مرکز امنیت و‌ رخدادهای‌ سایبری | APK

حفاظت از پایگاه داده با استفاده از یکپارچه‌سازی SIEM

حفاظت از پایگاه داده با استفاده از یکپارچه‌سازی SIEM

لازمه‌ی حفاظت از اطلاعات، یکپارچه‌سازی قوی کنترل های امنیتی می‌باشد. برای مثال یک فایروال پایگاه‌داده‌ که فعالیت داده‌ها را در یک سیستم مانیتور شده تحلیل می‌نماید، معمولا بینشی از آنچه در دیگر بخش‌های زیرساخت در جریان است به دست نمی‌دهد. مدیریت فایروال تنها محدود به دو حیطه می‌شود:

  • چه کسی می‌تواند به پایگاه داده‌ها دسترسی داشته باشد.
  • از کجا می‌توان بر مبنای مجموعه‌ای از Policyهای تعریف شده داده‌ها را استخراج نمود.

استفاده از SIEM برای شناسایی ماشین یا Accountحساب‌های کاربری در معرض خطر

در دل سیستم‌های امنیتی، یک راهکار قوی امنیت اطلاعات و وقایع که به اختصار  SIEM نامیده می‌شود، وجود دارد. این پلتفرم محیط را به طور کامل مانیتور نموده و نسبت به دامنه وسیعی از Inputها قابلیت دید وسیعی ارائه می‌نماید که شامل فعالیت پایگاه داده نیز می‌گردد. با یکپارچه‌سازی ابزارهای مختلف موجود در یک محیط امنیتی معمول با SIEM، تحلیل‌گران می‌توانند تجزیه و تحلیل‌های پویاتری از اطلاعات داده‌های مربوط به تهدید انجام دهند و فعالیت‌های بالقوه مخرب را شناسایی نمایند؛ در غیر این صورت این فعالیت‌ها تحت نظر قرار خواهند گرفت.

در واقع می‌توان گفت که یک حساب کاربری یا سروری که در معرض خطر قرار دارد، به مهاجمان اجازه دسترسی به پایگاه‌داده سازمان را می‌دهد. اگرچه راهکار SIEM به منظور هشدار در خصوص فعالیت‌های مشکوک پیکربندی شده است، فایروال پایگاه‌داده هیچ اختلالی را تشخیص نمی‌دهد و تحلیلگران ناچار خواهند بود که اقدامات را به صورت دستی به انجام رسانند و پیش از آن هیچ اقدامی صورت نخواهد گرفت در حالی که هکرها از این فرصت سواستفاده نموده و به کل پایگاه داده دسترسی پیدا می‌کنند.

SIEM علاوه بر شناسایی فعالیت غیرطبیعی، می‌تواند در خصوص از دست رفتن داده‌ها‌ یا Modification مفید باشد. به این صورت که بعد از یکپارچه‌سازی کامل با فایروال قادر به راه‌اندازی خودکار Modification یا ایجاد پیکربندی‌های  فایروال جدید می‌گردد. پس از آن برای تعریف Policyهای جدید حفاظت از فایروال، می‌تواند بینش خود را به ویژگی‌های داینامیک، منتقل نماید. به این ترتیب مدت زمانی که در طول آن مهاجمان می‌توانند داده‌ها را به خطر بیاندازند، به حداقل خواهد رسید.

ردیابی تهدیدات داخلی با استفاده از UBA و SIEM

شناسایی تهدیدات داخل سازمانی (Insider Threats) کار بسیار پیچیده‌ای است. در حالیکه فایروال‌های پایگاه داده قادر به فراهم نمودن فرآیندهای آنالیز دسترسی کاربران به داده‌های مانیتور هستند، با استفاده از این راهکار زیرمجموعه‌ی کوچکی از فعالیت کلی کاربر بدست می‌آید. اگرچه، User Behavior Analytics یا به اختصار UBA بر اساس مجموعه‌ی بزرگتری از داده‌ها، قادر به شناسایی فعالیت‌های مشکوک یک کاربر خاص می‌باشد، این ابزار از یادگیری ماشینی برای مانیتور نمودن کاربران در سراسر منابع متعدد اطلاعات استفاده نموده و به هرکدام براساس فعالیت آن‌ها Risk Score اختصاص می‌دهد و دیدگاه‌های کوتاه و طولانی را برای شناسایی رفتار بالقوه مخاطره آمیز ایجاد می‌کند.

خودکارسازی و پاسخ به رخداد

تیم واکنش به منظور کاهش خطر، با یک رویکرد فعال و آینده‌نگرانه باید اقدام فوری انجام دهد که ممکن است جلوگیری از توانایی مجاز کاربر برای انجام کاری باشد. به همین دلیل اقدامات فعال و آینده‌نگرانه ممکن است همیشه برای سیستم‌های حیاتی سازمان مناسب نباشد.

بزرگترین چالش تعیین بهترین زمان برای استفاده از Automatic Blocking می‌باشد. این تکنیک صرفا زمانی باید مورد استفاده قرار گیرد که Blocking Access در یک پایگاه داده کم‌ترین تاثیر را بر تداوم کسب و کار و یا در پاسخ به رخدادهای جدی مشخص داشته باشد.

اشتراک امنیت

دسته ها