آنچه در مقاله مدیریت امنیت اطلاعات و وقایع خواهید خواند:

در دنیای امروز سازمان ها نمی توانند به صورت دستی گزارشات اتفاقات مختلف سازمان را بررسی کنند. نادیده گرفته شدن یک گزارش یا بررسی اشتباه نیز می تواند برای سازمان منجر به اتفاقی جبران ناپذیر شود. برای جلوگیری از رخنه ی امنیتی سامانه ی SIEM شکل گرفت تا با گزارش گیری دقیق و بررسی و تطبیق این گزارشات بتواند در کمترین زمان خطر را شناسایی و به سازمان اطلاع دهد. در همین راستا تیم امنیت روبیکو برای آشنایی هر چه بیشتر سازمان ها با جدیدترین مفاهیم و راهکارهای امنیتی این مقاله را تهیه کرده است.

SIEM چیست؟

نرم افزار امنیت اطلاعات و مدیریت رویداد ( SIEM ) برای بیش از ده سال در قالب های متفاوت در حال استفاده بوده است و به طرز قابل توجهی پیشرفت کرده است. سامانه SIEM یک دید جامع را به صورت لحظه ای به سازمان ارائه می کند تا به تیم IT کمک کند در مقابله با تهدیدات امنیتی فعال ترعمل کنند.

سامانه SIEM یک رویکرد امنیتی است که قابلیت های SIM ( مدیریت امنیت اطلاعات ) و SEM ( مدیریت امنیت رویداد ) را در یک سیستم مدیرت امنیت ادغام می کند.

اصول اساسی هر سامانه SIEM جمع آوری اطلاعات مرتبط از منابع مختلف، شناسایی انحراف از هنجار تعریف شده و انجام اقدام مناسب است. برای مثال، زمانی که مشکل احتمالی شناسایی شد، سامانه SIEM باید از اطلاعات اضافی گزارش تهیه کرده و یک هشدار ایجاد کند و به دیگر سیستم های کنترل امنیت، دستور العمل  توقف ادامه یک فعالیت را بدهد.

در پایه ای ترین سطح، سامانه SIEM می تواند بر اساس یک سری دستورات از پیش تعریف شده ( rules-based )  باشد و یا برای ایجاد ارتباط بین گزارشات ورودی از اتفاقات مختلف از یک موتور هوشمند آماری ( Correlation Engine ) استفاده کند. امروزه سامانه های SIEM پیشرفته، تکامل یافته اند و در این راستا می توان ماژول های تجزیه و تحلیل رفتار کاربر ( UEBA ) و هماهنگی امنیتی بین اتوماسیون و پاسخگویی ( مقابله ) ( SOAR ) به آنها اضافه کرد.

سامانه SIEM با استقرار مجموعه ای از عوامل ( AGENTS )، یک بخش نرم افزاری که بخشی از فعالیت ها به آن سپرده می شود، به صورت طبقه بندی شده، اطلاعات امنیتی را از دستگاه های کاربران نهایی، سرور ها، تجهیزات شبکه و دستگاه های ویژه امنیتی، مثل فایروال، آنتی ویروس یا دستگاه های جلوگیری از نفوذ ( IPS )، جمع آوری می کند. این عوامل اطلاعات به دست آمده را به کنسول مرکزی مدیریت ارسال می کنند، جایی که تجزیه و تحلیل امنیتی را انجام می دهد و آنها را به هم مرتبط ساخته و اولویت بندی می کند.

در بعضی از سیستم ها، پیش پردازش ممکن است توسط عواملی که در لبه ی شبکه قرار دارند، انجام بپزیرد که فقط برخی از اطلاعات حوادث خاص به بخش مدیریت مرکزی منقل شود. این عمل باعث کاهش حجم اطلاعات رد و بدل شده بین عوامل و مدیریت مرکزی می شود. با اینکه یادگیری ماشین در حال پیشرفت است و به سیستم ها کمک می کند که ناهنجاری ها را دقیقتر تشخیص دهند، تحلیلگران باید کماکان بارخورد خود را ارائه بکنند و به سیستم درباره محیط سازمان آموزش دهند.

مدیریت امنیت اطلاعات و وقایع (SIEM)
مدیریت امنیت اطلاعات و وقایع (SIEM)

SIEM چگونه کار می کند؟

ابزارهای موجود در سامانه SIEM کار جمع آوری گزارشات رویدادهای سیستم های مختلف شرکت و قرار دادن این اطلاعات در یک بستر متمرکز را انجام می دهد. این سیستم ها شامل: سیستم های میزان، نرم افزارها و دستگاه های امنیتی، مثل آنتی ویروس ها و فایروال ها، در کل زیر ساخت شرکت می باشد. این ابزارها داده ها را شناسایی و در دسته هایی مثل ورود موفق و ناموفق به سیستم، فعالیت بد افزار و دیگر فعالیت های مخرب احتمالی طبقه بندی می کند.

سامانه SIEM در ادامه هشدارهای امنیتی را تولید می کند تا برای زمان شناسایی مشکلات امنیتی احتمالی در آینده از آن استفاده کند. SIEM با استفاده از مجموعه ای از دستورات از پیش تعیین شده، سازمان را قادر می سازد که این هشدار ها را از کم تا زیاد اولویت بندی کند.

به عنوان مثال، یک حساب کاربری که در 25 دقیقه 25 تلاش ورود ناموفق ایجاد می کند ، می تواند به عنوان یک فعالیت مشکوک نشانه گذاری ( FLAGGED ) شود ولی همچنان در دسته اولویت پایین قرار بگیرد، چون به احتمال زیاد این اتفاق توسط کاربری که رمز عبور خود را فراموش کرده ایجاد شده است.

هرچند، حساب کاربری که در پنج دقیقه 130 تلاش ورود ناموفق ایجاد کرده است را باید در دسته ی اولویت بالا طبقه بندی کرد چون به احتمال زیاد یک حمله ی Brute-Force در حال انجام است.

دلیل اهمیت بالای SIEM چیست؟

اهمیت SIEM از این جهت است که مدیریت مسائل امنیتی را برای سازمان ها با استفاده از فیلتر کردن اطلاعات بسیار زیاد امنیتی دریافتی و اولویت بندی هشدارهای لازم که توسط نرم افزار ایجاد می شوند را آسان تر می کند.

سامانه SIEM این قابلیت را به سازمان ها می دهد که بتوانند یک سری از بحران ها را شناسایی کنند که در صورت عدم وجود SIEM آن ها نادیده گرفته می شوند. این نرم افزار گزارشات دریافتی را به منظور شناسایی هرگونه فعالیت مخرب به طور کامل آنالیز می کند. علاوه بر این، SIEM به دلیل این که اطلاعات خود را از منابع مختلف دریافت می کند می تواند جدول زمانی یک حمله را دوباره ایجاد کند و همچنین به سازمان قابلیت شناسایی ماهیت حمله و تاثیری که روی سازمان می گذارد را بدهد.

SIEM با جمع آوری اطلاعات و گزارشات به صورت خودکار قابلیت بررسی و انطباق را به سازمان می دهد، در صورت نبود SIEM سازمان می بایست تمام این اطلاعات و گزارشات را به صورت دستی جمع آوری کند.

یک سامانه SIEM  تیم امنیتی شرکت را قادر می سازد که با شناسایی مسیر حمله در شبکه و یافتن منابعی که امکان لو رفتن آنها وجود دارد، مدیریت بحران را تقویت کند و همچنین با ارائه ی ابزار خودکار لازم از پیشرفت حمله در شبکه جلوگیری می کند. 

مدیریت امنیت اطلاعات و وقایع (SIEM)
مدیریت امنیت اطلاعات و وقایع (SIEM)

فواید سامانه SIEM

  • زمان شناسایی تهدیدات را به طور قابل توجهی پایین می آورد و آسیب های وارده از آن تهدید را به حداقل می رساند.
  • یک دید جامع از محیط امنیت اطلاعات سازمان را ارائه می کند، کار جمع آوری و تجزیه و تحلیل امنیت داده ها را راحت تر می کند تا سیستم امن بماند، تمامی اطلاعات سازمان وارد یک حافظه مرکزی شده و به راحتی قابل دسترس خواهند بود.
  • می توان برای بخش های مختلفی از سازمان که با داده یا گزارشات، شامل برنامه های امنیتی، حسابرسی امنیتی، Help desk و عیب یابی شبکه سر و کار دارند استفاده شود.
  • از مقادیر زیاد اطلاعات ( اطلاعات با حجم زیاد ) پشتیبانی می کند و سازمان می تواند داده های خود را گسترش دهند.
  • قابلیت شناسایی تهدیدات و هشدار های امنیتی را ارائه می کند.
  • در زمان پیش آمد یک نقص بزرگ امنیتی می تواند تجزیه و تحلیل دقیق و مفصلی را به انجام برساند.

محدودیت های  SIEM:

SIEM همانطور که منافعی دارد دارای یک سری محدودیت هایی هم هست، که در ادامه به آن ها می پردازیم:

  1. معمولا در شبکه هایی با تعداد بالای کاربر در صورتی که بخواهیم سامانه SIEM را با ساختار امنیتی سازمان ادغام کنیم، 90 روز زمان می برد.
  1. گران است!  هزینه ی اولیه ی SIEM بسیار بالاست. همچنین هزینه های مرتبط مثل، نیروی انسانی مورد نیاز برای مدیریت و نظارت سامانه SIEM، پشتیبانی سالیانه و همچنین نرم افزار و عوامل مورد نیاز برای جمع آوری اطلاعات، هم به این هزینه ها اضافه می شود.

آنالیز، پیکربندی و یکپارچه سازی گزارشات نیازمند افرادی با دانش بالاست. به همین دلیل است که یک سامانه SIEM  توسط یک مرکز عملیات امنیت ( SOC )، یک واحد متشکل از یک تیم امنیت اطلاعات که با مسائل امنیتی سازمان سر و کار دارد، مدیریت می شود.

  1. ابزارهای SIEM معمولا بر طبق یک سری قوانین برای تجزیه و تحلیل تمام اطلاعات به دست آمده عمل می کند. مساله اینجاست که شبکه یک سازمان به طور معمول روزانه 10.000 هشدار خطر تولید می کند که هر کدام می توانند درست یا نادرست ( False Positive False Negative ) باشند. در نتیجه تشخیص گزارشات صحیح در بین این تعداد واقعا دشوار است.

در False Positive یک مورد به عنوان یک خطر شناسایی می شود ولی در واقع این طور نیست. در False Negative بر عکس این اتفاق می افتد یعنی یک مورد خطرناک به عنوان بی خطر نشان گذاری می شود.

مدیریت امنیت اطلاعات و وقایع (SIEM)
مدیریت امنیت اطلاعات و وقایع (SIEM)

ابزار ها و نرم افزار SIEM

Splunk :

Splunk یک سیستم SIEM کاملا مستقر در محل است. Splunk نظارت امنیتی پشتیبانی و قابلیت های پیشرفته تشخیص تهدید را ارائه می کند.

IBMQRadar:

QRadar بسته به نیاز سازمان می تواند به صورت سخت افزاری، مجازی یا نرم افزاری به کار گرفته شود. QRadar on cloud یک سرویس از IBM است که بر بستر شبکه ابری قرار دارد و  بر اساس محصولات QRadar SIEM تولید شده است.

LogRhythm:

LogRhythm که برای سازمان های کوچک مناسب است، SIEM، مدیریت گزارشات نظارت شبکه و دستگاه کاربران نهایی و تجزیه تحلیل این اطلاعات را در کنار هم قرار می دهد.

Exabeam:

Exabeam SIEM مجموعه ای از قابلیت ها مثل UEBA ( تجزیه و تحلیل رفتار کاربر و سازمان)، Data Lake، تجزیه و تحلیل پیشرفته و یافتن تهدیدات را ارائه می کند.

RSA:

RSA NetWitness یک پلتفرم شناسایی تهدیدات و ابزار مقابله با آن است که شامل data acquisition, forwarding، ذخیره سازی و تجزیه و تحلیل می شود. RSA همچنین SOAR را ارئه می کند.

نحوه ی انتخاب صحیح سامانه SIEM:

انتخاب صحیح یک سامانه SIEM به یک سری عوامل مثل بودجه و وضعیت امنیتی سازمان بستگی دارد.

هرچند سازمان ها می بایست دنبال ابزارهایی از SIEM باشند که توانایی های زیر را ارائه می دهند:

  • گزارش انطباق
  • مقابله با بحران و بررسی با forensics ( بررسی پروسه توسط تیم Forensics )
  • نظارت بر دسترسی به پایگاه داده و سرور
  • تشخیص تهدیدات داخلی و خارجی
  • نظارت لحظه ای، تجزیه و تحلیل در بین نرم افزارها (applications) و سیستم های مختلف
  • سیستم تشخیص نفوذ (IDS)، سیستم جلوگیری نفوذ IPS، فایروال، گزارش نرم فزار های تشخیص بحران، ادغام و یکپارچه سازی دیگر نرم افزار ها و سیستم ها
  • Threat intelligence ( مقابله هوشمند با تهدید )
  • نظارت بر فعالیت کاربر (UAM)
مدیریت امنیت اطلاعات و وقایع (SIEM)
مدیریت امنیت اطلاعات و وقایع (SIEM)

تاریخچه سامانه SIEM  

شرکت  Gartner اصطلاح SIEM را در گزارش سال 2005 خود به نام ” افزایش امنیت فناوری اطلاعات (IT) با مدیریت آسیب پذیری ” ابداع کرد. در آن گزارش، تحلیلگران یک سیستم امنیت اطلاعات جدید بر پایه مدیریت امنیت اطلاعات (SIM) و مدیریت امنیت رویداد (SEM) را پیشنهاد دادند.

SIM همچنین گزارشات را با Threat Intelligence ترکیب کرد. SEMبا شناسایی، جمع آوری، نظارت و گزارش اتفاقات مرتبط با امنیت در نرم افزار، سیستم ها یا زیر ساخت IT، سر و کار دارد.

سپس ارائه دهندگان، SIEM را از ترکیب SEM، که گزارشات و اطلاعات اتفاقات را به صورت لحظه ای تجزیه و تحلیل و نظارت بر تهدیدات، Event Correlation و مقابله با حوادث را به انجام می رساند، با SIM، که داده های گزارشات را جمع آوری، تجزیه و تحلیل و گزارش می کند، به وجود آوردند.    

آینده ی SIEM:

روند پیشرفت SIEM در آینده به این صورت خواهد بود:

 هماهنگی بهتر (بهینه شده) :  در حال حاضر، SIEM فقط اتوماسیون روندکار های اولیه را به شرکت ها ارائه می دهد. هرچند همزمان با رشد سازمان، SIEM هم نیازمند ارائه ی توانایی های به روز است. بعنوان مثال: با افزایش تجاری سازی هوش مصنوعی (AI) و یادگیری ماشین (machine learning) ابزارهای SIEM می بایست به منظور سرعت بخشیدن به پروسه امن سازی یکسان دپارتمان های متفاوت در سازمان، هماهنگی سریع تری نسبت به قبل ارائه دهد. علاوه بر این پروتکل های امنیتی و اجرای آن ها نیز سرعت بیشتری خواهند داشت در نتیجه تاثیر و کارایی بیشتر در بر خواهد داشت.

همکاری بهتر با ابزارهای مدیریت شناسایی و مقابله (MDR):

با افزایش روزانه ی تهدیداتی مثل هک کردن داشتن یک دیدگاه دو جانبه شناسایی و تجزیه و تحلیل امنیتی برای سازمان ها اهمیت بیشتری پیدا می کند. تیم IT سازمان می تواند سامانه SIEM را به طور داخلی پیاده سازی کند، به شرط اینکه که ارائه دهنده ی سرویس مدیریت (MSP)  بتواند MDR را پیاده سازی کند.

مدیریت سامانه ی ابری و نظارت پیشرفته:

شرکت های ارائه دهنده ی ( فروشندگان ) سامانه SIEM توانایی ابزارهای خود را در زمینه ی مدیریت و نظارت بر سامانه ابری را افزایش خواهند داد تا در آینده بتوانند به شرکت هایی که از سامانه ی ابری استفاده می کنند، امنیت بهتر و بیشتری را ارائه دهند.

سوالات متداول

لورم ایپسوم متن ساختگی با تولید سادگی نامفهوم از صنعت چاپ و با استفاده از طراحان گرافیک است. چاپگرها و متون بلکه روزنامه و مجله در ستون و سطر آنچنان که لازم است.

لورم ایپسوم متن ساختگی با تولید سادگی نامفهوم از صنعت چاپ و با استفاده از طراحان گرافیک است. چاپگرها و متون بلکه روزنامه و مجله در ستون و سطر آنچنان که لازم است.
لورم ایپسوم متن ساختگی با تولید سادگی نامفهوم از صنعت چاپ و با استفاده از طراحان گرافیک است. چاپگرها و متون بلکه روزنامه و مجله در ستون و سطر آنچنان که لازم است.
لورم ایپسوم متن ساختگی با تولید سادگی نامفهوم از صنعت چاپ و با استفاده از طراحان گرافیک است. چاپگرها و متون بلکه روزنامه و مجله در ستون و سطر آنچنان که لازم است.

جمع بندی و نتیجه گیری

برای تغییر این متن بر روی دکمه ویرایش کلیک کنید. لورم ایپسوم متن ساختگی با تولید سادگی نامفهوم از صنعت چاپ و با استفاده از طراحان گرافیک است.

مطالب مرتبط: