چکیده

در این مقاله به امکانسنجی و پیادهسازي یک مرکز عملیات امنیت نرمافزاي۱ میپردازیم. در این مرکز عملیات امنیت از سیستم تشخیص نفوذ تحت میزبان OSSEC، سیستم تشخیص و جلوگیري از نفوذ تحت شبکه Snort، فایروال PFsence، سیستم تشخیص بات نت Bothunter، سیستم امنیتی کشف شبکه Nmap و سیستم کشف آسیبپذیريهاي شبکه Nessus استفاده می گردد. تمام سیستمهاي یاد شده را به نرمافزاري که وظیفه عملیات امنیت را بر عهده دارد یعنی نرمافزار OSSIM متصل مینماییم. با توجه به اینکه سیستمهاي نرمافزاري مختلف که اهداف مختلفی در این مرکز دارند هر یک داراي قالب هشدار۲ خاص خود می باشند و هشدارهاي خروجی آنها با یکدیگر متفاوت میباشد، نرمافزار مرکز عملیات امنیت ما باید ابتدا هشدارها را به یک قالب مشترك تبدیل نماید و سپس همبستهسازي را بر روي هشدارها انجام دهد و در قالب گزارشهایی سطح بالا تمام تهدیدات موجود در شبکه را در اختیار عامل انسانی قرار دهد.

کلمات کلیدي

SOC, Alert correlation, OSSIM, OSSEC, Snort, Pfsence, Bothunter, Nmap, Nessus

.۱ مقدمه

گسترش روزافزون تهدیدات امنیتی در فضاي سایبري و همچنین انجام حملات جدید سایبري و هدمند باعث گردیده است که دیگر استفاده از روش هاي امنیتی سابق جوابگوي این نوع حملات و تهدیدات نباشد. در گذشته از سیتسمهاي تشخیص و جلوگیري از نفوذ۳، فایروالها۴ و…… به صورت جدا در شبکه استفاده میگردید اما مشکلی که استفاده اینچنینی از این سیستمها به دنبال دارد این است که اولا ممکن است که خروجی هر یک از این سیستمها و یا دستگاهها براي دیگري مورد نیاز باشد و با توجه به اینکه اکثر این سیستمها هشدارهاي

۱ Security Operation Center 2 Alert 3 Intrusion Detection and Prevention System 4 Firewall

خود را در قالبهاي محتلفی تولید مینمایند این امکان فراهم نمیباشد و نمی توان از خروجی یک دستگاه یا نرمافزار به عنوان ورودي دستگاه و یا نرمافزار دیگري استفاده نمود دوما هر یک از این نرمافزارها در یک شبکه متوسط حجم بسیار زیادي از هشدارها را تولید مینمایند که بررسی این هشدارها به وسیله عامل انسانی به هیچ وجه امکان پذیر نمیباشد و در صورت استفاده از چنین سیستمهایی تعداد زیادي از هشدارها یقینا بدون بررسی باقی میمانند . سوما ممکن است که هشدارهایی که این سامانهها تولید مینمایند هشدارهاي درست و صحیح نباشند و ترکیبی از هشدارهاي غلط نیز در آنها موجود باشد که این هشدارهاي غلط هم باعث افزایش حجم هشدارها میگردند و هم باعث گمراه کردن و تلف کردن وقت عامل انسانی بررسی کننده این هشدارها میگردد. دلایل زیادي وجود دارد که استفاده از این سامانهها را به صورت جدا در شبکه به شکست محکوم می نماید که در بالا به سه مورد مهم آن اشاره گردید. دلیل مهم دیگري که استفاده از این سامانهها را غیر کارآمد مینماید حملات چندگامی۵ می باشد. دلیل ناکارآمدي این سامانهها در تشخیص حملات چند گامی این است که ممکن است هر یک از سامانههاي امنیتی ما یک گام از این حملات را تشخیص دهند اما به دلیل عدم ارتباطی تعریف شده بین این سامانهها در نهایت این سامانهها در تشخیص حملات چندگامی با شکست مواجه میگردند.

اما راهحل تمام مشکلات ذکر گردیده در قسمت قبل استفاده از یک مرکز عملیات امنیت یا SOC میباشد. امکان پیادهسازي این مرکز هم به صورت نرمافزاري و هم به صورت سختافزاري می باشد که ما در این مقاله به پیادهسازي نرمافزاري این مرکز می پردازیم. نرمافزار OSSIM نقش اصلی را در پیادهسازي ما بر عهده دارد در واقع نرمافزار OSSIM به عنوان مرکز عملیات امنیت نرمافزاري ما ایفاي نقش مینماید. میتوانید این مورد را در شکل ۱ مشاهده نمایید.

شکل -۱ طرح یک مرکز عملیات امنیت

۵ Multistep Attack

نرمافزار OSSIM پس از دریافت هشدارهاي مختلف از سامانههاي مختلف ابتدا تمام آنها را به یک قالب مشترك تبدیل مینماید. سپس هشدارهاي دریافتی را با یکدیگر همبسته مینماید. البته مراحل انجام کار بسیار گستردهتر میباشد که در قسمتهاي بعدي به آن اشاره مینماییم. این نرمافزار سپس از طریق واسط گرافیکی تحت وبی که در اختیار کاربر قرار میدهد امکان مشاهده گزارش هاي مختلف را به کاربر می دهد. در ادامه در قمست دوم این مقاله به معرفی نرمافزار OSSIM و امکانات و تواناییهاي آن میپردازیم و در قمست سوم این مقاله به معرفی نرمافزارهاي که قصد اتصال آنها را به OSSIM داریم میپردازیم. در قسمت چهارم این مقاله طریقه اتصال یکی از این نرمافزارها را به عنوان نمونه بیان مینماییم و در قسمت پنجم و آخر این مقاله نتیجهگیري و ارزیابی این روش را انجام میدهیم.

.۲ معرفی نرمافزار OSSIM
در این قسمت از گزارش به معرفی نرمافزار OSSIM میپردازیم. نرم افزار OSSIM6 محصول شرکت Alienvault میباشد. این نرمافزار یکی از قویترین نرمافزارهاي متن باز امنیتی میباشد.

نرمافزار OSSIM از قسمتهاي مختلفی تشکیل شده است که این قسمتها عبارتند از:

-۱ تشخیص دهندگان:۷ در شبکهاي که تحت نظارت است هر دستگاه یا برنامهاي که رویداد تولید نماید به عنوان یک Detector در محیط OSSIM شناخته می شود.

-۲ جمعآورندگانCollector :8ها رویدادهایی را که توسط سنسورها و هر سیستم خارجی دیگري تولید شده است جمع آوري مینمایند. Collectorها رویدادها را قبل از ارسال به SIEM و Logger دستهبندي۹ و نرمال۱۰ مینمایند.

:SIEM – 3 کامپوننت SIEM سیستم را با هوشمندي امنیتی۱۱ و توانایی Data Mining با ویژگیهاي زیر فراهم میآورد:

• Risk Assessment (تخمین ریسک)

• Correlation (همبستگی)

• Risk Metric (ارزیابی ریسک)

• Vulnerability Scanning (پویش آسیب پذیریها)

• Data Mining For Event (داده کاوي براي رویدادها)

• Real time monitoring (نظارت بدون تاخیر)

Alienvault SIEM از یک پایگاه داده SQL استفاده مینماید و ذخیرهسازي اطلاعات به صورت نرمال شده اجازه ارزیابی قوي و توانایی دادهکاوي بر روي دادهها را میدهد.

Logger -4 (مخصوص نسخه :(Pro کامپوننت Logger رویدادها را به صورت فرمت خام۱۲ در سیستم فایل ذخیره میکند . رویدادها براي پیگیريهاي قانونی بعدي در صورت مواجه شدن با مشکل، با امضاء دیجیتال ذخیره می شوند.

-۵ واسط کاربري تحت وب:۱۳ واسط وب دسترسی به اطلاعاتی که توسط سیستم تولید و جمعآوري شده است را فراهم میآورد. همچنین با استفاده از این واسط امکان دسترسی به پارامترهاي برنامه براي تنظیم برنامه را دارا میباشید.

مراحل پردازش هشدار در نرمافزار OSSIM را میتوانید در شکل ۲ مشاهده نمایید که این مراحل عبارتند از:

١- دستگاهها و برنامههاي خارجی رویدادها را تولید میکنند (تشخیص دهندگان خارجی(۱۴

٢- برنامههایی که توسط AlienVault حمل میشوند رویدادها را تولید میکنند (تشخیص دهندگان (Alienvault15

٣- رویدادها قبل از اینکه به سرور مرکزي ارسال شوند جمعآوري و نرمال (تماما به یک زبان استاندارد تبدیل می گردند) میشوند(جمع کنندهها( ۱۶