسته بهره گرفته شود
6-با مشتریان ارتباط برقرار گردد

اسلاید 17 :

Security operation center
تعاملSOC با بخشهای دیگر شبکه
تعامل مرکز عملیات امنیت شبکه SOC) )و مرکز عملیات شبکه (NOC= network operation center)
وظیفه اولیه NOC برقراری و حفظ کار کرد صحیح زیر ساخت شبکه می باشد.یک NOC مسئوول عملیات مناسب شبکه می باشد در حالیکه SOC رخدادهای امنیتی را جهت حفظ شبکه مدیریت می کند و NOC ها فاقد روشهایی جهت مدیریت متمرکز رخدادهای امنیتی می باشند.

سازمانها سعی دارند با پیاده سازی سیستم های امنیتی بصورت مستقل جهت واکنش در مقابل اثرات ویروس ،حملات و از دست دادن صحت شبکه ،کارایی شبکه را بالا ببرند.با وجود اینکه NOCوSOC می توانند به صورت مؤلفه های کاملاً جدا از هم عمل کنند،زمانیکه به صورت اجزاء در کنار هم شبکه را مدیریت می کنند،با کارآیی بهتری عمل می کنند.
NOCمی توانند اطلاعاتی را به SOC جهت تحلیل رخدادهای امنیتی ارائه نماید و متقابلاً SOCنتیجه این تحلیل را جهت اقدام مقتضی به NOC ارائه می دهد.

اسلاید 18 :

Security operation center

تعامل مرکز عملیات امنیت شبکه (SOC) و تیم پاسخگویی به فوریتهای کامپیوتری (CERT)
اگر SOCوNOC بصورت مجزا کار کنند ،تیم پاسخگویی رخدادها باید نمایندگانی از SOCوNOC داشته باشند.این امر موجب تسریع در تعیین مشکل و رفع آن میشود . برای مثال تعیین می شود که مبدأ مشکل شبکه ،فایروال است یا خیروسپس یک Trouble ticket برای این مشکل صادر و به NOC ارسال میشود.در صورتی که NOC صحت شبکه را تأیید کرد،این Trouble ticket به SOC فرستاده می شود.اگرSOC کار کرد صحیح فایروال را تدیید کرد Trouble ticket برای پیگیری بیشتر به CERT ارسال می شود.با در گیر کردن متخصصان SOCوNOC،این تیم نظر و تجربه خود را برطرف کردن مشکل با بکارگیری ابزارها،تکنیکها و فرآیندهای تعیین رخداد ، ردگیری مبدأآن و ارائه پاسخ مناسب به آن اعمال خواهند کرد.

اسلاید 19 :

معماری ماژولهای soc
جعبه A : ماژول رویدادها تجزیه و تحلیل
جعبه C: جمع آوری رویداد تازه و قالب بندی ماژول
جعبه D: رویداد ماژول های پایگاه داده
جعبه E: مسئول تولید یک رویداد ماژول ها
جعبه K: مبنی اطلاعات (پایگاه دانش)
جعبه R: رویدادها واکنش ماژول

اسلاید 20 :

معماری ماژولهای soc

در متن اصلی پاورپوینت به هم ریختگی وجود ندارد. برای مطالعه بیشتر پاورپوینت آن را خریداری کنید