در گذشته ای نه چندان دور، هنگامی که یک شرکت یا سازمان ابزار امنیتی مانند فایروال یا نرم افزار آنتی ویروس داشت، مطمئن بود که از حریم خصوصی و اطلاعات سازمان خود محافظت می کند. با این حال، حملات امنیتی برای این ابزارهای امنیتی مستقل پیچیده تر و سخت تر می شوند تا بتوانند همه را به تنهایی مدیریت کنند.
از این رو، نیاز به یک ابزار امنیتی وب سطح بالاتر و پیچیده تر مانند نرم افزار SIEM وجود دارد تا به سازمان ها کمک کند تا امنیتی فعال را به جای غیرفعال ارائه دهند. در مقاله پیش رو، معنای سامانه SIEM، نحوه کارکرد آن برای شناسایی فعالیت های مخرب و مزایای استفاده از آن را مورد بحث قرار خواهیم داد.
SIEM چیست؟
سیستم مدیریت اطلاعات و رویدادهای امنیتی (SIEM)، به سادگی یک زیرساخت یا چارچوب امنیتی است که به سازمان ها کمک می کند تا تهدیدات وب را قبل از ایجاد آسیب، نظارت، تجزیه و تحلیل و پاسخ دهد. این نوع راه حل از ترکیب دو چارچوب امنیتی برای تشکیل یک زیرساخت پیچیده تر به دست می آید. مدیریت اطلاعات امنیتی (SIM) و مدیریت رویدادهای امنیتی (SEM) دو مفهومی هستند که برای تشکیل SIEM ترکیب شده اند. به عبارت دیگر، SIEM ترکیبی از مدیریت اطلاعات و رویدادهای امنیتی برای جلوگیری از موفقیت تهدیدات سایبری است.
قابلیت های کلیدی نرم افزار SIEM جمع آوری داده ها را از همه منابع ترافیک در اطراف شبکه سازمان تضمین می کند، آن ها را تجزیه و تحلیل می کند و تشخیص می دهد که ترافیک غیرعادی یا مخرب است. با آوردن اطلاعات و نظارت بر رویدادها به یک پلتفرم متمرکز، تضمین می کند که یک سازمان وضعیت امنیتی خود را در زمان واقعی نظارت و تجزیه و تحلیل می کند.
چنین پلتفرمی برای سازمانی که می خواهد در اسرع وقت از تهدیدات سایبری جلوگیری کند یا به آنها پاسخ دهد بسیار مهم است. از این رو، مراکز عملیات امنیتی (SOC) سرمایه گذاری زیادی روی پلتفرم های SIEM برای ارائه حفاظت کامل از فعالیت وب خود انجام می دهند. بسیار مهم است که بدانیم پلتفرم های NDR (تشخیص و پاسخ شبکه) مانند Stellar Cyber نیز بخشی از SIEM هستند. ظاهراً، عملکرد اصلی این پلتفرم های NDR عمدتاً نظارت، شناسایی و برقراری ارتباط با تیم های امنیتی در مورد فعالیت های مخرب شبکه است.
با حرکت به نحوه عملکرد SIEM، این یک شکل پیشرفته تر از یک پلتفرم NDR است و هرگز نمی تواند در مبارزه با تهدیدات منفعل باشد. برخلاف ابزارهای سنتی امنیت وب، SIEM ها قبل از اقدام منتظر وقوع حملات سایبری نیستند. در عوض، به طور فعال در نظارت بر فعالیت های وب یک سازمان مشارکت دارد و حتی آسیب پذیری های احتمالی را که مهاجمان می توانند از آنها سوء استفاده کنند، شناسایی می کند. در زیر مروری جامع تر از نحوه عملکرد پلتفرم SIEM ارائه شده است.
SIEM چگونه کار می کند؟
مدیریت LOG
اولین قدم برای شناسایی و رهگیری یک تهدید امنیتی وب توسط SIEM، مدیریت گزارش است، جایی که بسیاری از فرآیندها قبل از رفتن به مرحله بعدی اتفاق می افتند. این معمولاً مرحله ای است که بیشتر به جمع آوری و مدیریت داده های گزارش مربوط می شود تا از دید مناسب در سراسر شبکه سازمان اطمینان حاصل شود. انواع گزارش های تولید شده برای مدیریت معمولاً در قالب های syslog، JSON و XML هستند.
مرحله دوم در مدیریت لاگ، فرآیند تجزیه و غنی سازی است. اساساً داده های خام را برای به دست آوردن معنی یا اطلاعات بیشتر پردازش می کند. داده های خام با اطلاعات زمینه ای بیشتری غنی شده اند تا تیم امنیتی را قادر سازد تا درک بهتری از آنچه اتفاق افتاده است داشته باشد. آخرین مرحله در مدیریت LOG معمولاً ذخیره داده ها از طریق یک مخزن متمرکز برای مدت زمان طولانی است. این داده ها معمولاً در مورد تحقیقات و تجزیه و تحلیل قانونی مهم هستند.
همبستگی رویدادها
یکی دیگر از عملکردها یا فرآیند کاری پلتفرم های SIEM، همبستگی رویدادها با استفاده از داده های گزارش ذخیره شده است. کل فرآیند همبستگی با رویدادها صرفاً استفاده از آنچه در گذشته رخ داده است برای ارائه زمینه بیشتر در طول تجزیه و تحلیل و تحقیقات قانونی است. همبستگی رویدادها به سادگی استفاده از آنچه در گذشته رخ داده است برای ارائه زمینه بیشتر از آنچه در حال اتفاق می افتد است.
شناسایی و پاسخ تهدید شبکه
با داشتن یک پایگاه داده بزرگ از گزارش ها، SIEM به راحتی می تواند نظارت گسترده ای بر یک پلتفرم ارائه دهد، تهدیدات شبکه را شناسایی کند و پاسخ های فوری به این تهدیدات ارائه دهد. اساساً، اینجا جایی است که زیربخشی از پلتفرم های SIEM به نام NDRs ایجاد می شود. ظاهرا NDR هایی مانند Stellar Cyber به سازمان نظارت، شناسایی و پاسخ بسیار پیچیده ای را ارائه می دهند. این راه حل ها همچنین زمان صرف شده برای کاهش تهدیدات را با ارائه دستورالعمل های واضح در مورد نحوه رسیدگی تیم امنیتی به آنها کاهش می دهد.
مزایای استفاده از SIEM چیست؟
در ادامه مقاله برخی از مزایایی که سازمان ها می توانند از استفاده از پلتفرم های SIEM برای تأمین امنیت وب برای فعالیت های خود به دست آورند، ذکر شده است.
بهبود دید
یکی از مزایای اصلی استفاده از ابزار امنیتی مانند SIEM این است که دید جامعی از تمام فعالیت هایی که در شبکه یک سازمان انجام می شود را فراهم می کند. یک SIEM از یک ابزار تشکیل نشده است. سیستم مدیریت اطلاعات و رویدادهای امنیتی (SIEM)، ترکیبی از ابزارهای امنیتی مختلف است که پوشش کاملی از همه چیزهایی که در یک شبکه اتفاق می افتد را تضمین می کند.
تنوع گسترده ای از تشخیص تهدید
یکی از دلایلی که بسیاری از سازمان ها به سمت SIEM روی می آورند این است که عملاً هیچ محدودیتی برای میزان تهدیداتی که این سیستم می تواند شناسایی کند وجود ندارد. برخی از نمونه هایی از نوع تهدیداتی که این راه حل امنیتی می تواند شناسایی کند عبارتند از حملات خودی، فیشینگ، تهدیدات پایدار پیشرفته (APTS)، باج افزار و بسیاری از تهدیدات دیگر.
بهبود اتوماسیون فرآیندهای امنیتی
مزیت استفاده از SIEM در یک سازمان یا شرکت، سرعت اتوماسیونی است که ارائه می کند و این امر تشخیص و کاهش تهدیدات امنیتی را بسیار سریع تر می کند. تیم امنیتی یک سازمان مجبور نیست خود را در مورد شناسایی دستی تهدیدها یا همبستگی داده ها محدود کند. کار آنها بیشتر بر روی استراتژی است.
بهبود در تشخیص و پاسخ به تهدیدات امنیتی شبکه
اگر سازمانی مشتاق کاهش معیارهایی مانند میانگین زمان شناسایی (MTTD) و MTTR باشد، باید فناوری هایی مانند SIEM را به کار گیرد. ظاهراً این فناوری مدت زمانی را که تیم امنیتی برای شناسایی و پاسخ به تهدید نیاز دارد کاهش می دهد.
حسابرسی انطباق
در بسیاری از کشورها، برخی از کسب و کارها ملزم به ارائه شواهد و ممیزی در مورد نحوه برخورد با تهدیدات سایبری هستند. SIEM ها به عنوان بخشی از چارچوب امنیتی یک کسب و کار، اطمینان حاصل می کنند که داده های لازم برای انطباق یا ممیزی های نظارتی را در اختیار دارند.
نتیجه گیری
مدیریت اطلاعات امنیتی (SIM) و مدیریت رویدادهای امنیتی (SEM) با هم ترکیب شدند تا فناوری SIEM را تشکیل دهند. این مدیریت اطلاعات و رویداد را برای ارائه نظارت، تجزیه و تحلیل و تشخیص یک تهدید سایبری جامع ترکیب می کند.
در پایان، این نوع ابزار امنیتی غیرفعال نیست، زیرا دائماً داده های گزارش را جمع آوری می کند، آنها را ذخیره می کند و آنها را با هم مقایسه می کند تا بداند آیا فعالیت شبکه طبیعی است یا نه. مزایای زیادی نیز برای سازمان هایی که از این فناوری استفاده می کنند وجود دارد، مانند بهبود دید، اتوماسیون فرآیندهای امنیتی و بسیاری از موارد دیگر.
