SIEM چیست؟ با وجود اینکه یک دهه از ایجاد Security Information and Event Management یا به اختصار SIEM، میگذرد این راهکار همچنان به توسعه و تکامل ادامه میدهد. ولی سازمانها و شرکتهای بسیاری وجود دارند که موارد استفاده امنیتی SIEM را هنوز نمیدانند. اینکه چگونه اطلاعات دستهبندی شده یا نشده، داخلی و خارجی را جمعآوری و استفاده کرده یا حتی روش صحیح پیادهسازی راهکار SIEM همچنان برای برخی از سازمان ها یک سؤال است.
قطعا این مسئله بر روی امنیت سازمان تاثیر گذار خواهد بود چراکه ریسکهای امنیتی هیچوقت چه از نظر نوع حمله و چه حجم آن، ثابت نمیماند. مشکل دیگر کمبود نیروی ماهر و استفاده متداول از راهکارهای مقطعی است. تیمهای امنیتی سازمانها به یک راهکار SIEM برای شناسایی تهدیدها، هوش مصنوعی برای مشخص کردن ارتباط میان فعالیتهای مشکوک و روندهای خودکارسازی شده برای از کار انداختن سریع حملات نیازمند میباشند.
SIEM چیست؟
SIEM ترکیبی از مدیریت اطلاعات امنیتی یعنی SIM و مدیریت رخداد امنیتی یعنی SEM می باشد که به سازمان ها از طریق دید همزمان و دقیق به فعالیتهای On-Premises و ابری کمک به شناسایی تهدیدها میکند. پیشتر بازرسیها و نیازهای یکپارچه سازی بازار SIEM و پیادهسازی آن را حرکت میدادند. این موضوع از زمان استاندارد امنیتی اطلاعات صنعت کارتهای پرداختی، Payment Card Industry Data Security Standard یا PCI DSS و Sarbanes-Oxley یا SOX تا قرارداد مسئولیت و قابلیت حمل بیمه درمانی Health Insurance Portability and Accountability Act یا HIPPA به اینگونه بود. با پیچیدهتر شدن تهدید ها و حملات سایبری معنای SIEM نیز تغییر کرده است. برای مسئله یکپارچه سازی های انجام شده در SIEM برای شناسایی تهدیدات گسترش یافته و همچنان در هسته مرکز عملیات امنیت SOC باقی مانده است.
SIEM چیست؟ مزایای استفاده از Splunk Enterprise Security در سازمان ها
ویدیوهای بیشتر درباره SIEM
کاربرد SIEM در شناسایی تهدیدات
سیستمهای پیچیده SIEM به SOCها این توانایی را میدهد که به سرعت و با دقت تهدیدهای شناسایی شده و ناشناس را ردیابی کرده و به رخدادهای امنیتی پاسخگویی کند. اما همزمان با اتخاذ تکنولوژیهای جدید مانند Internet of Things یا IoT از سوی سازمانها و شرکتها، سطح حمله گستردهتر شده و آسیب پذیری های جدیدی در امنیت سازمانی ایجاد میکند.
براي شناسايی و بررسی تهديدها، سازمان ها به يک ديد کامل نسبت به دارايي ها، شبکه و رفتارهاي کاربران برروی سرورهای On-Permises و Cloud که شامل Hybrid و Multicloud هم میشود نیاز دارند تا به تحلیلگران کمک کند رفتارهای مشکوکی که ممکن است نشانه نفوذ یا حمله سایبری باشد را پیدا کنند. با این همه سازمانها و شرکتها همچنان ابتدا باید بهینگی و دقت عمل سیستمهای SIEM خود را در بازرسیهای یکپارچه سازی متداول ثابت کنند.
مسئله دیگر این است که به دلیل کمبود نیروی حرفهای در این زمینه، سازمانها به راهکار SIEMی نیاز دارند که در پیادهسازی، مدیریت و نگهداری سادهتر باشد. با افزایش شدید تعداد منابع اطلاعاتی، تلاش زیادی برای ایمنسازی همهجانبه لازم است. راهاندازی راهکاری برای بهبود در شناسایی، تحقیق و نتیجهگیری نیاز به افراد با تجربه ای دارد که تخصص خود را به طور مداوم به اشتراک بگذارند تا تیمهای امنیتی مجبور به یادگیری این مسائل نباشند.
مطلب مرتبط: SIEM چیست | نحوه عملکرد و کاربرد SIEM در شناسایی تهدیدات – قسمت اول
تسریع بررسی ها با هوش مصنوعی
راهکارهای امروزی SIEM با بسیاری از موارد امنیتی مانند شناسایی تهدیدهای Endpoint، تهدیدهای داخلی و حملات فیشینگ، سر و کار دارند. با این حال تیمهای امنیتی لازم است که هم تهدید و هم نشانههای رفتاری تهدید را مورد بررسی قرار دهند. همزمان با رشد این نیاز، تکنولوژیهایی مانند Machine Learning و تجزیهوتحلیل تاریخی پیشرفته نیز رشد پیدا کردند که توانایی شناسایی رفتارهای غیرعادی و کمک به تیم امنیتی در پاسخگویی سریعتر در متوقف ساختن مهاجمان و ترمیم آسیبها را دارند.
يکي از مواردي که تحليلگران به آن نياز ندارند، راهکارهايي است که هشدارهاي اضافه اي توليد مي نمايند و در عين حال با ديگر ابزارهاي امنيتي ادغام نمي شوند. در عوض تجزيه و تحليل برپايه AI مي تواند در بررسي و پيدا کردن ريشه ي مشکل و چرخه ي رخدادهاي ايجاد کننده ي رفتار غيرعادي سيستمي، کمک نمايد.
باید توجه داشت که AI جایگزین الگوریتمهای Machine Learning و Rule-Based در شناسایی نشانههای تهدید احتمالی نمیشود. ولی زمانی که نیروهای SOC زمان کافی برای بررسی این نشانهها را ندارند، AI میتواند به تجزیهوتحلیل تهدیدها و شناسایی مهاجمان شتاب دهد تا نیروهای SOC واکنش بهتری نسبت به تهدیدات نشان دهند. با وجود اطلاعات ناکافی و کمبود دانش در این زمینه، قابلیتهای شناختی نیز میتواند در خودکارسازی و بهبود تصمیم گیری، کمک کند.
همچنین AI میتواند به تحلیلگران در پیادهسازی، پیکربندی و پشتیبانی برای استفاده از یک سیستم SIEM کمک نماید. مورد مهم دیگر عقب نماندن از تغییرات و رفع حفرههای امنیتی باقی مانده است که AI میتواند با انجام اولویتبندی قسمت بزرگی از این بارکاری را خودکارسازی نماید.
ارائه اطلاعات و شواهد
منظور از ارائه اطلاعات و شواهد توسط SIEM چیست؟ می توان گفت بیشتر حملات سایبری برروی اطلاعات حساس سازمانی متمرکز میباشند و به محض ایجاد دسترسی مهاجمان به دادههای حساس، سازمانها باید یک رویه بهینه و سریع برای پاسخگویی به رخداد و کمک به تحلیلگران در متوقف کردن آنها ایجاد نمایند و همچنین SIEM برای شناسایی مهاجمان طراحی شده و به کمک ابزارهایش میتواند میان 10000 تا 500000 رخداد در ثانیه را بررسی نماید. SIEM میتواند اطلاعات و شواهد لازمه برای از بین بردن تهدید را به سیستم پاسخگویی به رخداد ارائه دهد.
SIEM چیست؟ آیا یک ابزار پاسخ گویی به رخداد است؟
باید توجه داشت که SIEM یک ابزار پاسخگویی به رخداد نیست. در این مسئله راهکارهای تدارک امنیت، خودکار سازی و پاسخگویی security orchestration, automation and response یا به اختصار SOAR مناسب میباشند. SOAR با انجام فعالیتهای تکراری که نیازمند دخالت انسان نیست به تیمهای امنیتی کمک میکند که فعالیت مفیدتری داشته باشند و برروی عوامل انسانی، روندها و تکنولوژی متمرکز شوند. اولویت و نوع تهدیدها را دسته بندی کرده و براساس میزان ریسکی که برای اطلاعات کاربران و فعالیت کسبوکار و reputation آن اولویتبندی میسازند.
ايجاد اتوماسيون و هوش در SIEM نيرويی چند برابر به تيمهای امنيتی می بخشد و باعث میشود فعالیت و تمرکز آنها برروی فعالیتهای با ارزشی مانند جستجوی پیشگیرانه و جلوگیری از تهدید باشد. میزان آسیب ایجاد شده توسط مهاجم با مدت زمان فعالیت مهاجمسایبری درون ساختار شبکه آن سازمان، رابطهی مستقیم داردبه همين دليل زمان براي سازمان با اهميت است. همچنین درک و قضاوت مدیران شبکه میتواند در تغییر سیاستها برای محدودسازی استفاده از برنامههای کاربردی یا دیتابیسهای پرخطر و متوقف ساختن مهاجمان بدون مختل کردن دسترسی کاربران به سرویسهای سازمان کمک کند.
در آخر میتوان گفت که استفاده از راهکارهای مناسب SIEM میتواند به تیمهای امنیتی دید وسیعی نسبت به انواع و اقسام دادهها و تهدیدهای سازمانی ارائه دهد، هشدارهای بیاهمیت را نادیده گرفته و بعد از شناسایی رخدادهای اصلی و اولویتبندی آنها، کرده و روند بررسی را از طریق AI سرعت بخشند. همه اين فعاليتها زماني که استراتژي امنيتي سازماني، به سمت ايجاد سياست پيشگيرانه متمايل ميگردد، اتفاق ميافتد.
