ویژگی SIEM های نسل جدید
ویژگی SIEM های نسل جدید
تشخیص زودهنگام، پاسخگویی سریع و همکاری از الزامات غلبه بر تهدیدهای پیشرفته امروزی هستند. اما این نیازها تقاضاهای سنگینی هستند که از یک تیم امنیتی خواسته میشود. امروزه دیگر نظارت و گزارشدهی درباره logها و رویدادهای امنیتی کافی نبوده و متخصصان امنیتی به دیدی وسیعتر از تمام منابع داده در تمام قسمتهای سازمان نیاز دارند. برای پیشدستی در مقابله با حملات بیرونی و بدخواهان داخلی، شرکت به یک راهکار امنیتی پیشرفته نیاز دارد که بتواند برای پاسخگویی سریع، تحقیق و بررسی وقایع و رسیدگی به سناریوهای breach مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای مورد استفاده قرار گیرد. علاوهبراین موارد، شرکت نیازمند توانایی در تشخیص و پاسخ به تهدیدات پیشرفته شناخته و ناشناخته میباشد. در مرکز سیستمهای امنیتی، یک راهکار قوی امنیت اطلاعات و وقایع که به اختصار SIEM نامیده میشود، وجود دارد. این پلتفرم به طور کامل بر محیط نظارت کرده و دید وسیعی از آن ارائه مینماید. در ادامه این مطلب، به بررسی معیارها و قابلیتهای کلیدی نوینی که SIEMهای نسل جدید نیازمند ارائه آنها هستند، پرداخته خواهد شد.
معیارهای جدید برای SIEMهای نسل بعد
تیم امنیت سازمان باید از یک ابزار SIEM استفاده کند که علاوه بر حل موارد استفاده معمول، به ارائه راهکار برای حل موارد استفاده امنیتی پیشرفته نیز بپردازد. برای جا نماندن از چشمانداز پویای تهدیدات، انتظار میرود SIEMهای مدرن قادر به:
- متمرکزسازی و مجتمعسازی همه وقایع مرتبط با امنیت همزمان با وقوع آنها باشند.
- پشتیبانی از مکانیزمهای متنوع جمعآوری مانند syslog، file transmissions، file collections و … باشند.
- اضافه کردن هوش تهدید و هوش محیطی به رویدادهای امنیتی باشند.
- انجام همبستهسازی و هشداردهی بر روی دامنه وسیعی از دادهها باشند.
- تشخیص تهدیدات پیشرفته و ناشناخته باشند.
- ایجاد پروفایلهای رفتاری در طول سازمان باشند.
- جمعآوری همه دادهها و در دسترس قرار دادن آنها برای استفادههایی مانند نظارت، هشداردهی، تحقیق و بررسی، و جستجوی ad hoc باشند.
- فراهمآوری امکان جستجوی ad hoc و گزارشدهی بر روی دادهها در راستای تحلیل breach پیشرفته باشند.
- بررسی رویدادها و هدایت تحقیقات جرمشناسی برای بررسی دقیق وقایع با جزئیات باشند.
- بررسی وضعیت انطباق با الزامات و گزارشدهی در این باره باشند.
- استفاده کاربردی از تحلیلها و گزارشها روی وضعیت امنیتی باشند.
- ردیابی فعالیتهای حملهکنندگان با تجزیه و تحلیل ad hoc و ترتیبدهی به وقایع باشند.
- به ارزیابی تهدیدات از appها و منابع داده ابری، در محل و ترکیبی باشند.
امروزه همه دادهها مرتبط با امنیت هستند.
شواهد و مدارک یک حمله، همینطور فعالیتهای آن، در دادههای یک سازمان وجود دارند. برای اینکه تیمهای امنیتی بتوانند به طور مناسب به تحقیق در مورد وقایع امنیتی پرداخته و تهدیدات را شناسایی کنند، باید تمام دادهها و نه فقط دادههای امنیتی به دست آمده از محصولات امنیتی سنتی مانند فایروالها، IDSها و یا ضد بد افزارها، به SIEM داده شوند. سازمانها بیشتر دادههای موردنیاز برای به موقع دیدن وضعیت امنیتی خود را از دست میدهند. فعالیتهای این تهدیدات پیشرفته اغلب تنها در دادههای نامرتبط با امنیت مانند logهای سیستم عامل، سیستمهای directory مانند LDAP/AD، DNS و سرورهای وب و ایمیل وجود دارند. اغلب نیاز است تا دادههای ماشین با تهدیدات محیطی درونی و بیرونی و در راستای کمک در پاسخدهی به وقایع و تشخیص breach همراه شوند.
هماهنگ ماندن با حجم و مقیاس دادهها
مقدار و نوع دادههای موردنیاز برای اتخاذ موثرترین تصمیمات امنیتی بر اساس دادهها نیازمند راهحلی است که قادر به اندیسگذاری صدها ترابایت داده در روز بدون نرمالسازی در زمان جمعآوری و اعمال شِما[1] به این دادهها در زمان جستجو باشد.
تشخیص خودکار ناهنجاری و اختلالات
برای تشخیص تهدیدات پیشرفته، باید تمام دادههای مرتبط و نامرتبط با امنیت در یک مخزن قرار گیرند. حجم این مخزن زیاد بوده و میتواند به عنوان یک مبنا برای تعریف کاربر و رفتارهای ترافیکی نرمال مورد استفاده قرار گیرد. با استفاده از این نقطه شروع، تجزیه و تحلیلها میتوانند ناهنجاریها و اختلالاتی که ممکن است تهدیدی پیشرفته باشند را تشخیص دهند. روشهای آماری میتوانند با جستجوی رویدادهایی که از نرم معمول انحراف دارند به این تشخیص کمک کنند. همبستهسازی نیز میتواند به تشخیص ترکیباتی از رویدادها که به ندرت دیده میشوند و مشکوک هستند کمک کند.
رویکردی جدید به SIEM
SIEMهای زیادی هستند که ادعا میکنند معیارهای جدید موردنیاز را ارائه میکنند، اما ممکن است این SIEMها مناسب سازمان شما نباشند. جدول زیر قابلیت های کلیدی جهت ارزیابی SIEM نسل جدید یا ارزیابی مجدد یک SIEMسنتی را نمایش می دهد :
قابلیت کلیدی | ارزش قابل ایجاد |
تک پلتفرمه بودن | نیاز به نصب و مدیریت تنها یک محصول که منجر به ساده شدن عملیاتها خواهد شد |
نرمافزار | با استفاده از سختافزارهای معمول، هزینههای سختافزار به حداقل خواهد رسید |
اندیسگذاری تمام دادهها با استفاده از تکنیکهای متنوع | بهرهوری سریع: مشتریان ارزش SIEM خود را در طول چند ساعت یا چند روز درک میکنند |
تعداد زیاد منابع داده از پیش تعریف شده | وابستگی به فروشنده SIEM و منابع داده ورودی اختصاصی کاهش مییابد |
انبار داده فلت که دسترسی به تمام مقادیر دادهای و فیلترهای دادهای بدون هیچ شِما و یا نرمالسازی را ارائه میکند | تمام مقادیر و فیلدها از تمام منابع داده قابل جستجو و گزارشدهی بوده و میتوانند به عنوان هشدارهای از پیش تعریف شده یا برای تحقیقات ad hoc همبسته شوند |
انبار داده تکی با اندیسگذاری و جستجوی توزیعشده | دیگر مشکلات مربوط به مقیاسپذیری و سرعت وجود نحواهد داشت |
جستجوی انعطافپذیر در راستای پروفایلسازی اولیه خودکار و همبستهسازی پیشرفته | افزایش قابلیت تشخیص اختلالات و ناهنجاریها |
مجسمسازی دادهها و رویدادها در چندین فرمت | توانایی در استفاده، ایجاد و ویرایش جداول، چارتها یا نمودارهای نقطهای بخش بزرگی از انعطافپذیری موردنیاز مناسب برای محیطهای متنوع مشتری را ارائه میکند |
پشتیبانی بدون حد و مرز از APIها و SDKها | برای گسترش قابلیتهای SIEM با appهای شخص سوم ارتباط بر قرار میکند |
پشتیبانی از موارد استفاده IT رایج مانند الزام با انطباقات، جعل، سرقت و تشخیص سوءاستفاده، عملیاتهای IT، هوش خدماتی و … | همانطور که تیمهای امنیتی به طور هماهنگ با سایر توابع IT عمل میکنند، دید به دست آمده از موارد استفاده دیگر منجر به دیدی متمرکز در طول سازمان میشود |
استفاده در cloud، در محل و محیطهای ترکیبی | استفاده از یک راهکار منطقی که به کاربران اجازه جستجو، گزارشدهی و کار با دادهها بدون توجه به محل ذخیره دادهها را میدهد |
گزینه گسترش به cloud (BYOL و SaaS) | به تحکیم کسب و کار در cloud کمک میکند |
کاربست ترکیبی با گزینههای در محل و cloud | بهینهسازی نیازهای تجاری با کاربستهای SaaS و در محل بدون قربانی کردن دید امنیتی |
Response actions | با تصمیمات خودکار و تصمیمات به کمک انسان کارایی عملیاتی را بهبود میدهد |
هوش تهدید عملی | تیمهای امنیتی میتوانند سریع و به طور کارا اطلاعات مربوط به تهدیدها را به هوش قابل اقدام برای شناسایی تهدیدات و حفاظت از سازمان تبدیل کنند |
امتیازدهی به ریسکها | ریسک نسبی یک device یا کاربر در شبکه محیط شما در طول زمان دانسته میشود |
جستجوی ad hoc روی دورههای زمانی گسترشیافته | برای دستیابی به بینشی عمیق و دقیق، با کنکاش در دادههای ماشین breachها را شناسایی کرده و به صورت دقیق به تحلیل آنها میپردازد |
پشتیبانی از روش تحقیق Kill chain | به دست آوردن دید در یک حمله، درک اهداف متخاصم، نظارت بر فعالیتها در طول یک حمله، ذخیره اطلاعات کلیدی و استفاده از آن برای دفاع از سازمان شما |
پشتیبانی از پنج سبک دفاع در مقابل تهدیدات پیشرفته | کمک به شناسایی حملات هدفمند پیشرفته تقریبا در زمان واقعی و پس از نفوذ |
انعطافپذیری و معماری پلتفرم نقشی کلیدی در بررسی مقیاسپذیری SIEM برای دستیابی به نیازهای سازمان دارد. این مساله، مساله مهمی است که نرمافزار SIEM مقیاسپذیر بوده و بتواند به سرعت تمام دادههای خام اصلی را در حجمی بسیار بزرگ (از چند ترابایت تا چند پتابایت در روز) اندیسگذاری کند.
مقیاسپذیری افقی با استفاده از سختافزارهای رایج، چنان انعطافپذیری و مقیاس پذیری محاسباتی را ارائه میکند که وسایل فیزیکی گرانقیمت قادر به ارائه آن نیستند.
استفاده از اندیس توزیعشده و تکنولوژیهای جستجو با جستجوی سریع، گزارشدهی و تجزیه و تحلیلها، انتقال سریع نتایج به بازه گستردهای از گزارشها و مجسمسازیهای تعاملی را ممکن میکند.