اخبار داخلی آرمان داده پویان

مقالات

ضرورت راه اندازی SIEM

ضرورت راه اندازی SIEM

SIEM implementation

(SIEM (Security Information and Event Management یا راهکارهای امنیت اطلاعات و مدیریت رویدادها به پلتفرمی گفته می‌شود که وظیفه‌اش جمع آوری لاگ‌ها، جستجو، مشاهده و تحلیل داده‌هاست. این پلتفرم با پردازش هزاران هزار لاگ تولید شده توسط نرم افزارها، مفسرها، تجهیزات امنیتی و .. اطلاعات ارزشمندی را کشف می کند که با چشم قابل رویت نیستند. یک SIEM را می‌توان ترکیبی از SEM و SIM دانست. یعنی مدیریت رخدادهای امنیتی در کنار مدیریت اطلاعات امنیتی.  SEM رخدادها و لاگ‌ها را به صورت بلادرنگ تحلیل کرده و در خروجی: همبستگی رخدادها (data correlation) و پایش تهدیدات را تحویل می‌دهد. SIM نیز در خروجی: بازیابی و تحلیل لاگ‌ها و تولید گزارشات.

در نتیجه با راه‌اندازی SIEM قادر به داشتن یک دید جامع و یک کنترل همه جانبه به صورت بلادرنگ بر روی هر آنچه که در شبکه شما در حال رخ دادن است، می‌باشید. تا به اینجا یک تعریف کتابی از SIEM ارائه کردیم. اما در ذهن بسیاری از مدیران این موضوع وجود دارد که چرا بایستی برای راه اندازی SIEM هزینه پرداخت و یک سازمان در صورت راه اندازی نکردن SIEM دچار چه مشکلاتی خواهد شد؟ آیا راه اندازی SIEM امنیت یک سازمان را به طور کامل تامین خواهد کرد؟ برای راه اندازی یک SIEM کارآمد چه المان‌هایی لازم است؟ در ادامه با ما باشید تا کمی راجع به پاسخ این سوالات صحبت کنیم.

مزایای استفاده از SIEM

برای برقراری امنیت در یک سطح قابل قبول لازم است تهدیدات به صورت بلادرنگ شناسایی شوند، در صورت پیش آمدن هر گونه حادثه امنیتی واکنش‌های به موقعی انجام گیرد و بعد از پاسخگویی نیز با داشتن اطلاعات جامع و کاملی عملیات جرم شناسی و همچنین ممیزی‌های امنیتی صورت پذیرد. در صورتی که یک تیم امنیت بتواند این چرخه را به صورت کاملی بسازد می‌تواند امنیت را در یک سطح قابل قبول نگه دارد. SIEM نیز ابزار لازم و ضروری برای پیاده‌سازی این اعمال می‌باشد. به طور مثال اگر نفوذی صورت پذیرد و در شبکه SIEMای پیاده سازی نشده باشد، اولین موردی که توسط تیم امنیت می‌تواند مورد بررسی قرار گیرد بررسی تجهیزات امنیتی مانند دیواره آتش، سیستم تشخیص نفوذ، سرورها مخصوصا آن‌هایی که در ناحیه DMZ قرار دارند، می‌باشد. بررسی تمامی این موارد زمان زیادی را از تیم امنیت خواهد گرفت و حتی در صورت دقیق و درست بودن تمامی بررسی‌ها ممکن است کاملا بی فایده بوده و مهاجم از طریق آسیب‌پذیری موجود بر روی یکی از مسیریاب‌های شبکه اقدام به نفوذ کرده باشد. کاملا مشخص است که نیازمند یک دید و داشتن اطلاعات جامع نه تنها از تجهیزات امنیتی بلکه از تمامی اجزای تشکیل دهنده شبکه می‎‌باشیم. یک SIEM قدرتمند نیز دقیقا همین کار را انجام می‌دهد هزاران لاگ را از تجهیزات مختلف جمع آوری کرده و با استفاده از هبستگی‌های موجود در رخدادها اطلاعات کاربردی و گزارشات کارآمدی را تولید خواهد کرد.

اما تنها خرید تجهیزات و لایسنس SIEM کافی نبوده و وجود یک تیم متخصص برای راه اندازی درست آن عنصر کلیدی برای راه اندازی یک SIEM قدرتمند خواهد بود. تیم متخصص راه اندازی SIEM بایستی بتواند درک درستی از شبکه هدف به دست آورده و موفق به تعریف “use case”های درستی شود. در نتیجه علاوه بر دانش، تجربه این تیم درره اندازی نقش اساسی دارد. بعد از راه اندازی درست SIEM، داده‌ها از اجزای مختلف شبکه اعم از سرورها، پایگاه داده‌ها و همچنین سیستم‌های امنیتی شامل دیواره‌های آتش و سیستم‌های تشخیص نفوذ جمع آوری می‌گردد. این داده‌های جمع آوری شده با یک سری از اطلاعات در ارتباط با تهدیدات، بردارهای تهدید و غیره ترکیب  و سپس با ایجاد همبستگی بین این داده‌ها به صورت خودکاری در صورت وجود تهدید، حمله، رخداد و یا آسیب‌پذیری با یکدیگر مرتبط می‌گردند. قابلیت یادگیری ماشین که در SIEMهایی مانند اسپلانک جای داده شده است امکان شناسایی نا هنجاری‌های موجود در شبکه را به صورت عمیقی ارائه می‌نماید. همچنین در صورت تشخیص هر کدام از موارد بالا SIEM هشدارهای لازم را ارسال می‌کند و همچنین با مصورسازی امکانی را فراهم می‌آورد تا تیم امنیت بتواند از طریق داشبوردها و نمودارها اطلاعات مورد نیازش را به راحتی به دست آورد.

یکی از مواردی که بایستی در نظر داشت این است که در مواردی، تنها اطلاعات بلادرنگ اهمیت ندارند بلکه تیم امنیت به جست و جو در اطلاعات قدیمی تر نیز نیاز دارد، SIEM این اطلاعات را دور نمی‌ریزد و آن‌ها را ذخیره می‌کند. همچنین تیم امنیت می‌تواند با استفاده از اطلاعات جامعی که SIEM در اختیارش قرار می‌دهد به موقع در برابر رخدادها و حوادث امنیتی واکنش نشان دهد. این تیم می‌تواند داده‌های مورد نیازش را در SIEM جست و جو نماید و یا با فیلتر کردن داده‌هایی که نیاز ندارد تنها به اطلاعات مورد نیازش دست یابد. در آخر نیز قابلیت ادغام SIEM با دیگر راهکارهای امنیتی وجود دارد که در صورت موفقیت آمیز بودن این عملیات از حجم کاری تیم امنیت کاسته شده و به خودکارسازی فرآیند کمک شایانی می‌شود.

سخن آخر

با توجه به تمامی موضوعاتی که در این مطلب توضیح دادیم می‌توان ضرورت استفاده از راهکار SIEM را در کشف تهدیدات امنیتی و حملات سایبری بر ضد بانک‌ها، سازمان‌های دولتی و غیردولتی، نهاد‌ها و ارگان‌های دولتی متوجه شد. مواردی که به هیچ عنوان قابل چشم پوشی نیستند و تشخیص به موقع آن‌ها بدون استفاده از راهکارهایی مانند SIEM چندان شدنی به نظر نمی‌آید. علاوه بر تهیه تجهیزات و لایسنس‌ها همان طور که گفتیم تجربه و دانش تیم فنی در راه اندازی SIEM یکی از ارکان اصلی در کارآمد بودن این راهکار دارد. آرمان داده پویان با استفاده از آخرین متدولوژی‌های روز و بهره گیری از تیمی متخصص می‌تواند خدمات ارزشمندی را در زمینه راه اندازی SIEM به شما ارائه دهد.

تعداد بازدید: 3193


تازه ترین ها