رسانه های اجتماعی ، امنیت ، مهندسی اجتماعی

ویژگی‌ SIEM های نسل جدید

ویژگی‌ SIEM های نسل جدید

تشخیص زودهنگام، پاسخ‌گویی سریع و همکاری از الزامات غلبه بر تهدیدهای پیشرفته امروزی هستند. اما این نیازها تقاضاهای سنگینی هستند که از یک تیم امنیتی خواسته می‌شود. امروزه دیگر نظارت و گزارش‌دهی درباره logها و رویدادهای امنیتی کافی نبوده و متخصصان امنیتی به دیدی وسیع‌تر از تمام منابع داده در تمام قسمت‌های سازمان نیاز دارند. برای پیش‌دستی در مقابله با حملات بیرونی و بدخواهان داخلی، شرکت به یک راه‌کار امنیتی پیشرفته نیاز دارد که بتواند برای پاسخ‌گویی سریع، تحقیق و بررسی وقایع و رسیدگی به سناریوهای breach مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای مورد استفاده قرار گیرد. علاوه‌براین موارد، شرکت نیازمند توانایی در تشخیص و پاسخ به تهدیدات پیشرفته شناخته و ناشناخته می‌باشد. در مرکز سیستم‌های امنیتی، یک راهکار قوی امنیت اطلاعات و وقایع که به اختصار SIEM نامیده می‌شود، وجود دارد. این پلتفرم به طور کامل بر محیط نظارت کرده و دید وسیعی از آن ارائه می‌نماید. در ادامه این مطلب، به بررسی معیارها و قابلیت‌های کلیدی نوینی که SIEMهای نسل جدید نیازمند ارائه آن‌ها هستند، پرداخته خواهد شد.

 

معیارهای جدید برای SIEMهای نسل بعد

تیم امنیت سازمان باید از یک ابزار SIEM استفاده کند که علاوه بر حل موارد استفاده معمول، به ارائه راهکار برای حل موارد استفاده امنیتی پیشرفته نیز بپردازد. برای جا نماندن از چشم‌انداز پویای تهدیدات، انتظار می‌رود SIEMهای مدرن قادر به:

  • متمرکزسازی و مجتمع‌سازی همه وقایع مرتبط با امنیت همزمان با وقوع آن‌ها باشند.
  • پشتیبانی از مکانیزم‌های متنوع جمع‌آوری مانند syslog، file transmissions، file collections و … باشند.
  • اضافه کردن هوش تهدید و هوش محیطی به رویدادهای امنیتی باشند.
  • انجام همبسته‌سازی و هشداردهی بر روی دامنه وسیعی از داده‌ها باشند.
  • تشخیص تهدیدات پیشرفته و ناشناخته باشند.
  • ایجاد پروفایل‌های رفتاری در طول سازمان باشند.
  • جمع‌آوری همه داده‌ها و در دسترس قرار دادن آن‌ها برای استفاده‌هایی مانند نظارت، هشداردهی، تحقیق و بررسی، و جستجوی ad hoc باشند.
  • فراهم‌آوری امکان جستجوی ad hoc و گزارش‌دهی بر روی داده‌ها در راستای تحلیل breach پیشرفته باشند.
  • بررسی رویدادها و هدایت تحقیقات جرم‌شناسی برای بررسی دقیق وقایع با جزئیات باشند.
  • بررسی وضعیت انطباق با الزامات و گزارش‌دهی در این باره باشند.
  • استفاده کاربردی از تحلیل‌ها و گزارش‌ها روی وضعیت امنیتی باشند.
  • ردیابی فعالیت‌های حمله‌کنندگان با تجزیه و تحلیل ad hoc و ترتیب‌دهی به وقایع باشند.
  • به ارزیابی تهدیدات از appها و منابع داده ابری، در محل و ترکیبی باشند.

امروزه همه داده‌ها مرتبط با امنیت هستند.

شواهد و مدارک یک حمله، همین‌طور فعالیت‌های آن، در داده‌های یک سازمان وجود دارند. برای اینکه تیم‌های امنیتی بتوانند به طور مناسب به تحقیق در مورد وقایع امنیتی پرداخته و تهدیدات را شناسایی کنند، باید تمام داده‌ها و نه فقط داده‌های امنیتی به دست آمده از محصولات امنیتی سنتی مانند فایروال‌ها، IDSها و یا ضد بد افزارها، به SIEM داده شوند. سازمان‌ها بیشتر داده‌های موردنیاز برای به موقع دیدن وضعیت امنیتی خود را از دست می‌دهند. فعالیت‌های این تهدیدات پیشرفته اغلب تنها در داده‌های نامرتبط با امنیت مانند logهای سیستم عامل، سیستم‌های directory مانند LDAP/AD، DNS و سرورهای وب و ایمیل وجود دارند. اغلب نیاز است تا داده‌های ماشین با تهدیدات محیطی درونی و بیرونی و در راستای کمک در پاسخ‌دهی به وقایع و تشخیص breach همراه شوند.

هماهنگ ماندن با حجم و مقیاس داده‌ها

مقدار و نوع داده‌های موردنیاز برای اتخاذ موثرترین تصمیمات امنیتی بر اساس داده‌ها نیازمند راه‌حلی است که قادر به اندیس‌گذاری صدها ترابایت داده در روز بدون نرمال‌سازی در زمان جمع‌آوری و اعمال شِما[1] به این داده‌ها در زمان جستجو باشد.

تشخیص خودکار ناهنجاری و اختلالات

برای تشخیص تهدیدات پیشرفته، باید تمام داده‌های مرتبط و نامرتبط با امنیت در یک مخزن قرار گیرند. حجم این مخزن زیاد بوده و می‌تواند به عنوان یک مبنا برای تعریف کاربر و رفتارهای ترافیکی نرمال مورد استفاده قرار گیرد. با استفاده از این نقطه شروع، تجزیه و تحلیل‌ها می‌توانند ناهنجاری‌ها و اختلالاتی که ممکن است تهدیدی پیشرفته باشند را تشخیص دهند. روش‌های آماری می‌توانند با جستجوی رویدادهایی که از نرم معمول انحراف دارند به این تشخیص کمک کنند. همبسته‌سازی نیز می‌تواند به تشخیص ترکیباتی از رویدادها که به ندرت دیده می‌شوند و مشکوک هستند کمک کند.

رویکردی جدید به SIEM

SIEMهای زیادی هستند که ادعا می‌کنند معیارهای جدید موردنیاز را ارائه می‌کنند، اما ممکن است این SIEMها مناسب سازمان شما نباشند.  جدول زیر قابلیت های کلیدی جهت ارزیابی SIEM نسل جدید یا ارزیابی مجدد یک SIEMسنتی را نمایش می دهد :

قابلیت کلیدی

ارزش قابل ایجاد

تک پلت‌فرمه بودن

نیاز به نصب و مدیریت تنها یک محصول که منجر به ساده شدن عملیات‌ها خواهد شد

نرم‌افزار

با استفاده از سخت‌افزارهای معمول، هزینه‌های سخت‌افزار به حداقل خواهد رسید

اندیس‌گذاری تمام داده‌ها با استفاده از تکنیک‌های متنوع

بهره‌وری سریع: مشتریان ارزش SIEM خود را در طول چند ساعت یا چند روز درک می‌کنند

تعداد زیاد منابع داده از پیش تعریف شده

وابستگی به فروشنده SIEM و منابع داده ورودی اختصاصی کاهش می‌یابد

انبار داده فلت که دسترسی به تمام مقادیر داده‌ای و فیلترهای داده‌ای بدون هیچ شِما و یا نرمال‌سازی را ارائه می‌کند

تمام مقادیر و فیلدها از تمام منابع داده قابل جستجو و گزارش‌دهی بوده و می‌توانند به عنوان هشدارهای از پیش تعریف شده یا برای تحقیقات ad hoc همبسته شوند

انبار داده تکی با اندیس‌گذاری و جستجوی توزیع‌شده

دیگر مشکلات مربوط به مقیاس‌پذیری و سرعت وجود نحواهد داشت

جستجوی انعطاف‌پذیر در راستای پروفایل‌سازی اولیه خودکار و همبسته‌سازی پیشرفته

افزایش قابلیت تشخیص اختلالات و ناهنجاری‌ها

مجسم‌سازی داده‌ها و رویدادها در چندین فرمت

توانایی در استفاده، ایجاد و ویرایش جداول، چارت‌ها یا نمودارهای نقطه‌ای بخش بزرگی از انعطاف‌پذیری موردنیاز مناسب برای محیط‌های متنوع مشتری را ارائه می‌کند

پشتیبانی بدون حد و مرز از APIها و SDKها

برای گسترش قابلیت‌های SIEM با appهای شخص سوم ارتباط بر قرار می‌کند

پشتیبانی از موارد استفاده IT رایج مانند الزام با انطباقات، جعل، سرقت و تشخیص سوء‌استفاده، عملیات‌های IT، هوش خدماتی و …

همانطور که تیم‌های امنیتی به طور هماهنگ با سایر توابع IT عمل می‌کنند، دید به دست آمده از موارد استفاده دیگر منجر به دیدی متمرکز در طول سازمان می‌شود

استفاده در cloud، در محل و محیط‌های ترکیبی

استفاده از یک راه‌کار منطقی که به کاربران اجازه جستجو، گزارش‌دهی و کار با داده‌ها بدون توجه به محل ذخیره داده‌ها را می‌دهد

گزینه گسترش به cloud (BYOL و SaaS)

به تحکیم کسب و کار در cloud کمک می‌کند

کاربست ترکیبی با گزینه‌های در محل و cloud

بهینه‌سازی نیازهای تجاری با کاربست‌های SaaS  و در محل بدون قربانی کردن دید امنیتی

Response actions

با تصمیمات خودکار و تصمیمات به کمک انسان کارایی عملیاتی را بهبود می‌دهد

هوش تهدید عملی

تیم‌های امنیتی می‌توانند سریع و به طور کارا اطلاعات مربوط به تهدیدها را به هوش قابل اقدام برای شناسایی تهدیدات و حفاظت از سازمان تبدیل کنند

امتیازدهی به ریسک‌ها

ریسک نسبی یک device یا کاربر در شبکه محیط شما در طول زمان دانسته می‌شود

جستجوی ad hoc روی دوره‌های زمانی گسترش‌یافته

برای دستیابی به بینشی عمیق و دقیق، با کنکاش در داده‌های ماشین breachها را شناسایی کرده و به صورت دقیق به تحلیل آن‌ها می‌پردازد

پشتیبانی از روش تحقیق Kill chain

به دست آوردن دید در یک حمله، درک اهداف متخاصم، نظارت بر فعالیت‌ها در طول یک حمله، ذخیره اطلاعات کلیدی و استفاده از آن برای دفاع از سازمان شما

پشتیبانی از پنج سبک دفاع در مقابل تهدیدات پیشرفته

کمک به شناسایی حملات هدفمند پیشرفته تقریبا در زمان واقعی و پس از نفوذ

انعطاف‌پذیری و معماری پلت‌فرم نقشی کلیدی در بررسی مقیاس‌پذیری SIEM برای دستیابی به نیازهای سازمان دارد. این مساله، مساله مهمی است که نرم‌افزار SIEM مقیاس‌پذیر بوده و بتواند به سرعت تمام داده‌های خام اصلی را در حجمی بسیار بزرگ (از چند ترابایت تا چند پتابایت در روز) اندیس‌گذاری کند.

مقیاس‌پذیری افقی با استفاده از سخت‌افزارهای رایج، چنان انعطاف‌پذیری و مقیاس پذیری محاسباتی را ارائه می‌کند که وسایل فیزیکی گران‌قیمت قادر به ارائه آن نیستند.

استفاده از اندیس توزیع‌شده و تکنولوژی‌های جستجو با جستجوی سریع، گزارش‌دهی و تجزیه و تحلیل‌ها، انتقال سریع نتایج به بازه گسترده‌‌ای از گزارش‌ها  و مجسم‌سازی‌های تعاملی را ممکن می‌کند.

 

نویسنده

arenadminn