روش SIEM چیست؟
Security information and event management )SIEM ) همچون سیستم های رادار در سیستم کنترل ترافیک هوایی عمل می کند و بدون حضور آن شرکت های فناوری اطلاعات کنترلی بر سیستم های خود نخواهند داشت.
اگرچه سیستم ها و نرم افزارهای امنیتی در شناسایی و ثبت حملات غیرمعمول عملکرد مناسبی دارند، لیکن امروزه تهدیدات پیچیده تر شده اند، به علاوه این تهدیدات در سطح وسیع تری توزیع می شوند و از تکنیک های پیشرفته ای به منظور جلوگیری از ردیابی استفاده می کنند. بدون وجود SIEM، حملات قابلیت گسترش سریع و ایجاد تلفات جبران ناپذیری را خواهند داشت.
امروزه لزوم برخورداری از روش SIEM با افزایش پیچیدگی حملات و استفاده گسترده از سرویس های مبتنی بر ابر، که سطح آسیب پذیری شبکهها را افزایش می دهد، مشهود است.
در این کتابچه راهنمای خریداران، به ماهیت راهکارهای SIEM، روند تکامل آنها و نحوه انتخاب مناسب ترین روش متناسب با نیازهای سازمان ها پرداخته شده است.
گارتنر، SIEM را چنین معرفی می کند که روش SIEM یک فناوری با قابلیت شناسایی تهدیدات و پاسخ امنیتی مناسب در زمان حملات، از طریق مجموعه ای به روز و تحلیل طیف وسیعی از رخدادهای امنیتی است.
در حقیقت SIEM بستری امنیتی است که گزارش رخدادها را دریافت و یک نتیجه کلی به همراه تحلیل های تکمیلی ارایه می دهد.
روند تکامل روش SIEM
روش SIEM یک فناوری جدید نبوده و پایه های آن سابقه ای 15 ساله دارد. با گذشت زمان SIEM بیشتر به بستری اطلاعاتی تبدیل شد، که به جمع آوری گزارشات فایروال ها و سایر ابزارها می پردازد؛ لیکن تکنولوژی SIEM معمولا پیچیده و تنظیم آن مشکل بوده و امکان توسعه آن وجود نداشت. موارد فوق الذکر، SIEM را به سمت اتخاذ رویکردی با انعطاف پذیری بیشتر سوق داد. امروزه این مسئله با توجه به توسعه استفاده از راهکارهای مبتنی بر ابر و تحولات دنیای دیجیتال که کلیه جنبه های زندگی را تحت تاثیر قرار داده اند، اهمیت ویژه ای یافته است. درک تفاوت صورت قدیمی SIEM و نوع تحلیلی مدرن آن حائز اهمیت است، که در ادامه به این مساله پرداخته خواهد شد. لیکن درک موارد استفاده از SIEM و شناسایی دقیق نیازهای سازمان در تشخیص بهترین راهکار متناسب با نیازها، اهمیت ویژه ای دارد. این مساله نیاز به تمایز میان شیوه های سنتی SIEM و راهکارهای مدرن تحلیلی آن را آشکار می سازد.
شیوه های سنتی SIEM منسوخ شده است
به طور نسبی یافتن مکانیسم جمع آوری، ذخیره و تحلیل امنیتی دادهها ساده است. هیچ کمبودی از لحاظ ذخیره اطلاعات وجود ندارد. لیکن جمع آوری کلیه اطلاعات امنیتی و تبدیل آن به سیستم هوشمند عملیاتی موضوعی متفاوت خواهد بود. اغلب شرکت های IT که در بستر SIEM سرمایه گذاری کرده اند، در مواجه با این مسئله ناتوان بوده اند. پس از صرف زمان و هزینه های گزاف، مشکل اصلی در رفتار استاتیک سیستم های ارایه دهنده اطلاعات امنیتی، روش SIEM است. اطلاعات موجود به منظور ارایه تحلیل ها، مبتنی بر رخدادهای امنیتی است، که موجب تشدید مشکل فوق خواهد شد. این موضوع معضل ایجاد ارتباط میان رخدادهای امنیتی و سایر اتفاقاتی که در سراسر یک شبکه به وقوع می پیوندد، را پیچیده تر می کند. زمانی که یک رخداد امنیتی اتفاق می افتد، تحقیق در ارتباط با این موضوع زمان ارزشمند شرکت های IT را هدر می دهد. راهکارهای سنتی SIEM، امکان تطبیق با سرعت مورد نیاز جهت بررسی رویدادهای امنیتی را نداشتند.
پذیرش گسترده سرویس های مبتنی بر ابر موجب گسترش تهدیدات امنیتی نیز شده است، از این روی شرکت ها ملزم به پایش فعالیت های کاربران، دسترسی نرم افزارها، software-as-a-service) SaaS) و سرویس های محلی ارایه شده، به منظور تعیین محدوده کامل تهدیدات و شناسایی حملات بالقوه هستند.
شکل زیر محدودیت های راهکارهای سنتی SIEM را نمایش می دهد.
معایب راهکارهای سنتی SIEM
| موضوع/معضل | نتیجه |
| عدم امکان استفاده از اطلاعات مورد نیاز | محدود شدن حوزه های شناسایی، تشخیص و واکنش |
| نگهداری و اداره مشکل | افزایش پیچیدگی و نیاز به نیروی متخصص |
| High false negative and positives | افزایش بار کاریsoftware-as-a-service) SecOps) |
| ناپایدار | وجود وقفه ها و قطعی |
| داده های انعطافناپذیر | امکان سازگاری با شرایط بحرانی وجود ندارد |
| جریان کاری ایستا | محدودیت های بیشتر |
| عدم امکان شناسایی تهدیدات جدید | افزایش ریسک کسب و کار |
استفاده از SIEM مبتنی بر تحلیل به عنوان یک راهکار جایگزین
امروزه شرکت های IT نیازمند راهکاری ساده به منظور ایجاد ارتباط میان دیتای مرتبط با امنیت شبکه های کامپیوتری هستند. این راهکار کارمندان IT را در مدیریت وضعیت امنیتی یاری خواهد کرد. به این ترتیب یک شرکت فناوری اطلاعات به جای نقش ناظر بر رخدادها، قادر به پیش بینی آنها و انجام اقدامات لازم جهت رفع نقاط آسیب پذیر خواهد بود. بنابراین بستر SIEM تحلیلی به منظور رفع چنین نیازهایی ارایه شده است. در این بخش به بیان تفاوت های میان صورت سنتی SIEM و نوع تحلیلی آن پرداخته می شود. گارتنر در زمینه تمایز این دو بیان می کند: SIEM مدرن با مساله ای بیش از دیتای گزارشات و اعمال ارتباط تحلیلی میان آنها برخورد دارد.
راهکار SIEM مبتنی بر تحلیل به پایش لحظه ای تهدیدات پرداخته و واکنش سریعی در مقابله با رخدادهای امنیتی نشان می دهند، در نتیجه از بروز آسیب جلوگیری کرده و سطح حملات را محدود می کنند. لیکن تمام این حملات صورت گرفته خارجی نبوده اند و پرسنل IT ملزم به پایش فعالیت های کاربران خود نیز هستند، بنابراین احتمال تهدیدات داخلی و هرگونه مصالحه ناخواسته ای کاهش مییابد. درک سیستم هوشمند مقابله با تهدیدات به طور گسترده و قرار دادن این مفاهیم در سطح یک سازمان، حیاتی است.
SIEM مبتنی بر تحلیل با قابلیت های واکاوی امنیتی برتر، تیم های IT را در استفاده از روش های کمی پیشرفته به منظور درک بهتر رخدادها و اولویت بندی واکنشها یاری می کند. در نهایت امروزه SIEM به عنوان بستر اصلی رویارویی با تهدیدات، به ابزارهای پیشرفته و تخصصی جهت مقابله با حملات پیشرفته امروزی نیازمند است.
تفاوت عمده میان SIEM مدرن و صورت سنتی آن در انعطاف پذیری آن نسبت به محیط های مختلف و قابلیت استقرار آن به صورت محلی، ابری و در محیطهای هیبریدی است. شکل زیر دلایل اصلی یک سازمان در انتخاب SIEM مدرن به جای شکل سنتی آن را نمایش میدهد.
دلایل عمده جایگزینی SIEM جدید
معماری سنتی SIEM اغلب از ساختار قدیمی، از یک طرح ثابت به همراه دیتابیس SQL استفاده می کنند. در چنین ساختاری محدودیتهایی چون توسعه در مقیاس های وسیع تر، کارایی و single point of failure (SPOF وجود دارد.
1. محدودیت های امنیتی : با توجه به محدودیت های نوع دادههای ورودی، همواره محدودیت های در زمینه شناسایی، بررسی و زمان واکنش مناسب وجود خواهد داشت.
2. ناتوانی در ورود کارآمد اطلاعات: ورود اطلاعات در شکل سنتی SIEM فرآیندی پرهزینه و مشکل است.
3. فرآیند تحقیق و بررسی به کندی صورت می گیرد: با استفاده از شکل سنتی SIEM، اقدامات پایه همچون جستجوی ساده در گزارشات اولیه در این فرآیند بسیار زمان بر بوده و اغلب ساعت ها و روزها به منظور تکمیل گزارش، مورد نیاز است.
4. عدم پایداری و مقیاس پذیری : هر اندازه حجم دیتابیس مبتنی بر SQL بیشتر می شود، میزان پایداری آن کاهش می یابد. مشتریان اغلب از کارایی ضعیف و تعداد وقفه های بالا به علت عملکرد پایین سرورها اظهار نارضایتی دارند.
5. چشم انداز نامشخص و غیرقابل پیش بینی : با تغییر مالکیت فروشندگان روش SIEM، رشد حوزه های تحقیق و توسعه (R&D) آنها کاهش یافته است. بدون سرمایه گذاری های مستمر و نوآوری های لازم، راهکارهای امنیتی، قدرت سازگاری با رشد روزافزون حوزه تهدیدات را نخواهند داشت.
6. اکوسیستم محدود : فروشندگان SIEM سنتی، اغلب قدرت ادغام با سایر ابزارهای موجود در بازار را ندارند. مشتریان ملزم به استفاده از هر آنچه در روش SIEMگنجانده شده، و یا صرف هزینه های بیشتر جهت دریافت خدمات سفارشی هستند.
7. محدود به روش استقرار محلی : SIEM سنتی، تنها قابلیت استقرار به صورت محلی را داشته و امکان توسعه آن در محیط های ابری و هیبریدی وجود ندارد.
انتقال SIEM به ابر
اجرای SIEM در ابر و یا ارایه آن به عنوان SaaS، امکان رفع مشکلات بسیاری از سازمانها با سیستم های هوشمند امنیتی خود را فراهم میکند، زیرا در حال حاضر بسیاری از مدیران IT اطمینان لازم به لحاظ تامین امنیت ابر را ندارند. پیش از تصمیم گیری در ارتباط با حذف SIEM مبتنی بر ابر، باید توجه داشت استقرار تکنولوژی های امنیتی در سرویسهای وسیع ابری بی اندازه پیچیده تر از سیستم های مستقر شده در شرکتها و سازمانها است، بنابراین حذف SIEM مساله تامین امنیت در ابر را پیچیده تر خواهد کرد.
در حال حاضر SaaS به صورت گسترده ای در بسیاری از سیستمهای مهم شرکت ها همچون CRM، HR و ERP استفاده می شود. همان گونه که استفاده از SaaS در نرم افزارهای سازمان ها موجب سرعت، استقرار ساده، بار عملیاتی کمتر، به روزرسانی خودکار، میزان صورت حساب پرداختنی متناسب با مصرف تبدیل کرده است. زیرساخت مستحکم، ابر را به یکی از بهترین گزینهها برای SIEM تبدیل کرده است.
استفاده از راهکارهای مبتنی بر ابر امکان استفاده از طیف عظیمی از اطلاعات موجود در سیستمهای محلی و ابری را فراهم می کند. با توجه به انتقال بار کاری بسیاری از سازمان ها به بسترهای LaaS ،platform-as-a-service) PaaS (infrastructure-as-aservice)و SaaS، سهولت ادغام با سیستمهای third-party گویای اهمیت SIEM در ابر است. مزایای اصلی انتقال روش SIEM به ابر شامل انعطاف پذیری معماری هیبریدی، به روزرسانی خودکار نرم افزارها و پیکربندی ساده تر، زیرساخت قابل توسعه، قابلیت های کنترلی فراوان و دسترس پذیری بالا است.
موارد استفاده از SIEM در شرکت ها
اکنون با آگاهی از روند تکامل SIEM و ویژگی های نوع مدرن تحلیلی آن، به بیان موارد امنیتی که با استفاده از SIEM قابل حل است، پرداخته می شود.
مهمترین نیازهای تیم های امنیتی شرکت ها شامل، تشخیص زودهنگام، واکنش سریع و مشارکت در کاهش تهدیدات است. ارایه گزارشات و پایش رخدادهای امنیتی دیگر به تنهایی پاسخگو نخواهد بود. مدیران امنیتی سازمانها نیازمند اطلاعات وسیع تری از کلیه منابع تولید دادهها در سراسر یک سازمان شامل بخشهای IT، ابری و کسب و کارها است. سازمان ها به منظور جلوگیری از حملات خارجی و اقدامات مخرب داخلی، نیازمند راهکارهای پیشرفته با قابلیت شناسایی و پاسخگویی سریع، بررسی رخدادها و هماهنگ با سناریوهای CSIRT Computer Security Incident Response Team) است. علاوه بر این سازمان ها نیازمند شناسایی و واکنش در مقابل تهدیدات شناخته شده، ناشناخته و پیشرفته هستند.
تیم های امنیتی سازمان ها، نه تنها با هدف رفع موارد امنیتی معمول بلکه به منظور جلوگیری از رخدادهای امنیتی پیشرفته تر ملزم به استفاده از SIEM هستند. با توجه به توسعه پویای و سریع حوزه تهدیدات، انتظار می رود SIEM مدرن قابلیت هایی از جمله موارد زیر را دارا باشد:
• متمرکز کردن و جمع آوری کلیه رویدادهای امنیتی در زمان وقوع آن در منبع ایجاد شده
• پشتیبانی از انواع مکانیزم های دریافت، جمع آوری مانند syslog، انتقال فایل، مجموعه فایل-ها و …
• سیستم های هوشمند مقابله با تهدیدات
• هماهنگی و هشدار در ارتباط با طیف وسیعی از داده ها
• شناسایی تهدیدات جدید و شناخته نشده
• شناسایی مشخصات یک رفتار در سراسر سازمان
• ورود کلیه اطلاعات (کاربران، نرم افزارها) و طرح آنها بگونه ای که قابل استفاده باشد . پایش، هشدار، بررسی، ad hoc searching
• ارایه ad hoc searching و گزارش تحلیلی داده به منظور تجزیه و تحلیل نقاط ضعف سیستم
• بررسی رخدادها و انجام تحقیقات قانونی به منظور تحلیل دقیق حوادث
• ارزیابی و گزارش وضعیت compliance
• بکارگیری تحلیل ها و گزارشات در وضعیت های امنیتی مختلف
• پیگیری اقدامات مهاجم با استفاده از تحلیل ad hoc دقیق و بررسی توالی رویدادها
با توجه به رشد پیچیدگی و تعداد تهدیدات امنیتی به همراه افزایش ارزش دارایی های دیجیتال سازمان ها، استفاده از راهکارهای SIEM مبتنی بر تحلیل به عنوان بخشی از اکوسیستم امنیتی سازمان ها، تعجب آور نخواهد بود.
