آشنایی با SIEM و ضرورت پیاده سازی در شبکه

SIEM چیست؟

Security information and event management )SIEM ) همچون سیستم های رادار در سیستم کنترل ترافیک هوایی عمل می کند و بدون حضور آن شرکت های فناوری اطلاعات کنترلی بر سیستم های خود نخواهند داشت. اگرچه سیستم ها و نرم افزارهای امنیتی در شناسایی و ثبت حملات غیرمعمول عملکرد مناسبی دارند، لیکن امروزه تهدیدات پیچیده تر شده اند، به علاوه این تهدیدات در سطح وسیع تری توزیع می شوند و از تکنیک های پیشرفته ای به منظور جلوگیری از ردیابی استفاده می کنند. بدون وجود SIEM، حملات قابلیت گسترش سریع و ایجاد تلفات جبران ناپذیری را خواهند داشت.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای SIEM را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

امروزه لزوم برخورداری از SIEM با افزایش پیچیدگی حملات و استفاده گسترده از سرویس های مبتنی بر ابر، که سطح آسیب پذیری شبکه ها را افزایش می دهد، مشهود است. 
در این کتابچه راهنمای خریداران، به ماهیت راهکارهای SIEM، روند تکامل آنها و نحوه انتخاب مناسب ترین روش متناسب با نیازهای سازمان ها پرداخته شده است.
گارتنر، SIEM را چنین معرفی می کند که SIEM یک فناوری با قابلیت شناسایی تهدیدات و پاسخ امنیتی مناسب در زمان حملات، از طریق مجموعه ای به روز و تحلیل طیف وسیعی از رخدادهای امنیتی است.
در حقیقت SIEM بستری امنیتی است که گزارش رخدادها را دریافت و یک نتیجه کلی به همراه تحلیل های تکمیلی ارایه می دهد.

روند تکامل SIEM

SIEM یک فناوری جدید نبوده و پایه های آن سابقه ای ۱۵ ساله دارد. با گذشت زمان SIEM بیشتر به بستری اطلاعاتی تبدیل شد، که به جمع آوری گزارشات فایروال ها و سایر ابزارها می پردازد؛ لیکن تکنولوژی SIEM معمولا پیچیده و تنظیم آن مشکل بوده و امکان توسعه آن وجود نداشت.
موارد فوق الذکر، SIEM را به سمت اتخاذ رویکردی با انعطاف پذیری بیشتر سوق داد. امروزه این مسئله با توجه به توسعه استفاده از راهکارهای مبتنی بر ابر و تحولات دنیای دیجیتال که کلیه جنبه های زندگی را تحت تاثیر قرار داده اند، اهمیت ویژه ای یافته است.
درک تفاوت صورت قدیمی SIEM و نوع تحلیلی مدرن آن حائز اهمیت است، که در ادامه به این مساله پرداخته خواهد شد. لیکن درک موارد استفاده از SIEM و شناسایی دقیق نیازهای سازمان در تشخیص بهترین راهکار متناسب با نیازها، اهمیت ویژه ای دارد. این مساله نیاز به تمایز میان شیوه های سنتی SIEM و راهکارهای مدرن تحلیلی آن را آشکار می سازد.
 شیوه های سنتی SIEM منسوخ شده است

به طور نسبی یافتن مکانیسم جمع آوری، ذخیره و تحلیل امنیتی داده ها ساده است. هیچ کمبودی از لحاظ ذخیره اطلاعات وجود ندارد. لیکن جمع آوری کلیه اطلاعات امنیتی و تبدیل آن به سیستم هوشمند عملیاتی موضوعی متفاوت خواهد بود. اغلب شرکت های IT که در بستر SIEM سرمایه گذاری کرده اند، در مواجه با این مسئله ناتوان بوده اند.
پس از صرف زمان و هزینه های گزاف، مشکل اصلی در رفتار استاتیک سیستم های ارایه دهنده اطلاعات امنیتی، SIEM است. اطلاعات موجود به منظور ارایه تحلیل ها، مبتنی بر رخدادهای امنیتی است، که موجب تشدید مشکل فوق خواهد شد. این موضوع معضل ایجاد ارتباط میان رخدادهای امنیتی و سایر اتفاقاتی که در سراسر یک شبکه به وقوع می پیوندد، را پیچیده تر می کند. زمانی که یک رخداد امنیتی اتفاق می افتد، تحقیق در ارتباط با این موضوع زمان ارزشمند شرکت های IT را هدر می دهد. راهکارهای سنتی SIEM، امکان تطبیق با سرعت مورد نیاز جهت بررسی رویدادهای امنیتی را نداشتند.
پذیرش گسترده سرویس های مبتنی بر ابر موجب گسترش تهدیدات امنیتی نیز شده است، از این روی شرکت ها ملزم به پایش فعالیت های کاربران، دسترسی نرم افزارها، software-as-a-service) SaaS) و سرویس های محلی ارایه شده، به منظور تعیین محدوده کامل تهدیدات و شناسایی حملات بالقوه هستند.
شکل زیر محدودیت های راهکارهای سنتی SIEM را نمایش می دهد.

معایب راهکارهای سنتی SIEM

موضوع/معضل نتیجه
عدم امکان استفاده از اطلاعات مورد نیاز محدود شدن حوزه ­های شناسایی، تشخیص و واکنش
نگهداری و اداره مشکل افزایش پیچیدگی و نیاز به نیروی متخصص
High false negative and  positives افزایش بار کاریsoftware-as-a-service) SecOps)
ناپایدار وجود وقفه­ ها و قطعی
داده­ های انعطاف­ناپذیر امکان سازگاری با شرایط بحرانی وجود ندارد
جریان کاری ایستا محدودیت های بیشتر
عدم امکان شناسایی تهدیدات جدید افزایش ریسک کسب و کار

استفاده از SIEM مبتنی بر تحلیل به عنوان یک راهکار جایگزین

امروزه شرکت های IT نیازمند راهکاری ساده به منظور ایجاد ارتباط میان دیتای مرتبط با رخدادهای امنیتی هستند. این راهکار کارمندان IT را در مدیریت وضعیت امنیتی یاری خواهد کرد. به این ترتیب یک شرکت فناوری اطلاعات به جای نقش ناظر بر رخدادها، قادر به پیش بینی آنها و انجام اقدامات لازم جهت رفع نقاط آسیب پذیر خواهد بود. بنابراین بستر SIEM تحلیلی به منظور رفع چنین نیازهایی ارایه شده است.
در این بخش به بیان تفاوت های میان صورت سنتی SIEM و نوع تحلیلی آن پرداخته می شود. گارتنر در زمینه تمایز این دو بیان می کند: SIEM مدرن با مساله ای بیش از دیتای گزارشات و اعمال ارتباط تحلیلی میان آنها برخورد دارد.
راهکار SIEM مبتنی بر تحلیل به پایش لحظه ای تهدیدات پرداخته و واکنش سریعی در مقابله با رخدادهای امنیتی نشان می دهند، در نتیجه از بروز آسیب جلوگیری کرده و سطح حملات را محدود می کنند. لیکن تمام این حملات صورت گرفته خارجی نبوده اند و پرسنل IT ملزم به پایش فعالیت های کاربران خود نیز هستند، بنابراین احتمال تهدیدات داخلی و هرگونه مصالحه ناخواسته ای کاهش می یابد. درک سیستم هوشمند مقابله با تهدیدات به طور گسترده و قرار دادن این مفاهیم در سطح یک سازمان، حیاتی است.
SIEM مبتنی بر تحلیل با قابلیت های واکاوی امنیتی برتر، تیم های IT را در استفاده از روش های کمی پیشرفته به منظور درک بهتر رخدادها و اولویت بندی واکنش ها یاری می کند. در نهایت امروزه SIEM به عنوان بستر اصلی رویارویی با تهدیدات، به ابزارهای پیشرفته و تخصصی جهت مقابله با حملات پیشرفته امروزی نیازمند است.
تفاوت عمده میان SIEM مدرن و صورت سنتی آن در انعطاف پذیری آن نسبت به محیط های مختلف و قابلیت استقرار آن به صورت محلی، ابری و در محیط های هیبریدی است. شکل زیر دلایل اصلی یک سازمان در انتخاب SIEM مدرن به جای شکل سنتی آن را نمایش می دهد.

دلایل عمده جایگزینی SIEM جدید

معماری سنتی SIEM اغلب از ساختار قدیمی، از یک طرح ثابت به همراه دیتابیس SQL استفاده می کنند. در چنین ساختاری محدودیت هایی چون توسعه در مقیاس های وسیع تر، کارایی و single point of failure  (SPOF  وجود دارد.

۱٫ محدودیت های امنیتی : با توجه به محدودیت های نوع داده های ورودی، همواره محدودیت های در زمینه شناسایی، بررسی و زمان واکنش مناسب وجود خواهد داشت.

۲٫ ناتوانی در ورود کارآمد اطلاعات: ورود اطلاعات در شکل سنتی SIEM فرآیندی پرهزینه و مشکل است.

۳٫ فرآیند تحقیق و بررسی به کندی صورت می گیرد: با استفاده از شکل سنتی SIEM، اقدامات پایه همچون جستجوی ساده در گزارشات اولیه در این فرآیند بسیار زمان بر بوده و اغلب ساعت ها و روزها به منظور تکمیل گزارش، مورد نیاز است.

۴٫ عدم پایداری و مقیاس پذیری : هر اندازه حجم دیتابیس مبتنی بر SQL بیشتر می شود، میزان پایداری آن کاهش می یابد. مشتریان اغلب از کارایی ضعیف و تعداد وقفه های بالا به علت عملکرد پایین سرورها اظهار نارضایتی دارند.

۵٫ چشم انداز نامشخص و غیرقابل پیش بینی : با تغییر مالکیت فروشندگان SIEM، رشد حوزه های تحقیق و توسعه (R&D) آنها کاهش یافته است. بدون سرمایه گذاری های مستمر و نوآوری های لازم، راهکارهای امنیتی، قدرت سازگاری با رشد روزافزون حوزه تهدیدات را نخواهند داشت.

۶٫ اکوسیستم محدود : فروشندگان SIEM سنتی، اغلب قدرت ادغام با سایر ابزارهای موجود در بازار را ندارند. مشتریان ملزم به استفاده از هر آنچه در SIEM گنجانده شده، و یا صرف هزینه های بیشتر جهت دریافت خدمات سفارشی هستند.

۷٫ محدود به روش استقرار محلی : SIEM سنتی، تنها قابلیت استقرار به صورت محلی را داشته و امکان توسعه آن در محیط های ابری و هیبریدی وجود ندارد.

 انتقال SIEM به ابر

اجرای SIEM در ابر و یا ارایه آن به عنوان SaaS، امکان رفع مشکلات بسیاری از سازمان ها با سیستم های هوشمند امنیتی خود را فراهم می کند، زیرا در حال حاضر بسیاری از مدیران IT اطمینان لازم به لحاظ تامین امنیت ابر را ندارند. پیش از تصمیم گیری در ارتباط با حذف SIEM مبتنی بر ابر، باید توجه داشت استقرار تکنولوژی های امنیتی در سرویس های وسیع ابری بی اندازه پیچیده تر از سیستم های مستقر شده در شرکت ها و سازمان ها است، بنابراین حذف SIEM مساله تامین امنیت در ابر را پیچیده تر خواهد کرد.
در حال حاضر SaaS به صورت گسترده ای در بسیاری از سیستم های مهم شرکت ها همچون CRM، HR و ERP استفاده می شود. همان گونه که استفاده از SaaS در نرم افزارهای سازمان ها موجب سرعت، استقرار ساده، بار عملیاتی کمتر، به روزرسانی خودکار، میزان صورت حساب پرداختنی متناسب با مصرف تبدیل کرده است. زیرساخت مستحکم، ابر را به یکی از بهترین گزینه ها برای SIEM تبدیل کرده است.
استفاده از راهکارهای مبتنی بر ابر امکان استفاده از طیف عظیمی از اطلاعات موجود در سیستم های محلی و ابری را فراهم می کند. با توجه به انتقال بار کاری بسیاری از سازمان ها به بسترهای LaaS ،platform-as-a-service) PaaS (infrastructure-as-aservice)و SaaS، سهولت ادغام با سیستم های third-party گویای اهمیت SIEM در ابر است. مزایای اصلی انتقال SIEM به ابر شامل انعطاف پذیری معماری هیبریدی، به روزرسانی خودکار نرم افزارها و پیکربندی ساده تر، زیرساخت قابل توسعه، قابلیت های کنترلی فراوان و دسترس پذیری بالا است.

موارد استفاده از SIEM در شرکت ها

اکنون با آگاهی از روند تکامل SIEM و ویژگی های نوع مدرن تحلیلی آن، به بیان موارد امنیتی که با استفاده از SIEM قابل حل است، پرداخته می شود. 
مهمترین نیازهای تیم های امنیتی شرکت ها شامل، تشخیص زودهنگام، واکنش سریع و مشارکت در کاهش تهدیدات است. ارایه گزارشات و پایش رخدادهای امنیتی دیگر به تنهایی پاسخگو نخواهد بود. مدیران امنیتی سازمان ها نیازمند اطلاعات وسیع تری از کلیه منابع تولید داده ها در سراسر یک سازمان شامل بخش های IT، ابری و کسب و کارها است. سازمان ها به منظور جلوگیری از حملات خارجی و اقدامات مخرب داخلی، نیازمند راهکارهای پیشرفته با قابلیت شناسایی و پاسخگویی سریع، بررسی رخدادها و هماهنگ با سناریوهای  CSIRT  Computer Security Incident Response Team) است. علاوه بر این سازمان ها نیازمند شناسایی و واکنش در مقابل تهدیدات شناخته شده، ناشناخته و پیشرفته هستند.
تیم های امنیتی سازمان ها، نه تنها با هدف رفع موارد امنیتی معمول بلکه به منظور جلوگیری از رخدادهای امنیتی پیشرفته تر ملزم به استفاده از SIEM هستند. با توجه به توسعه پویای و سریع حوزه تهدیدات، انتظار می رود SIEM مدرن قابلیت هایی از جمله موارد زیر را دارا باشد:
• متمرکز کردن و جمع آوری کلیه رویدادهای امنیتی در زمان وقوع آن در منبع ایجاد شده
• پشتیبانی از انواع مکانیزم های دریافت، جمع آوری مانند syslog، انتقال فایل، مجموعه فایل-ها و …
• سیستم های هوشمند مقابله با تهدیدات
• هماهنگی و هشدار در ارتباط با طیف وسیعی از داده ها
• شناسایی تهدیدات جدید و شناخته نشده
• شناسایی مشخصات یک رفتار در سراسر سازمان
• ورود کلیه اطلاعات (کاربران، نرم افزارها) و طرح آنها بگونه ای که قابل استفاده باشد .  پایش، هشدار، بررسی، ad hoc searching 
• ارایه ad hoc searching و گزارش تحلیلی داده به منظور تجزیه و تحلیل نقاط ضعف سیستم
• بررسی رخدادها و انجام تحقیقات قانونی به منظور تحلیل دقیق حوادث
• ارزیابی و گزارش وضعیت compliance
• بکارگیری تحلیل ها و گزارشات در وضعیت های امنیتی مختلف
• پیگیری اقدامات مهاجم با استفاده از تحلیل ad hoc دقیق و بررسی توالی رویدادها
اگر چه اطلاعات SIEM، اغلب از سرورها و ابزارهای گزارش گیری شبکه به دست آمده است لیکن می تواند از داده های کسب شده از ابزارهای امنیتی endpoint و شبکه، نرم افزارها، سرویس های ابر، سیستم های احراز هویت و تعریف مجوزهای دسترسی و پایگاه های داده آنلاین تهدیدات و نقاط ضعف موجود، استفاده کند. لیکن جمع آوری اطلاعات تنها نیمی از مجموعه فرآیند است. پس از گذار از مرحله جمع آوری نرم افزار SIEM، ارتباط مجموعه اطلاعات به دست آمده را در جستجوی شناسایی هر گونه رفتار غیر معمول، ناهنجاری سیستمی و هر گونه نشانه ای از یک رخداد بررسی می کند. این اطلاعات نه تنها به منظور ارایه هشدارهای آنی، بلکه به منظور بررسی و گزارش compliance، عملکرد داشبوردها، تحلیل معکوس و بررسی قانونی رخدادها پس از وقوع، استفاده می شود.
با توجه به رشد پیچیدگی و تعداد تهدیدات امنیتی به همراه افزایش ارزش دارایی های دیجیتال سازمان ها، استفاده از راهکارهای SIEM مبتنی بر تحلیل به عنوان بخشی از اکوسیستم امنیتی سازمان ها، تعجب آور نخواهد بود.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای SIEM را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

آیا حقیقتا نیازمند SIEM هستید؟

اکنون با آگاهی از موارد استفاده از SIEM، می توان تصمیم گیری های لازم در خصوص اینکه چه سازمان هایی نیازمند استقرار SIEM هستند، گرفت. ممکن است سازمانی نیازمند استقرار سیستم امنیتی پیشرفته نبوده و تنها استفاده از یک راهکار ساده مانند Central log management CLM پاسخگوی نیازهای آن باشد. به منظور کسب اطلاعات بیشتر به بخش Splunk Enterprise for security and log management مراجعه کنید.
راهکار مدیریت مرکزی گزارش ها چیست؟ CLM به عنوان راهکاری با قابلیت مدیریت مرکزی و بررسی اطلاعات وقایع ثبت شده، شناخته می شود. اطلاعات وقایع شامل اطلاعات تولید شده در پیام های سیستمی است که شامل وقایع روزمره یک کسب وکار، شرکت و یا نمایندگی های آنها می باشد؛ در ضمن اغلب به عنوان یک منبع پنهان در زمان رفع مشکلات و یا تلاش برای دستیابی به اهداف کسب وکار مورد استفاده قرار می گیرند. 
هدف از مدیریت ثبت وقایع، جمع آوری اطلاعات تولید شده توسط سیستم ها و تبدیل آن به اطلاعات قابل جستجو و گزارش است. بطور کلی CLM در بررسی حوادث و دسته بندی هشدارها کمک شایانی می کند. 
مدیریت رویدادهای ثبت شده به عنوان اصلی ترین پایه SIEM و دلیل پیدایش آن شناخته می شود. Anton Chuvakin، یکی از تحلیلگران مشهور SIEM است او در بررسی دلایل کاربری SIEM در سازمانی که نیاز به دید جامعی نسبت به وقایع رخ دارد، چنین بیان می کند: “این موضوع که از SIEM به عنوان تجمیع کننده وقایع ثبت شده استفاده می¬کنید، لزوما بدین معنا نیست که SIEM تنها برای این هدف قابل استفاده است.” به بیان دیگر چنانچه تنها با هدف جمع آوری اطلاعات وقایع ثبت شده از SIEM استفاده می کنید، راهکاری با هزینه بالا جهت دستیابی به هدف خود اتخاذ کرده اید. 
نکته اصلی در کاربری SIEM به هر دو شکل پایه و پیشرفته است. در انتهای روند تکامل SIEM راهکار نوآورانه Gartner با نام  UEBA  قرار دارد. اسامی دیگری برای این دسته از راهکارها وجود دارد؛ به عنوان مثال تحلیل امنیتی رفتار کاربران Forrester و Splunk UBA. کلیه این روش ها از شیوه های متفاوتی در ارجاع به تکنولوژی مشابه بهره می گیرند.
از UBA به منظور شناسایی و مقابله با تهدیدات داخلی و خارجی بهره گرفته می شود. در ضمن UBA، به عنوان راهکار پیشرفته امنیتی مورد استفاده قرار می گیرد، زیرا به عنوان پایه ای با توانایی آگاه شدن از فعالیت های معمول کاربر و ارایه هشدارهای لازم در صورت مشاهده رفتارهای غیرمعمول، شناخته و بکار گرفته می شود. با توجه به این مثال برای ایجاد یک پایه مناسب مورد استفاده در سیستم های امنیتی، UBA بایست فعالیت هایی همچون موارد زیر را ردیابی کند:
• محلی که کاربر به صورت معمول برای ورود به سیستم مورد استفاده قرار می دهد.
• مجوزها و دسترسی کاربر
• فایل ها، سرورها و برنامه هایی که کاربر به آن دسترسی دارند.
• ابزارهایی که کاربر معمولا برای ورود به سیستم مورد استفاده قرار می دهد.
برخی از فروشندگان UBA در تلاش جهت ورود به بازار SIEM هستند، لیکن مساله مورد توجه این است که UBA به تنهایی نمی تواند جایگزین SIEM شود. UBA، تنها به عنوان یک تکنولوژی امنیتی مطرح است. راهکارهای UBA در کنار SIEM قابل استفاده است. به همین صورت CLM نیز یک راهکار SIEM نیست.

 

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *