اطلاعات امنیتی و مدیریت رویداد چیست؟ security information and event management یا به اختصار SIEM آیا فقط تجملاتی برای یک تحلیلگر است؟ چیزی که اخیراً زیاد به گوش میرسد این است که تیمهای امنیتی اغلب از SIEM خود متنفر هستند یا اگر سوالی را در SIEM امتحان کنید، هفتهها طول میکشد تا به نتیجهای برسید. SIEM ها یا اطلاعات امنیتی و سیستم های مدیریت رویداد خصوصاً آنهایی که به سیستم عاملهای تجزیه و تحلیل امنیتی تبدیل شدهاند؛ دقیقاً همان چیزی نیستند که 10 تا 20 سال پیش بودهاند. برای این که بفهمیم آیا این امر به طور گستردهای شناخته شده است یا فقط تجملاتی است که به یک تحلیلگر تحمیل میشود؟ یک نظر سنجی در این خصوص انجام دادیم. از افرادی که در توییتر ما را دنبال میکنند؛ پرسیدیم که مردم فکر میکنند بزرگترین افسانهها در مورد اطلاعات امنیتی چیست؟ و از آنها درخواست کردیم که نظرات قوی در این خصوص بنویسند. قبل از هر چیزی یک تعریف کلی از آن به شما ارائه میدهیم.
SIEM چیست؟
SIEM در اصل همانطور که در قسمت بالایی گفتیم، مخفف اطلاعات امنیتی و مدیریت رویداد است. نسل جدید قابلیت شناسایی، تجزیه و تحلیل و پاسخگویی را در اختیار سازمانها قرار میدهد. نرم افزار اطلاعات امنیتی و سیستم های مدیریت رویداد در اصل ترکیبی از مدیریت اطلاعات امنیتی و مدیریت رویداد امنیتی برای ارائه تجزیه و تحلیل در زمان واقعی هشدارهای امنیتی تولید شده توسط برنامهها و سخت افزار شبکه است. نرم افزار SIEM رویدادها را برخلاف قوانین و موتورهای تجزیه و تحلیل منطبق میکند و آنها را برای جستجوی زیر ثانیه برای شناسایی و تجزیه و تحلیل تهدیدات پیشرفته و با استفاده از اطلاعات جمع آوری شده در سطح جهانی فهرست میکند. این امر با ارائه تجزیه و تحلیل دادهها، همبستگی رویدادها، تجمیع، گزارش دهی و مدیریت گزارش به تیمهای امنیتی هم بینش و هم سوابقی از فعالیتهای موجود در محیط IT خود میدهد. این نرم افزار در حقیقت میتواند تعدادی از ویژگیها و مزایا را داشته باشد. این مزایا شامل:
- تلفیق چندین نقطه داده
- داشبوردهای سفارشی
- مدیریت گردش کار
- هشدار برای ادغام با محصولات دیگر
میشود.
پاسخهای توییتری
اکنون پاسخهای زیادی در زمینه اطلاعات امنیتی و مدیریت رویداد دریافت کردهایم. این پاسخها در اصل داستانهایی رو بیان میکند که فروشندگان SIEM در مورد محصولات خود به شما میگویند. این اتفاق اغلب در پیامهای بازاریابی و فروش میافتد. صادقانه بگوییم، بسیاری از این نظرات کاملاً دقیق و حقیقی هستند. SIEM ها کار میکنند. آنها همچنین به برنامه ریزی استراتژیک نیاز دارند و میتوانند به شدت با افرادی که فروشنده تبلیغات اعتیاد آور هستند، برخورد کنند. قادر به تهیه یک صفحه شیشهای وعده داده شده از قبل نیستند. با این حال این داستانها را امروز قصد نداریم که از بین ببریم. در اصل فعلاً این امکان وجود ندارد. با تمام صحبتهایی که کردیم اما برخی از جنبههای SIEM وجود دارد که در طی 20 سال گذشته به طور قابل توجهی بهبود یافته است. علی رغم این مسئله که مانع بازاریابی امنیتی خلاف آن را نشان میدهد. در ادامه قصد داریم که دروغها یا افسانههایی که در این خصوص وجود دارند را با هم بررسی کنیم.
دروغ شماره یک
SIEM ها فقط برای انطباق مناسب هستند. سیستم عاملهای تجزیه و تحلیل امنیتی برای ایجاد تمایز در فضای تشخیص و پاسخ به آن به شدت تلاش میکنند. راه حلهایی مانند Exabeam و IBM Security آن را به عنوان نقطه مقابل در آخرین ارزیابی ما در سیستم عاملهای تجزیه و تحلیل امنیتی تبدیل کردهاند. علاوه بر این مسائل به تازگی در سال 1398 راه حلهایی مانند Microsoft Sentinel در این فضا به وجود آمدهاند. این موارد برای استفاده امنیتی ساخته شدهاند. این مورد یکی از بزرگترین دروغهایی است که اطلاعات امنیتی و مدیریت رویداد میتواند به شما بگویند. برای آگاهی بیشتر تا پایان این لیست از دروغها در خصوص اطلاعات امنیتی و سیستم های مدیریت رویداد با ما همراه باشید.
دروغ شماره دو
استعلام در مقیاس یک چالش شناخته شده از راه حلهای قدیمی اطلاعات امنیتی و مدیریت رویداد است. زمانی که عمداً یک مشکل بزرگ داده ایجاد میکنید؛ باید راهی هم برای حل این مشکل نیز پیدا کنید. آنچه بسیاری از این تیمهای امنیتی مییابند این است که آنها اغلب با مقیاس بندی SIEM به دلیل نحوه برخورد با جمع آوری، دست و پنجه نرم میکنند. به جای این که به طور استراتژیک به آن فکر کنند؛ این گونه میشود که یا همه چیز یا هیچ چیز! مواردی وجود دارد که در آن بنگاههای اقتصادی مانند بازیکنان بزرگ در خدمات مالی عمودی، فقط نیاز به جمع آوری مقادیر بسیار مضحک داده دارند. راه حلهای فوق العاده سریعی در بازار وجود دارد و امروزه نیز نوآوری قابل توجهی در این فضا اتفاق میافتد تا بتوانید با راه حلهایی مانند Devo و Chronicle این مشکل را حل کنید.
دروغ شماره سه
این که تیمهای امنیتی از اطلاعات امنیتی و سیستم های مدیریت رویداد خود متنفر هستند یکی دیگر از این دسته دروغها است. همانطور که مدیر تحقیقات ما میگوید اگر شما تا به حال در یکی از رویدادها شرکت کرده باشید، میدانید که پزشکانی هستند که SIEM خود را دوست دارند و این مسئله فقط بر سر دادهها نیست که این مفهوم را هدایت میکند. طبق نظرسنجی اخیر ما بیش از 50% از پاسخ دهندگان اطلاعات امنیتی و مدیریت رویداد خود را دوست دارند.
دروغ شماره چهار
اطلاعات امنیتی و مدیریت رویداد در اصل تنظیم پاسخ را انجام نمیدهند. این مسئله تا چند سال پیش به نوعی درست محسوب میشد؛ اما در این مرحله عمدتاً درست نیست. در نهایت فناوری ارکستراسیون، اتوماسیون توسط بازیکنان بزرگتر SIEM جذب شده است یا در حال جذب شدن است.
دروغ شماره پنج
اطلاعات امنیتی و سیستم های مدیریت رویداد دیگر مرده محسوب میشوند. این جمله فقط یک مضحکه محسوب میشود. SIEM ها بخش عمدهای از فناوری عملیات امنیتی در اکثر شرکتهای متوسط تا بزرگ باقی ماندهاند. طبق گزارشات وضعیت امنیت شبکه در سال گذشته تا به امسال، تیمهای امنیتی که نقض میکنند، نظارت امنیتی خود را گسترش میدهند و نه در نهایت خفه کردن آن! SIEM همچنان سیستم عامل مرکز عملیات امنیتی است و با وجود چالشهایی مانند شناسایی و پاسخگویی گسترده که به عنوان رقابت افزایش مییابد؛ از بین نخواهد رفت.
SIEM چگونه کار میکند؟
نرم افزار اطلاعات امنیتی و مدیریت رویداد با جمع آوری اطلاعات ورود به سیستم و رویدادهای تولید شده توسط برنامههای سازمان، دستگاههای امنیتی و سیستمهای میزبان و گردآوری آنها در یک پلتفرم متمرکز واحد است. SIEM ، دادههای رویدادهای آنتی ویروس، سیاهههای مربوط به فایروال و سایر مکانها را جمع آوری میکند سپس این دادهها را به دستههایی طبقه بندی میکند. به عنوان مثال: فعالیت بدافزار و ورودهای موفق و ناموفق. وقتی SIEM تهدیدی را از طریق نظارت بر امنیت شبکه شناسایی میکند؛ در اصل هشدار ایجاد میکند و سطح تهدید را بر اساس قوانین از پیش تعیین شده تعریف میکند. به عنوان مثال فردی میخواهد 10 بار در 10 دقیقه به یک حساب وارد شود! مشکلی نیست در صورتی که 100 بار در 10 دقیقه میتواند به عنوان نوعی اتک یا حمله شناسایی شود. به این ترتیب میتواند تهدیدها را شناسایی کرده و هشدارهای امنیتی ایجاد کند. داشبوردهای سفارشی و سیستم مدیریت رویداد SIEM در اصل کارایی تحقیق را بهبود میبخشد و باعث اتلاف وقت در موارد مثبت کاذب میشود.
چگونه میتوان از راه حلهای ان بهره برد؟
سوال دیگری که ممکن است در زمینه اطلاعات امنیتی و سیستم های مدیریت رویداد ذهن شما را مشغول خود کند این است که چگونه میتوان از راه حلهای SIEM بیشترین بهره را برد؟ در جواب باید بگوییم که در یک مرکز عملیات امنیتی سنتی، فرآیندهای پاسخگویی به حوادث که توسط تیمهای امنیت سایبری در سراسر جهان دنبال میشود؛ معمولاً استاندارد بوده و ممکن است ساعتها به طول انجامد. SOAR در حقیقت گردش کار را به طور خودکار انجام میدهد و صلاحیت تهدید، تحقیق و پاسخ را تسریع میکند که با اتوماسیون بخشهای زیادی از فرآیند که به تیمهای امنیتی کمک میکند تا تهدیدات واقعی را الویت بندی کنند. همچنین زمان پاسخ را کاهش میدهد و توجه کنید که این کار را با تعامل با سایر فناوریهای امنیتی انجام میدهد تا بتواند مراحل اولیه واکنش به صورت خودکار را انجام دهد. در نظر داشته باشید که UEBA همچنین نقش مهمی در قابلیتهای SIEM ایفا میکند زیرا میتواند رفتارهای انسان و همچنین ماشینهای درون شبکه را مدل سازی کند و این امر هم میتواند تهدیدات پیشرفته را ارائه دهد.
نتیجه
آیا با سیستم عامل اطالاعات امنیتی و مدیریت رویداد برای تجزیه و تحلیل امنیتی چالشهایی وجود دارد؟ دقیقاً این مسئله به هیچ وجه تایید یا دفاع ضمنی از کاستیهای فناوری SIEM نیست. با این حال این پست به ما میگوید که طرز فکر ما در مورد SIEM در 10 سال پیش نمایانگر ابزاری چند وجهی نیست که امروزه تیمهای امنیتی از آن استفاده میکنند. سیستم عاملهای تجزیه و تحلیل امنیتی در صورت تمرکز بر نوآوری در شناسایی، تجربه استثنایی کاربر و اتوماسیون برای تحقیق و پاسخ؛ یک فرصت ایده آل برای حفظ پایگاه خود در این فضا را دارند. به پایان این مقاله در مورد اطلاعات امنیتی و سیستم های مدیریت رویداد رسیدیم. ایا شما هم این طرز فکر قدیمی را در مورد این نرم افزار داشتید؟ مشکل شما الان دقیقاً چیست؟ میتوانید تجربههای مشترک خود در این زمینه را با ما به اشتراک بگذارید یا سوالات خود با محوریت SIEM را در قسمت دیدگاه از ما بپرسید تا شما را راهنمایی کنیم. امیدواریم که این مقاله برای شما مفید باشد.