آشنایی با ماژول SIEM و UBA سرویس Splunk

Machine-Data تولید شده یکی از رو به رشدترین و پیچیده ترین زمینه های big data است. یکی از ارزشمندترین این داده ها که شامل اطلاعات ثبت شده از تراکنش های کاربران، رفتار مشتریان، رفتار ابزارها، تهدیدات امنیتی، فعالیت های فریبکارانه و … است. Splunk این اطلاعات را بدون توجه به نوع کسب وکار به اطلاعات ارزشمندی تبدیل می کند و این مطلب به عنوان اطلاعات عملیاتی هوشمند شناخته می شوند.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Splunk را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

 

Splunk Enterprise به تحلیل و پایش machine data از منابع مختلف پرداخته و اطلاعات عملیاتی هوشمند، به منظور بهینه سازی IT، امنیت و عملکرد کسب وکار، ارایه می دهد. با وجود قابلیت هایی چون تحلیل های بصری، machine learning، open APIs و بسته های نرم افزاری، Splunk Enterprise بستری انعطاف پذیر و قابل توسعه از سطح تمرکز بر یک رخداد خاص تا تحلیل های گسترده شرکت های بزرگ، ارایه می دهد. Splunk Enterprise:
• تجمیع و تقسیم بندی وقایع ثبت شده و machine data از منابع مختلف
• توانایی جستجو، تحلیل و پایش قدرتمند در سراسر سازمان
• ارایه اکوسیستمی از برنامه های مبتنی بر Splunk، راهکاری جامع به منظور تحلیل های امنیتی، IT Ops و کسب وکار ارایه می دهد.
• امکان استقرار به عنوان یک سرویس ابری و محلی
سیستم هوشمند عملیاتی امکان درک رخدادهایی که در سراسر سیستم IT و زیرساخت سازمانی اتفاق افتاده، را می دهد؛ بنابراین می توان تصمیمات آگاهانه ای در برخورد با این رخدادها اتخاذ کرد. بستر Splunk پایه ای برای همه محصولات این شرکت، راهکارهای premium، برنامه ها و add-ons است.

Splunk به عنوان SIEM

امروزه راهکارهای امنیتی Splunk نه تنها به یک اصل برای SIEM تبدیل شده است، بلکه قابلیت هایی مانند تحلیل های امنیتی، درک کامل فضای شبکه به منظور یاری تیم های امنیتی در اتخاذ تصمیمات سریع تر و دقیق تر، را ارایه می دهد. Splunk گزینه های مختلفی برای سازمان ها به منظور استقرار SIEM و یا انتقال به SIEM مدرن معرفی می کند و همچنین گزینه های مختلفی از جمله استقرار محلی، ابری و هیبریدی را در اختیار سازمان ها قرار می دهد.
مشتریان با استفاده از Splunk Enterprise و Splunk Cloud نیازهای پایه SIEM خود را رفع می کنند. Splunk Enterprise و Splunk Cloud هسته مرکزی بستر Splunk را تشکیل می دهند که قابلیت هایی چون تجمیع، فهرست کردن، جستجو، ارایه گزارش و یا CLM را فراهم می آورند. اغلب مشتریان سرویس های امنیتی Splunk از Splunk Enterprise و یا Splunk Cloud به منظور ایجاد جستجوهای بهنگام، همبستگی اطلاعات و داشبوردهایی برای دریافت SIEM پایه، استفاده می کنند.
Splunk راهکارهای premium چون Splunk ES که قابلیت پشتیبانی از SIEM پیشرفته با داشبوردهای آماده استفاده، برقراری ارتباط جستجوها و ارایه گزارش، را دارد. امکان اجرای Splunk ES در بستر Splunk Enterprise، Splunk Cloud و یا هر دو وجود دارد. علاوه بر این Splunk ES حاوی قابلیت های بررسی رخدادها و گردش کار، دریافت اطلاعات از ۳rd party هوشمند مقابله با تهدیدات، به منظور ایجاد قوانین همبستگی پیش ساخته و هشدارهای لازم است. همچنین بیش از ۳۰۰ نرم افزار امنیتی در بستر Splunk با جستجوها، گزارش ها و سیستم های بصری پیش ساخته به منظور ارایه به فروشندگان ۳rd party امنیتی، وجود دارد. این برنامه ها، قابلیت ها و افزونه ها شامل پایش امنیتی، NGFW ، سیستم های پیشرفته مقابله با تهدیدات و … هستند که موجب افزایش پوشش امنیتی ارایه شده توسط Splunk و سایر ۳rd party ارایه دهنده سرویس امنیتی شده است.
همچنین Splunk ES یک SIEM مبتنی بر تحلیل است که از پنج چارچوب مجزا تشکیل شده است که امکان اجرای مجزای هر یک به منظور تامین دامنه وسیعی از الزامات امنیتی شامل compliance، امنیت نرم افزارها، مدیریت رخدادها، شناسایی پیشرفته تهدیدات، پایش لحظه ای و … وجود دارد. یک بستر SIEM مبتنی بر تحلیل machine learning، شناسایی رویدادهای غیر معمول و همبستگی مبتنی بر قوانین را در یک راهکار امنیتی تحلیلی ادغام می کند. Splunk ES امکان بررسی بصری ارتباطات میان رخدادها در هر زمان و به اشتراک گذاری جزئیات حملات چند مرحله ای را فراهم می کند. همچنین این بستر امکان پایش و ارایه گزارش های لحظه ای از حملات و سایر فعالیت های غیر معمول را در اختیار سازمان ها قرار می دهد. با استفاده از چنین تجزیه و تحلیل پیشرفته ای، مشتریان قادر به شناسایی سریع حملات و پاسخ مناسب در سراسر اکوسیستم امنیتی، خواهند بود.
Splunk ES به عنوان بخشی از یک پروژه امنیتی عظیم تر است که قابلیت CLM را در Splunk Enterprise و UBA پیشرفته به وسیله Splunk UBA ارایه می دهد.
چه عواملی Splunk را به عنوان SIEM مطرح می کند؟
• نرم افزار Splunk می تواند به عنوان SOC برای سازمان ها با هر ابعاد کاری (کوچک، متوسط و بزرگ) مورد استفاده قرار گیرد.
• پشتیبانی کامل از عملیات امنیت اطلاعات شامل ارزیابی وضعیت، پایش، هشدار و برخورد با رخدادها، CSIRT ، تحلیل نقض تعهدات، واکنش مناسب و بررسی ارتباط رخدادها
• SIEM قابلیت OOTB را داشته و بسیاری از موارد امنیتی آن حتی بدون نیاز به نصب قابل استفاده هستند.
• تشخیص تهدیدات شناخته شده و ناشناس، بررسی تهدیدات، تعیین compliance و استفاده از تحلیل امنیتی پیشرفته به منظور درک جزئیات
• بستر یکپارچه امنیتی هوشمند مبتنی بر big data
• استفاده از جستجوهای Ad hoc به منظور تحلیل پیشرفته هر گونه نقض تعهدات و قوانین
• قابلیت استقرار محلی، ابری و هیبریدی

Splunk UBA

Splunk UBA یک راهکار مبتنی بر machine learning است که به ارایه رویکردی به منظور شناسایی تهدیدات ناشناخته و رفتار غیر معمول در سطح کاربران، ابزارهای endpoint و نرم افزارها می پردازد. این راهکار نه تنها بر پاسخگوی تهدیدات خارجی است بلکه پاسخگوی تهدیدات داخلی نیز خواهد بود. الگوریتم های machine learning نتایج عملی به همراه رتبه بندی ریسک و نگهداری شواهد ارایه می دهد، این قابلیت ها امکان واکنش و پاسخ سریع تحلیلگران SOC را نشان می دهند. علاوه بر موارد این پایه و اساسی برای تحلیلگران امنیتی به منظور بررسی فعال رفتارهای غیر معمول فراهم می کنند.

Splunk UBA در یک نگاه

• ارتقا قابلیت ردیابی و شناسایی با استفاده از چارچوب رفتار محور، هدفمند و machine learning قابل تنظیم که شامل الگوریتم های کنترل نشده است.
• ارتقا قابلیت UEBA تحلیلگران SOC با استفاده از اتصال صدها رفتار غیر معمول و ارایه آن به عنوان یک تهدید مستقل
• بهبود وضعیت با استفاده از پیش بینی تهدیدات طی یک حمله چند مرحله ای
• تجمیع دو سویه با استفاده از Splunk Enterprise برای دریافت اطلاعات و همبستگی داده ها و بکارگیری Splunk ES به منظور ارزیابی و بررسی رخدادها و پاسخ خودکار

ارایه بستر هوشمند امنیتی توسط InfoTeK و Splunk به منظور استفاده در بخش عمومی

بسیاری از سازمان ها به منظور نظارت، بررسی و پاسخگویی تهدیدات به نرم افزار SIEM وابسته هستند؛ لیکن در برخی از نمایندگی های دولت امریکا، SIEM مسئولیت خود را به درستی ایفا نکرده اند و SIEM سنتی آنها از نوع HP ArcSight قادر به تامین کلیه انتظارات نبوده است. این موسسه از InfoTeK که از شرکت های پیشرو در زمینه امنیت سایبری است، خواستار مشارکت در ارایه راهکاری به منظور جایگزینی SIEM سنتی خود شده است. از زمان توسعه بستر Splunk مشتریان از مزایای زیر بهره مند شدند:
• متوقف کردن بی درنگ حملات
• کاهش ۷۵ هزینه استقرار و پشتیبانی SIEM
• کاهش ابزارهای مورد نیاز، از جمله سیستم های جمع آوری اطلاعات ثبت شده و راهکارهای مرتبط با endpoint
این موسسه با استفاده از Splunk Enterprise و Splunk ESیک SIEM مبتنی بر تحلیل به منظور ارایه سیستم هوشمند عملیاتی با قیمت مناسب، فراهم کرده است. InfoTeK نرم افزار Splunk را در مدت یک هفته برای این موسسه مستقر کرد. پس از شروع به کار، نرم افزار ارزش هزینه صرف شده را به اثبات رساند. تیم های IT قادر به جستجوی سریع رخدادهای امنیتی و متوقف ساختن بردارهای حملات هدفمند شده اند.
Jonathan Fair، مدیر ارشد بخش مهندسی امنیت شرکت InfoTeK اظهار کرد:” فرآیندی که با صرف ساعت ها و روزها و با استفاده از ابزارهای چندگانه سایر محصولات انجام می شد، اکنون با استفاده از این ابزار در عرض چند ثانیه، دقیقه و یا ساعت توسط Splunk انجام می شود. مشتری ما پیش از خریداری کامل محصول از بازده سرمایه گذاری خود بهره مند شدند، زیرا به شکل موفقیت-آمیزی حمله ای را که قادر به تخریب کامل شبکه بود، بدین وسیله متوقف کرد.”

هزینه کرد بیش از ۹۰۰ هزار دلار کابینه و ادارت دولتی امریکا به منظور نگهداری نرم افزارهای قدیمی

شهروندان ادعا می کنند نهادهای دولتی نه تنها پول مالیات دهندگان را به شکل عاقلانه ای خرج کنند، بلکه تمام تلاش خود را برای اطمینان از اجرای صحیح عملیات و ارایه موثر سرویس ها، داشته باشند. یکی از ادارات بزرگ دولتی امریکا، قبلا از HP ArcSight که ابزاری کند و پر هزینه به منظور مدیریت رخدادها است، استفاده می کرد، از طرف دیگر این ابزار پاسخگوی نیازهای سازمان مذکور نبود. این سازمان با جایگزینی Splunk Enterprise به عنوان بستر تامین کننده امنیت، از مزایای زیر بهره مند شد:

• صرفه جویی ۹۰۰،۰۰۰ دلاری در هزینه های نگهداری و پشتیبانی نرم افزارها
• بهبود قابلیت های امنیتی شامل شناسایی، پاسخگویی و بازیابی
• کاهش زمان تحقیقات امنیتی از چندین ساعت به چند دقیقه
رویکرد امنیتی فعالانه
Margulies و تیم او مسئولیت SOC این سازمان را بر عهده دارند که شامل ۴۰ تحلیلگر است که از Splunk Enterprise به منظور بررسی رخدادهای امنیتی استفاده می کنند و همچنین تیم IT که به این نرم افزار به منظور عیب یابی و ارایه گزارش وابسته است. به علاوه مشتریان شامل کارکنانی است که وظیفه تضمین مطابقت این سازمان با قوانین و استانداردهای امنیتی را بر عهده دارند.
محافظت از اعتبار برند و امنیت اطلاعات Heartland Automotive توسط بستر Splunk

dba Jiffy Lube یکی از بزرگترین دارندگان حق امتیاز خرده فروشی روغن در امریکا است. Heartland Automotive به منظور حفاظت از نام تجاری و منابع مهم خود یعنی اطلاعات، نیازمند یک زیر ساخت امنیت سایبری است. این تولیدکننده از زمان استقرار Splunk ES و Splunk UBA به عنوان بستر یکپارچه SIEM از مزایای زیر بهره مند شده است:
• تنها در مدت سه هفته اهداف این ارزش گذاری با اجرای SIEM به منظور تامین امنیت در مقابل تهدیدات داخلی مشخص شد.
• بستری به منظور اعمال نوآوری های جدید با هزینه مالکیت ۲۵ درصد کمتر از سیستم امنیتی پیشین
• تحقیقات امنیتی بهنگام و حفاظت در مقابله با تهدیدات داخلی
اغلب پیاده سازی SIEM پیچیده است، زیرا سازمان های بزرگ منابع اطلاعاتی زیادی دارند و هفته ها برای تنظیم هشدارهای لازم زمان نیاز است. با توجه به اظهارات Alams، تیم سرویس امنیتی Splunk کلیه مراحل شناسایی منابع اطلاعاتی شرکت، طراحی SIEM و پیکربندی هشدارها را بدون هیچ کم وکاستی انجام داد.
Chidi Alams، رئیس فناوری اطلاعات و امنیت اطلاعات شرکت Heartland Automotive اظهار می دارد: “زمان مهمترین عامل ارزش گذاری است. ما سیستم SIEM و تشخیص تهدیدات داخلی را که به طور معمول سه ماه زمان نیاز دارد در کمتر از سه هفته راه اندازی کردیم. سرپرست اداره مالی و دیگر اعضای تیم مدیریت ارشد شرکت، تحت تاثیر سرعت اجرا و استقرار قرار گرفتند.”

مساله بازگشت سرمایه در Splunk

راهکارهای SIEM تحلیلی، اغلب از منظر قیمت از منظر سرمایه گذاران مورد انتقاد قرار می گیرد، لیکن این هزینه ها تنها هزینه های اولیه هستند و بازده سرمایه گذاری به سرعت قابل مشاهده است. اهمیت این هزینه های بالای راهکارهای مبتنی بر تحلیل، هنگامی آشکار خواهد شد که سازمان، قربانی یک تهدید و یا باج افزاری شود. بنابراین بازده سریع سرمایه در محافظت فعال شبکه در مقابله با حملات داخلی و خارجی قابل مشاهده است لیکن این مساله تنها زمینه بازگشت سرمایه گذاری در SIEM نیست. راهکارهای SIEM مبتنی بر تحلیل، پاسخگوی رخدادهای معمول امنیتی حوزه IT همچون compliance، کلاهبرداری، شناسایی سرقت و سوءاستفاده از اطلاعات، سرویس های اطلاعاتی هوشمند، ارایه نرم افزارها و تحلیل های حوزه کسب وکار نیز هستند.
با توجه به اینکه تیم های امنیتی به صورت هماهنگ با سایر بخش های IT کار می کنند، قابلیت پایش و نظارت مرکزی بر کلیه رخدادهای سراسر شبکه نقش مهمی در بازگشت سرمایه خواهد داشت. بهترین راه برای درک بازده سرمایه گذاری ( ROI ) راهکارهای SIEM مبتنی بر تحلیل، بهره گیری از تجربیات سایر کاربران این سیستم است.

آینده SIEM

تکنولوژی های SIEM مختلفی موجود است و در این راهنما تنها به بیان تفاوت های میان صورت سنتی و راهکارهای مدرن مبتنی بر تحلیل پرداخته شده است. SIEM مبتنی بر تحلیل، رویکردی روشن در برابر بازار آتی محصولات امنیتی قرار می دهد. این راهکارهای مدرن امنیتی، روشی مطمئن در مقابله با تهدیدات شامل شناسایی، بازیابی، ارایه هشدار، گزارش compliance است و هم زمان بازده بالای سرمایه گذاری را نیز تضمین می کند. راهکاری مبتنی بر SIEM تحلیلی، در حال انطباق خود با سرعت روزافزون رشد تهدیدات هستند تا همواره یک گام پیش تر از تهدیدات بوده و بتوانند امنیت شبکه ها را تامین کنند.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *