سابقه ی تکنولوژی Security Incident and Event Management یا SIEM با قابلیت های اساسی پلتفرم به بیش از یک دهه باز می گردد. از آن زمان تا کنون، با تقاضای سازمان ها برای امنیت بهتر و هدایت بازار، پیاده سازی SIEM بیشتر به پلتفرم اطلاعاتی تبدیل شده اند. مدیریت تهدید به عنوان عامل اصلی و نظارت سراسری و انطباق به عنوان دومین عامل باعث افزایش تقاضا برای فناوری SIEM در سال گذشته شدند. بسیاری از قابلیت های جدیدتر ارائه شده در بازار، نیروی محرکه ی قابل توجهی برای استفاده از نرم افزارهای SIEM هستند. Gartner Magic Quadrant یا MQدر SIEM این مجموعه معیارهای رو به رشد را از نظارت مبتنی بر ریسک و واکنش به امنیت Cloud و برنامه گرفته تا گزینه های موجود در ساختار نصب، برای کاربران و Vendorها مشخص میکند.
5 ویژگی کاربردی پیاده سازی SIEM
1. تمرکز بیشتری بر روی هشدارهای مبتنی بر خطر
2. الویت دادن به امنیت Cloud و برنامه ها
3. ضرورت وجود گزارش تطبیق پذیری به صورت پیش فرض
4. امکان پیاده سازی SIEM در همه اشکال و اندازه ها
5. قابلیت دیدن تهدید از Code تا Cloud
1. تمرکز بیشتری بر روی هشدارهای Risk-Based
متاسفانه، عدم واکنش مناسب به هشدارها همچنان به صورت روزانه موجب آزار ناخواسته ی تحلیلگران میشود، هشدارهای مبتنی بر شناسایی موارد متعدد، ممکن است منجر به خطا در اعلام هشدار و نویز زیادی در Security Operation Center یا SOC شود، و به سرعت افرادی را که باید قبل از همه واکنش نشان دهند، تحت فشار قرار دهد.
آشنایی با SIEM یا امنیت اطلاعات و مدیریت رویداد
ویدیوهای بیشتر درباره SIEM
نکات هنگام پیاده سازی SIEM
هنگام پیاده سازی SIEM باید این نکته را توجه داشت که SIEMها باید در شناسایی و واکنش موثر به حملات هدفمند و نقایص امنیتی، به طور مداوم ارتقا یابند. این نوع پروفایل بندی رفتار، هوش تهدید و تجزیه و تحلیل در SIEM میتواند به طور تصاعدی موفقیت در تشخیص را بهبود بخشد. Risk-Based Alerting به طور خاص، رویکردی نسبتاً جدید و روشی است که میتواند به کاربران و شرکتها در شناسایی تهدیدها کمک کند و پس از عبور از مرحله ای خاص، اعلام خطر نماید. SOCها میتوانند با کاهش حجم هشدارها، ضمن افزایش صحت در اعلام هشدار، شناسایی تهدید را بهبود بخشند و در عین حال حملات پیچیده تری را شناسایی نمایند که Correlation Searchها به طور معمول نمیتوانند. با این کار وقت و منابع موجود در برابر تهدیدهای واقعی که غالباً پیچیده هستند، آزاد میشوند و عملیات با چارچوبهای امنیت سایبری استاندارد صنعتی مانند چارچوب MITER ATT & CK هماهنگ میشود.
2. الویت بخشیدن به امنیت Cloud و برنامه ها
با افزایش هرچه بیشتر استفاده از Cloud، کسب و کارها با سرعت باورنکردنی شروع به انتقال به Cloud نموده اند. اما هرچه تعداد بیشتری از سازمان ها به زیرساخت های Cloud روی بیاورند، تقاضا برای بروزرسانی و اجرای استراتژی Cloud بسیار بیشتر میشود. و در چنین شرایطی، پیچیدگی های فنی انتقال تنها یکی از چالشهایی است که یک سازمان در انتقال به Cloud با آن روبرو خواهد شد.
برای مشاوره رایگان جهت (باز)طراحی امنیت شبکه و یا انجام تست نفوذ مطابق با الزامات افتا با کارشناسان شرکت APK تماس بگیرید. |
همانطور که تیم ها با ابتکارات دیجیتالی به سرعت در حال حرکت رو به جلو هستند، در تلاش برای پیروزی در رقابت، از شرایط عمومی امنیتی غافل میشوند که در نهایت منجر به افزایش خطر میگردد، به خصوص اگر سازمان در کنترل شبکه، سیستم های مدیریت دسترسی یا گزینه های تنظیم Cloud، سریع نباشد. این موضوع، همراه با گسترش سطح حمله و عدم قابلیت دید، به معنی قریبالوقوع بودن یک نقض است. ولی با پیاده سازی SIEM و داشتن ابزارهای مناسب، کاربر میتواند به طور یکپارچه و ایمن انتقال به Cloud را آغاز کند. یک راهکار قوی SIEM باید دارای محتوای نظارت بر امنیت Cloud باشد که حتی تشخیص و واکنش به تهدیدات در محیط های Hybrid ،Cloud و Multicloud را آسان تر میکند. این راهکار همچنین شامل قوانین پیچیدهای برای تشخیص حملات به Cloud و دامنه ی وسیعی از حمله Cloud برای آزمایش و بهبود مستمر شناسایی Cloud است.
3. ضرورت وجود گزارش تطبیق پذیری به صورت پیش فرض
دیگر دورانی که اکثر تحلیلگران برای تنظیم داشبورد، به قوانین یا جستجو نیاز داشتند، گذشته است. اکنون، انتظار میرود Vendorها الزامات تطبیق پذیری را در نظر بگیرند و به کاربران کمک کنند تا نیاز به انجام برخی از الزامات نداشته باشند و Audits را به راحتی و صرف نظر از قانون یا چارچوب نظارتی انجام دهند. اگر چه این امر ایده ی خوبی به نظر می رسید ولی انجام آن در گذشته دشوار بود. اما به لطف گزارش تطبیق پذیری که به طور پیش فرض موجود است، کاربران میتوانند به راحتی در مورد حوادث، مستندسازی و گزارش کنند، کنترل های موجود را تأیید نمایند و هزینه های عملیاتی مورد نیاز برای نشان دادن پایبندی به الزامات تطبیق پذیری را کاهش دهند.
بیشتر بخوانید: جمعآوری Log و پردازش آن برای SIEM و نقش آن در امنیت شبکه
این نوع محتوا که به راحتی در دسترس، قابل استفاده و مرتبط است، میتواند وضعیت امنیتی یک سازمان را تقویت نماید و مهمتر اینکه، به آنها کمک میکند تا تطبیق پذیری را رعایت کرده و ممیزی های امنیتی را در کمترین زمان انجام دهند. در نتیجه، مدیران بیشتری در فضای امنیتی به دنبال تجزیه و تحلیل و گزارش تطبیق پذیری و همچنین محتوای خاص تطبیق پذیری هستند.
4. امکان پیاده سازی SIEM در همه اشکال و اندازه ها
خوشبختانه، اکنون گزینه های متعددی در رابطه با پیاده سازی SIEM وجود دارد. سازمان ها میخواهند تجهیزات و نرمافزارهای مناسب برای ساخت stackهای کاربردی متناسب با زیرساختهای موجود را با یکدیگر تطبیق دهند. که به معنی پیاده سازی های انعطاف پذیر در Scale میباشد. به عنوان مثال، برای پیادهسازی On-Prem، عوامل مختلفی وجود دارد که تیم های امنیتی می توانند هوشمندانه از آنها استقاده نمایند، که شامل تجهیزات فیزیکی و مجازی، کانتینرها و پیاده سازی Private و Public Cloud، مانند خدماتAmazon Web Google و Azure میباشد. و همیشه لازم نیست که کاربرها همه چیز را با هم ترکیب کنند.
بیشتر بخوانید: آشنایی با قابلیت های FortiSIEM و نحوه شناسایی تهدیدات Insider
نوع دیگر پیاده سازی SIEM، اتخاذ رویکرد مرحله به مرحله، یعنی شروع با Core SIEM و در نهایت گسترش آن به User and Entity Behavior Analytics یا UEBA یا راهکار Security Orchestration, Automation and Response یا به طور مختصر SOAR و فراتر از آن، است. آخرین و مهمترین مسئله این است که، انتظار می رود Vendorها از نسخه های Softwareas-a- Service یا SaaS مبتنی بر Cloud پلتفرم SIEM خاص خود پشتیبانی کنند، که در این صورت کاربران مانند پشتیبانی On-Prem محدودیتی نخواهند. Splunk Cloud فقط یک نمونه از چگونگی ترکیب SIEM با On-Premises، پیاده سازی Cloud و Hybrid برای ایجاد یک راهکار SIEM مبتنی بر Cloud است که فراتر از تشخیص و واکنش ساده است.
5. قابلیت دیدن تهدید از Code تا Cloud
اکنون بیش از هر زمان دیگر، هنگام انتقال کاربر به Cloud، اطمینان از امنیت در سراسر عملیات و فراتر از آن، بسیار اهمیت دارد. به خصوص که انتقال به Cloud به طور حتم نحوه ی ساخت، مدیریت و نصب سرویس ها را تغییر خواهد داد. سازمان ها برای اطمینان از ارائه خدمات ایمن به بازار، از جمله قابلیت مشاهده، بینشهای عملی و قابلیت واکنش به حوادث، روش های DevSecOps را به کار میبرند. از آنجا که Cloud به لطف مجموعه ی جدیدی از Data Streamها، برنامه ها و خدمات، یک Attack Surface در حال رشد را ایجاد میکند، نیاز به قابلیت دید End-To-End در محیط ها بسیار بیشتر است. سازمان های فاقد روشهای DevSecOps تلفیقی، در معرض Threat Vectorها و Attack Surfaceها قرار میگیرند، زیرا قابلیت دید ضعیف و برنامه های کدگذاری شده ی امن Subpar میتواند منجر به آسیب پذیری های بیشتر، تنظیم و تغییر نسخه شود. این تیم ها همچنین به علت وجود ابزارها و گروه هایی که چابکی و سرعت برنامه را تضعیف میکنند، با عدم قابلیت دید و مدیریت منسجم داده ها و ایجاد موثر سیلوها روبرو هستند. درک نحوه ی بررسی و تحلیل پنج ویژگی برتر در پیاده سازی SIEM به روشی پایدار و موثر همان چیزی است که باعث موفقیت تیم ها میشود، با دستیابی به قابلیت دید کامل در Software Delivery Chain یا SDLC، گروه ها میتوانند فرآیند ارائه ی خدمات و خدمات مربوط به ایجاد کد را از ابتدا تا تحقق Cloud، بهتر تأمین کنند. قدرت این نوع قابلیت مشاهده Code-To-Cloud در این است که تیمهای عملیاتی و تیمهای امنیتی درک بسیار بیشتری از نحوه اجرای برنامه ها، ملاحظات امنیتی هنگام توسعه و اطلاعات برای حل سریعتر حوادث دارند.
