راهکار Security Information Event Management یا به اختصار SIEM همانند یک سیستم رادار عمل میکند که استفادهی کنترلرهای ترافیک را، هدایت و پخش مینماید، بطوری که بدون در نظر گرفتن چنین راهکاری، بخش IT شرکتها از دید کافی بهرهمند نخواهند شد.
علیرغم اینکه ابزار امنیتی و نرمافزارهای سیستمی در کشف و Log نمودن حملات جداگانه و رفتارهای نامعمول وظیفه خود را بهخوبی انجام میدهند، جدیترین حملات سایبری، همچنان بصورت گسترده رخ می دهند و به نحوی هماهنگ بر روی چندین سیستم فعالیت نموده و از روشهای پیشرفتهی گریز استفاده میکنند تا از شناسایی بگریزند. بدون SIEM حملات میتوانند گسترش یافته و به شکل رویدادی مخرب درآیند.
با پیچیدگی روزافزون حملات و استفاده از سرویسهای Cloud که تنها سطح آسیبپذیری را گسترش میدهند، اهمیت یک راهکار SIEM در صنعت سایبری امروزه بیش از پیش شایان توجه است. همانطور که کسبوکارهای بیشتری زیرساختهای خود را ارتقا داده و به محیط Cloud میبرند، استراتژیها و تکنولوژیهای امنیتی نیز باید خود را با این جنبش وفق دهند.
بهمنظور تقویت مدیریت امنیت و درعینحال کاهش منابع مورد نیاز جهت محافظت از خود، شرکتهای بیشتر و بیشتری درحال تکیه بر SIEM بهصورت پیادهسازیشده در Cloud و یا بهصورت Software-as-a-Service (به اختصار SaaS) میباشند.
دلایل استفاده از SIEM
تیمهای امنیتی شرکتها باید از یک راهکار SIEM استفاده نمایند که نه تنها برای سناریوهای معمول امنیتی، بلکه سناریوهای پیشرفته نیز راهکار ارائه کند. بهمنظور عقب نماندن از محیط داینامیک تهدیدات، انتظار میرود که SIEMهای مدرن از پس اقدامات زیر بهخوبی بربیایند:
- متمرکز و متراکمسازی تمام رویدادهای امنیتی با توجه به منشا آنها
- پشتیبانی از طیف گستردهای از مکانیزمهای دریافت و جمعآوری همانند Syslog، انتقال فایلها، گردآوردی فایلها و غیره
- اضافه نمودن Context و هوش تهدیدات به رویدادهای امنیتی
- هماهنگی و آگاهسازی در مجموعهای از دادهها
- شناسایی تهدیدات پیشرفته و ناشناخته
- ثبت رفتارها در سرتاسر سازمان مربوطه
- جمعآوری تمام دادهها (کاربران، برنامههای کاربردی) و در دسترس قرار دادن آنها برای استفاده شامل Monitor نمودن، آگاهسازی، بررسی و جستجوی Ad Hoc
- ارائهی جستجو و گزارش Ad Hoc از دادهها برای تجزیهوتحلیل پیشرفتهی نقض امنیتی و ردگیری فعالیتهای مهاجمان احتمالی
- بررسی رخدادها و انجام بررسیهای جرمشناسی بهمنظور تجزیهوتحلیل دقیق رخدادها
- ارزیابی و گزارشدهی درخصوص وضعیت تطبیقپذیری
- استفاده از آمار تجزیهوتحلیلها و گزارشدهی درخصوص وضعیت امنیتی
هرچندکه دادههای SIEM عمدتاً از سرورها و Logهای دستگاههای شبکه جمعآوری میشوند، این دادهها را میتوان از امنیت Endpoint، دستگاههای امنیت شبکه، برنامههای کاربردی، سرویسهای Cloud، سیستمهای احراز هویت و صدور حق دسترسی و همچنین دیتابیسهای آنلاین آسیبپذیریها و تهدیدات موجود نیز جمعآوری نمود.
اما جمعآوری دادهها تنها نیمی از داستان است. نرمافزار SIEM انباری از دادهها را که در نتیجهی این جمعآوری حاصل میشود در جستجوی رفتارهای نامعمول، اختلالات سیستمی و دیگر نشانههای یک رخداد امنیتی، با یکدیگر مرتبط سازد. از این اطلاعات نه تنها برای اطلاعرسانی Real-Time رخدادها، بلکه برای ممیزیها و گزارشات تطبیقپذیری، داشبوردهای عملکرد، تجزیهوتحلیل گذشتهی Trendها و جرمشناسیهای Post-Hoc رخدادها نیز استفاده میگردد. با توجه به میزان و پیچیدگی روزافزون تهدیدات امنیتی درکنار ارزش فزایندهی داراییهای دیجیتالی در هر شرکت، بهکارگیری روبهرشد SIEM بهعنوان بخشی از اکوسیستم کلی امنیت IT تعجبی ندارد. کمپانی Gartner رشد بازار استفاده از SIEM را در سال 2015، 12.5 درصد برآورد نمود و انتظار میرود این رشد دو رقمی در سال 2016 و ما بعد آن نیز ادامه پیدا کند.
مزایای استفاده از SIEM در محیط Cloud
اجرا نمودن SIEM در محیط Cloud یا استفاده از آن بهصورت SaaS میتواند در حل مشکلات بسیاری از شرکتها با هوش امنیتی، یاریرسان باشد؛ با اینحال بسیاری از مدیران صنعت IT به امنیت محیط Cloud و اعتبار آن بیاعتماد هستند. پیش از صرفنظر از SIEM مبتنی بر Cloud بدانید که اقدامات و تکنولوژیهای امنیتی بزرگترین سرویسهای Cloud میتوانند بسیار پیچیدهتر از اقدامات و تکنولوژیهای امنیتی شرکتهای معمولی باشند.
در حال حاضر از SaaS بهصورت گسترده در سیستمهایی مهمی همچون CRM ، HR، HRP و تجزیهوتحلیلهای کسبوکار استفاده میگردد. به همان دلایلی که SaaS برای برنامههای کاربردی شرکتها مناسب است، یعنی پیادهسازی سریع و راحت، عملیاتهای Low-Overhead، بهروزرسانیهای خودکار، Billing مبتنی بر استفاده و مقیاسپذیر و همچنین زیرساخت تقویتشده، محیط Cloud را برای SIEM بسیار مناسب میگرداند.
راهکارهای مبتنی بر Cloud، انعطافپذیری استفاده از طیف گستردهای از مجموعه دادهها را از On-Premises و محیط Cloud فراهم میآورند. همانطور که بارِ کاری شرکتها به سمتِ Infrastructure-as-a-Service یا به اختصار IaaS و (Platform-as-a-Service (PaaS و SaaS میروند، سهولت ادغام آنها با سیستمهای Third-Party نشاندهندهی این است که SIEM در محیط Cloud بیش از پیش معقول است.
مزایای کلیدی انتقال SIEM به محیط Cloud شامل موارد زیر میباشد:
- انعطافپذیری یک معماری Hybrid
- بهروزرسانیهای خودکار نرمافزارها
- پیکربندیبندی سادهسازیشده
- زیرساخت مقیاسپذیر و آنی
- کنترلهای قوی
- دسترسپذیری بالا
معماری Hybrid منعطف
استفادهی صنعتی از سرویسهای Cloud امروزه در حال تسریع است و بسیاری از شرکتها از یک محیط Hybrid بهرهمند هستند که دادهها و برنامههای کاربردی را هم On-Premises و هم در محیط Cloud ذخیره دارد. این بدین معنی است که صرفنظر از جایگاه قرارگیری یک محصول SIEM، باید بتواند برای هریک از این دو محیط داده جمعآوری نماید.
انتقال SIEM به محیط Cloud به شرکتها انعطافپذیری بیشتری میبخشد. با پیادهسازی Hybrid در محیط Cloud، یک SIEM میتواند در دیتاسنتر خصوصی یک شرکت پیادهسازی شده و همچنان از On-Premises و سرویسهای Cloud داده جمعآوری نماید و همچنین بهعنوان یک سرویس Cloud مورد استفاده قرار گیرد که میتواند دادههای امنیتی را از هر جایی جمعآوری کند.
بهروزرسانیهای خودکار نرمافزارها و تسهیل مدیریت پیکربندی
گسترهی تهدیدات که با سرعت بالایی درحال تغییر و تحول میباشند در کنار حملاتی که رفتهرفته پیچیدهتر و مؤثرتر میشوند، باعث شده که متخصصان امنیت و ابزارهایشان جهت به روزماندن و هماهنگی با تکنولوژی روز، دچار مشکل گردند، از طرفی یک سیستم SIEM باید به آنها کمک نماید، نه اینکه بار بیشتری بر دوش این افراد باشد. با اینحال از آنجایی که بسیاری از ارائهدهندگان قدیمی SIEM محدودیتهایی بر روی Schema دادهها، تهدیدات Hard-Coding و فرمتهای Log Event یا الگوهای حملات اعمال مینمایند، ممکن است این SIEMها نتوانند تازهترین Exploitها را شناسایی کنند.
مزیت اصلی یک محصول SIEM، توانایی آن در وفق یافتن با محیط تهدیدات بستگی دارد. یک SIEM مبتنی بر Cloud از معماری Big Data پرچمدار خود برای ساخت Schemas-on-the-flyهای دینامیک بهمنظور گیرانداختن تهدیداتی استفاده مینماید که میتوانند از تعریفات Hard-Coded تهدیدات بگریزند.
ــــــــــــــــــــــــــــــــــــــــــ
تسهیل مدیریت امنیتی با استفاده از SIEM مبتنی بر Cloud – قسمت اول
تسهیل مدیریت امنیتی با استفاده از SIEM مبتنی بر Cloud – قسمت دوم (پایانی)
