اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

SIEM چیست و چگونه به شناسایی تهدید کمک می‌کند!

SIEM چیست و چگونه به شناسایی تهدیدات کمک میکند

با وجود اینکه یک دهه از ایجاد Security Information and Event Management یا به اختصار SIEM، می‌گذرد این راه‌کار همچنان به توسعه و تکامل ادامه می‌دهد. ولی سازمان‌ها و شرکت‌های بسیاری وجود دارند که موارد استفاده امنیتی SIEM را هنوز نمی‌دانند. اینکه چگونه اطلاعات دسته‌بندی شده یا نشده و داخلی و خارجی را جمع‌آوری و استفاده کرده یا حتی روش صحیح پیاده سازی راه‌کار SIEM همچنان برای برخی از سازمان ها یک سوال است.

قطعا این مسئله بر روی امنیت سازمان تاثیر گذار خواهد بود چراکه ریسک‌های امنیتی هیچوقت چه از نظر نوع حمله و چه حجم آن، ثابت نمی‌ماند. مشکل دیگر کمبود نیروی ماهر و استفاده متداول از راه‌کارهای مقطعی است. تیم‌های امنیتی سازمان‌ها به یک راه‌کار SIEM برای شناسایی تهدیدها، هوش مصنوعی برای مشخص کردن ارتباط میان فعالیت‌های مشکوک و روندهای خودکارسازی شده برای از کار انداختن سریع حملات نیازمند می‌باشند.

SIEM چیست؟

SIEM ترکیبی از مدیریت اطلاعات امنیتی (SIM) و مدیریت رخداد امنیتی (SEM) است که به سازمان ها از طریق دید همزمان و دقیق به فعالیت‌های On-Premises و ابری کمک به شناسایی تهدیدها می‌کند. پیشتر بازرسی‌ها و نیازهای یکپارچه سازی بازار SIEM و پیاده‌سازی آن را حرکت می‌دادند. این موضوع از زمان استاندارد امنیتی اطلاعات صنعت کارت‌های پرداختی (Payment Card Industry Data Security Standard یا PCI DSS) و Sarbanes-Oxley (SOX) تا قرارداد مسئولیت و قابلیت حمل بیمه درمانی (Health Insurance Portability and Accountability Act یا HIPPA) به اینگونه بود. با پیچیده‌تر شدن تهدید ها و حملات سایبری معنای SIEM نیز تغییر کرده است. برای مسئله یکپارچه سازی های انجام شده در SIEM برای شناسایی تهدیدات گسترش یافته و همچنان در هسته مرکز عملیات‌ امنیت SOC باقی مانده است.

شرکت APK (امن پایه ریزان کارن) دارای مجرب ترین تیم طراحی امنیت شبکه و SOC/SIEM در کشور

نمایشگری با دید کامل

سیستم‌های پیچیده SIEM به SOCها این توانایی را می‌دهد که به سرعت و با دقت تهدیدهای شناسایی شده و ناشناس را ردیابی کرده و به رخدادهای امنیتی پاسخ‌گویی کند. اما همزمان با اتخاذ تکنولوژی‌های جدید مانند Internet of Things یا IoT از سوی سازمان‌ها و شرکت‌ها، سطح حمله گسترده‌تر شده و آسیب پذیری های جدیدی در امنیت سازمانی ایجاد می‌کند.

براي شناسايي و بررسي تهديدها، سازمان ها به يک ديد کامل نسبت به دارايي ها، شبکه و رفتارهاي کاربران برروي سرورهاي On-Permises و Cloud (شامل Hybrid و Multicloud هم می‌شود) نیاز دارند تا به تحلیلگران کمک کند رفتارهای مشکوکی که ممکن است نشانه نفوذ یا حمله سایبری باشد را پیدا کنند. با این همه سازمان‌ها و شرکت‌ها همچنان ابتدا باید بهینگی و دقت عمل سیستم‌های SIEM خود را در بازرسی‌های یکپارچه سازی متداول ثابت کنند.

مسئله دیگر این است که به دلیل کمبود نیروی حرفه‌ای در این زمینه، سازمان‌ها به راه‌کار SIEMی نیاز دارند که در پیاده‌سازی، مدیریت و نگه‌داری ساده‌تر باشد.  با افزایش شدید تعداد منابع اطلاعاتی، تلاش زیادی برای ایمن سازی همه‌جانبه لازم است. راه اندازی راهکاری برای بهبود در شناسایی، تحقیق و نتیجه‌گیری نیاز به افراد با تجربه ای دارد که تخصص خود را به طور مداوم به اشتراک بگذارند تا تیم‌های امنیتی مجبور به یادگیری این مسائل نباشند.

تسریع بررسی ها با هوش مصنوعی

راهکارهای امروزی SIEM با بسیاری از موارد امنیتی مانند شناسایی تهدیدهای Endpoint، تهدیدهای داخلی و حملات فیشینگ، سر و کار دارند. با این حال تیم‌های امنیتی لازم است که هم تهدید و هم نشانه‌های رفتاری تهدید را مورد بررسی قرار دهند. همزمان با رشد این نیاز، تکنولوژی‌هایی مانند Machine Learning و تجزیه‌و‌تحلیل تاریخی پیشرفته نیز رشد پیدا کردند که توانایی شناسایی رفتارهای غیرعادی و کمک به تیم امنیتی در پاسخ‌گویی سریعتر در متوقف ساختن مهاجمان و ترمیم آسیب‌ها را دارند.

يکي از مواردي که تحليلگران به آن نياز ندارند، راهکارهايي است که هشدارهاي اضافه اي توليد مي نمايند و در عين حال با ديگر ابزارهاي امنيتي ادغام نمي شوند. در عوض تجزيه و تحليل برپايه AI مي تواند در بررسي و پيدا کردن ريشه ي مشکل و چرخه ي رخدادهاي ايجاد کننده ي رفتار غيرعادي سيستمي، کمک نمايد.

باید توجه داشت که AI جایگزین الگوریتم‌های Machine Learning و Rule-Based در شناسایی نشانه‌های تهدید احتمالی نمی‌شود.  ولی زمانی که نیروهای SOC زمان کافی برای بررسی این نشانه‌ها را ندارند، AI می‌تواند به تجزیه‌و‌تحلیل تهدیدها و شناسایی مهاجمان شتاب دهد تا نیروهای SOC  واکنش بهتری نسبت به تهدیدات نشان دهند. با وجود اطلاعات ناکافی و کمبود دانش در این زمینه، قابلیت‌های شناختی نیز می‌تواند در خودکارسازی و بهبود تصمیم گیری، کمک کند.

همچنین AI  میتواند به تحلیلگران در پیاده‌سازی، پیکربندی و پشتیبانی برای استفاده از یک سیستم SIEM کمک نماید. مورد مهم دیگر عقب نماندن از تغییرات و رفع حفره‌های امنیتی باقی مانده است که AI می‌تواند  با انجام اولویت‌بندی قسمت بزرگی از این بارکاری را خودکارسازی نماید.

خودکارسازی فعالیت‌های ارزش افزوده

بیشتر حملات سایبری برروی اطلاعات حساس سازمانی متمرکز می‌باشند و به محض ایجاد دسترسی مهاجمان به داده‌های حساس، سازمان‌ها باید یک رویه بهینه و سریع  برای پاسخگویی به رخداد و کمک به تحلیلگران در متوقف کردن آن‌ها ایجاد نمایند و همچنین  SIEM برای شناسایی مهاجمان طراحی شده و به کمک ابزارهایش می‌تواند میان 10000 تا 500000 رخداد در ثانیه را بررسی نماید. SIEM می‌تواند اطلاعات و شواهد لازمه برای از بین بردن تهدید را به سیستم پاسخگویی به رخداد ارائه دهد.

باید توجه داشت که SIEM یک ابزار پاسخ‌گویی به رخداد نیست. در این مسئله راه‌کارهای تدارک امنیت، خودکار سازی و پاسخ‌گویی (security orchestration, automation and response یا به اختصار SOAR) مناسب می‌باشند. SOAR با انجام فعالیت‌های تکراری که نیازمند دخالت انسان نیست به تیم‌های امنیتی کمک می‌کند که فعالیت مفیدتری داشته باشند و برروی عوامل انسانی، روندها و تکنولوژی‌ متمرکز شوند. اولویت و نوع تهدیدها را دسته بندی کرده و براساس میزان ریسکی که برای اطلاعات کاربران و فعالیت کسب‌و‌کار و reputation آن اولویت‌بندی می‌سازند.

ايجاد اتوماسيون و هوش در SIEM نيرويي چند برابر به تيم‌هاي امنيتي مي‌بخشد و باعث می‌شود فعالیت و تمرکز آن‌ها برروی فعالیت‌های با ارزشی مانند جستجوی پیشگیرانه و جلوگیری از تهدید باشد. میزان آسیب ایجاد شده توسط مهاجم با مدت زمان فعالیت مهاجم‌سایبری درون ساختار شبکه آن‌ سازمان، رابطه‌ی مستقیم داردبه همين دليل زمان براي سازمان با اهميت است. همچنین درک و قضاوت مدیران شبکه می‌تواند در تغییر سیاست‌ها برای محدود‌سازی استفاده از برنامه‌های کاربردی یا دیتابیس‌های پرخطر و متوقف ساختن مهاجمان بدون مختل کردن دسترسی مشتریان به سرویس‌های سازمان کمک کند.

در آخر می‌توان گفت که استفاده از راه‌کارهای مناسب SIEM می‌تواند به تیم‌های امنیتی دید وسیعی نسبت به انواع و اقسام داده‌ها و تهدیدهای سازمانی ارائه دهد، هشدارهای بی‌اهمیت را نادیده گرفته و بعد از شناسایی رخدادهای اصلی و اولویت‌بندی آنها، کرده و روند بررسی را از طریق AI سرعت بخشند. همه اين فعاليت‌ها زماني که استراتژي امنيتي سازماني، به سمت ايجاد سياست پيشگيرانه متمايل ميگردد، اتفاق ميافتد.