سیستم‌های SIEM

سیستم‌های SIEM

به طور کلی سیستم‌های اطلاعاتی امنیتی و مدیریت رویداد یا SIEM، اطلاعات مربوط به رویدادهای مختلف را از طیف وسیعی از منابع نرم افزاری، تجهیزات امنیتی، تجهیزات زیرساخت شبکه و برنامه‌های در حال اجرا دریافت، ذخیره و تحلیل می‌کنند.

سیستم‌های SIEM عمدتا دو هدف مهم را دنبال می‌کنند

هدف اول جمع آوری، ذخیره، تجزیه و تحلیل، تحقیق و گزارش در مورد لاگ‌ها و سایر داده‌های دریافتی از تجهیزات شبکه سازمان با هدف پاسخ سریع به حوادث، کارهای فارنزیکی و ایجاد قواعد نظارتی.

هدف دوم تجزیه و تحلیل برخط داده‌های مربوط به رویدادها و حوادث جهت تسهیل در تشخیص سریع حملات پیشرفته، خاص منظوره و روز صفر.

اقبال سیستم اطلاعاتی امنیتی و مدیریت رویداد (SIEM)

با مطرح شدن مفاهیم مربوط به سیستم‌های SIEM در بازار امنیت، نیازهای جدیدی در سازمان‌های مختلف شکل گرفته است. از طرفی پیش قدمی سازمان‌ها برای پیاده سازی و سازگاری با این سیستم‌ها باعث شده تا شرکت‌های تولید کننده SIEM به صورت حداکثری الزامات امنیتی مورد نیاز سازمان‌ها را در طراحی و پیاده سازی معماری خود در نظر بگیرند.

در حال حاضر اولین اقدام برای سازگاری با قابلیت‌های جدید امنیتی توسط سازمان‌ها، پذیرش امکاناتی است که سیستم‌های SIEM ارایه می‌دهند. زیرا همه سازمان‌ها این موضوع را می‌دانند که اگر هکرها ابزار و منابع کافی در اختیار داشته باشند – که در بیشتر موارد توسط کشور دیگری پشتیبانی می‌شوند – می‌توانند سیستم‌های امنیتی فعلی را Bypass کنند. پس بهتر است از راهکاری استفاده کنند که در صورت بروز چنین اتفاقی سریعا مطلع شوند و اقدامات لازم را برای جلوگیری انجام دهند.

دغدغه‌های امنیتی موجود در حوزه نظارت و پایش شبکه نیز باعث شده تا اکثر سازمان‌ها به فکر پیاده سازی راهکارهای مبتنی بر نظارت و پایش شبکه مانند SIEM در کنار راهکارهای امنیتی موجود بیافتند. استفاده از راهکارهایی مانند SIEM به سازمان‌ها کمک می‌کند تا با شناسایی سریع و دقیق حملات و نقض قوانین امنیتی، آسیب‌های مربوط به حملات را به حداقل برسانند. در واقع این سیستم‌ها به سازمان کمک می‌کنند تا با انجام اقدامات دقیق و حساب شده، مدیریت ریسک مناسبی در هنگام بروز حوادث داشته باشند.

براساس گزارش Gartner راه اندازی سیستم‌های SIEM در سازمان‌هایی با منابع امنیتی محدود، نیازمند کارهای توسعه‌ای جدید و بهبود فرآیندها و ساختارهای امنیتی می‌باشد. در واقع سیستم‌ SIEM به کمک تغییراتی که در ساختار و فرآیندهای امنیتی سازمان رخ می‌دهد به تشخیص هر چه سریع تر تهدیدات کمک می‌کند.

چرایی نیاز سازمان‌ها به سیستم اطلاعاتی امنیتی و مدیریت رویداد (SIEM)

یکی از دلایل نیاز سازمان‌ها به سیستم SIEM رسیدن به شفافیت در رابطه با فعالیت‌های کاربران خود می‌باشد. زیرا سازمان‌ها به صورت دائمی نیازمند تولید گزارشات متنوع از همه فعالیت‌های کاربران خود می‌باشند. کار تجزیه و تحلیل انواع رویدادها و همچنین تولید و ارایه گزارش از آنها، بدون استفاده از سیستم‌های SIEM کار سخت و دشواری است.

برای درک مناسب از مقیاس داده‌های درگیر در سیستم اطلاعاتی امنیتی و مدیریت رویداد، تعدادی از پیاده سازی‌های سیستم‌های SIEM توسط گارتنر در زیر آورده شده است.

– یک استقرار کوچک از سیستم SIEM با ۳۰۰ منبع رویداد با نرخ ۱۵۰۰ رویداد در ثانیه (EPS)  و فضای ذخیره سازی ۸۰۰ گیگابایتی .

-یک استقرار متوسط از این سیستم با ۸۰۰ منبع با نرخ ۷۰۰۰ رویداد بر ثانیه و فضای ذخیره سازی ۵ ترابایت.

-یک استقرار گسترده از سیستم SIEM با بیش از هزار منبع با نرخ بالای ۲۵۰۰۰ رویداد بر ثانیه (EPS) و با فضای ذخیرسازی ۵۰ ترابایت.

قابلیت فیلترینگ اطلاعات مربوط به رویدادهای مختلف در سیستم SIEM و نمایش اطلاعات حساس سبب شده است تا امنیت کنترل پذیرتر شود. نکته دیگر اینکه سیستم‌های SIEM نقش کلیدی و مهمی در ایجاد قواعد انطباق مربوط به تحلیل رویدادها بر عهده دارند.

سهم سیستم‌های اطلاعاتی امنیتی و مدیریت رویداد(SIEM) از بازار IT

در حال حاضر سیستم‌های اطلاعاتی امنیتی و مدیریت رویداد (SIEM) اگرچه نسبت کوچک اما میزان قابل توجهی از هزینه‌های امنیتی سازمان‌ها و در حدود ۲.۵٪ را به خود اختصاص داده‌اند.

در مجموع سازمان‌ها در سال ۲۰۱۷ مبلغی بالغ بر ۲,۴ میلیارد دلار از هزینه ۹۸ میلیارد دلاری خود را صرف سیستم‌های SIEM کرده‌اند. طبق گزارش Gartner انتظار می‌رود این عدد  تا سال ۲۰۱۹ به ۲.۶ میلیارد دلار و تا سال ۲۰۲۱ به عدد ۳.۴ میلیارد دلار برسد.

نحوه کار یک سیستم‌ SIEM

یک سیستم‌ SIEM در اصل یک سیستم تجزیه و تحلیل Big Data می‌باشد که با استفاده از قوانین تحلیل مناسب، اطلاعات مفید و مورد نیاز را از حجم زیادی از رویدادها و سایر داده‌ها استخراج می‌کند.

اصلی‌ترین منبع ورودی داده‌ها و اطلاعات سیستم SIEM لاگ‌ها تولید شده توسط سیستم‌های شبکه از جمله سرورها، تجهیزات شبکه، تجهیزات امنیتی و نقاط پایانی می‌باشد. علاوه براین یک سیستم SIEM می‌تواند انواع مختلفی از داده‌ها از جمله ترافیک NetFlow و ترافیک خام شبکه و همچنین اطلاعات متنی مربوط به کاربران، دارایی‌ها، تهدیدات و آسیب پذیری‌ها را جمع آوری و تجزیه تحلیل کند.

برای اینکه داده‌های جمع آوری شده از منابع مختلف بتوانند توسط سیستم SIEM قابل تحلیل شود، بایستی با استفاده از مکانیزم‌های مناسبی نرمالسازی شوند و یا با استفاده از ابزارهایی مناسب به فرمت قابل فهم‌تری تبدیل شوند. بعد از اتمام کار دریافت و نرمال سازی داده‌ها، SIEM مراحل زیر را برای استخراج اطلاعات مفید از داده‌های ارسالی انجام می‌دهد.

• جمع آوری و تفسیر لاگ‌ها
• ایجاد فیدهای هوشمند حملات
• همبسته سازی و تحلیل داده‌ها
• ایجاد هشدارهای امنیتی
• نمایش اطلاعات
• ایجاد قواعد جدید

نقطه تمایز سیستم‌های اطلاعاتی امنیتی و مدیریت رخداد (SIEM)

تمایز اصلی سیستم‌های SIEM با یکدیگردر تعداد و تنوع منابعی است که می‌توانند جهت ارسال داده‌ به آنها متصل شوند. در تئوری اگرچه ایجاد یک کانکتور برای یک تجهیز شبکه‌ای و برنامه کاربردی خاص برای ارسال و دریافت لاگ امکان پذیر است، اما این کار می‌تواند بسیار هزینه‌بر باشد. به همین دلیل انجام همچین کاری برای منابعی بیشتر از تعداد انگشتان دست، کاری غیر عملی است. با وجود این، اگر برنامه‌های کاربردی سفارشی شده‌ای داشته باشیم، می‌توانیم کانکتور مخصوص به آن را ایجاد کنیم. شاید می‌توان گفت در برخی پروژه‌ها، پشتیبانی سیستم SIEM از برنامه‌های تجاری سازمان، اصلی‌ترین تفاوت پروژه SIEM موفق و شکست خورده باشد.

 منابع مورد پشتیبانی توسط سیستم SIEM

• سیستم‌های تشخیص نفوذ و جلوگیری از نفوذ (IDS/IPS)
• سیستم‌های (DLP)
• آنتی ویروس‌ها و نرم افزارهای امنیتی مربوط به Endpointها
• فایروال‌ها
• UTMها
• VPNها
• WAFها
• Switchها و Routerهای شبکه
• Domain Controllerها
• Access Pointهای وایرلس
• سرورهای برنامه‌های کاربردی و پایگاه‌های داده
• سیستم‌های کنترل دسترسی مانند سیسکو ISE

سیستمهای SIEM و فیدهای هوشمند تهدیدات (Threat intelligence feeds)

ترجیح بیشتر سازمان‌ها در قدم اول استفاده از فیدهای ارایه شده بر روی محصول و سرویس خریداری شده و فیدهای ایجاد شده توسط سیستم SIEM از حملات و تهدیدات شناسایی شده می‌باشد. با این وجود فیدهای تجاری و متن باز دیگری نیز توسط برخی از شرکت‌ها ارایه می‌شوند که سازمان‌ها می‌توانند از آنها در سیستم SIEM خود استفاده کنند.

تجربه نشان می‌دهد که استفاده همزمان از فیدهای هوشمند تجاری و متن باز می‌تواند در تشخیص دقیق حملات و تهدیدات بسیار موثر باشد. این فیدها علاوه بر اینکه هیچ همپوشانی باهم ندارند، بلکه با دانشی که در مورد تهدیدات امنیتی در اختیار سیستم SIEM قرار می‌دهند احتمال تشخیص صحیح تهدیدات و حملات سایبری را نیز افزایش می‌دهند. بسیاری از سازمان‌ها با وجود آگاهی از اهمیت بالای استفاده ازفیدهای هوشمند تجاری و متن باز، همچنان به خاطر دلایلی مانند سادگی کار یا دلایل مالی، فقط از Feed های موجود در سیستم SIEM خود استفاده می‌کنند.

یکی از موارد ارزیابی یک سسیتم SIEM، مشخص کردن میزان سازگاری فیدهای پیش فرض موجود در آن با فیدهای متن باز و تجاری است. معمولا در ارزیابی سیستم‌های SIEM برای مشخص کردن میزان سازگاری آن با فیدرهای مختلف از فریم ورک OpenIOC استفاده می‌شود.

موتور همبسته‌سازی و تحلیل (Correlation and analytics)

موتور همبسته‌سازی و آنالیز، هسته اصلی تکنولوژی‌های استفاده شده در سیستم SIEM را تشکیل می‌دهند. این تکنولوژی شامل همبسته سازی لاگ‌های جمع آوری شده از وقایع مختلف و تحلیل دقیق آنها با استفاده از مکانیزم‌های پیشرفته برای کشف الگوها و نشانه‌های رفتارهای مشکوک می‌باشد.

برای درک روش کار موتور همبسته‌سازی و تحلیل، حمله پورت اسکن را در نظر بگیرید. سیستم SIEM از طریق تحلیل و همبسته‌سازی رویدادهای مرتبط با ارتباطاتی که با دسترسی به نوع خاصی از داده‌ها همراه بوده‌اند، حملات پورت اسکن را شناسایی می‌کند. بنابراین ماژول تجزیه و تحلیل سیستم SIEM بایستی به گونه ای طراحی شود که بتواند، اطلاعات مختلف مربوط به رویدادهای تجهیزات امنیتی و اطلاعات دارایی‌های سازمان را در کنار هم قرار دهد و با آنالیز دقیق این اطلاعات به طور موثری کار تشخیص تهدیدات و فعالیت‌های مشکوک را انجام دهد.

قوانین همبسته‌سازی

نکته کلیدی برای داشتن یک سیستم SIEM با قابلیت کشف تهدیدات بالقوه، ایجاد و استفاده از قوانین همبسته‌سازی مناسب می‌باشد. معمولا به صورت پیشفرض تعدادی محدودی از قوانین همبسته‌سازی به همراه خود سیستم ارائه می‌شوند و بایستی مابقی قوانین طبق نیاز سازمان توسط مدیر سیستم به آن اضافه ‌شوند.

به عنوان مثال یک قاعده همبسته‌سازی ساده می‌تواند این باشد که اگر تلاش‌های ناموفقی از یک آدرس IP برای ورود به یک سیستم مشخص و با استفاده از نام‌های کاربری مختلف و در یک بازه زمانی ۱۵ دقیقه‌ای انجام شد. و در ادامه این تلاش‌ها به یک ورود موفق از همان آدرس IP به دستگاهی در شبکه بیانجامد. سیستم SIEM بایستی برای این رخداد، هشداری تولید کند. در موارد مشابه مورد بالا (تلاش های ورود ناموفق به سیستم  با یک ورد موفقیت آمیز به آن) نیز موتور همبسته سازی SIEM برای شناسایی الگوی رفتاری دست به کار می‌شود. طبق قواعد و الگوهای تشخیص رفتاری سیستم SIEM، این رخدادها می‌تواند نشان دهنده یک حمله Brute Force موفقیت آمیز باشد.

هشدارهای امنیتی (Security alerts)

هشدارهای امنیتی مهمترین ویژگی سیستم‌های SIEM به حساب می‌آید. این قابلیت توانایی سیستم SIEM برای استفاده از قوانین و قواعد همبستگی برای هشدار به کارشناسان امنیتی در کمترین زمان ممکن و در هنگام تشخیص حملات احتمالی را فراهم می‌کند. این هشدارها می توانند بر روی یک داشبورد متمرکز نمایش داده شوند یا با استفاده از روش‌های دیگر از جمله ارسال ایمیل اتوماتیک یا پیام‌های متنی اطلاع‌رسانی شوند.

یکی از مشکلات بالقوه سیستم SIEM تازه نصب شده، تولید تعداد زیادی هشدار مثبت منفی می‌باشد که می‌تواند بیهوده زمان کارشناس امنیت را جهت بررسی این هشدارها بگیرد. در هنگام نصب سیستم‌های اطلاعاتی امنیتی و مدیریت رویداد (SIEM) توجه به این نکته ضروری است که تمام قوانین پیش فرض سیستم مورد بازبینی قرار گیرد و هرکدام از آنها که در شبکه شما قابل استفاده نیست، غیرفعال گردد. بنابراین موقع استقرار سیستم SIEM ممکن است نیاز باشد برخی از قوانین غیر فعال یا با قوانین جدید جایگزین شوند که این کار نیازمند بازنویسی قواعد جهت سازگاری با معماری شبکه می‌باشد.

نمایش اطلاعات (Data Presentation)

یکی دیگر از ویژگی‌های مهم و عملیاتی سیستم‌های SIEM، نمایش داده‌های تفسیر شده از منابع مختلف بر روی داشبورد امنیتی و به صورت نمودارهای گرافیکی است تا بتوان درک بهتری از داده‌های تفسیر شده داشت. این که شما با یک نگاه به کل موضوع پی ببرید با اینکه در بین هزاران هزار لاگ به دنبال ناهنجاری بگردید، خیلی متفاوت است. این قابلیت یکی دیگر از ویژگی‌هایی است که سیستم SIEM می‌تواند با استفاده از آن سرعت پاسخ خود به حوادث را بهبود بخشد.

تطابق (Compliance)

در بسیاری از سازمان‌ها از تکنولوژی‌های موجود در سیستم‌های SIEM برای جمع آوری رویدادها و لاگ‌ها مورد نیاز برای تولید گزارشات مطابق با نیازهای امنیتی و قواعد تطابقی خاص منظوره و با هدف حذف فرایندهای دستی خسته کننده و هزینه بر استفاده می‌شود. به همین دلیل افراد بسیاری پیشنهاد ادغام شدن این سیستم‌ها با فریم ورک تطابقی یکپارچه (Unified Compliance Framework) را دارند. این فریم ورک امکان “جمع آوری یک باره داده‌ها و تطابق آنها با تعداد زیادی قاعده ” را به سیستم می‌دهد. این کار باعث ایجاد رویکردی برای ایجاد گزارش‌های انطباقی می‌شود.

داشتن یک سیستم SIEM به معنی قرار داشتن در مرکز چندین رژیم انطباق، مانند PCI-DSS و ISO 27001 می‌باشد که اصلی‌ترین مشخصه ISO برای مدیریت سیستم‌های امنیتی است.

قابلیت های پیشرفته سیستم‌های اطلاعاتی امنیتی و مدیریت رویداد (UEBA and SOAR)

بسیاری از سیستم های SIEM از ویژگی‌های بنیادی و پایه‌ای خود پا را فراتر گذاشته و ویژگی‌های موجود را با امکانات و قابلیت‌های پیشرفته‌ای ترکیب کرده‌اند. از بین این قابلیت‌ها، به طور خاص می توان به دو ویژگی تحلیل و آنلالیز رفتاری کاربران و سایر موجودیت‌های شبکه (UEBA) و اتوماتیک کردن ساختار و عملیات‌های امنیتی و پاسخگویی به حملات (SOAR) اشاره کرد.

تحلیل و آنلالیز رفتار کاربران (UBA) سایر موجودیت‌های شبکه (UEBA)

طبق گزراشات موجود، سه چهارم از حملات در شبکه از طریق دسترسی به اطلاعات کاربری (مانند نام کاربری و کلمه عبور) انجام می‌شود. با توجه به آمار بالای این حملات، بسیاری از سیستم‌های SIEM راهکارهایی برای تشخیص رفتار غیرعادی کاربران و سایر موجودیت‌های شبکه که می‌تواند نشان دهنده نفوذ در شبکه سازمان باشد را توسعه داده‌اند.

ایده اصلی این تکنولوژی به این صورت است که برای مثال اگر کاربر “Brian” در بخش بازاریابی کار می‌کند و او معمولا هر روز صبح ساعت ۹ تا ۹:۳۰ به سیستم خود لاگین و در ساعت ۵ بعد از ظهر از اکانت خود خارج می‌شود. این رفتار برای او به عنوان یک رفتار عادی در نظر گرفته می‌شود. اگر این کاربر یک روز به صورت ناگهانی ساعت ۳ صبح تلاش کند تا ازسیستمی در بخش مالی به شبکه وارد شود، سیستم براساس رفتار نرمال قبلی کاربر این رفتار را مشکوک تشخیص داده و هشداری برای آن ایجاد می‌کند.

اتوماتیک کردن ساختار و عملیات‌های امنیتی و پاسخ به حوادث (SOAR)

قابلیت SOAR سیستم‌های SIEM، نشان دهنده ظهور نسل بعدی سیستم‌ها SIEM در عرصه محصولات امنیتی می‌باشد. این سیستم‌ها علاوه بر قابلیت ایجاد و انتشار هشدارهای امنیتی در زمان تشخیص فعایت‌های مشکوک، قادر به انجام اقدامات لازم جهت کاهش تبعات حمله به صورت خودکار می‌باشند. 

به عنوان مثال، یک اسکن معمولی آسیب پذیری که با فیدهای هوشمند تهدیدات ترکیب شده باشد، می‌تواند نشان دهنده آسیب پذیری جدید بر روی تجهیز مورد نظر باشد. یک سیستم SOAR می‌تواند به صورت کاملا اتوماتیک به سیستم بروز رسانی جهت پچ کردن سرور دستور دهد و یا اینکه با استفاده از ابزارهای دیگر میزان تاثیرات تهدید بر روی سرور را به طور خودکار کاهش دهد.

هوش مصنوعی و تجزیه و تحلیل Big Data

تولید کنندگان سیستم‌های SIEM همیشه در تلاش‌اند تا قابلیت‌های جدیدی از طریق هوش مصنوعی و یادگیری عمیق به سیستم‌های خود اضافه کنند. این هوشمند سازی سیستم می‌تواند شامل تولید قواعد به صورت اتوماتیک، تشخیص رفتارهای مشکوک و تجزیه و تحلیل آماری پیشرفته باشد. همه این کارها با هدف تشخیص سریع تهدیدات و همچنین کاهش میران تشخیص‌های مثبت غلط (False positives) انجام می‌شود.

۱۰ محصول برتر سیستم اطلاعاتی امنیتی و مدیریت رخداد (SIEM)

• Cisco Stealthwatch
• Micro Focus ArcSight
• (Splunk Enterprise Security (ES
• IBM Security QRadar
• (AlienVault Unified Security Management (USM
• LogRhythm SIEM
• (McAfee Enterprise Security Manager (ESM
• Micro Focus Sentinel Enterprise
• SolarWinds Log & Event Manager
• Trustwave SIEM Enterprise and Log Management Enterprise
• RSA NetWitness Suite