تحقیق در معماری همبستگی تهدیدها در SOC پیشرفته

شرح مسئله و اهداف شرکت برای تعریف پروژه

با گسترش تهدیدات پیچیده سایبری در حوزه خدمات مالی، پرداخت و بانکداری دیجیتال، مراکز عملیات امنیت (SOC) نیازمند ارتقای سطح تحلیل خود از پایش رویدادهای منفرد به درک همبستگی تهدیدات در سطح شبکه، کاربر و سامانه‌ها هستند. در حال حاضر، بسیاری از SOCها تنها از سامانه‌های سنتی SIEM برای جمع‌آوری لاگ و ایجاد هشدارهای اولیه استفاده می‌کنند؛ در حالی‌که حملات نوین (مانند APT، تزریق زنجیره تأمین، و حملات چندمرحله‌ای) از مسیرهای مختلف و تدریجی نفوذ می‌کنند که تنها از طریق همبستگی داده‌های چندمنبعی (Multi-source Correlation) قابل شناسایی هستند.

هدف این پروژه، انجام پژوهش و طراحی معماری همبستگی تهدیدها (Threat Correlation Architecture) برای نسل جدید SOC است که بتواند داده‌ها را از منابع مختلف امنیتی (شبکه، سامانه، کاربر، تراکنش) جمع‌آوری، تجزیه‌وتحلیل و با استفاده از هوش مصنوعی، روابط پنهان میان رویدادها را کشف کند. این پروژه، گام پژوهشی و زیرساختی برای توسعه SOC پیشرفته در صنعت پرداخت کشور محسوب می‌شود.

اهداف کلان پروژه عبارت‌اند از:

  • تحلیل و طراحی مدل همبستگی تهدید چندلایه در SOC.
  • بررسی معماری‌های داده‌محور برای تجمیع و تحلیل بلادرنگ رویدادها.
  • توسعه مدل مفهومی برای تحلیل هم‌زمان داده‌های امنیتی، رفتاری و تراکنشی.
  • بررسی کاربردهای هوش مصنوعی و یادگیری ماشین در شناسایی تهدیدات ترکیبی.
  • ارائه چارچوب بومی برای ارتقای SOC پایه به SOC پیشرفته (Next-Gen SOC).

چالش‌های فنی و تخصصی پروژه

  1. تجمیع داده‌های چندمنبعی (Multi-source Integration): داده‌ها از منابع مختلف مانند SIEM، IDS/IPS، فایروال، سامانه‌های تراکنش مالی و کاربران انسانی گردآوری می‌شوند که نیاز به مدل داده یکنواخت (Unified Data Model) دارد.
  2. طراحی موتور همبستگی (Correlation Engine): توسعه الگوریتم‌ها و Rule Setهای چندلایه برای شناسایی الگوهای حملات زنجیره‌ای (Kill Chain-based Attacks) بر اساس استانداردهایی مانند MITRE ATT&CK و NIST 800-61.
  3. مدیریت داده‌های حجیم (Big Data Analytics): طراحی زیرساخت ذخیره‌سازی و پردازش توزیع‌شده (Distributed Stream Processing) برای تحلیل میلیون‌ها رویداد در زمان واقعی.
  4. تشخیص الگوهای رفتاری (Behavioral Analytics): استفاده از Machine Learning برای مدل‌سازی رفتار نرمال سیستم و شناسایی انحراف‌های رفتاری به‌عنوان نشانه تهدید.

  5. همبستگی بین‌سطحی (Cross-domain Correlation): ارتباط بین رخدادهای امنیتی در لایه‌های شبکه، اپلیکیشن، کاربران و تراکنش‌های مالی جهت تشخیص حملات ترکیبی.
  6. تعریف شاخص‌های ارزیابی کارایی: تدوین شاخص‌هایی مانند نرخ شناسایی تهدید (TDR)، نرخ هشدار کاذب (False Positive Rate)، و زمان میانگین شناسایی (MTTD).
  7. هماهنگی با SOAR (Security Orchestration, Automation & Response): طراحی ارتباط دوسویه بین موتور همبستگی و سیستم واکنش خودکار برای پاسخ سریع به تهدیدات.
  8. رعایت الزامات امنیت داده و محرمانگی: تعریف سیاست‌های داده در SOC برای اطمینان از ایمنی اطلاعات کاربران و تراکنش‌ها در فرآیند تحلیل همبستگی.

فازهای عملیاتی پیشنهادی:

  • فاز ۱: مطالعه تطبیقی معماری‌های SOC پیشرفته در سطح جهانی (NIST, MITRE, Gartner).
  • فاز ۲: طراحی مدل مفهومی همبستگی تهدید چندلایه (Threat Correlation Model).
  • فاز ۳: توسعه نمونه اولیه از موتور همبستگی داده بر پایه قوانین و ML.
  • فاز ۴: تست الگوریتم‌های همبستگی روی داده‌های واقعی از محیط آزمایشی SOC.
  • فاز ۵: تدوین معماری نهایی و نقشه راه پیاده‌سازی SOC پیشرفته.

نوآوری محصول نسبت به محصولات مشابه در کشور/شرکت

  1. اولین تحقیق بومی در زمینه معماری همبستگی تهدید در SOC صنعت پرداخت: تمرکز بر رفتارهای خاص شبکه پرداخت و تراکنش‌های مالی.
  2. توسعه مدل داده یکنواخت برای تحلیل چندمنبعی: طراحی ساختار داده برای همبستگی لاگ‌ها، هشدارها و تراکنش‌ها در یک چارچوب تحلیلی مشترک.
  3. کاربرد هوش مصنوعی در تحلیل همبستگی: استفاده از الگوریتم‌های یادگیری نظارتی و بدون نظارت برای کشف تهدیدات ناشناخته (Zero-day Detection).
  4. ارتقای SOC پایه به SOC هوشمند: طراحی معماری قابل‌گسترش برای ادغام هوش تهدید، تحلیل رفتاری و خودکارسازی پاسخ.
  5. هم‌راستایی با چارچوب‌های بین‌المللی: بومی‌سازی استانداردهای MITRE ATT&CK، ENISA و ISO 27035 برای معماری امنیتی صنعت پرداخت ایران.
  6. توسعه نقشه راه ملی SOC هوشمند: ارائه مستند پژوهشی برای ارتقای سطح بلوغ امنیتی کشور در حوزه پایش تهدید.

مقیاس پروژه

مقیاس فنی: پروژه در مرحله نخست به‌صورت تحقیقاتی و آزمایشگاهی در سطح یک SOC پایه اجرا می‌شود و در فاز بعدی به‌عنوان مدل مرجع برای پیاده‌سازی SOC پیشرفته در سطح ملی به‌کار می‌رود.
 مقیاس اقتصادی: ایجاد این معماری می‌تواند موجب کاهش هزینه‌های ناشی از حملات سایبری، کاهش هشدارهای کاذب، و افزایش بهره‌وری تیم‌های امنیتی شود.

کاربران نهایی:

  • بانک‌ها و شرکت‌های پرداخت (PSP) دارای SOC
  • مراکز داده و تیم‌های امنیتی سازمان‌های بزرگ
  • نهادهای تنظیم‌گر امنیت سایبری (بانک مرکزی، مرکز ماهر)
  • شرکت‌های امنیتی فعال در تحلیل تهدید و SOC

تأثیر کلان:

  • ارتقای بلوغ امنیتی زیرساخت‌های مالی کشور
  • تسریع در کشف تهدیدات پیچیده و کاهش تأخیر شناسایی (MTTD)
  • افزایش هماهنگی بین مراکز SOC و CERT
  • پایه‌گذاری نسل جدید SOC هوشمند در کشور

جمع‌بندی فازبندی پیشنهادی پروژه

فاز

عنوان فاز

خروجی کلیدی

نوع فعالیت

۱

مطالعه تطبیقی و بررسی معماری‌های SOC پیشرفته

گزارش تحقیق و تحلیل مدل‌های بین‌المللی

Research

۲

طراحی مدل مفهومی همبستگی تهدید چندلایه

معماری مفهومی و ساختار داده یکپارچه

Design

۳

توسعه نمونه اولیه موتور همبستگی

پیاده‌سازی الگوریتم‌های Rule-based و ML

R&D

۴

تست و ارزیابی روی داده‌های واقعی

گزارش عملکرد و شاخص‌های امنیتی

Experimentation

۵

تدوین معماری نهایی و نقشه راه SOC هوشمند

مستند نهایی و برنامه توسعه در مقیاس ملی

Validation



ملاحظات چارچوب پروپوزال ارسالی:

نگاه ماژولار و فازبندی:

به توجه به نوع تامین مالی پروژه که مبتنی بر اعتبار مالیاتی بانک مرکزی که عطف به تفاهم نامه بانک مرکزی و معاونت علمی ریاست جمهوری است، پروپوزال تهیه شده باید ساختار فازبندی شده و ماژولار داشته باشد و برای بازه زمانی یک ساله طراحی شده باشد و از سوی دیگر خروجی های هر فاز یا ماژول قابل اندازه گیری و بررسی باشد. از این رو ساختار فازبندی پیشنهادی در RFP موجود ارائه شده است با توجه به دانش و تجربه شرکت ارسال کننده پروپوزال، قابلیت بهبود و اصلاح دارد.

نگاه مالی مبتنی بر تحقیق و توسعه:

باتوجه به ماهیت R&D این پروژه و اهمیت سهم تحقیق برای نوآوری نسبت به راهکارهای موجود در بازار یا نمونه های بین المللی، باید بیش از 40 درصد ارزش پروژه باید برای مصارف مربوط به تحقیقات مورد نیاز برای توسعه محصول باشد. میزان سطح نوآوری و بخشی از محصول / پروژه که نسبت به راهکارهای حال حاضر نوآورانه است، تصریح و شفاف شود.

سرفصل هزینه کرد موردپذیرش:

باتوجه به نوع تامین مالی پروژه، باید محل مصرف منابع تامین شده عطف به آیین نامه های معاونت علمی و فناوری ریاست جمهوری برای پروژه های R&D در موضوعات ذیل باشد:

  • تهیه و اجاره فضای کار اختصاصی تحقیق و توسعه: هزینه اجاره فضای تحقیق و توسعه با اولویت استقرار در زیست بوم نوآوری متناسب با پروژه تحقیق و توسعه
  • ماشین آلات و تجهیزات: معادل استهلاک سالیانه ماشین آلات و تجهیزات در صورتی که نصب و راه اندازی شده باشد.
  • نیروی انسانی : معادل حقوق و مزایای مندرج در لیست بیمه تامین اجتماعی برای نیروی انسانی مستقیم در پروژه های تحقیق و توسعه تا سقف حداکثر دستمزد مشمول کسر حق بیمه 
  • مواد اولیه و قطعات مصرفی : مواد اجزاء و قطعات به میزان متناسب برای تولید آزمایشی به تعداد محدود برای ساخت نمونه اولیه و به میزان به کار رفته برای ساخت واحد آزمایشی
  • تاییدیه ها و استانداردها: 
  • هزینه آزمون ها و تست ها برای تحقیق و توسعه 
  • استانداردهای ویژه و اختصاصی بر روی محصولات و خدمات مرتبط با پروژه مورد نظر 
  • هزینه ثبت پتنت بین المللی  
  • همکاری فناورانه: هزینه کرد قرارداد با شرکت های دانش بنیان و فناور دانشگاه ها و مراکز پژوهشی با تایید دبیرخانه و در چارچوب سرفصل های مورد تایید هزینه کرد در پروژه های تحقیق و توسعه

در پروپوزال ارسالی، پیشنهاد کلی نسبت به ساختار هزینه اعلام گردد.

 

تدقیق فازهای عملیاتی و ساختار هزینه کرد پس از ارزیابی شرکت های درخواست دهنده، با مشارکت ذینفعان بانک مرکزی و ناظران پروژه در همکاری با شرکت انجام خواهد شد.

Comments are disabled.