دانش رسان |
مرکز علم و دانش کشور مقاله پیاده سازی مرکز عملیات امنیت به صورت نرمافزاری
در حال بارگذاری
توجه : به همراه فایل word این محصول فایل پاورپوینت (PowerPoint) و اسلاید های آن به صورت هدیه ارائه خواهد شد
مقاله پیاده سازی مرکز عملیات امنیت به صورت نرمافزاری دارای ۶ صفحه می باشد و دارای تنظیمات در microsoft word می باشد و آماده پرینت یا چاپ است
فایل ورد مقاله پیاده سازی مرکز عملیات امنیت به صورت نرمافزاری کاملا فرمت بندی و تنظیم شده در استاندارد دانشگاه و مراکز دولتی می باشد.
توجه : در صورت مشاهده بهم ریختگی احتمالی در متون زیر ،دلیل ان کپی کردن این مطالب از داخل فایل ورد می باشد و در فایل اصلی مقاله پیاده سازی مرکز عملیات امنیت به صورت نرمافزاری،به هیچ وجه بهم ریختگی وجود ندارد
بخشی از متن مقاله پیاده سازی مرکز عملیات امنیت به صورت نرمافزاری :
چکیده
در این مقاله به امکانسنجی و پیادهسازی یک مرکز عملیات امنیت نرمافزای۱ میپردازیم. در این مرکز عملیات امنیت از سیستم تشخیص نفوذ تحت میزبان OSSEC، سیستم تشخیص و جلوگیری از نفوذ تحت شبکه Snort، فایروال PFsence، سیستم تشخیص بات نت Bothunter، سیستم امنیتی کشف شبکه Nmap و سیستم کشف آسیبپذیریهای شبکه Nessus استفاده می گردد. تمام سیستمهای یاد شده را به نرمافزاری که وظیفه عملیات امنیت را بر عهده دارد یعنی نرمافزار OSSIM متصل مینماییم. با توجه به اینکه سیستمهای نرمافزاری مختلف که اهداف مختلفی در این مرکز دارند هر یک دارای قالب هشدار۲ خاص خود می باشند و هشدارهای خروجی آنها با یکدیگر متفاوت میباشد، نرمافزار مرکز عملیات امنیت ما باید ابتدا هشدارها را به یک قالب مشترک تبدیل نماید و سپس همبستهسازی را بر روی هشدارها انجام دهد و در قالب گزارشهایی سطح بالا تمام تهدیدات موجود در شبکه را در اختیار عامل انسانی قرار دهد.
کلمات کلیدی
SOC, Alert correlation, OSSIM, OSSEC, Snort, Pfsence, Bothunter, Nmap, Nessus
.۱ مقدمه
گسترش روزافزون تهدیدات امنیتی در فضای سایبری و همچنین انجام حملات جدید سایبری و هدمند باعث گردیده است که دیگر استفاده از روش های امنیتی سابق جوابگوی این نوع حملات و تهدیدات نباشد. در گذشته از سیتسمهای تشخیص و جلوگیری از نفوذ۳، فایروالها۴ و;; به صورت جدا در شبکه استفاده میگردید اما مشکلی که استفاده اینچنینی از این سیستمها به دنبال دارد این است که اولا ممکن است که خروجی هر یک از این سیستمها و یا دستگاهها برای دیگری مورد نیاز باشد و با توجه به اینکه اکثر این سیستمها هشدارهای
۱ Security Operation Center 2 Alert 3 Intrusion Detection and Prevention System 4 Firewall
خود را در قالبهای محتلفی تولید مینمایند این امکان فراهم نمیباشد و نمی توان از خروجی یک دستگاه یا نرمافزار به عنوان ورودی دستگاه و یا نرمافزار دیگری استفاده نمود دوما هر یک از این نرمافزارها در یک شبکه متوسط حجم بسیار زیادی از هشدارها را تولید مینمایند که بررسی این هشدارها به وسیله عامل انسانی به هیچ وجه امکان پذیر نمیباشد و در صورت استفاده از چنین سیستمهایی تعداد زیادی از هشدارها یقینا بدون بررسی باقی میمانند . سوما ممکن است که هشدارهایی که این سامانهها تولید مینمایند هشدارهای درست و صحیح نباشند و ترکیبی از هشدارهای غلط نیز در آنها موجود باشد که این هشدارهای غلط هم باعث افزایش حجم هشدارها میگردند و هم باعث گمراه کردن و تلف کردن وقت عامل انسانی بررسی کننده این هشدارها میگردد. دلایل زیادی وجود دارد که استفاده از این سامانهها را به صورت جدا در شبکه به شکست محکوم می نماید که در بالا به سه مورد مهم آن اشاره گردید. دلیل مهم دیگری که استفاده از این سامانهها را غیر کارآمد مینماید حملات چندگامی۵ می باشد. دلیل ناکارآمدی این سامانهها در تشخیص حملات چند گامی این است که ممکن است هر یک از سامانههای امنیتی ما یک گام از این حملات را تشخیص دهند اما به دلیل عدم ارتباطی تعریف شده بین این سامانهها در نهایت این سامانهها در تشخیص حملات چندگامی با شکست مواجه میگردند.
اما راهحل تمام مشکلات ذکر گردیده در قسمت قبل استفاده از یک مرکز عملیات امنیت یا SOC میباشد. امکان پیادهسازی این مرکز هم به صورت نرمافزاری و هم به صورت سختافزاری می باشد که ما در این مقاله به پیادهسازی نرمافزاری این مرکز می پردازیم. نرمافزار OSSIM نقش اصلی را در پیادهسازی ما بر عهده دارد در واقع نرمافزار OSSIM به عنوان مرکز عملیات امنیت نرمافزاری ما ایفای نقش مینماید. میتوانید این مورد را در شکل ۱ مشاهده نمایید.
شکل -۱ طرح یک مرکز عملیات امنیت
۵ Multistep Attack
نرمافزار OSSIM پس از دریافت هشدارهای مختلف از سامانههای مختلف ابتدا تمام آنها را به یک قالب مشترک تبدیل مینماید. سپس هشدارهای دریافتی را با یکدیگر همبسته مینماید. البته مراحل انجام کار بسیار گستردهتر میباشد که در قسمتهای بعدی به آن اشاره مینماییم. این نرمافزار سپس از طریق واسط گرافیکی تحت وبی که در اختیار کاربر قرار میدهد امکان مشاهده گزارش های مختلف را به کاربر می دهد. در ادامه در قمست دوم این مقاله به معرفی نرمافزار OSSIM و امکانات و تواناییهای آن میپردازیم و در قمست سوم این مقاله به معرفی نرمافزارهای که قصد اتصال آنها را به OSSIM داریم میپردازیم. در قسمت چهارم این مقاله طریقه اتصال یکی از این نرمافزارها را به عنوان نمونه بیان مینماییم و در قسمت پنجم و آخر این مقاله نتیجهگیری و ارزیابی این روش را انجام میدهیم.
.۲ معرفی نرمافزار OSSIM
در این قسمت از گزارش به معرفی نرمافزار OSSIM میپردازیم. نرم افزار OSSIM6 محصول شرکت Alienvault میباشد. این نرمافزار یکی از قویترین نرمافزارهای متن باز امنیتی میباشد.
نرمافزار OSSIM از قسمتهای مختلفی تشکیل شده است که این قسمتها عبارتند از:
-۱ تشخیص دهندگان:۷ در شبکهای که تحت نظارت است هر دستگاه یا برنامهای که رویداد تولید نماید به عنوان یک Detector در محیط OSSIM شناخته می شود.
-۲ جمعآورندگانCollector :8ها رویدادهایی را که توسط سنسورها و هر سیستم خارجی دیگری تولید شده است جمع آوری مینمایند. Collectorها رویدادها را قبل از ارسال به SIEM و Logger دستهبندی۹ و نرمال۱۰ مینمایند.
:SIEM – 3 کامپوننت SIEM سیستم را با هوشمندی امنیتی۱۱ و توانایی Data Mining با ویژگیهای زیر فراهم میآورد:
• Risk Assessment (تخمین ریسک)
• Correlation (همبستگی)
• Risk Metric (ارزیابی ریسک)
• Vulnerability Scanning (پویش آسیب پذیریها)
• Data Mining For Event (داده کاوی برای رویدادها)
• Real time monitoring (نظارت بدون تاخیر)
Alienvault SIEM از یک پایگاه داده SQL استفاده مینماید و ذخیرهسازی اطلاعات به صورت نرمال شده اجازه ارزیابی قوی و توانایی دادهکاوی بر روی دادهها را میدهد.
Logger -4 (مخصوص نسخه :(Pro کامپوننت Logger رویدادها را به صورت فرمت خام۱۲ در سیستم فایل ذخیره میکند . رویدادها برای پیگیریهای قانونی بعدی در صورت مواجه شدن با مشکل، با امضاء دیجیتال ذخیره می شوند.
-۵ واسط کاربری تحت وب:۱۳ واسط وب دسترسی به اطلاعاتی که توسط سیستم تولید و جمعآوری شده است را فراهم میآورد. همچنین با استفاده از این واسط امکان دسترسی به پارامترهای برنامه برای تنظیم برنامه را دارا میباشید.
مراحل پردازش هشدار در نرمافزار OSSIM را میتوانید در شکل ۲ مشاهده نمایید که این مراحل عبارتند از:
۱- دستگاهها و برنامههای خارجی رویدادها را تولید میکنند (تشخیص دهندگان خارجی(۱۴
۲- برنامههایی که توسط AlienVault حمل میشوند رویدادها را تولید میکنند (تشخیص دهندگان (Alienvault15
۳- رویدادها قبل از اینکه به سرور مرکزی ارسال شوند جمعآوری و نرمال (تماما به یک زبان استاندارد تبدیل می گردند) میشوند(جمع کنندهها( ۱۶
- در صورتی که به هر دلیلی موفق به دانلود فایل مورد نظر نشدید با ما تماس بگیرید.
