مفهوم SIEM چیست چرا اهمیت دارد و بررسی مزایای آن

مفهوم SIEM چیست؟ سیستم مدیریت اطلاعات و رویدادهای امنیتی، The security information and event management یا SIEM رویکردی برای مدیریت امنیت است که عملکردهای SIM یا سیستم مدیریت اطلاعات و SEM یا سیستم مدیریت رویداد را در یک سیستم مدیریت امنیت ترکیب می‌کند.

 سیستم‌های مدیریت اطلاعات و رویدادهای امنیتی سه چالش اصلی، که پاسخ سریع به حادثه را محدود می‌کنند، مورد ملاحظه قرار می‌دهد:

1. حجم گسترده‌ی داده‌های امنیتی پراکنده، دیدن آنچه در حال وقوع است و نیز اولویت‌بندی تهدیدها را دشوار می‌کند.
2. تیم‌های فناوری اطلاعات، به دلیل وجود شکاف در مهارت‌های امنیت سایبری، نیرو و کارآموزهای کمی دارند.
3. نیاز به نشان دادن انطباق زمان شناسایی تهدید و پاسخ به آن را می‌گیرد.

چرا SIEM اهمیت دارد؟

مفهوم SIEM چیست؟ سیستم‌های SIEM برای سازمان‌هایی که هجوم تهدیدات را کاهش می‌دهند، بسیار اهمیت دارند. با اینکه مرکز عملیات امنیتی یا SOC یک سازمان، به‌طور متوسط، ​​روزانه بیش از 10000 هشدار و سازمان­های بزرگ بیش از 150000 هشدار دریافت می‌کنند، اما تیم‌های امنیتی اکثر سازمان‌ها آنقدر بزرگ نیستند که بتوانند با تعداد زیادِ هشدارها هماهنگ باشند. با این حال، خطرِ فزاینده‌ی ناشی از تهدیدات سایبری پیچیده‌تر، این بی‌توجهی به هشدارها را بسیار خطرناک می‌کند. تنها یک هشدار ممکن است باعث تشخیص و جلوگیری از یک حادثه بزرگ و رد کردن کامل آن باشد. امنیت SIEM ابزاری کارآمدتر برای طبقه‌بندی و بررسی هشدارها را ارائه می‌دهد. با استفاده از تکنولوژی SIEM، تیم‌های امنیتی می‌توانند با انبوهی از داده‌های امنیتی همراه باشند.

آشنایی با SIEM یا امنیت اطلاعات و مدیریت رویداد

ویدیوهای بیشتر درباره ی SIEM

راهکارهای سیستم مدیریت اطلاعات و رویدادهای امنیتی یا The security information and event management یا همان SIEM، به منظور سرعت بخشیدن به شناسایی تهدیدات و پشتیبانی از حوادث امنیتی و مدیریت رویداد و انطباق، گزارش‌ها را جمع‌آوری و رویدادهای امنیتی را همراه با سایر داده‌ها تجزیه و تحلیل می‌کند. اساساً، یک سیستم فناوری SIEM داده‌ها را از منابع متعدد جمع‌آوری می‌کند و پاسخی سریع‌تر به تهدیدات را ممکن می‌سازد. اگر یک ناهنجاری تشخیص داده شود، ممکن است اطلاعات بیشتری را جمع‌آوری کرده، و یک هشدار ایجاد شود و یا ممکن است یک دارایی را قرنطینه کند.

بیشتر بخوانید: بررسی و تحلیل پنج ویژگی برتر در پیاده‌سازی SIEM

در حالی که فناوری SIEM، به طور سنتی، توسط کسب‌وکارها و سازمان‌های دولتی‌، برای ارائه‌ی انطباق استفاده می‌شد، آن‌ها متوجه شده‌اند که اطلاعات امنیتی و مدیریت رویداد بسیار قدرتمندتر است. از آن زمان، فناوری‌های SIEM به‌عنوان یک ابزار کلیدی جهت شناسایی تهدیدات، برای سازمان‌ها، در هر اندازه‌ا‌ی، تکامل یافته اند. با توجه به پیچیدگی تهدیدات امروزی و استمرار کمبود مهارت‌های امنیت سایبری، داشتن مدیریت اطلاعات و رویدادهای امنیتی‌ای که بتواند به‌سرعت و به‌طور خودکار رخنه‌ها و سایر مسائل امنیتی را شناسایی کند، بسیار مهم است. قابلیت‌های SIEM سازمان‌های کوچک و متوسط ​​بیشتری را به سمت استقرار راهکار مدیریت امنیت و رویداد سوق می‌دهد.

SIEM چگونه کار می‌کند؟

هنوز هم ممکن است برخی از سازمان‌ها سؤال کنند که: «SIEM چه کاری انجام می دهد؟». فناوری SIEM اطلاعات مربوط به امنیت را از سرورها، دستگاه‌های کاربر نهایی، تجهیزات شبکه، برنامه‌ها و همچنین دستگاه‌های امنیتی جمع‌آوری می‌کند. راهکار‌های سیستم مدیریت اطلاعات و رویدادهای امنیتی یا SIEM داده‌ها را به دسته‌های مختلف تقسیم می‌کند و هنگامی که یک مشکل امنیتی بالقوه شناسایی می‌شود، با توجه به سیاست‌های از پیش تعیین‌شده، یک هشدار ارسال کرده یا به آن مشکل پاسخ می‌دهد. تجمیع و تجزیه و تحلیل داده‌های جمع‌آوری‌شده در سراسر شبکه، تیم‌های امنیتی را قادر می‌سازد تا تصویر کلی را ببینند، رخنه‌ها یا حوادث را در مراحل اولیه شناسایی کنند و قبل از وارد شدن آسیب به آن پاسخ دهند.

سیستم‌های SIEM گزارش‌ها را از بیشترین منابع ممکن دریافت و تفسیر می‌کنند، از جمله این منابع عبارتند از:

• فایروال‌ها و سیستم‌های یکپارچه مدیریت تهدید یا unified threat management systems یا UTM
• سامانه تشخیص نفوذIntrusion detection systems  یا  IDSو سامانه پیشگیری از نفوذ intrusion prevention systems   یا  IPS
• فیلترهای وب
• امنیت Endpoint
• نقاط دسترسی بی‌سیم
• Routerها
• سوئیچ‌ها
• سرورهای برنامه
• هانی‌پات‌ها

سیستم‌های SIEM، برای تجزیه و تحلیل، اطلاع‌رسانی، و نظارت، هم به داده‌های رویداد و هم به داده‌های متنی حاصل از این گزارش‌ها توجه می‌کنند. تیم‌های فناوری اطلاعات می‌توانند بر اساس این نتایج به طور موثر و کارآمد به حوادث امنیتی پاسخ دهند.

بیشتر بخوانید: بررسی قابلیت های FortiSIEM در شناسایی تهدیدات

چرا SIEM؟ مزایای مهم آن چیست؟

راهکارهای سیستم مدیریت اطلاعات و رویدادهای امنیتی قابلیت‌هایی کلیدی مانند شناسایی تهدید، گزارش‌دهی هم‌زمان، ابزارهای انطباق و تجزیه و تحلیل گزارش بلندمدت را ارائه می‌کنند. مزایای برتر آن عبارتند از:

• افزایش اثربخشی امنیتی و پاسخ سریع‌تر به تهدیدها. یک راهکارِ مدیریت امنیت و رویدادِ مفید باید: «تحلیل‌گر را قادر سازد تا الگوهای رفتاری مشکوک را سریع‌تر و مؤثرتر از آنچه با مشاهده‌ی داده‌های سیستم‌های منفرد ممکن است شناسایی کرده و به آن‌ها پاسخ دهد». راهکاری که واقعاً مؤثر است، باید بتواند از رخنه‌ی موفقیت‌آمیز جلوگیری کند.
• نمایش انطباق کارآمد. فناوری SIEM همچنین باید ردیابی و گزارش انطباق با صنعت و مقررات دولتی و استانداردهای امنیتی را برای تیم‌های فناوری اطلاعات SIEM آسان کند.
• کاهش چشمگیر پیچیدگی‌ها. ادغام داده‌های مربوط به رویدادهای امنیتی، از چندین برنامه و دستگاه، تجزیه و تحلیل سریع و جامع را امکان پذیر می‌کند. علاوه بر این، tassهای تکراری خودکار می‌شوند و کارهایی که قبلاً به متخصص نیاز داشتند، می‌توانند توسط کارکنان کم تجربه انجام شوند.

شرایط استاندارد برای یک راهکار SIEM بدین صورت است که حداقل باید بتواند:

• داده‌ها را از هر دستگاه امنیتی‌ای جمع‌آوری کند؛
• داده‌ها را تجمیع کرده، و آن‌ها با یکدیگر مرتبط سازد و تجزیه و تحلیل کند؛
• در صورت لزوم آن‌ها را اتوماتیک کند؛
• علاوه بر دستگاه‌ها بر خدمات تجاری نیز نظارت کند.

بیشتر سازمان‌ها از یک راهکار مدیریت اطلاعات و رویدادهای امنیتی چیزی فراتر از عملکردهای اولیه آن می‌خواهند. چک لیست زیر فهرستی در مورد ویژگی‌های خاصی ارائه می دهد که بازگشت سرمایه یا return on investment یا ROI را به حداکثر می‌رساند:

ادغام یکپارچه با معماری‌های امنیت و شبکه‌ی موجود

چه معماری امنیتی بر مبنای Security Fabric Fortinet باشد و چه بر مبنای یک محیط چند وندوری، راهکار مدیریت اطلاعات و رویدادهای امنیتی باید به طور یکپارچه ادغام شود. این راهکار باید بتواند به طور خودکار داده‌ها را از چندین دستگاه امنیتی و فناوری اطلاعات، از جمله دستگاه‌هایی که مختص یک منطقه یا یک صنعت هستند، کشف و دریافت کند.

این راهکار همچنین باید، پیش از هر چیز، شامل گزینه‌های انعطاف‌پذیر برای استقرار، استقرار سریع، و قابلیت تنظیم آسان، بدون نیاز به خدمات حرفه‌ای گسترده، باشد. راهکار مدیریت اطلاعات و رویدادهای امنیتی همچنین باید بتواند با رشد کسب و کار توسعه یابد.

هشدارهای دقیق و اولویت بندی شده

بدون ارتباط و تجزیه و تحلیل، حتی داده‌های تلفیقی نیز بی‌ارزش هستند. راهکار SIEM باید از چندین روش‌ برای تعیین اینکه چه نتایجی باید از داده‌ها گرفته شود، استفاده کند.

همچنین، نکته‌ی مهم استفاده از یک زیرساخت هوشمند و موتورِ کشف برنامه است، که به طور خودکار، توپولوژی زیرساخت فیزیکی و مجازی، on-premise و cloudهای عمومی یا خصوصی را ترسیم و زمینه را برای تجزیه و تحلیل رویداد فراهم کند. این کار باعث از بین رفتن زمانِ تلف‌شده و خطاهایی می‌شود که ممکن است هنگام افزودن دستی این اطلاعات رخ دهد.

علاوه بر این، یک راهکارِ خوب SIEM هویت کاربر را با آدرس‌های شبکه یا IP و دستگاه‌های آنها مرتبط می‌کند. این بافتِ رویداد، همراه با مجموعه قوانین محکم و تجزیه و تحلیل پیشرفته، اولویت‌بندی تهدیدات را امکان پذیر ساخته، و آن‌هایی را که نیاز به توجه فوری دارند علامت‌گذاری می‌کند. در نتیجه، مدیران می‌توانند به‌سرعت به رویدادهای پرخطر رسیدگی کرده و رویدادهای کم‌خطر را با فرآیندهای پاسخ خودکار تخلیه کنند.

کاهش خودکار حوادث

یک راهکار SIEM ایده‌آل، از تنظیمات امنیتی یا Security Orchestration، اتوماسیون یا Automation و پاسخگویییا Response یا به اختصار SOAR، برای هماهنگ‌سازی پاسخ مناسب از طریق دستگاه‌های امنیتی دارای چند وندور استفاده می‌کند. این راهکار، بسته به سطح خطر و پیچیدگی رویداد، می‌تواند به طور خودکار پاسخ داده و یا به اپراتور انسانی هشدار دهد. این انعطاف‌پذیری به سازمان‌ها کمک می‌کند تا در مواجهه با رشد انفجاری داده‌های امنیتی و شتاب تهدیدات، به تعادل مناسب بین سرعت پاسخ و نظارت انسانی دست یابند.

بینش تجاری ارزشمند از طریق یک کنسول واحد یا Single Pane of Glass

اطلاعات امنیتی و راهکارهای مدیریت رویدادِ معمول، اطلاعات رویداد را در یک زمینه‌ی تجاری ارائه نمی‌کنند. با این حال، این نکته بسیار مفید است و باید به آن توجه کرد. برای مثال، داشبورد SIEM را می‌توان طوری پیکربندی کرد که وضعیت سرویس تجارت الکترونیک سازمان را نشان دهد و نه وضعیت دستگاه‌های منفردی سرورها، تجهیزات شبکه و ابزارهای امنیتی که از آن سرویس پشتیبانی می‌کنند. این امر تیم امنیتی را قادر می‌سازد تا به‌روزرسانی‌های معنا‌داری را به خطوط تجاری ارائه کند.

از طرف دیگر، اگر دستگاه خاصی در دسترس نباشد یا در معرض خطر قرار گیرد، مدیران امنیتی به‌سرعت می‌توانند ببینند که کدام خدمات تجاری تحت تأثیر قرار می‌گیرند. مهمتر از همه اینکه، تنها یک کارمند، از یک کنسول مرکزی، می‌تواند بر تمام اطلاعات امنیتی و فعالیت‌های مدیریت رویداد نظارت کند.

گزارش آماده برای انطباق

یک راهکار با گزارش‌های از پیش تعریف‌شده، که از طیف وسیعی از نیازهای مدیریت و ممیزی انطباق از جمله PCI-DSS، HIPAA، SOX، NERC، FISMA، ISO، GLBA، GPG13 و SANS Critical Controls پشتیبانی می‌کند، به تیم‌های امنیتی، که وظایف مربوط به انطباق را نیز بر عهده گرفته اند، کمک می‌کند. تیم‌های امنیتی SIEM می‌توانند در زمان صرفه جویی کرده و آموزش انطباق را به حداقل برسانند. رعایت تاریخ‌های مربوط به حسابرسی یا گزارش، بدون نیاز به کسب دانش عمیق در مورد مقررات و الزامات محتوای گزارش، نیز سودمند است.

چگونه Fortinet می‌تواند مفید باشد؟

با اضافه شدن برنامه‌های بیشتر به شبکه، endpointها، دستگاه‌های IoT، استقرار cloud، ماشین‌های مجازی و غیره، مدیریت امنیت فقط پیچیده‌تر می‌شود. برای ایمن‌سازی این سطحِ حمله‌ی انفجاری نیاز به قابلیت دید همه‌ی دستگاه‌ها و تمام زیرساخت‌ها، به‌طور بلادرنگ است. اما بافت نیز لازم است. سازمان‌ها باید بدانند چه دستگاه‌هایی، در چه مکان‌هایی، تهدیدآمیز هستند.

سیستم مدیریت اطلاعات و رویدادهای امنیتی Fortinet، FortiSIEM، قابلیت مشاهده، ارتباط، پاسخ خودکار و اصلاح را در یک راهکار واحد و مقیاس‌پذیر جمع‌آوری می‌کند. سیستم FortiSIEM از پیچیدگی مدیریت شبکه و عملیات امنیتی کم می‌کند تا به طور موثر منابع را آزاد کرده، و تشخیص رخنه را بهبود بخشد و حتی از آن جلوگیری کند. علاوه بر این، معماری Fortinet جمع‌آوری داده‌ها و تجزیه و تحلیل یکپارچه را، از منابع اطلاعاتی مختلف از جمله گزارش‌ها، معیارهای عملکرد، هشدارهای امنیتی و نیز تغییرات پیکربندی را امکان‌پذیر می‌کند. سیستم FortiSIEM، در اصل، تجزیه و تحلیل‌هایی را که به‌طور سنتی در سیلوهای جداگانه‌ی مرکز عملیات امنیتی یا SOC و مرکز عملیات شبکه یا NOC بر آن نظارت می‌شد، ترکیب می‌کند تا دیدی جامع‌تر از امنیت و در دسترس بودن کسب‌وکار به دست آید.