نرم افزار SIEM چیست؟ این ابزار قدرتمند چگونه به امنیت شما کمک می کند
صنعت مدیریت گزارشات بیشتر از هر زمان دیگری رو به تکامل است. SIEM ها امروزه قابلیتهای زیادی را بدست آورده اند یادگیری ماشین تجزیه و تحلیل تهدیدات پیشرفته جزو دست آوردهای SIEM ها محصوب میشود. تو این مقاله میخوایم راجب نرم افزار SIEM موارد استفاده و شیوه انتخاب SIEM مناسب صحبت کنیم. فناوری SIEM بیش از یک دهه است که وجود دارد، به نوعی SIEM ها تکمیل یافته نرم افزارهای مدیریت لاگ گذشته هستند. این نرم افزارها میتواند دو کار مدیریت رویدادهای امنیتی (SEM): که به تجزیه و تحلیل داده های ورود به سیستم و رویداد در زمان واقعی تجزیه و تحلیل می کند تا بتواند مانع از تهدید، همبستگی رویدادها و واکنش حوادث شود – و همچنین مدیریت اطلاعات امنیت (SIM): که جمع آوری، تجزیه و تحلیل می کند و گزارش های مربوط به اطلاعات را ثبت می کند، را باهم انجام دهد.
SIEM چگونه کار میکند؟
SIEM لاگ های تولید شده توسط زیرساخت سازمان و همچنین توسط هاست های شبکه و تجهیزات امنیتی مانند فایروال و آنتی ویروس را جمع آوری و تجمیع میکند.
سپس نرم افزار حوادث و وقایع را شناسایی و طبقه بندی می کند و همچنین آنها را تجزیه و تحلیل می کند. این نرم افزار دو هدف اصلی را ارائه می دهد:
تولید گزارش بر اساس اتفاقات امنیتی مانند: مانند ورود موفقیت آمیز و یا ناموفق، فعالیت بد افزار و اعلام اخطار در صورتی که نتیجه تجزیه و تحلیل رویداد مخربی را در سیستم نشان دهد.
پائولا موسیچ، مدیر تحقیقات شرکت مدیریت سازمانی (EMA)، یک شرکت تحقیق و پژوهشگر در حوزه امنیت میگوید: “نیاز سازمانها برای تجهیزات مدیریت امنیت امروزه بیشتر احساس میشود.”
وی گفت: “تحلیلگران امنیت به روشی نیاز داشتند تا ببینند که آیا قوانین اعمال شده رعایت می شود یا خیر، و SIEM نظارت و گزارش لازم را برای مواردی مانند HIPPA ، SOX و PCI DDS ارائه داد.(قانون Sarbanes-Oxley و استاندارد امنیت دادهPCI DSS در صنعت پرداخت الکترونیک بکار میرود.)
با این حال، کارشناسان می گویند تقاضای سازمانها برای اقدامات امنیتی بیشتر باعث شده است و در نتیجه بازارهای SIEM در سالهای اخیر رشد بیشتری داشته اند. موسیچ می گوید: “اکنون سازمان های بزرگ معمولاً به SIEM به عنوان زیربنای مرکز عملیات امنیتSOC نگاه می کنند.”
استفاده از تحلیل و هوش همزمان
یکی از اهداف اصلی استفاده از نرم افزار SIEM برای عملیات امنیت، استفاده از قابلیت های جدیدی است که در بسیاری از محصولات SIEM موجود در بازار وجود دارد. وی گفت: “اکنون بسیاری از فن آوری های SEIM علاوه بر آنالیز لاگهای سیستم که به صورت سنی در برخی نرم افزارها وجود داشت، هوش شناسایی تهدید را نیز دارند، و چندین محصول SIEM وجود دارند که دارای قابلیت های تجزیه و تحلیل امنیتی هستند که به رفتار شبکه و همچنین رفتار کاربر نگاه می کنند تا اطلاعات بیشتری راجع به اینکه آیا فعالیت نشان دهنده سوءاستفاده است، را تشخیص دهد. (مقاله مرتبط: اسپلانک UBA چیست؟ )
در واقع، شرکت تحقیقاتی فناوری گارتنر در گزارش خود در ماه می ۲۰۱۷ در مورد بازار SIEM در سراسر جهان ، اطلاعات موجود در ابزار SIEM را اعلام می کند و می گوید: “نوآوری در بازار SIEM با سرعتی زیاد به دنبال ایجاد ابزار شناسایی تهدید بهتری است.”
گزارش گارتنر در ادامه خاطرنشان می کند که فروشندگان در حال معرفی قابلیت یادگیری ماشین، تجزیه و تحلیل آماری پیشرفته و سایر روش های تحلیلی به محصولات خود هستند، در حالی که برخی نیز در حال تجربه هوش مصنوعی و قابلیت یادگیری عمیق هستند.
به گفته گارتنر، تولید کنند گان SIEM ها پیشرفتهایی را به عنوان قابلیت هایی به بازار عرضه می کنند که می توانند سرعت ردیابی دقیق تر را با سرعت بیشتری ارائه دهند. با استفاده از هوش مصنوعی و یادگیری ماشینی می توانیم استنباط و نظارت و هشدار مبتنی بر الگو انجام دهیم.
راب استرو، تحلیلگر Forrester و رئیس هیئت مدیره ISACA، یک انجمن بین المللی حرفه ای با تمرکز بر حاکمیت فناوری اطلاعات، می گوید: “با استفاده از قابلیت هوش مصنوعی و یادگیری ماشین می توانیم استنتاج و نظارت و هشدار مبتنی بر الگو را انجام دهیم، اما انتظار اطلاح عملکرد را نیز در آینده نزدی از SIEM ها باید داشت. (مقاله مرتبط: قابلیت های هوش مصنوعی و یادگیری ماشین)
استفاده از نرم افزار SIEM در سازمانها
به گفته گارتنر: نرم افزار SIEM تنها بخش کمی از کل هزینه هایی را که برای امنیت سازمانها در سرتاسر جهان خرج می شود، را دریافت میکند. گارتنر هزینه های جهانی برای امنیت سازمانی را برای سال ۲۰۱۷ نزدیک به ۹۸.۴ میلیارد دلار تخمین زده است، در حالی که نرم افزار SIEM حدود ۲.۴ میلیارد دلار درآمد دارد. گارتنر پیش بینی کرده است که هزینه های فناوری SIEM با اندکی افزایش، به ۲.۶ میلیارد دلار در سال ۲۰۱۸ و ۳.۴ میلیارد دلار در سال ۲۰۲۱ خواهد رسید.
به گفته تحلیلگران، نرم افزار SIEM بیشتر توسط سازمانهای بزرگ و شرکتهای دولتی استفاده می شود، که به گفته تحلیلگران، پیروی از مقررات همچنان عامل محکمی در استفاده از این فناوری است.
در حالی که برخی از شرکت های متوسط نیز نرم افزار SIEM دارند، شرکت های کوچک تمایلی به استفاده از قابلیت های SIEM ندارند و نمی خواهند در این زمینه سرمایه گذاری کنند. تحلیلگران می گویند کهSIEM ها اغلب ارزان نیستند، زیرا هزینه سالانه آن می تواند از ده ها هزار دلار به بیش از ۱۰۰۰۰۰ دلار برسد. علاوه بر این، شرکت های کوچک توانایی استخدام نیروهای لازم برای نگهداری نرم افزار SIEM را به صورت مداوم را ندارند. تحلیلگران میگویند بعضی کمپانی های کوچک و متوسط به دریافت خدمات SIEM As a Service علاقه دارند. البته در ایران به دلیل تحریم ها نمیتوان از این گونه خدمات استفاده کرد.
در حال حاضر، مدیران فن آوری شرکتهای بزرگ به دلیل حساسیت برخی از داده های موجود در سیستم ، همیشه نرم افزار SIEM را در شبکه خود اجرا می کنند. جان هوبارد ، تحلیلگر ارشد مرکز عملیات امنیتی ایالات متحده GlaxoSmithKline و مدرس موسسه SANS، می گوید: “لاگ های سازمانها حاوی اطلاعات حساسی است و این چیزی نیست که واحد امنیت سازمانها بخواهد از طریق اینترنت آنها را به بیرون ارسال کند”.
با این حال ، با افزایش توانایی های یادگیری ماشینی و هوش مصنوعی در محصولات SIEM ، برخی از تحلیلگران انتظار دارند که فروشندگان SIEM گزینه ترکیبی ارائه دهند برای برخی از آنالیز ها که در فضای ابری انجام میشود .
استرود میگوید: “ما شاهد جمع آوری و یکپارچه سازی و هوش اطلاعاتی از طریق رایانش ابری هستیم؛ ”
انتخاب SIEM بهترین انتخاب همیشه سخته!
بازار SIEM دارای چندین برند معروف بر اساس فروش جهانی است مانند: IBM ، Splunk و HPE. البته چند کمپانی دیگر نیز وجود دارند مانند : Alert Logic، Intel، LogRhythm، ManageEngine، Micro Focus، Solar Winds و Trustwave
موسیچ می گوید شرکت ها برای تعیین اینکه بهترین راهکار SIEM برای نیاز خود، ناگزیر به ارزیابی محصولات بر اساس اهداف خاص خود هستند. بعضی از سازمانها نرم افزار SIEM را جهت قابلیت های گزارش گیری میخواهند و بعضی برای راه اندازی SOC به آن نیاز دارند.
سازمان هایی که می خواهند این فناوری در درجه اول برای رعایت باشد ، از توانایی های خاصی از جمله گزارشگری ، بسیار مهمتر از سازمان هایی هستند که می خواهند از SIEM برای ایجاد مرکز عملیات امنیتی استفاده کنند.
در همین حال ، او می گوید ، سازمان هایی که دارای حجم داده بسیار بالا در حد petabytes هستند ، برخی از برنده ها را قادر می سازند که نیازهای خود را تأمین کنند ، در حالی که کسانی که داده های کمتری دارند ممکن است گزینه های دیگری را انتخاب کنند. به طور مشابه، شرکت هایی که خواهان شکار تهدید Threat Hunting هستند، احتمالاً به دنبال ابزارهای برتر تجسم داده ها و قابلیت های جستجو هستند که ممکن است دیگران نیازی به آن نداشته باشند.
موسیچ می گوید، رهبران امنیتی باید چندین فاکتور دیگر – مانند اینکه آیا آنها می توانند از یک ابزار خاص و پیچیده در سیستم استفاده کنند وو اینکه چقدر می خواهند خرج کنند را در نظر بگیرند. به عنوان مثال ، HP ArcSight ESMابزاری کامل است که از قابلیت های زیادی برخوردار است اما به تخصص قابل توجهی نیاز دارد و نسبت به گزینه های دیگر گران تر است.
موسیچ ادامه میدهد که: “همیشه طیف وسیعی از قابلیت ها وجود دارد.” “و هرچه امنیت در عملیات پیچیده تر باشد ، از ابزارهای مورد استفاده خود استفاده بهتری می کنند.”
با توجه به نیازهای متفاوت سازمانها انتخاب SIEM بر اساس دو ویژگی انجام میشود، یکی برا اساس قابلیت شکار تهدید و دیگری قابلیت انطباق با سیستم . شما ممکن است آنرا بیشتر برای انطباق با سیستم برنامه ریز کنید این کار قابلیت شکار تهدید آنرا اندکی کندتر میکند.
به حداکثر رساندن کارایی SIEM
اریک Ogren، تحلیلگر ارشد با تیم امنیت اطلاعات در ۴۵۱ Research می گوید: هنوز بیشتر شرکت ها همچنان از نرم افزار SIEM برای ردیابی و بررسی آنچه اتفاق افتاده است استفاده می کنند.
همانطور که اوگرن می گوید: “اگر شرکتی هک شود، هیچ CIO نمی خواهد هیئت مدیره را از آنچه اتفاق افتاده است بگوید،” نمیدانم چی اتفاقی افتاده است “آنها می خواهند بگویند،” ما از طریق بررسی لاگها خواهیم فهمید اتفاقی افتاده است.”
با این حال، Ogren می گوید، در این زمان ، بسیاری از شرکت ها اکنون فراتر از آن هستند و به طور فزاینده ای از فناوری برای تشخیص مشکل و پاسخ به آن در کوتاه ترین زمان استفاده می کنند. در حال حاضر رقابت بر سر سرعت شناسایی تهدید و پاسخ به آن است. در این زمینه قابلیت یادگیری ماشینی یکی از قابلیت های کلیدی SIEM ها برای شناسایی دقیقتر فعالیت های غیر معمول و مخرب است .
متخصصان میگویند در حال حاضر چالش سازمانها برای بهره گیری بیشتر از مزایای SIEM ها است. دلایل مختلفی برای آن وجود دارد.
اول، فن آوری های SIEM دارای منابع کمی هستند و به کارکنان با تجربه نیاز دارند تا آنها را پیاده سازی ، حفظ و تنظیم کنند – کارمندانی که هنوز همه سازمانها به طور کامل روی آن سرمایه گذاری نکرده اند.
Stroud می گوید: “بسیاری از سازمان ها این فناوری را وارد می کنند زیرا آنها می دانند که این چیزی است که آنها می خواهند، اما آنها کارمندی ندارند و یا آنها به کارمندان آموزش لازم برای استفاده از آن را نمی دهند.”
نرم افزار SIEM همچنین برای داشتن حداکثر بازده به داده های با کیفیت نیاز دارد – Stroud توضیح می دهد: “هر چه منبع داده ای بزرگتر باشد، عملکرد آنها بهتر می شوند.” با این حال سازمان ها همچنان در تعریف و تهیه داده های درست دچار چالش هستند.
تحلیلگران می گویند ، حتی با داشتن داده های قوی و یک تیم پیشرفته که فناوری SIEM را اجرا می کند ، این نرم افزارها محدودیت هایی دارند. آنها خاطرنشان كردند كه در تشخیص فعالیت قابل قبول و چه تهدید بالقوه، کاملاً دقیق نيست – اختلافي كه منجر به تعداد زيادي هشدار دروغین در اعلام ها می شود. این سناریو مستلزم رویه های درست و مؤثر در شرکت است تا تیم های امنیتی برای هشدار درگیر کارهای اضافه نشوند.
استرو گفت: متخصصان امنیتی اغلب با تعقیب هشدارهای اشتباه شروع به تعقیب علت می کنند. سازمان های پیشرفته یاد می گیرند که از طریق تنظیم دقیق بر اساس تجارب قبل کاری کنند تا نرم افزار آنچه را که اتفاقات معمول است درک کند و از این طریق تعداد هشدارهای کاذب را کاهش دهد.
از طرف دیگر، وی گفت که برخی از تیم های امنیتی در این مرحله زیاده روی میکنند و در عوض بیشتر هشدارهای دروغین را از روی عادت تنظیم می کنند – این کار خطر از بین بردن تهدیدهای واقعی را دارد.
موسیچ می گوید، سازمان های پیشرفته تر نیز اسکریپت هایی را برای اتوماسیون بیشتر کار کردهای روتین ، مانند دریافت داده ها از منابع مختلف برای تکمیل یک تصویر کامل تر در مورد هشدارها برای سرعت بخشیدن به تحقیقات و شناسایی تهدیدات واقعی، می نویسند. او میگویید این روند خوب است و باعث بلوغ امنیتی در سازمان میشود . البته فقط داشتن ابزار مهم نیست بلکه یکپارچه ساز آن با بقیه قسمتهای سازمان نیز مهم و حیاتی است .
او می گوید: مزایای این حرکت به این صورت است که می توان مدت زمان کارکنان را برای فعالیت های سطح پایین تر را کاهش داد و در عوض به آنها اجازه دهد انرژی های خود را به سمت کارهای ارزشمند تر که وضعیت امنیتی شرکت را بالا می برد، هدایت کرد.
SIEM چه نقشی در ساختار یک شرکت دارد؟
فیلیپ کواد سابقه ۳۴ سال کار در آژانس امنیت ملی (NSA) را دارد و در آنجا یاد گرفت که چه چیزی برای تعریف و اجرای تاکتیک ها و استراتژی های امنیت سایبری لازم است. از ژانویه ۲۰۱۷ ، فیلیپ کوارد مدیر ارشد امنیت اطلاعات (CISO) در Fortinet بوده و به امنیت زیرساخت ها برای Fortinet و مشتریان آن کمک می کند.
در مصاحبه ویدیویی ، فیلیپ نقش خود را در Fortinet و چگونگی ادغام فن آوری های مختلف، از جمله SIEM (اطلاعات امنیتی و مدیریت رویدادها) را بیان می کند.
کواد گفت: “Fortinet طیف وسیعی از محصولات امنیتی را در اختیار شما قرار می دهد و شما می توانید در زمان و مکان مورد نظر خود را از آنها استفاده کنید.
سبد محصولات Fortinet شامل تجهیزات امنیتی شبکه ، از جمله سیستم عامل فایروال نسل بعدی FortiGate ، کارگزار امنیت دسترسی ابری FortiCASB ، نقطه پایان و فناوری های امنیتی ایمیل است. از جمله محصولات محصولی که Fortinet در سال ۲۰۱۸ بیشتر روی آن تمرکز کرده است ، پلتفرم FortiSIEM آن است که به ارائه قابلیت مشاهده در عملیات شبکه و تهدیدهای امنیتی کمک می کند.
ترکیب تمام محصولات Fortinet با هم رویکرد امنیتی شرکت است، که به محصولات اجازه می دهد تا با هم ادغام و برای ایجاد یک شبکه دفاعی مشترک همکاری کنند.
نقش سیستم SIEM
برای برخی از سازمان ها، SIEM “منبع حقیقت” و مرکز تیم های مرکز عملیات امنیت (SOC) است. کواد گفت که اگرچه SIEM نقش مهمی در دید دارد، اما او همچنین در هسته استراتژی امنیتی نیاز به تقسیم بندی را می بیند.
کواد گفت که ۱۰ سال پیش، دفاع از مرزهای شبکه به صورت سنتی بود و سازمانها یک مرز مجازی و فیزیکی را تعیین کردند و سپس از آن مرز دفاع کردند. با از بین رفتن مرز با استفاده از زیرساخت ابری و بی سیم، استراتژی امنیتی همه چیز در مورد تقسیم بندی است.
کواد گفت: “همچنین می توانید استدلال کنید که باید ساختار امنیت سایبری خود را با یک SIEM واقعا قوی شروع کنید تا بتوانید آنچه در شبکه شما است را درک کنید، زیرا شما نمی توانید از آنچه نمی بینید دفاع کنید.”
مطالب زیر را حتما بخوانید
-
تحلیل لاگ (Log Analysis) چیست؟ و چگونه به امنیت شما کمک میکند
81 بازدید
-
Sysmon چیست و چگونه در جمع آوری لاگ به شما کمک میکند
1.53k بازدید
-
مدرک اسپلانک
3.06k بازدید
-
سوالات مصاحبه اسپلانک
2.51k بازدید
-
اسپلانک API چیست؟ و چگونه به کسب و کار شما کمک می کند
1.37k بازدید
-
اسپلانک Apps و Add-ons های آن چه هستند و چه کمکی به ما می کنند؟
1.61k بازدید
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.