• strict warning: Non-static method view::load() should not be called statically in /home/gilascom/domains/gilascomputer.com/public_html/sites/all/modules/views/views.module on line 879.
  • strict warning: Declaration of views_handler_filter::options_validate() should be compatible with views_handler::options_validate($form, &$form_state) in /home/gilascom/domains/gilascomputer.com/public_html/sites/all/modules/views/handlers/views_handler_filter.inc on line 0.
  • strict warning: Declaration of views_handler_filter::options_submit() should be compatible with views_handler::options_submit($form, &$form_state) in /home/gilascom/domains/gilascomputer.com/public_html/sites/all/modules/views/handlers/views_handler_filter.inc on line 0.
  • strict warning: Declaration of views_plugin_row::options_validate() should be compatible with views_plugin::options_validate(&$form, &$form_state) in /home/gilascom/domains/gilascomputer.com/public_html/sites/all/modules/views/plugins/views_plugin_row.inc on line 0.
  • strict warning: Declaration of views_plugin_row::options_submit() should be compatible with views_plugin::options_submit(&$form, &$form_state) in /home/gilascom/domains/gilascomputer.com/public_html/sites/all/modules/views/plugins/views_plugin_row.inc on line 0.

SOC

مرکزعملیات امنیت

Security Operation Center

 

 

مركز عمليات امنيت شبكه، (SOC) مكاني جهت مانيتورينگ و كنترل 24 ساعته ورود و خروج اطلاعات در شبكه مي باشد. به طور كلي هر مركز SOC به سه سطح عمده تقسيم مي شود كه هر يك وظايف خاصي را بر عهده دارند. اين سطوح عبارتند از:

سطح يكم، نقطه تماس Client‌ها و مسئول پاسخ گويي به اخطارهاي دريافتي ازClient ‌هاست. در اين سطح به كليه اخطارهايي كه از پيچيدگي پايين‌تري برخوردارند، پاسخ داده مي‌شود.

سطح دوم، در حقيقت مكمل سطح يكم است و مسئول پاسخ‌گويي به مشكلات پيچيده تر در سيستم‌هاي امنيتي شبكه مي‌باشد. براي اخطارهايي كه از اهميت بالايي برخوردارند، سيستم هاي سطح دوم به طور كامل درگير مي‌شوند.

سطح سوم، در اين سطح كارشناسان ارشد و مشاوران امنيتي شبكه قرار دارند. اين سطح در حقيقت پشتيبان دو سطح پايين‌تر است. در صورتي كه به اشكالات امنيتي در دو سطح پايين پاسخ داده نشود، كارشناسان و سيستم‌هاي اين سطح، درگير مي‌شوند. كليه تدابير امنيتي و مديريت امنيت شبكه، در اين سطح انديشيده مي‌شود.

در طراحي مراكز امنيت شبكه، متدولوژي‌هاي مختلفي مطرح مي‌باشد. با اين حال پايه همه متدولوژي‌ها براساسِ تركيب تكنولوژي، نيروي انساني، فرآيندها در هسته فعاليت مركز امنيت شبكه و احاطه آن توسط فرآيندهاي اجرايي مي‌باشد. اين فرآيندها شامل برنامه‌ريزي، طراحي، پياده‌سازي، عملياتي نمودن و توسعه مركز امنيت شبكه مي‌باشد.

لايه بعدي در طراحي مركز SOC، شامل ابزارها و معيارهايي است كه از طريق آن‌ها خدمات ارائه شده ارزيابي مي‌گردند. اين ابزارها و معيارها شامل چشم‌انداز، منابع، زمان، هزينه، ارتباطات و ريسك‌هاي موجود در راه اندازي SOC مي‌باشد.

نكته قابل‌توجه در طراحي يك SOC، انعطاف‌پذيريِ متدولوژي طراحي آن است كه به واسطه آن مي‌توان براي هر يك از مشتريان مطابق سرويس‌هاي مورد نيازشان راه حل خاصي براي مديريت امنيت شبكه ارائه نمود.

در هر يك از سطوح مطرح‌شده، ابزاري براي مديريت سيستم‌هاي امنيتي در نظر گرفته مي شود. اين ابزارها امنيت شبكه را از دو ديدگاه درون‌سازماني و برون‌سازماني مورد بررسي قرار مي‌دهند. براي اين منظور، هر SOCداراي يك سري تجهيزات در داخل شبكه و يك سري تجهيزات در خود مركز مي باشد. همه سرويس‌هايي كه از مراكز SOC ارائه مي‌گردند، مانيتورينگ و مديريت‌ شده هستند. ديگر سرويس‌هايي كه از طريق اين مراكز قابل‌ارائه مي‌باشند، سرويس‌هاي پيشرفته‌اي به شرح زير مي‌باشد:

- توسعه سياست‌هاي امنيتي‌
- آموزش مباحث امنيتي‌
- طراحي ديواره‌هاي آتش‌
- پاسخگويي آني‌
- مقابله با خطرات و پياده‌سازي

سرويس‌هايي كه از طريق اين مراكز ارائه مي‌گردند، عبارتند از سرويس‌هاي مديريت شده‌اي كه از تجهيزات و ارتباطات مركز SOC محافظت مي‌نمايند. اين سرويس‌ها از متدولوژي و ابزارهاي نرم‌افزاري و سخت افزاري قدرتمندي براي مديريت امنيت استفاده مي‌نمايند. اجزاي سخت‌افزاري كه در شبكه‌ها توسط سيستم‌هاي مديريت‌شده براي اعمال سياست‌هاي امنيتي مورد استفاده قرار مي‌گيرند، عبارتند از: سيستم‌هاي كشف و رفع حملات (Intrusion Detection System)، سيستم‌هاي‌ فايروال و سيستم‌هاي مديريت امنيت در شبكه‌هاي خصوصي مجازي.

معماری SOC

  SOCبستري است كه سرويس هاي كشف و واكنش را در مقابل حوادث امنيتي فراهم مي آورد. طبق اين تعريف مي توان پنج نوع عمليات مختلف را در حوزه  SOC در نظر گرفت :

  • ثبت رخداد امنيتي
  •  جمع آوري
  •  ذخيره سازي
  •  تحليل
  •  واكنش

جهت آسانتر شدن مفهوم، معماری  SOC  را با كادرهایي نشان مي دهيم كه هر يك ازاين كادرها، گروه عملياتي از ماژول هايي است كه عمليات خاصي را انجام مي دهند:

 

 

درمعماري SOC چيستي اطلاعات جمع آوري شده و چگونگي تحليل،پردازش و ارتباط اين اطلاعات مشخص مي شود.  ايجاد يك  SOC با معماري مناسب مستلزم موارد ذيل است :

  1.  تعيين دارايي ها
  2.  تصميم گيري در مورد اطلاعات امنيتي كه بايستي جمع آوري گردند
  3.  تعيين اطلاعات مرتبط و قابل تحليل
  4.  تحليل پديده هاي امنيتي مرتبط
  5.  از كارشناسان امنيتي به نحو شايسته بهره گرفته شود.
  6.  با مشتريان ارتباط برقرار گردد

 

Security Information and Event Management SIEM

 

 

SIEM که در لغت به معنای امنیت اطلاعات و مدیریت رویداد نگاری می باشد از مباحث مهم در طراحی یک مرکز عملیات امنیت SOC می باشد. یکی از قسمت های اساسی در هر SOC مبحث SIEM  می باشد.

SIEM برگرفته از دو راه حل متفاوت است كه شامل:

  1. (Security Information Management (SIM
  2.  (Security Event Management(SEM

سيستم SIEM تجزيه تحليل هاي Real-Time از هشدارهاي امنيتي دستگاه ­ها و نرم افزارهاي شبكه را فراهم مي آورد .
راه حل هاي SIEM مشتمل بر نرم افزار ،سخت افزار و سرويس ها ،به منظور وقايع نگاري امنيتي و ارائه گزارش هاي امنيتي می باشد .
كلمات اختصاري SIEM,SEM,SIM را مي توان در مواردي بجای يكديگر بكار برد هر چند كه اصولا معاني متفاوتي دارند .
در مباحثي نظير مديريت امنيت كه با Real-time Monitoring ،وقايع نگاري، هشدارها و مسائلي از اين دست سر و كار دارد معمولا با كلمه SEM همراه مي شود .
مبحث ديگر كه شامل تحليل و آناليز Log ها و گزارش دهي مي گردد معمولا به عنوان SIM همراه مي شود .

توانمندی های SIEM 

  •  ادغام داده ها (Log Management)SIEM/LM  : (Data Aggregation) داده ها را از منابع  فراواني نظير شبكه، امنيت، سرورها، بانک های اطلاعاتی، نرم افزارهاي كاربردي جمع آوري ميكند تا حوادث حياتي شبكه تحت نظارت قرار بگیرند.
     
  • پيوستگي (Correlation) : اين بخش سعي در يافتن ويژگي هاي مشترك در اطلاعات دارد تا بر اساس آن ها بتواند بسته ي تحليلي كاملي را ارائه نمايد . 

اين تكنولوژي سبب ايجاد توانايي به هم مربوط ساختن داده هاي مختلف مي گردد تا در مجموع اطلاعات قابل استفاده اي بدست آيد .

  • (SIEM/LM : Dashboard)  داده هاي وقايع را گرفته و آن ها را در قالب اطلاعات قابل ارائه، با فرمت هاي استاندارد ارائه مي نمايد.
  •  Compliance: مي تواند به صورت خودكار مباحث امنيتي را با خواسته هاي مثلا دولتي و يا سياست هاي خاص سازماني انطباق داده و در صورت عدم انطباق گزارش دهي نمايد.
  •  (SIEM/SIM : Retention ) اطلاعات را به صورت Long-term نگهداري مي نمايند تا در سوابق تاريخي امنيت شبكه ضبط گردد.

تعامل  SOC با دیگر بخش های شبکه

 

 

تعامل مركز عمليات امنيت شبكهSOC  و مسئول عمليات شبكه NOC

وظيفه اوليه NOC برقراري و حفظ كاركرد صحيح زيرساخت شبكه مي باشد. يك NOC مسئول عملیات مناسب شبکه می باشد در حالی که SOC رخدادهای امنیتی را جهت حفظ شبکه مدیریت می کند و همانگونه که می دانید NOC ها فاقد روش هایی جهت مدیریت متمرکز رخدادهای امنیتی می باشند .

سازمان ها سعي دارند با پياده سازي سيستم هاي امنيتي بصورت کاملا مستقل با واكنش در مقابل اثرات ويروس، حملات و با حفظ عملکرد صحیح ،كارائي شبكه را بالا ببرند. باوجوداينكه NOC و SOC ميتوانند بصورت مؤلفه هاي كاملاً جدا از هم عمل كنند، ولی زماني كه بصورت اجزاء كنار هم، شبكه را مديريت مي كنند، از كارآيي بهتري برخوردار خواهند بود.

NOCمی تواند اطلاعاتی را به SOCجهت تحليل رخداد هاي امنيتي ارائه نمايد ومتقابلا SOC نتيجه اين تحليل را جهت اقدام مقتضي به  NOC ارائه مي دهد.

 

 

تعامل مركز عمليات امنيت شبكه  SOC و تيم پاسخگويي به فوريت هاي كامپيوتري CERT

اگر SOCو NOCبصورت مجزا كار كنند،تيم پاسخگويي رخدادها بايد نمايندگاني از هر دو گروهNOCوSOCداشته باشند .اين امر موجب تسريع در تعيين مشكل و رفع آن مي شود. براي مثال تعيين مي شود كه مبدأ مشكل شبكه، فايروال است يا خير و سپس يك Trouble ticket براي اين مشكل صادر و به  NOC  ارسال مي شود. در صورتي كه  NOC صحت شبکه را تأييد كرد این  Trouble ticket به SOC فرستاده مي شود اگر  SOC كاركرد صحيح فايروال راتأييد كرد، Trouble ticket برای پیگیری بیشتر به CERT ارسال می شود . با درگير كردن متخصصان SOC و    NOC این تيم نظر و تجربه خود را براي برطرف كردن مشكل با بكارگيري ابزارها، تكنيك ها و فرآيندهاي تعيين رخداد، ردگيري مبدأ آن و ارائه پاسخ مناسب به آن اعمال خواهند كرد.

 

نیاز به سرویس های مدیریت شده

حملات چه از طريق منابع داخلي چه از طريق منابع خارجي، در هر لحظه شبكه و برنامه‌هاي كاربردي ارائه شده از طريق آن را تهديد مي‌نمايد. هكرها در جاهاي مختلف دنيا در هر لحظه كل تجهيزات امنيتي شبكه را مانيتور مي‌نمايند و در صورتي كه يكي از تجهيزات به طور دقيق فعاليت خود را انجام ندهد، از آن نقطه، يك ورودي براي خود ايجاد خواهند نمود. به منظور جلوگيري از نفوذ هكرها به شبكه، لازم است سيستم امنيتي در SOC از قابليت اطمينان بالايي برخوردار باشد. 

براي ايجاد يك سيستم امنيتي با ويژگي‌هاي مناسب براي مديريت يك شبكه با برنامه‌هاي كاربردي متنوع، پرسنل كارآمدي لازم است كه بتوانند كليه سيستم هاي امنيتي از ضد ويروس ها تا شبكه‌هاي خصوصي مجازي را بدون وابستگي به محصول خاص و يا تكنولوژي مشخص مديريت نمايند.

سيستم‌هايي كه در SOC جهت مديريت امنيت شبكه نصب و راه‌اندازي مي‌گردند، داراي مكانيزم‌هاي بررسي تجهيزات شبكه به صورت خودكار مي باشند.

تجهيزاتي كه توسط اين سيستم مورد‌بررسي قرار مي‌گيرند، محدود به سيستم‌هاي امنيتي نيستند، بلكه كليه تجهيزات زيرساختي شبكه نيز توسط اين سيستم مديريت امنيت يكپارچه مورد بررسي قرار مي‌گيرند. اين سيستم در‌حقيقت الگوهاي ترافيكي ارسالي از كليه تجهيزات شبكه از جمله سرورها، مسيرياب‌ها، فايروال‌ها و سيستم‌هاي امنيتي فيزيكي را مورد بررسي قرار داده و هر‌كدام از آن‌ها كه توان ايجاد يك ريسك امنيتي را دارند مشخص مي‌سازد و راه نفوذ به آن سيستم را مي‌بندد. هر الگوي ترافيكي غيرعادي مشاهده شده، توسط زيرسيستم‌هاي آناليزكننده مورد بررسي قرار مي‌گيرد و متناسب با نوع خطاي تشخيص داده‌شده، اخطارهاي لا‌زم در شبكه براي هر يك از تجهيزات مربوطه ارسال مي‌گردد. در حالت عادي نيز با توجه به برنامه Polling در نظر گرفته شده، كليه سيستم‌ها در شبكه مانيتور مي‌گردند و با توجه به Profile هاي امنيتي موجود براي هر سيستم، حمله‌هاي احتمالي تشخيص داده شده و دفع مي‌گردند.

انواع سرویس های مدیریت شده در SOC :

دیوار آتش Firewall

 

 

فايروال‌ها اولين سد ورودي بين اطلاعات محرمانه در يك شبكه و دنياي خارج از آن مي باشند. در يك مركز SOC ، لازم است اين تجهيزات به طور مداوم از نظر امنيتي بررسي گردند. براي اطمينان كامل از امنيت اين تجهيزات، به طور معمول از مارك‌هاي مختلف فايروال‌ها در شبكه استفاده مي‌گردد. به طور مثال در يك شبكه كه چندين فايروال وجود دارد، معمولاً اين تجهيزات را از سازنده هاي مختلف انتخاب مي‌كنند و با استفاده از يك مديريت متمركز، آن‌ها را كنترل مي‌نمايند. 

براي مديريت امنيت اين تجهيزات مراحل زير پيموده مي گردد:

- بررسي عملكرد Firewallها
- پاسخ به اخطارها پس از اعلام شدن
- بررسي log ‌هاي ثبت شده در فايروال
- بررسي نرم افزار و سخت افزارهاي مربوط به فايروال

 

سیستم های تشخیص حملات IDS

 

 

سيستم‌هايي نظير IDSها در يك شبكه به كارآمدي كليه تجهيزات، فرآيندها و كاركناني وابسته مي‌باشند كه در مواقع لزوم به رخدادها پاسخ مي‌دهند. با توجه به اين نكته كه حسگرهاي IDS در هر زمان تعداد زيادي اخطار توليد مي‌كنند و در شبكه امكان پاسخگويي به همه آن‌ها وجود ندارد، لازم است حساسيت IDSها را به گونه‌اي تنظيم نمود كه فقط تهديدات اساسي را اعلام نمايند. اما اين كار باعث مي‌شود تعدادي از حمله‌ها تشخيص داده‌نشود. براي جلوگيري از بروز اشكال، مي‌توان هر يك از IDSها را براي يك Application خاص تخصيص داد. 

با استفاده از ويژگي‌هاي مختلف اين سيستم‌ها، مي‌توان از طريق مركز SOC حملات را كنترل نمود. در مراكزSOC از ويژگي‌هاي IDSها نظير كمتر‌نمودن False Positives ، StatefulSignature كه يك فرم پيشرفته تشخيص حمله‌ها با استفاده از Signatureها مي‌باشد،Protocol Anomaly Detection كه قابليت تحليل ترافيك و اطمينان از عدم وجودPacketهاي غير قانوني با استفاده از مقايسه Protocol portion را دارد، مي‌باشد،Traffic Anomaly Detection جهت مقايسه ترافيك‌هاي نرمال و غيرنرمال براي مقابله طبيعي و غيرطبيعي با حملات، استفاده مي‌شود. در مراكزSOC با تركيب‌كردن تكنولوژي‌هاي Stateful Signature Detection  و Protocol Anomaly ، Traffic Anomaly Detection قابليت تشخيص حمله‌ها افزايش داده مي‌شود.

 

امکان فیلتر کردن محتوا

 

 

يكي از اصلي ترين سرويس‌ها در مراكز SOC ، امكان فيلتركردن محتواي ورودي به سرورها مي‌باشد. فيلتر كردن محتوا در SOC با هدف جلوگيري از دسترسي به سايت‌هاي غيرلازم، جلوگيري از دسترسي به انواع خاصي از فايل‌ها و محدود كردن حملات ويروس‌ها، Wormها و Trojanها (بسياري از ويروس‌هاي خطرناك مانند Nimda وCodeRed به عنوان برنامه‌هاي اجرايي با استفاده از HTTP و يا پروتكل‌هاي رايج ديگر كه Firewallها به آن‌ها اجازه ورود مي‌دهند، وارد شبكه مي‌شوند. در نتيجه كاربران به صورت ناآگاهانه اين محتويات را از سايت‌هاي ايمنDownload مي‌كنند.) صورت مي‌پذيرد. 

نرم افزار URL Filtering كليه Page ها را در گروه‌ هاي از ‌پيش‌ تعيين ‌شده دسته‌بندي مي‌كند و بر‌طبق آن دسته‌بندي‌ها، دسترسي به يك Page را ممكن و يا غير‌ممكن مي‌سازد. همچنين قادر است ليستي از سايت‌ هايي كه كاربران مي‌توانند به آن‌ها دسترسي داشته باشند، تهيه نمايد. به طور عمده لازم است اين نرم‌افزار قادر باشد دسترسي به محتويات دسته‌بندي‌شده را فيلتر كند. همچنين لازم است بتواند استثناهايي براي سياست خاص خود بر مبناي فاكتورهاي مختلفي از جمله گروه كاربران‌، موقعيت كاربران، ساعت استفاده و... قائل شود.

نرم افزارهايي كه در اين مراكز براي فيلتر كردن مورد استفاده قرار مي‌گيرند، بايد از متدهاي مناسبي جهت جلوگيري از دسترسي، دسته بندي پايگاه هاي اطلاعاتي و ليست‌هاي كنترلي برخوردار باشند. همچنين بروزرساني‌ها بايد با فواصل كوتاه انجام شوند و بهتر است به طور كامل صورت پذيرند نه به صورت تفاضلي. بروزرساني‌ها نبايد سيستم‌هاي عملياتي را دچار وقفه سازند.

 

امکان تشخیص ویروس

ويروس‌ها بيشتر توسطEmail  و ترافيك اينترنتي منتقل مي‌شوند. بنابراين، دفاع در خط مقدم يعني Internet Gateway بهترين راه مقابله با آن‌ها مي‌باشد. با افزودن قابليت Virus Scanning برروي Cache ها، مي‌توان با اعمال روش‌هاي مختلف ويروس‌يابي، اقدامات مناسبي جهت از بين بردن آن‌ها در Internet Gateway انجام داد. مركز SOC، عمليات كنترل و اسكن ويروس‌ها را با بهره‌گيري از نرم‌افزارهاي مناسب برعهده دارد.

 

سرویس های AAA

در مركز SOC براي تعريف و كنترل دسترسي به تجهيزات و سرويس‌هاي شبكه از AAA( Authentication , Authorization and Accounting )  استفاده مي‌شود. AAA سرورها در مراكز مختلف و براي سرويس‌هاي گوناگون به كار گرفته مي‌شوند و مديران شبكه و كاربران نيز از طريق آن اجازه دسترسي به منابع شبكه را در سطوح مختلف كسب مي‌كنند. يكي از روش‌هايي كه در مراكز SOC براي تشخيص هويت كاربران و اعمال سياست‌هاي امنيتي به كار مي‌رود، استفاده از CA يا Certificate Authority است.CAها، كليدعمومي يك شخص يا يك سازمان را به همراه ديگر مشخصات تشخيص هويت در گواهينامه ديجيتال قرار داده و سپس آ‌ن ‌را امضا مي‌نمايند. اين كار صحت اطلاعات موجود در آن‌را اعلام و تأييد مي‌نمايد. گواهي‌نامه‌هاي ديجيتال، فايل‌هايي هستند كه در اصل به عنوان نوعي گذرنامه عمل مي‌نمايند و توسط CAها صادر مي‌شوند. نقش CA در اين پروسه، تأييد فردي است كه يك گواهينامه به آن اختصاص داده شده است. در واقع همان كسي است كه خود شخص اظهار مي دارد. 

با قرار دادن CA در يك مركز SOC، مي‌توان محدوده وسيعي از Applicationها را با ايمني بالاتري نسبت به امنيتي كه توسط نام كاربري و رمز عبور فراهم مي شود، پشتيباني كرد.

 

پیاده سازی امنیت در مرکز SOC

با بهره گيري از ابزارهاي مختلف امنيت شبكه در SOC، حملات به شبكه در سه رده و از جهات مختلف مورد بررسي قرار مي‌گيرد. اين سه رده عبارتند از: Visibility ، Verification و vulnerability كه با ادغام عملياتي كه در هر رده انجام مي‌پذيرد، مي‌توان امكان كنترل و مديريت امنيت را در شبكه ايجاد نمود. در هر يك از اين رده‌ها فعاليت‌هاي خاصي انجام مي‌گيرد كه به واسطه آن‌ها از نفوذ به داخل شبكه جلوگيري مي‌شود و در صورت ورود نيز از پيشروي آن‌ها جلوگيري به عمل مي‌آيد. در هر يك از اين رده‌ها، تجهيزاتي وجود دارند كه مي‌توانند متناسب با وظايفشان از شبكه محافظت نمايند.

 


 

Vulnerability

تجهيزاتي كه در اين رده مورد استفاده قرار مي‌گيرند، به محض اين‌كه نصب و راه‌اندازي مي‌شوند، بايد Update گردند. فاكتورهايي كه از طريق اين تجهيزات Update مي‌گردند، شامل پيكربندي سرورها، برنامه‌هاي كاربردي، پكيج‌هاي نرم‌افزارهاي امنيتي مرتبط با سيستم‌عامل‌ها مي‌باشند كه با توجه به سرعت رشد راه‌هاي نفوذ، به سرعت از درجه اعتبار ساقط مي‌گردد. با در نظر گرفتن اين نكته، اين رده كمترين تاثير را در برخورد با حملات دارد.

 

Visibility

 با استفاده از تجهيزات اين سطح كه عمدتاً شامل فايروال‌ها مي‌باشند، مي‌توان امنيت كليه تجهيزات شبكه را مانيتورينگ نمود. در اين قسمت كليه امكانات‌ مربوط به ديواره‌هاي آتش Update مي‌شود و پيكربندي آن‌ها متناسب با عملكردشان در شبكه، تغيير مي‌كند. اين تغييرات بدون زمان‌بندي خاص و در ازاي تغيير مكانيزم‌ها و روند حملات به شبكه اعمال مي‌گردند. مشكلاتي كه در رابطه با تغيير پيكربندي فايروال‌ها به‌وجود مي‌آيند، منحصر به تكنولوژي نيست. هر بار كه پيكربندي اين تجهيزات توسط پرسنل Update مي‌گردد، امكان دارد كه با يك اشتباه در پيكربندي راه نفوذي براي هكرها ايجاد گردد. 

با توجه به حجم و ابعاد شبكه‌ها و پورت‌هايي كه از طريق آدرس‌هاي IP سرويس داده مي‌شوند، تعداد نقاطي كه بايد اسكن گردند مشخص مي‌شود. براي برقراري سطوح امنيتي متناسب با نيازهاي هر كاربر، اين پورت‌ها به گروه‌هاي مختلف دسته‌بندي مي‌گردند. به اين ترتيب پورت‌هايي كه از اهميت بالايي برخوردارند، توسط سيستم‌هاي مربوطه در فواصل زماني كوتاه (معمولاً هر 5 دقيقه يك‌بار) اسكن مي شوند. با توجه به حجم بالاي اطلاعاتي كه در هر بازه زماني توليد مي‌شود، بايد مكانيزم‌هايي در SOC وجود داشته باشد تا به واسطه آن اين حجم بالاي اطلاعات پردازش گردد و گزارش‌هاي مورد نياز استخراج شود. 

 

Verification

اصلي ترين و البته مشكل ترين قسمت در يك مركز SOC، حصول اطمينان از امنيت قسمت‌هايي است كه كنترل مستقيمي بر آن‌ها وجود ندارد. براي اين منظور بايد ابزاري به‌كار گرفته شود كه از طريق آن بتوان به صورت غيرمستقيم تجهيزات مربوطه را كنترل نمود. در حقيقت بايد راه نفوذ از طريق آن تجهيزات را مسدود ساخت.

 

سرویس های پیشرفته در مراکز SOC

سرويس‌هاي پيشرفته‌اي كه از طريق اين مراكز قابل‌ارائه مي‌باشد، در‌حقيقت سرويس‌هايي است كه به واسطه آن مي‌توان سياست‌هاي امنيتي را مطابق با نيازها پيش‌بيني نمود. در مراكز SOC علاوه بر مديريت امنيت تجهيزات شبكه، زيرساخت‌هاي اطلاعاتي نيز از لحاظ امنيتي پشتيباني مي‌شوند. اين زير ساخت ‌ها به طور كلي شامل پرسنل، فرآيندها و روال‌هاي كاري در شبكه مي‌باشند. در استانداردهاي تدوين‌شده براي امنيت نظير استانداردهاي ISO27001 نحوه پياده‌سازي روال‌هاي مديريت امنيت در شبكه‌ها مشخص شده است. 

در بخش مديريت امنيت فرآيندها در مركز SOC مراحل مختلفي طي مي‌شود تا به‌واسطه آن يك روال در شبكه از هر لحاظ ايمن گردد. مرحله اول مرحله سياست‌گذاري است. پس از تدوين سياست‌ها و تطبيق آن‌ها با استانداردهاي موجود در زمينه امنيت شبكه، روال‌هاي استخراج‌شده جهت پياده‌سازي به مسئولا‌ن تحويل مي‌شوند. نكته ديگري كه در اين زمينه قابل‌بررسي است، آگاهي پرسنل SOC از تهديدات امنيتي است. باتوجه به وجود طيف وسيعي از سخت‌افزارهاي امنيت شبكه، كه هر كدام متناسب با شركت سازنده خود نياز به مهارت‌هاي خاصي براي استفاده دارند، و همچنين تغييرات سريع تكنولوژي و نحوه حمله به تجهيزات شبكه، نياز است پرسنل SOC از مهارت‌هاي خاصي برخوردار بوده و همواره به كسب اطلاعات جديد مشغول باشند. براي بروز نگه‌داشتن اطلاعات پرسنل از كلاس‌هاي آموزشي جهت تشخيص حملات جديد و نحوه برخورد با آن‌ها استفاده مي‌شود. با توجه به حساسيت وظايف در مراكز SOC، پرسنل اين مراكز اهميت بالا‌يي دارند. به اين ترتيب حفظ منافع و رضايت خاطر پرسنل از مهم‌ترين مسئوليت‌هاي صاحبان SOC مي‌باشد.