


SIEM چیست؟ چگونه SIEM با یک تیر چند نشان میزند؟
معرفی...
واژه ی SIEM که مخفف security information and event management می باشد، رویکردی در زمینه مدیریت امنیت است تا سیستمی واحد مبتنی بر مدیریت امنیت ارائه دهد و در اصل برای پرداختن به سه چالش زیر که در مقابله سریع با تهدیدات امنیتی مشاهده می شوند طراحی شده است:
- حجم فراوانی از داده های گسترده و پراکنده، باعث می شود تهدیدات در حال وقوع و اولویت بندی آن ها با مشکل روبرو شود.
- تیم های فناوری اطلاعات با کمبود متخصص و نیروی آموزش دیده در زمینه امنیت سازمانی مواجه هستند.
- الزام رعایت انطباق با مقررات و استانداردها، باعث اتلاف وقت در شناسایی تهدیدات می گردد.
چرا SIEM سر زبان هاست؟
سیستم های SIEM برای سازمان هایی که به دنبال کاهش حملات پی در پی هستند، بسیار ضرورت دارند. با توجه به اینکه مرکز عملیات امنیت هر سازمان به طور متوسط روزی ۱۰.۰۰۰ هشدار دریافت می کند و این آمار در سازمان های بزرگ به بیش از ۱۵۰.۰۰۰ می رسد، نمی توان هیچ تیم امنیتی را یافت که قادر به مدیریتِ این حجم از هشدارها باشد. از طرفی پرخطر شدن تهدیدات پیچیده امروزی، اجازه ی نادیده گرفتن حتی یک مورد از آنها را نمی دهد. این در حالی است که SIEM پس از بررسی هشدارها، آن ها را اولویت بندی می کند. بنابراین تامین امنیت حجم فراوانی از داده ها با استفاده از فناوری SIEM به هیچ عنوان دور از ذهن نیست.
راهکارهای SIEM اقدام به جمع آوری لاگ ها نموده و حوادث امنیتی را با سایر داده ها تجزیه و تحلیل می کند تا سرعت شناسایی تهدیدات را بالا برده و امنیت را بهبود بخشد؛ این در حالی است که انطباق با مقررات را نیز لحاظ می کند. اساسا، فناوری SIEM داده ها را از منابع مختلف جمع آوری نموده تا سرعت مقابله با تهدیدات به بالاترین حد خود برساند. به محض شناسایی موارد مشکوک و غیر طبیعی، اطلاعات بیشتری جمع آوری نموده، هشدار یا هشدارهای مهم تر را در اولویت قرار داده و یا برخی از داده ها را قرنطینه می کند.
پیش از این فناوری SIEM در برخی از سازمان هایی که ملزم به رعایت انطباق با مقررات بودند، به طور سنتی مورد استفاده قرار می گرفت، اما به مرور زمان آن ها به این نتیجه رسیدند که این تکنولوژی از قدرت بسیار بالاتری برخوردار است. از آن زمان به بعد فناوری های SIEM به عنوان یک ابزار کلیدی برای شناسایی تهدیدات در هر سازمانی صرف نظر از وسعت آن، تکامل می یابد. و ضرورت وجودِ SIEM آن جایی پررنگ تر می شود که تهدیدات به مرور زمان پیچیده تر شده و متاسفانه هیچ بهبودی در زمینه کمبود متخصصان امنیتی مشاهده نمی شود، که در کشور ایران با آن به شکل فاحشی مواجهیم!
کارکرد SIEM
به طور کلی باید گفت SIEM اقدام به جمع آوری داده های مربوط به امنیت از سرورها، دستگاه های end-user، تجهیزات شبکه، اپلیکیشن ها و همچنین دستگاه های امنیتی می کند. سپس داده ها را به چند دسته، طبقه بندی نموده تا به محض شناسایی یک تهدید امنیتی، هشداری را بر اساس پالیسی های از پیش تعیین شده، ارسال کند. تیم های امنیت با قرار دادن داده ها در کنار هم و تجزیه و تحلیل آن ها، می توانند با قدرت بیشتری به نظارت بر شبکه پرداخته و تهدیدات امنیتی را در مراحل اولیه شناسایی کنند و پیش از هر گونه آسیبی، آن ها را خنثی کنند.
لازم به ذکر است سیستم های SIEM، داده های مربوط به لاگ ها را از بیشترین منابع موجود دریافت و تفسیر می کنند، از جمله:
- فایروال ها / UTMها
- IDS و IPS
- Web filterها
- Endpoint security
- اکسس پوینت های وایرلس
- روترها
- سوییچ ها
- سرورهای اپلیکیشن ها
- هانی پات ها (honey pot)
SIEM چند نشان را میزند؟
افزایش اثربخشیِ امنیتی و سرعت مقابله با تهدیدات
SIEM برای مفید تر واقع شدن باید امکانِ شناسایی و مقابله با الگوهای رفتاری مشکوک را بسیار سریع تر و موثرتر میتواند روش های دستی را برای تحلیلگران فراهم آورد.
کاهش چشمگیر پیچیدگی ها
بی شک یکپارچه سازیِ داده های مبتنی بر تهدیداتِ امنیتی از دستگاه ها و اپلیکیشن های متعدد، نقش موثری در تجزیه و تحلیل جامع و سریع دارد. با کمک این فناوری، می توان کارهای روتین را به صورت خودکار درآورد و وظایفی که پیش از این به متخصص و کارشناس نیاز داشت را به افراد کم تجربه واگذار کرد.
یکپارچه سازی با ساختارِ فعلیِ شبکه و امنیت
فرقی نمی کند که ساختار امنیت بر پایه ی Fortinet Security Fabric باشد و یا یک محیط multi-vendor؛ در هر صورت راهکار SIEM می بایست این یکپارچگی را انجام دهد. باید بتواند داده ها را به طور خودکار از دستگاه های متعدد IT و امنیتی از جمله دستگاه هایی که مختص یک منطقه جغرافیایی خاص و یا مختص یک صنعت خاص هستند، کشف و جمع آوری کند.
کاملا بدیهی است یک راهکار مناسب باید گزینه های متنوعی از حالت های مختلف به کارگیری را ارائه داده و امکان استفاده ی سریع و ساده و همچنین قابلیت سفارشی سازی را فراهم کند. ضمن اینکه بتواند با رشد کسب و کار و با توجه به تغییر نیازهای تجاری، تغییر یابد.
ارسال هشدار
رمز موفقیت SIEM این است که از زیرساخت های هوشمند استفاده کرده تا توپولوژی زیرساخت های فیزیکی/مجازی و همچنین محیط های فیزیکی/کلود را ترسیم کند تا زمینه را برای تجزیه و تحلیل رویدادها مهیا کند. این کار مانع از اتلاف وقت و بروز برخی خطاها می شود که ممکن است در حالت اضافه شدن اطلاعات به صورت دستی رخ دهد.
علاوه بر این راهکارهای معتبرِ SIEM قادر هستند هویت کاربر را با تجهیزات و آدرس های IP شبکه شان مرتبط سازند. به این ترتیب با همراهیِ مجموعه ای از قوانین و آنالیزهای پیشرفته، امکان اولویت بندی تهدیدات میسر شده و مواردی که نیاز به توجه و رسیدگی ویژه دارند، علامت گذاری می شوند.
مقابله خودکار با تهدیدات امنیتی
SIEM از قابلیت (security orchestration automation and response) SOAR استفاده می کند تا مناسب ترین روش را حتی با دستگاه های امنیتی multi-vendor ارائه دهد. بسته به سطح و پیچیدگی خطر، یا به طور خودکار وارد عمل شده و مقابله می کند و یا برای اپراتورهای انسانی، هشدار ارسال می کند. همین انعطاف پذیری به سازمان ها کمک می کند که در مواجهه با رشد انفجاریِ میزان داده های امنیتی و افزایش تهدیدات، به تعادلی مناسب و سرعتی مطلوب در خنثی سازی تهدیدات دست یابند.
امکان گزارش دهی...
یک راهکار با گزارشات از پیش تعریف شده که از مجموعه ای از نیازهای ممیزی و مدیریتی پشتیبانی نموده و به تیم امنیت کمک می کند که وظایف انطباق را به بهترین شکل ممکن انجام دهند. تیم های امنیت SIEM می توانند در زمان خود صرفه جویی نموده و آموزش های انطباق با مقررات و استانداردها را به حداقل برسانند.