اشاره :
با گسترش روزافزون استفاده از ارتباطات و انتقال اطلاعات در بستر شبكه‌ها و اينترنت، حجم وسيعي از مبادلات تجاري و اداري، از اين طريق صورت مي‌پذيرد. امروزه سرويس‌هاي اينترنتي و تحت‌شبكه، به عنوان قابل‌اعتمادترين، سريع‌ترين و در دسترس‌ترين ابزارهاي ارتباطي به شمار مي‌روند. با توجه به اهميت فوق العاده‌اي كه شركت‌هاي بزرگ به استفاده از چنين بسترهايي در اداره امور خود مي‌دهند، جايگاه و اهميت مقوله امنيت به وضوح مشخص است. زماني كه نوبت به امنيت مي‌رسد، هر سازماني نياز و سياست مختص خود را دارد. به اين ترتيب راه‌حل‌هاي امنيتي، بايد به گونه‌اي استاندارد طراحي شوند تا بتوانند نيازهاي كليه سازمان‌ها را بدون نياز به تغييرات اساسي در ساختار سيستم‌هاي آن‌ها، پوشش دهند. در شماره‌ قبل به معرفي استاندارد BS7799 اشاره نموديم. در اين شماره قصد داريم به نحوه مديريت يكپارچه امنيت اطلاعات و ارتباطات با استفاده از استاندارد BS7799 در يك مركز امنيت
شبكه SOC يا Security Operations Center اشاره نماييم.




مركز عمليات امنيت كجاست؟
مركز عمليات امنيت شبكه، (SOC) مكاني جهت مانيتورينگ و كنترل 24 ساعته ورود و خروج اطلاعات در شبكه مي باشد. به طور كلي هر مركز SOC به سه سطح عمده تقسيم مي شود كه هر يك وظايف خاصي را بر عهده دارند. اين سطوح عبارتند از: سطح يكم، نقطه تماس Client‌ها و مسئول پاسخ گويي به اخطارهاي دريافتي ازClient ‌هاست. در اين سطح به كليه اخطارهايي كه از پيچيدگي پايين‌تري برخوردارند، پاسخ داده مي‌شود.

سطح دوم، در حقيقت مكمل سطح يكم است و مسئول پاسخ‌گويي به مشكلات پيچيده تر در سيستم‌هاي امنيتي شبكه مي‌باشد. براي اخطارهايي كه از اهميت بالايي برخوردارند، سيستم هاي سطح دوم به طور كامل درگير مي‌شوند.

[IMG]سطح سوم[/IMG]، در اين سطح كارشناسان ارشد و مشاوران امنيتي شبكه قرار دارند. اين سطح در حقيقت پشتيبان دو سطح پايين‌تر است. در صورتي كه به اشكالات امنيتي در دو سطح پايين پاسخ داده نشود، كارشناسان و سيستم‌هاي اين سطح، درگير مي‌شوند. كليه تدابير امنيتي و مديريت امنيت شبكه، در اين سطح انديشيده مي‌شود.

در طراحي مراكز امنيت شبكه، متدولوژي‌هاي مختلفي مطرح مي‌باشد. با اين حال پايه همه متدولوژي‌ها براساسِ تركيب تكنولوژي، نيروي انساني، فرآيندها در هسته فعاليت مركز امنيت شبكه و احاطه آن توسط فرآيندهاي اجرايي مي‌باشد. اين فرآيندها شامل برنامه‌ريزي، طراحي، پياده‌سازي، عملياتي نمودن و توسعه مركز امنيت شبكه مي‌باشد. لايه بعدي در طراحي مركز SOC، شامل ابزارها و معيارهايي است كه از طريق آن‌ها خدمات ارائه شده ارزيابي مي‌گردند. اين ابزارها و معيارها شامل چشم‌انداز، منابع، زمان، هزينه، ارتباطات و ريسك‌هاي موجود در راه اندازي SOC مي‌باشد.

نكته قابل‌ توجه در طراحي يك SOC، انعطاف‌پذيريِ متدولوژي طراحي آن است كه به واسطه آن مي‌توان براي هر يك از مشتريان مطابق سرويس‌هاي مورد نيازشان راه حل خاصي براي مديريت امنيت شبكه ارائه نمود.



در هر يك از سطوح مطرح‌شده، ابزاري براي مديريت سيستم‌هاي امنيتي در نظر گرفته مي شود. اين ابزارها امنيت شبكه را از دو ديدگاه درون‌سازماني و برون‌سازماني مورد بررسي قرار مي‌دهند. براي اين منظور، هر SOC داراي يك
سري تجهيزات در داخل شبكه و يك سري تجهيزات در خود مركز مي باشد. همه سرويس‌هايي كه از مراكز SOC ارائه مي‌گردند، مانيتورينگ و مديريت‌شده هستند. ديگر سرويس‌هايي كه از طريق اين مراكز قابل‌ارائه مي‌باشند، سرويس‌هاي پيشرفته‌اي به شرح زير مي‌باشد:

- توسعه سياست‌هاي امنيتي‌
- آموزش مباحث امنيتي‌
- طراحي ديواره‌هاي آتش‌
- پاسخگويي آني‌
- مقابله با خطرات و پياده‌سازي


سرويس‌هايي كه از طريق اين مراكز ارائه مي‌گردند، عبارتند از سرويس‌هاي مديريت شده‌اي كه از تجهيزات و ارتباطات مركز SOC محافظت مي‌نمايند. اين سرويس‌ها از متدولوژي و ابزارهاي نرم‌افزاري و سخت افزاري قدرتمندي براي مديريت امنيت استفاده مي‌نمايند. اجزاي سخت‌افزاري كه در شبكه‌ها توسط سيستم‌هاي مديريت‌شده براي اعمال سياست‌هاي امنيتي مورد استفاده قرار مي‌گيرند، عبارتند از: سيستم‌هاي كشف و رفع حملات (Intrusion Detection System)، سيستم‌هاي‌ فايروال و سيستم‌هاي مديريت امنيت در شبكه‌هاي خصوصي مجازي.

نياز به سرويس‌هاي مديريت شده
حملات چه از طريق منابع داخلي چه از طريق منابع خارجي، در هر لحظه شبكه و برنامه‌هاي كاربردي ارائه شده از طريق آن را تهديد مي‌نمايد. هكرها در جاهاي مختلف دنيا در هر لحظه كل تجهيزات امنيتي شبكه را مانيتور مي‌نمايند و در صورتي كه يكي از تجهيزات به طور دقيق فعاليت خود را انجام ندهد، از آن نقطه، يك ورودي براي خود ايجاد خواهند نمود. به منظور جلوگيري از نفوذ هكرها به شبكه، لازم است سيستم امنيتي در SOC از قابليت اطمينان بالايي برخوردار باشد.



براي ايجاد يك سيستم امنيتي با ويژگي‌هاي مناسب براي مديريت يك شبكه با برنامه‌هاي كاربردي متنوع، پرسنل كارآمدي لازم است كه بتوانند كليه سيستم هاي امنيتي از ضد ويروس ها تا شبكه‌هاي خصوصي مجازي را بدون وابستگي به محصول خاص و يا تكنولوژي مشخص مديريت نمايند.

سيستم‌هايي كه در SOC جهت مديريت امنيت شبكه نصب و راه‌اندازي مي‌گردند، داراي مكانيزم‌هاي بررسي تجهيزات شبكه به صورت خودكار مي باشند. تجهيزاتي كه توسط اين سيستم مورد‌بررسي قرار مي‌گيرند، محدود به سيستم‌هاي امنيتي نيستند، بلكه كليه تجهيزات زيرساختي شبكه نيز توسط اين سيستم مديريت امنيت يكپارچه مورد بررسي قرار مي‌گيرند. اين سيستم در‌حقيقت الگوهاي ترافيكي ارسالي از كليه تجهيزات شبكه از جمله سرورها، مسيرياب‌ها، فايروال‌ها و سيستم‌هاي امنيتي فيزيكي را مورد بررسي قرار داده و هر‌كدام از آن‌ها كه توان ايجاد يك ريسك امنيتي را دارند مشخص مي‌سازد و راه نفوذ به آن سيستم را مي‌بندد. هر الگوي ترافيكي غيرعادي مشاهده شده، توسط زيرسيستم‌هاي آناليزكننده مورد بررسي قرار مي‌گيرد و متناسب با نوع خطاي تشخيص داده‌شده، اخطارهاي لا‌زم در شبكه براي هر يك از تجهيزات مربوطه ارسال مي‌گردد. در حالت عادي نيز با توجه به برنامه Polling در نظر گرفته شده، كليه سيستم‌ها در شبكه مانيتور مي‌گردند و با توجه به Profile هاي امنيتي موجود براي هر سيستم، حمله‌هاي احتمالي تشخيص داده شده و دفع مي‌گردند.

انواع سرويس هاي مديريت شده در SOC

● ديواره آتش (Firewall)
فايروال‌ها اولين سد ورودي بين اطلاعات محرمانه در يك شبكه و دنياي خارج از آن مي باشند. در يك مركز SOC ، لازم است اين تجهيزات به طور مداوم از نظر امنيتي بررسي گردند. براي اطمينان كامل از امنيت اين تجهيزات، به طور معمول از مارك‌هاي مختلف فايروال‌ها در شبكه استفاده مي‌گردد. به طور مثال در يك شبكه كه چندين فايروال وجود دارد، معمولاً اين تجهيزات را از سازنده هاي مختلف انتخاب مي‌كنند و با استفاده از يك مديريت متمركز، آن‌ها را كنترل مي‌نمايند.



براي مديريت امنيت اين تجهيزات مراحل زير پيموده مي گردد:
- بررسي عملكرد Firewallها
- پاسخ به اخطارها پس از اعلام شدن
- بررسي log ‌هاي ثبت شده در فايروال
- بررسي نرم افزار و سخت افزارهاي مربوط به فايروال

● سيستم هاي تشخيص حملات (IDS)
سيستم‌هايي نظير IDSها در يك شبكه به كارآمدي كليه تجهيزات، فرآيندها و كاركناني وابسته مي‌باشند كه در مواقع لزوم به رخدادها پاسخ مي‌دهند. با توجه به اين نكته كه حسگرهاي IDS در هر زمان تعداد زيادي اخطار توليد مي‌كنند و در شبكه امكان پاسخگويي به همه آن‌ها وجود ندارد، لازم است حساسيت IDSها را به گونه‌اي تنظيم نمود كه فقط تهديدات اساسي را اعلام نمايند. اما اين كار باعث مي‌شود تعدادي از حمله‌ها تشخيص داده‌نشود. براي جلوگيري از بروز اشكال، مي‌توان هر يك از IDSها را براي يك Application خاص تخصيص داد.



با استفاده از ويژگي‌هاي مختلف اين سيستم‌ها، مي‌توان از طريق مركز SOC حملات را كنترل نمود. در مراكزSOC از ويژگي‌هاي IDSها نظير كمتر‌نمودن False Positives ، Stateful Signature كه يك فرم پيشرفته تشخيص حمله‌ها با استفاده از Signatureها مي‌باشد،Protocol Anomaly Detection كه قابليت تحليل ترافيك و اطمينان از عدم وجودPacketهاي غير قانوني با استفاده از مقايسه Protocol portion را دارد، مي‌باشد،Traffic Anomaly Detection جهت مقايسه ترافيك‌هاي نرمال و غيرنرمال براي مقابله طبيعي و غيرطبيعي با حملات، استفاده مي‌شود. در مراكزSOC با تركيب‌كردن تكنولوژي‌هاي Stateful Signature Detection و Protocol Anormaly ، Traffic Anomaly Detection قابليت تشخيص حمله‌ها افزايش داده مي‌شود.

● امكان ----- كردن محتوا
يكي از اصلي ترين سرويس‌ها در مراكز SOC ، امكان فيلتركردن محتواي ورودي به سرورها مي‌باشد. ----- كردن محتوا در SOC با هدف جلوگيري از دسترسي به سايت‌هاي غيرلازم، جلوگيري از دسترسي به انواع خاصي از فايل‌ها و محدود كردن حملات ويروس‌ها، Wormها و Trojanها (بسياري از ويروس‌هاي خطرناك مانند Nimda وCodeRed به عنوان برنامه‌هاي اجرايي با استفاده از HTTP و يا پروتكل‌هاي رايج ديگر كه Firewallها به آن‌ها اجازه ورود مي‌دهند، وارد شبكه مي‌شوند. در نتيجه كاربران به صورت ناآگاهانه اين محتويات را از سايت‌هاي ايمنDownload مي‌كنند.) صورت مي‌پذيرد.

نرم افزار URL Filtering كليه Page ها را در گروه‌هاي از‌پيش‌تعيين‌شده دسته‌بندي مي‌كند و بر‌طبق آن دسته‌بندي‌ها، دسترسي به يك Page را ممكن و يا غير‌ممكن مي‌سازد. همچنين قادر است ليستي از سايت‌هايي كه كاربران مي‌توانند به آن‌ها دسترسي داشته باشند، تهيه نمايد. به طور عمده لازم است اين نرم‌افزار قادر باشد دسترسي به محتويات دسته‌بندي‌شده را ----- كند. همچنين لازم است بتواند استثناهايي براي سياست خاص خود بر مبناي فاكتورهاي مختلفي از جمله گروه كاربران‌، موقعيت كاربران، ساعت استفاده و... قائل شود.

نرم افزارهايي كه در اين مراكز براي ----- كردن مورد استفاده قرار مي‌گيرند، بايد از متدهاي مناسبي جهت جلوگيري از دسترسي، دسته بندي پايگاه هاي اطلاعاتي و ليست‌هاي كنترلي برخوردار باشند. همچنين بروزرساني‌ها بايد با فواصل كوتاه انجام شوند و بهتر است به طور كامل صورت پذيرند نه به صورت تفاضلي. بروزرساني‌ها نبايد سيستم‌هاي عملياتي را دچار وقفه سازند.

● امكان تشخيص ويروس
ويروس‌ها بيشتر توسطEmai l و ترافيك اينترنتي منتقل مي‌شوند. بنابراين، دفاع در خط مقدم يعني Internet Gateway بهترين راه مقابله با آن‌ها مي‌باشد. با افزودن قابليت Virus Scanning برروي Cache ها، مي‌توان با اعمال روش‌هاي مختلف ويروس‌يابي، اقدامات مناسبي جهت از بين بردن آن‌ها در Internet Gateway انجام داد. مركز SOC، عمليات كنترل و اسكن ويروس‌ها را با بهره‌گيري از نرم‌افزارهاي مناسب برعهده دارد.

● سرويس‌هاي AAA
در مركز SOC براي تعريف و كنترل دسترسي به تجهيزات و سرويس‌هاي شبكه از AAA استفاده مي‌شود. AAA سرورها در مراكز مختلف و براي سرويس‌هاي گوناگون به كار گرفته مي‌شوند و مديران شبكه و كاربران نيز از طريق آن اجازه دسترسي به منابع شبكه را در سطوح مختلف كسب مي‌كنند. يكي از روش‌هايي كه در مراكز SOC براي تشخيص هويت كاربران و اعمال سياست‌هاي امنيتي به كار مي‌رود، استفاده از CA يا Certificate Authority است.CAها، كليدعمومي يك شخص يا يك سازمان را به همراه ديگر مشخصات تشخيص هويت در گواهينامه ديجيتال قرار داده و سپس آ‌ن ‌را امضا مي‌نمايند. اين كار صحت اطلاعات موجود در آن‌را اعلام و تأييد مي‌نمايد. گواهي‌نامه‌هاي ديجيتال، فايل‌هايي هستند كه در اصل به عنوان نوعي گذرنامه عمل مي‌نمايند و توسط CAها صادر مي‌شوند. نقش CA در اين پروسه، تأييد فردي است كه يك گواهينامه به آن اختصاص داده شده است. در واقع همان كسي است كه خود شخص اظهار مي دارد.

با قرار دادن CA در يك مركز SOC، مي‌توان محدوده وسيعي از Applicationها را با ايمني بالاتري نسبت به امنيتي كه توسط نام كاربري و رمز عبور فراهم مي شود، پشتيباني كرد.

پياده سازي امنيت در مركز SOC
با بهره گيري از ابزارهاي مختلف امنيت شبكه در SOC، حملات به شبكه در سه رده و از جهات مختلف مورد بررسي قرار مي‌گيرد. اين سه رده عبارتند از: Visibility ، Verification و vulnerability كه با ادغام عملياتي كه در هر رده انجام مي‌پذيرد، مي‌توان امكان كنترل و مديريت امنيت را در شبكه ايجاد نمود. در هر يك از اين رده‌ها فعاليت‌هاي خاصي انجام مي‌گيرد كه به واسطه آن‌ها از نفوذ به داخل شبكه جلوگيري مي‌شود و در صورت ورود نيز از پيشروي آن‌ها جلوگيري به عمل مي‌آيد. در هر يك از اين رده‌ها، تجهيزاتي وجود دارند كه مي‌توانند متناسب با وظايفشان از شبكه محافظت نمايند.

● Vulnerability
تجهيزاتي كه در اين رده مورد استفاده قرار مي‌گيرند، به محض اين‌كه نصب و راه‌اندازي مي‌شوند، بايد Update گردند. فاكتورهايي كه از طريق اين تجهيزات Update مي‌گردند، شامل پيكربندي سرورها، برنامه‌هاي كاربردي، پكيج‌هاي نرم‌افزارهاي امنيتي مرتبط با سيستم‌عامل‌ها مي‌باشند كه با توجه به سرعت رشد راه‌هاي نفوذ، به سرعت از درجه اعتبار ساقط مي‌گردد. با در نظر گرفتن اين نكته، اين رده كمترين تاثير را در برخورد با حملات دارد.

● Visibility
با استفاده از تجهيزات اين سطح كه عمدتاً شامل فايروال‌ها مي‌باشند، مي‌توان امنيت كليه تجهيزات شبكه را مانيتورينگ نمود. در اين قسمت كليه امكانات‌ مربوط به ديواره‌هاي آتش Update مي‌شود و پيكربندي آن‌ها متناسب با عملكردشان در شبكه، تغيير مي‌كند. اين تغييرات بدون زمان‌بندي خاص و در ازاي تغيير مكانيزم‌ها و روند حملات به شبكه اعمال مي‌گردند. مشكلاتي كه در رابطه با تغيير پيكربندي فايروال‌ها به‌وجود مي‌آيند، منحصر به تكنولوژي نيست. هر بار كه پيكربندي اين تجهيزات توسط پرسنل Update مي‌گردد، امكان دارد كه با يك اشتباه در پيكربندي راه نفوذي براي هكرها ايجاد گردد.




با توجه به حجم و ابعاد شبكه‌ها و پورت‌هايي كه از طريق آدرس‌هاي IP سرويس داده مي‌شوند، تعداد نقاطي كه بايد اسكن گردند مشخص مي‌شود. براي برقراري سطوح امنيتي متناسب با نيازهاي هر كاربر، اين پورت‌ها به گروه‌هاي مختلف دسته‌بندي مي‌گردند. به اين ترتيب پورت‌هايي كه از اهميت بالايي برخوردارند، توسط سيستم‌هاي مربوطه در فواصل زماني كوتاه (معمولاً هر 5 دقيقه يك‌بار) اسكن مي شوند. با توجه به حجم بالاي اطلاعاتي كه در هر بازه زماني توليد مي‌شود، بايد مكانيزم‌هايي در SOC وجود داشته باشد تا به واسطه آن اين حجم بالاي اطلاعات پردازش گردد و گزارش‌هاي مورد نياز استخراج شود.

● Verification
اصلي ترين و البته مشكل ترين قسمت در يك مركز SOC، حصول اطمينان از امنيت قسمت‌هايي است كه كنترل مستقيمي بر آن‌ها وجود ندارد. براي اين منظور بايد ابزاري به‌كار گرفته شود كه از طريق آن بتوان به صورت غيرمستقيم تجهيزات مربوطه را كنترل نمود. در حقيقت بايد راه نفوذ از طريق آن تجهيزات را مسدود ساخت.

سرويس هاي پيشرفته در مراكز SOC
سرويس‌هاي پيشرفته‌اي كه از طريق اين مراكز قابل‌ارائه مي‌باشد، در‌حقيقت سرويس‌هايي است كه به واسطه آن مي‌توان سياست‌هاي امنيتي را مطابق با نيازها پيش‌بيني نمود. در مراكز SOC علاوه بر مديريت امنيت تجهيزات شبكه، زيرساخت‌هاي اطلاعاتي نيز از لحاظ امنيتي پشتيباني مي‌شوند. اين زيرساخت‌ها به طور كلي شامل پرسنل، فرآيندها و روال‌هاي كاري در شبكه مي‌باشند. در استانداردهاي تدوين‌شده براي امنيت نظير استانداردهاي BS9977 نحوه پياده‌سازي روال‌هاي مديريت امنيت در شبكه‌ها مشخص شده است.

در بخش مديريت امنيت فرآيندها در مركز SOC مراحل مختلفي طي مي‌شود تا به‌واسطه آن يك روال در شبكه از هر لحاظ ايمن گردد. مرحله اول مرحله سياست‌گذاري است. پس از تدوين سياست‌ها و تطبيق آن‌ها با استانداردهاي موجود در زمينه امنيت شبكه، روال‌هاي استخراج‌شده جهت پياده‌سازي به مسئولا‌ن تحويل مي‌شوند. نكته ديگري كه در اين زمينه قابل‌بررسي است، آگاهي پرسنل SOC از تهديدات امنيتي است. باتوجه به وجود طيف وسيعي از سخت‌افزارهاي امنيت شبكه، كه هر كدام متناسب با شركت سازنده خود نياز به مهارت‌هاي خاصي براي استفاده دارند، و همچنين تغييرات سريع تكنولوژي و نحوه حمله به تجهيزات شبكه، نياز است پرسنل SOC از مهارت‌هاي خاصي برخوردار بوده و همواره به كسب اطلاعات جديد مشغول باشند. براي بروز نگه‌داشتن اطلاعات پرسنل از كلاس‌هاي آموزشي جهت تشخيص حملات جديد و نحوه برخورد با آن‌ها استفاده مي‌شود. با توجه به حساسيت وظايف در مراكز SOC، پرسنل اين مراكز اهميت بالا‌يي دارند. به اين ترتيب حفظ منافع و رضايت خاطر پرسنل از مهم‌ترين مسئوليت‌هاي صاحبان SOC مي‌باشد.


منبع:ماهنامه شبكه شماره 55