امروزه جهت مديريت رخدادهاي امنيتي، مهندسان امنيت با چالش­هاي جديد مواجه شده­اند كه از آلودگي اطلاعات نشأت مي­گيرد. به اين صورت كه در مواجهه با هشدار­ها، گزارش­ها و اطلاعات انبوه و گاه متناقض از ابزارهاي امنيتي دچار سردرگمی‌مي­شوند. واکنش­های امنيتي سيستم­هاي نظير آنتي­‌ويروس­ها[1]، فايروال­ها[2]، [3]‌IDS­ها را می‌توان در گزارش­های مديريت و كنترل دسترسي، گزارش­های ورود افراد و خطاي سيستم­ها دسته‌بندی کرد. این واکنش­ها در قالب­ها و مكان­هاي مختلف ذخیره‌شده و به نقاط مختلفي گزارش داده مي‌شوند که عملاً بازدهي خود را از دست می‌دهند. همچنین علاوه بر حجم بالاي صدور اين رخدادها، حملات امنيتي روز­به­روز بيشتر و هوشمندتر مي­شوند. اقداماتی در سال‌های اخير بر روي حذف عامل انساني و تجميع و گردآوري گزارش­های از ابزارهاي مختلف انجام شده است. اساس این اقدامات با استفاده از تكنيك­هاي هوش مصنوعي و پايگاه دانش و تيم­هاي خارجي [4] CERTانجام شده است كه مجموعاً [5]SOC ناميده مي­شود. به صورت کلی SOC را می‌توان به صورت زیر تعریف کرد.

• ارائة تصویری یکپارچه و جامع به‌صورت لحظه‌ای از وضعیت امنیت شبکه‌ها و سرویس‌ها (Inventory)

• تشخیص حملات و نفوذها (Detection)

• اقدام به‌موقع برای مقابله با حملات (Reaction)

• کاهش تأثیر حمله‌ها و رخدادهای امنیتی

مثال فيزيكي براي SOC سيستم نظارتي است كه داراي دوربين­هاي مداربسته در يك مجتمع است. اتاق نظارت توسط نمایشگرهایی، رخدادها را نمايش مي­دهد و در پاره­اي از موارد مثل آژير خطر هشدار را به اپراطور اطلاع می‌دهد. در اين هنگام رخداد مربوطه توسط مسئول نظارت مي­شود، دستورات لازم صادرشده و براي مقابله با حوادث مشابه آتي تدابير امنيتي نظير منع دسترسي يك شخص انديشيده مي‌­شود. برای مطالعه کامل سند پیش‌رو لطفا اینجا کلیک کنید...

[1] Antivirus

[2] firewall

[3] Intrusion detection system

[4] Community Emergency Response Teams

[5] Security Operation Center