आज हम उन लोगों की ओर से सुरक्षा संचालन केंद्र (एसओसी) के बारे में बात करेंगे जो इसे बनाते और कॉन्फ़िगर नहीं करते हैं, लेकिन यह जांचें कि अन्य लोगों ने यह कैसे किया। स्वतंत्र रूप से या बाहर से किसी व्यक्ति द्वारा आपकी कंपनी के लिए निर्मित एसओसी की प्रभावशीलता की जाँच की जाती है। चेक इस सवाल का जवाब देता है कि "क्या एसओसी सौंपे गए कार्यों को पूरा करता है या नहीं और यह कितना प्रभावी है?"। आखिरकार, एसओसी की उपस्थिति का मतलब यह नहीं है कि यह काम करना चाहिए और आपको किसी भी संभावित घटनाओं और अन्य सुरक्षा समस्याओं के बारे में पता होना चाहिए। हम अपनी परियोजनाओं के भीतर विभिन्न कंपनियों में एसओसी सत्यापन में अपने अनुभव के बारे में बताएंगे।



उन लोगों के लिए जो पहले से ही जानते हैं कि एसओसी क्या है और इसके साथ क्या नशे में है, हम सुझाव देते हैं कि तुरंत लेख के दूसरे भाग पर जाएं । हमारा सुझाव है कि आप बाकी लेख को इसकी संपूर्णता में पढ़ें।

भाग 1. शुरुआती लोगों के लिए एसओसी के बारे में थोड़ा

सूचना प्रणालियों का संरक्षण लगभग किसी भी उद्योग में सबसे पहले आता है। सूचना के किसी भी अनधिकृत उपयोग से कंपनी के लिए गंभीर समस्याएं पैदा हो सकती हैं।

किसी भी, यहां तक ​​कि सबसे छोटी कंपनी की सूचना प्रणाली, जटिल है, और इसके सभी भागों को एक ही सिद्धांत के अनुसार संरक्षित किया जाना चाहिए - पहले संगठनात्मक, फिर निवारक उपाय, फिर निगरानी उपकरण जो विसंगतियों और प्रतिक्रिया उपकरणों का पता लगाते हैं। लोग अंतिम पर हैं, लेकिन कम से कम, खतरों का मुकाबला करने का चरण, हालांकि ऐसा होता है कि लोगों को शामिल किए बिना एक सुरक्षा समस्या को हल किया जा सकता है, उदाहरण के लिए, स्वचालित रूप से बंदरगाहों को अवरुद्ध करने या एक साझा नेटवर्क से मशीन को डिस्कनेक्ट करके। सिस्टम के प्रत्येक घटकों की सुरक्षा के लिए उपयोग किए जाने वाले उपकरण कंपनी से कंपनी में भिन्न हो सकते हैं, लेकिन एक सामान्य प्रवृत्ति है - धीरे-धीरे कंपनियां, उनके आकार की परवाह किए बिना, एसओसी - सुरक्षा संचालन केंद्र शुरू करने के विचार में आती हैं।

इसके कई कारण हैं:

• एसओसी का उपयोग करने से मैन्युअल रूप से सुरक्षा घटनाओं पर नज़र रखने की लागत कम हो जाती है
• सिस्टम ईवेंट एक स्थान पर इकट्ठा होते हैं, कम संभावना है कि उनमें से कोई भी खो जाएगा;
• एसओसी आपको किसी विशेष कंपनी की जरूरतों और विशेषताओं के अनुसार घटनाओं को वर्गीकृत करने के लिए नियमों को सुरक्षा घटनाओं के रूप में कॉन्फ़िगर करने की अनुमति देता है;
• एसओसी आपको सुरक्षा घटनाओं का पता लगाने और प्रतिक्रिया के समय को कम करने की अनुमति देता है, जिससे कंपनी को संभावित नुकसान को कम किया जा सकता है;
• SOC में आने वाली लॉग्स को एक ही लुक में लाया जाता है, जो आपको सुरक्षा घटनाओं की प्रभावी ढंग से जांच करने की अनुमति देता है, भले ही कोई हमलावर यह नोटिस करने का प्रयास करे कि वे सिस्टम में हैं।

एसओसी कई परस्पर संबंधित घटकों के साथ एक बुनियादी ढांचा है, इसका आधार सीएमई (सुरक्षा सूचना और घटना प्रबंधन) है। CRM एक डेटा संग्रह, सामान्यीकरण और सहसंबंध प्रणाली है जो वेब सर्वर, होस्ट मशीनों और अन्य बुनियादी ढांचे के घटकों से लॉग एकत्र करता है, साथ ही साथ संगठन के नेटवर्क के उपकरणों पर स्थापित सूचना सुरक्षा उपकरण, उन्हें सामान्य करने के लिए वापस लाता है और उन्हें संसाधित करता है। यह कोलम्बिया का मुख्य कार्य है - उन दोनों के बीच संबंधों का पता लगाने की सुविधा के लिए विभिन्न स्रोतों से बड़ी संख्या में लॉग को एक प्रारूप में लाना। यह एसओसी के एक अन्य घटक के लिए आवश्यक है - एसओसी विश्लेषकों, जो कि कोलम्बिया से लॉग की विशाल सूचियों को देखते हैं, उन्हें अपने स्वयं के कुछ घटनाओं का जवाब देना चाहिए या उन्हें सुरक्षा विशेषज्ञों के काम में स्थानांतरित करना चाहिए।

इसमें दो समान SOC नहीं हैं क्योंकि इसका विन्यास प्रत्येक संगठन के लिए अलग-अलग है। एसओसी बनाने के मुख्य चरण निम्नानुसार हैं:

• संगठनात्मक और तकनीकी रूप से संरक्षित बुनियादी ढाँचे को परिभाषित करना;
• संरक्षण और निगरानी के सभी संभव / आवश्यक साधनों की स्थापना, साथ ही उनके विन्यास;
• कंपनी की सुविधाओं के आधार पर एक उपयुक्त सिएम और उसके समायोजन का चयन;
• घटना सहसंबंध नियम बनाना;
• एसओसी टीम का चयन - ऐसे लोग जिनके काम घटनाओं की निगरानी करेंगे और सहसंबंध के नियमों में सुधार कर रहे हैं, साथ ही सुरक्षा घटनाओं का जवाब भी देंगे।

सब कुछ परिभाषित, स्थापित और कॉन्फ़िगर किए जाने के बाद भी, कोई भी यह गारंटी नहीं दे सकता है कि अब एसओसी काम करता है जैसा कि आप चाहें या कोलम्बिया डेवलपर्स से सुंदर प्रस्तुतियों में दिखाया जाए। सुरक्षा के किसी भी माध्यम का उपयोग करने के साथ मूलभूत समस्या यह है कि वास्तव में कोई नहीं जानता कि वे कितनी प्रभावी रूप से काम करते हैं। यह न केवल उन्हें स्थापित करने और चलाने के लिए महत्वपूर्ण है, बल्कि यह सुनिश्चित करने के लिए भी है कि किए गए उपाय प्रभावी हैं। सुरक्षा के मामलों में कंपनी की परिपक्वता का स्तर भी बेहद महत्वपूर्ण है।

चूंकि एसओसी एक जटिल और बहु-घटक संरचना है, इसलिए यह समझना महत्वपूर्ण है कि इसके निर्माण के प्रत्येक सूचीबद्ध चरणों में, कुछ गलत हो सकता है। और यह सिस्टम की समग्र सुरक्षा और स्वयं एसओसी की दक्षता को प्रभावित करने की संभावना है।

भाग 2. यदि आप एसओसी की प्रभावशीलता की जांच नहीं करते हैं, तो क्या होता है, लेकिन यह सब कुछ छोड़ दिया है?

शुरू करने के लिए, कुछ गलत हो सकता है, यहां तक कि संगठन के बुनियादी ढांचे में मामूली बदलाव के साथ। और वे अक्सर होते हैं - कोई छोड़ देता है, नए लोग आते हैं, कुछ टूटते हैं, हार्डवेयर और सॉफ़्टवेयर अपडेट होते हैं, और बहुत कुछ। इस मामले में, एसपीआई और सहसंबंध के नियमों को तुरंत बदल दिया जाना चाहिए, लेकिन वे अक्सर इसके बारे में भूल जाते हैं, और जब वे याद करते हैं, तो बहुत देर हो चुकी होती है।



एसओसी का अगला हिस्सा जहां त्रुटियां हो सकती हैं , सुरक्षा का साधन है, जहां से जानकारी दर्ज की जाती है, गलत तरीके से कॉन्फ़िगर किया जा सकता है और बाहर से सिस्टम पर लक्षित कार्यों को छोड़ सकता है। और यदि हमलावर की कार्रवाई को मौजूदा SZI में से किसी ने भी नहीं पहचाना है, तो यह लॉग में नहीं आएगा और यह CRM में नहीं होगा, और सबसे अधिक संभावना है कि सुरक्षा सेवा को इसके बारे में जल्द ही पता नहीं चलेगा।



समस्या सीएमजी में हो सकती है। यह काम नहीं करेगा जैसा आप चाहते हैं। सहसंबंध नियमों में त्रुटियों के कारण गलत तरीके से होने वाली घटनाओं को गलत तरीके से सहसंबद्ध किया जा सकता है, जिससे हमलावर के कार्यों को रोका जा सकेगा। यहां यह स्पष्ट करने योग्य है कि हमेशा एक स्रोत से पर्याप्त डेटा नहीं होता है। ऐसे मामले हैं जब सुरक्षा घटनाओं को निर्धारित करने के लिए, सिस्टम में क्या हो रहा है, इसकी पूरी तस्वीर प्राप्त करने के लिए कई स्रोतों से डेटा को एक साथ जोड़ना आवश्यक है। लेकिन यह पता चल सकता है कि नियम को कॉन्फ़िगर किया गया है ताकि यह निर्धारित किया जा सके कि क्या हुआ है घटना एक स्रोत से पर्याप्त डेटा नहीं हो सकती है, जो इसके पूरा होने के तथ्य को इंगित करता है। यानी कई स्रोतों से डेटा वाली एक पहेली काम नहीं करेगी। इसके अलावा, कुछ सुरक्षा घटनाओं के नियम बिल्कुल भी मौजूद नहीं हो सकते हैं।

कोलम्बिया में घटना सहसंबंध चरण में, एक ही बार में कई समस्याएं पैदा हो सकती हैं। उनमें से एक कुछ स्रोतों से घटनाओं के प्रसारण में देरी हो सकती है, जो सफल सहसंबंध में हस्तक्षेप कर सकती है।

इवेंट्स को क्लासिफाइड करने के नियम क्योंकि CRM में घटनाओं को अपने आप ठीक से कॉन्फ़िगर नहीं किया जा सकता है, या वे किसी भी इवेंट के लिए उपलब्ध नहीं हो सकते हैं। इसके अलावा, घटनाओं में आमतौर पर एक गंभीरता का स्तर होता है, जिसे अगर सही तरीके से नहीं पहचाना जाता है तो बड़ी समस्याएं हो सकती हैं।



कोलम्बिया के साथ काम करने वाले लोग , जिनका काम सुरक्षा घटनाओं पर प्रतिक्रिया देना है, मिस्ड हमलों और बाद की सूचना सुरक्षा समस्याओं का कारण बन सकता है। वे CRM से कुछ संकेतों को याद कर सकते हैं या विभिन्न कारणों से हमलावर के कार्यों के लिए गलत तरीके से प्रतिक्रिया कर सकते हैं। यह भी समस्या है कि लोग जल्दी या बाद में छोड़ देंगे, और नए कर्मचारियों को प्रशिक्षित करने के लिए समय की आवश्यकता होती है।

उपरोक्त को देखते हुए, प्रदर्शन को सत्यापित करने के लिए SOC परीक्षण SOC कार्यान्वयन चरण और समय के साथ बेहद महत्वपूर्ण है। चूंकि हमारी कंपनी के विशेषज्ञों का इस मामले में पहले से ही अनुभव है, इसलिए हमने मुख्य बिंदुओं और बारीकियों का वर्णन करने का निर्णय लिया।

भाग 3. एसओसी की प्रभावशीलता की जाँच करना

एक कंपनी में एसओसी परीक्षण कई परिदृश्यों में आयोजित किया जा सकता है। आइए उन लोगों के बारे में बात करते हैं जो हमारे लिए सबसे प्रभावी हैं।

एसओसी परीक्षण कार्यों में साइबर अपराधियों के लिए विशिष्ट व्यवहार परिदृश्यों को पुन: प्रस्तुत करके सुरक्षा परीक्षण शामिल हैं। इनमें शामिल हैं:

• ब्रूट बल का उपयोग करने वाले अन्य उपयोगकर्ताओं के खातों के साथ-साथ पासवर्ड छिड़काव तकनीक का उपयोग करके पुनरावृति। इस तकनीक का उपयोग करना संभव है यदि आपके पास सिस्टम में मौजूदा खातों की सूची तक पहुंच है, उदाहरण के लिए, मेल क्लाइंट की एड्रेस बुक के माध्यम से। हमारे अनुभव में, पासवर्ड छिड़काव तकनीक अक्सर भूल जाती है और तदनुसार, एसओसी नियम शायद ही इस तरह के हमले का पता लगा सकते हैं;
• एक वेब संसाधन से डेटा पंप, यह एक कॉर्पोरेट विकी या एक कार्य प्रबंधक हो। इस तरह के हमले को विभिन्न वेब क्रॉलिंग और डायरेक्टरी ब्रूट मैकेनिज्म का उपयोग करके किया जा सकता है। अलग-अलग, ऑडिटर एपीआई सेवाओं और उनकी क्षमताओं पर ध्यान देते हैं;
• संसाधनों या परियोजनाओं तक पहुंचने के लिए बार-बार प्रयास जो कि उस भूमिका की क्षमता से बाहर हैं जिसके लिए हमलावर काम करता है। एक सरल उदाहरण नेटवर्क प्रशासकों और सुरक्षा सेवाओं के संसाधनों पर डेवलपर्स के एक समूह से एक उपयोगकर्ता को अधिकृत करने का प्रयास है;
• बाईपास फ़िल्टरिंग तकनीकों का उपयोग करके कॉर्पोरेट नेटवर्क से बड़ी मात्रा में जानकारी डाउनलोड करने का प्रयास। यह मुख्य रूप से डीएनएस और आईसीएमपी सुरंगों के बारे में है, लेकिन कभी-कभी यह सरल चेक के साथ शुरू करने के लिए समझ में आता है, उदाहरण के लिए, एक टीसीपी या यूडीपी पोर्ट की तलाश करें, साथ ही साथ एक अतिरिक्त गेटवे भी। गेटवे की खोज करने के लिए, वैसे, कर्मचारियों में से एक से एक लोकप्रिय उपकरण का संशोधित कार्यान्वयन है।

एक समान सूची को लंबे समय तक जारी रखा जा सकता है। ग्राहक की वास्तविक जरूरतों और उसके द्वारा कार्यान्वित चेक द्वारा निर्देशित किया जाना सबसे महत्वपूर्ण है।

एसओसी परीक्षण दो तरीकों से किया जा सकता है:

• आँख बंद करके - ब्लैकबॉक्स;
• बुनियादी ढांचे के ज्ञान के साथ - व्हाइटबॉक्स।

उनमें से प्रत्येक के बारे में अधिक जानकारी।

सबसे पहले, आपको ब्लैकबॉक्स परीक्षण मोड में एसओसी के संचालन की जांच करनी चाहिए। इसका सार यह है कि एसओसी विभाग के कर्मचारियों को किए जा रहे काम के बारे में पता नहीं होता है और सभी घटनाओं का मुकाबला मोड में होता है। लेखा परीक्षकों / पंचकों को कॉर्पोरेट नेटवर्क तक पहुंच दी जाती है, और कंपनी में सबसे व्यापक रूप से उपयोग की जाने वाली सेवाओं से भी खाते दिए जा सकते हैं।

ऐसा मॉडल मानता है कि एक हमलावर जिसके पास कोई अतिरिक्त जानकारी नहीं है, उसे कंपनी के नेटवर्क और किसी भी मौजूदा खाते की जानकारी अज्ञात रूप से प्राप्त होती है। इस तरह के एक हमलावर की कार्रवाई यादृच्छिकता और "शोर" की एक उच्च डिग्री की विशेषता है। वह सक्रिय रूप से नेटवर्क को स्कैन करता है, निर्देशिकाओं पर निर्भर करता है, खातों, सभी पोर्टों को जानता है, एक्सएसएस, एसक्यूआई, आरसीई, एसएसटीआई, नोएसक्यूआई, आदि वैक्टर के साथ वेब अनुप्रयोगों को भेजता है। सामान्य तौर पर, वह कम से कम कुछ हैक करने की उम्मीद में बेहद आक्रामक व्यवहार करता है। ऑडिट के दौरान, ऑडिटर इस तरह के हमलावर के कार्यों की नकल करते हैं, पागलपन की दी गई डिग्री को बनाए रखते हैं, लेकिन एसओसी सेवा के अनुरोध पर या तकनीकी समस्याएं आने पर किसी भी समय रुकने के लिए तैयार हैं। वैसे, एक अप्रत्याशित और सुखद परिणाम कंपनी के बुनियादी ढांचे में कमजोर सेवाओं और अनुप्रयोगों की खोज हो सकता है।

एक अन्य परीक्षण मॉडल व्हाइटबॉक्स है। इस मामले में, एक बेईमान कर्मचारी के परिदृश्य पर काम किया जाता है। आमतौर पर, इस बिंदु पर, ऑडिटर ग्राहक के नेटवर्क से अच्छी तरह से वाकिफ होते हैं और इस तरह की भूमिका निभा सकते हैं। इस मामले में एक संभावित हमलावर का व्यवहार दोनों साधनों की उच्च चयनात्मकता और हमले के लक्ष्यों की विशेषता हो सकता है। यहां एपीटी हमलों के साथ कुछ समानताएं खींचना पहले से ही संभव है। ऑडिटर अपनी राय में केवल सबसे कमजोर स्थानों पर हमला करते हैं और अच्छी तरह से सोचा-समझा और संकीर्ण रूप से लक्षित हमले वाले वैक्टर का उपयोग करते हैं, और सुरक्षित परिधि से बाहर पंप करने के लिए अपने खाते की भूमिका की क्षमता के बाहर संवेदनशील जानकारी तक पहुंचने का भी प्रयास करते हैं। वे इस तरह से सभी कार्यों को करने की कोशिश करते हैं जैसे कि कंपनी की सुरक्षा सेवा द्वारा किसी का ध्यान नहीं जाता है।

परीक्षण के बाद, लेखा परीक्षकों द्वारा प्राप्त परिणामों और एसओसी कर्मचारियों द्वारा पता की गई घटनाओं का विश्लेषण और तुलना आमतौर पर शुरू होती है। यह चरण एसओसी के वर्तमान कार्य की प्रभावशीलता की एक सामान्य तस्वीर प्रदान करेगा और मौजूदा चेक और दृष्टिकोण का विस्तार करने के लिए सभी आगे की योजनाओं के लिए एक प्रारंभिक बिंदु के रूप में काम कर सकता है।

अंत में, जब परीक्षण किए गए बुनियादी ढांचे की सुरक्षा का एक विचार संकलित किया जाता है, तो ऑडिटर नियमों के मौजूदा सेट का विश्लेषण करने के लिए व्हाइटबॉक्स परीक्षण का उपयोग कर सकते हैं, साथ ही उन नियमों के आधार पर घटनाओं का भी गठन कर सकते हैं। ऑडिटर्स और एसओसी विश्लेषकों के बीच यह इंटरैक्शन बहुत उत्पादक हो सकता है, और परामर्श के दौरान एसओसी घटकों के कॉन्फ़िगरेशन में तार्किक त्रुटियों और चूक की पहचान करने में मदद करेगा। उनकी जड़ आमतौर पर एसओसी विश्लेषकों द्वारा समझने की कमी है कि एक वास्तविक हमलावर कैसे कार्य कर सकता है और सिस्टम पर क्या चालें चला सकता है।

निष्कर्ष

सबसे महत्वपूर्ण सेवाएं जो बारीकी से ध्यान देने योग्य हैं, उन्हें घुसपैठियों के दो मॉडलों का उपयोग करके अलग से परीक्षण किया जाता है।

उपायों का एक समान सेट आपको इसकी अनुमति देता है:

• उनके बुनियादी ढांचे की स्थिति के बारे में सुरक्षा प्रबंधकों की जागरूकता में काफी वृद्धि;
• लेखापरीक्षा के क्षेत्र में विशेषज्ञों से सलाह लेने के अवसर के साथ एसओसी विभाग के लिए सैन्य अभ्यास करना;
• एसओसी के काम में मौजूदा त्रुटियों का पता लगाने और उन्हें सही करने के साथ-साथ कंपनी की सुरक्षा को बढ़ाते हैं।

इस लेख को लिखने में मदद के लिए, मैं डेनिस _ttffdd_ राइबिन और इवान चेलिनक को धन्यवाद देता हूं ।