آشنایی با SIEM

siem

مدیریت امنیت اطلاعات و وقایع (تعریف SIEM) فن آوری جدیدی است که می تواند تمام سیستم های شما را به هم متصل کند و به شما یک دیدگاه جامع از امنیت اطلاعات ارائه دهد. امنیت فناوری اطلاعات معمولا از چند فن آوری مختلف تشکیل شده است ( فایروال ها، پیشگیری از نفوذ، حفاظت از پایانه ها، اطلاعات تهدید و …) که برای حفاظت از شبکه و داده های سازمان از هکرها و سایر تهدیدات همکاری می کنند. با این وجود، اتصال همه این سیستم های متفرقه چالشی دیگر است و در اینجا است که SIEM می تواند کمک کند. سیستم SIEM مدیریت و تشخیص ورودی های امنیتی را از انواع دستگاه ها انجام می دهد و از طیف وسیعی از توابع، از جمله تهدیدهای پنهان، از رخدادها قبل از وقوع آنها، شناسایی رخدادهای امنیتی و ارائه اطلاعات قانونی برای تعیین اینکه یک حادثه امنیتی رخ داده است و همچنین تاثیر احتمالی، جلوگیری می کند.

هر سازمان باید با توجه به نیاز خود به تهیه ابزارهای کاربردی اقدام نماید. اما آنچه مهم است این نکته است که امروزه سامانه های SIEM به قدری توانمند شده اند که علاوه بر اینکه بخش Log Management را بصورت یک ماژول مستقل در دل خود دارند بلکه فارغ از اندازه سازمان قابلیت بکارگیری دارند. همینطور نیاز ایجاد و بکارگیری مراکز عملیات امنیت (SOC) بکارگیری سامانه های SIEM را کاملا توجیه پذیر می نماید.

شرکتهای مختلفی محصولاتی را در زمینه SIEM ارئه داده اند که از اصلی ترین و پرکاربردترین آنها می توان به IBM Qradar, HP ArcSight و Splunk Enterprise اشاره کرد. تمرکز ما بر روی اقتصادی ترین و کاملترین این محصولات یعنی Splunk Enterprise می باشد.

(Security Information and Event Management) SIEM توانایی جمع آوری، آنالیز و گزارش گیری اطلاعات log های تجهیزات امنیتی، هاست ها، سرور ها، نرم افزارها و … را دارد و تمامی این فعالیت ها را انجام می دهد. همچنین برخی از SIEM ها امکان متوقف کردن حملات شناسایی شده را دارند که به صورت چشم گیری باعث کاهش صدمات و مصرف منابع می شود. SIEM ها تکنولوژی پیچیده ای هستند که قابلیت یکپارچگی با تجهیزات امنیتی و هاست های شبکه سازمان را دارد.

مدیریت امنیت اطلاعات و وقایع (SIEM) ترکیبی از مدیریت امنیت اطلاعات (SIM) و مدیریت وقایع (SEM) می باشد که یکپارچه شده است و بصورت شماتیک می توان نشان داد که تمام توانایی های SEM و SIM را دارد.

قابلیت های استفاده از SIEM در سازمان

با بزرگ شدن و چندوجهی شدن فعالیت های سازمان ها، نیاز به داشتن SIEM، بیش از پیش احساس می شود. مهم ترین عملکرد های SIEM که به عنوان توانایی های این محصول می توان اشاره کرد در ادامه مطرح می شود که سازمان ها با توجه به نیازهای خود می توانند از این توانایی ها در جهت رفع مشکلات اقدام نمایند:

  • مطابقت با مقررات از طریق جمع آوری و آنالیز داده های ورودی. تمام سازمان ها می بایست خود را با مقررات مختلف تطبیق دهند. این کار با دراختیار داشتن SIEM فراهم می شود.
  • پشتیبانی از عملیات در تیم های مختلف سازمان با رویکرد جمع آوری، بررسی اطلاعات و اطلاع رسانی
  • شناسایی تهدید ها و مقابله با آنها با رویکرد انتخاب و تشخیص بهترین راه حل
  • جمع آوری و بررسی شواهد قانونی از منابع مختلف سازمان
  • مدیریت Log و گزارش گیری، ارتباط دهی با داده ها و پشتیبانی برای گزارشهای تطبیقی

موارد تضعیف عملکرد SIEM

همانطور که توانایی های عملکرد یک SIEM مطرح گردید، مواردی هم وجود دارد که می تواند باعث تضعیف عملکرد یک SIEM در سازمان گردد و یا در روند آن خلل ایجاد نماید. در ادامه به برخی از این موارد اشاره خواهد شد:

  • جمع آوری ناقص اطلاعات و حجم زیاد اطلاعات و منابع محدود
  • تغییرات رفتار های کاربران و واکنش در برابر تغییرات جدید در سازمان
  • افزایش دستگاه ها و برنامه ها در سازمان
  • مدیریت سیستم های مانیتورینگ
  • پیچیدگی افزایشی تهدید های امنیتی
  • ناتوانی در درک داده ها

گام های اصلی در پیاده سازی SIEM

گام اول: تعیین دلیل نیاز به SIEM

چه الزام سازمان بالادستی شما باشد و یا نگاه مثبت سازمانتان، برای استفاده از SIEM باید به این نکته توجه شود که SIEM تنها زمانی کاربردی خواهد بود که قبل از پیاده سازی، تمامی یا بخشی از use case ها و سناریو های امنیتی خود را بررسی و شناسایی کرده باشید و به این نتیجه رسیده باشید که چه نیاز هایی از امنیت شما را بایستی SIEM برآورده کند؟

گام دوم: داده های مورد نیاز

شما مشخص می کنید که با استفاده از تحلیل چه داده هایی به اهداف امنیتی خود می رسید؟ بررسی نیاز به یک محصول Real-time یا Offline انجام شود.

گام سوم: نیازمندی های Correlation (همبستگی)

نیازمندی های correlation‌ مورد نیاز ما چیست و چه بخشی از رخداد های امنیتی ما را شناسایی می کند.

شاید شما پس از دادن جواب این سوال ها به نتیجه برسید که یک محصول مدیریت Log هم پاسخگوی نیازتان باشد. یا اینکه من احتیاج به یک محصول بسیار پیشرفته دارم که نیاز من را برآورده کند.

siem

انتخاب SIEM برای سازمان

برای انتخاب SIEM برای سازمان، نخست می بایست به مشخص کردن معیارهای ارزیابی سازمان پرداخت. انتخاب SIEM به شرایط سازمان باز می گردد. توجه به تمام معیارهای سازمان از ابتدای راه اندازی، شخصی سازی، گسترش و تا انتهای پیاده سازی و استفاده و کاربری SIEM ضروری است. در این صورت است که می توانید بهترین انتخاب را داشته باشید.

هزینه های SIEM

هزینه های SIEM به چند عامل اصلی برمی گردد:

• قابلیت های SIEM:

بخش قابلیت ها به امکانات SIEM مرتبط می شود، برخی از SIEM ها راه حل هایی تحت عنوان light دارند که مدیریت و گزارش گیری log ها را به صورت basic ارائه می دهند و تکنیک های پیشرفته آنالیز و دیگر قابلیت هایی که SIEM پشتیبانی می کند را شامل نمی شود. راه حل های light به صورت قابل ملاحظه ای نسبت به سایر SIEM ها ارزان تر و حتی رایگان هستند.

• نحوه پیاده سازی SIEM:

برخی از SIEM ها نیاز به خریداری سخت افزار و نرم افزار دارند. علاوه بر هزینهSIEM ، هزینه های جانبی نیز می تواند وجود داشته باشد. به طور مثال SIEM ها می توانند از threat intelligence feeds استفاده کنند و باعث می شود اطلاعات بروز تهدیدات امنیتی را در اختیار داشته باشد. استفاده از این سرویس ها نیاز به پرداخت هزینه دارد.

• سفارشی کردن SIEM:

این بخش برای تغییر فرمت log هایی که SIEM نمی تواند آنها درک کند می تواند هزینه هایی را به سازمان تحمیل کند.

• مدیریت SIEM:

هزینه دیگری که برای SIEM می توان در نظر گرفت بحث مدیریت آن است SIEM ها نیاز دارند که به صورت مرتب تنظیم و براساس نیازهای سازمان شخصی سازی شوند.

معماری SIEM:

از نکات مهم در رابطه با معماری SIEM انتخاب چگونگی ارسال log از مبدا به SIEM است که برای این مهم، دو روش اصلی وجود داد:

Agent-based: در این روش، نرم افزار agent روی هر هاست که log تولید می کند نصب می شود و وظیفه استخراج، پردازش و ارسال اطلاعات از هاست به سرور SIEM را دارد.

Agentless: این روش ارسال به این صورت است که اطلاعات log ها بدون Agent انجام می گیرد و هاست به صورت مستقیم log ها را به SIEM ارسال می کند یا از طریق یک سرور logging واسط مانند syslog server اینکار را انجام می دهد.

کاربردهای SIEM:

کاربردهای SIEM را می توان در سه حوزه بیان کرد:

  • Security detectiveو investigative: این حوزه بر روی شناسایی و واکنش (در واقع پاسخ به حملات)، نفوذ بدافزار ها، دسترسی غیر مجاز به داده ها و اطلاعات و سایر مسائل امنیتی تمرکز دارد.
  • Compliance regulatory و policy: تمرکز این قسمت بر روی قوانین و سیاست های مورد نیاز و همچنین احکام تعیین شده در سازمان ها می باشد.
  • System & Network troubleshooting Operation – Normal Operation: این حوزه اغلب بر روی مدیریت log ها تمرکز دارد و با بررسی و یافتن مشکلات سیستم، به منظور امکان دسترس پذیری سیستم ها و برنامه های کاربردی در صدد رفع این مشکلات بر می آید.