SIEM چیست؟

کلمه SIEM مخفف عبارت Security Information and Event Management می باشد.

SIEM چیست؟ و چه کاربردی دارد؟

در نگاه اول اگر شما متخصص امنیت سایبری نباشید ممکن است از خود بپرسید که SIEM چیست و کاربرد آن در کجاست؟ در این مقاله از کالی بویز قصد داریم به مفاهیم کلی SIEM و اهمیت آن در مباحث امنیت سایبری بپردازیم.

عناصر Siem
SIEM چیست

معنی و مفهوم SIEM

کلمه SIEM مخفف عبارت Security Information and Event Management می باشد. اما معنی SIEM چیست؟

SIEM به معنای راه کارهای امنیت اطلاعات و مدیریت رویدادها می باشد و از دو بخش، مدیریت امنیت اطلاعات (SIM) و مدیریت وقایع (SEM) تشیکل شده است. این اصطلاح نخستین بار توسط مارک نیکولت و امریت ویلیامز در سال ۲۰۰۵ با تکمیل یک گزارش تحقیقاتی برای شرکت گارتر ابداع شد.

Mark Nicolett and Amrit Williams
Mark Nicolett and Amrit Williams

کاربرد SIEM

اولین و ابتدایی ترین کاربرد هر SIEM متمرکز ساختن تمام Notification یا اعلان های امنیتی از تکنولوژی های مختلف امنیتی به کار رفته در سازمان ها مثل فایروال ها، سیستم های IDS/IPS و آنتی ویرس ها و.. می­باشد.

نقاط دستیابی وایرلس یا همان Access Pointها و همینطور سرور های Active Directory که همگی روزانه هشدارهای امنیتی زیادی را ایجاد می کنند که به کمک SIEM می توانید تمامی این موارد را با یک مجموعه از گزارشات و یک سیستم متمرکز شده برای ایجاد Notification ها در یک مکان جمع آوری شده را به کار بگیرید که معمولا به این راه حل، راهکار تجمیع Log ها می گویند.

دومین کاربرد اصلی SIEM فراهم کردن loging و گزارش گیری برای اهداف تطبیق پذیر می باشد.

تقریبا به ازای هر یک از مقررات تطبیق پذیری، الزاماتی برای Log کردن دسترسی کاربر، ردیابی تغییرات سیستم و مانیتور کردن پایبندی بهPolicy های سازمانی وجود دارد.

یک راهکار SIEM مناسب می تواند این task ها را بسیار آسان تر کند و این کار را با جمع آوری داده از تمامی سیستم های شما انجام می دهد. وقتی زمان ممیزی یا امتحان برسد شما می توانید به سادگی گزارشات تطبیق پذیری مناسبی را ایجاد کنید و آنها را به افراد مناسب ارسال کنید.

البته برای اینکه SIEM شما کارآمد شود، باید به صورت Built-in دارای گزارشات مورد نیاز و یک عملکرد تطبیق پذیر باشد. البته همه SIEM ها اینگونه نیستند.

سومین کاربرد SIEM که از مهمترین کاربرد آن می باشد همبستگی متقابل یا Cross-Correlation و تجزیه و تحلیل خودکارسازی شده از تمامی Log های رخداد خام از سرتاسر شبکه شما است.

وقی که SIEM ها به دنبال مشکلات مختلف امنیت سایبری می گردند در حالت عادی کسی متوجه آنها نمی شود. و این کار را با جمع آوری داده از چندین منبع متفاوت انجام می شود. برای انجام این فرایند و همبستگی و تجزیه و تحلیل قطعا آوردن Log های امنیتی به SIEM مهم است. اما لاگ های امنیتی به خودی خود کافی نیستند.

عملکرد SIEM

فرض کنید SIEM شما یک هشدار از IDS دریافت می کند و به شما می گوید که یک حمله SQL Injection را در یکی از سرورهای شما شناسایی نموده است. خوب این یک اعلان نگران کننده است این ها هشدارهایی هستند که ممکن است نیمه شب شما را از خواب بیدار کنند البته با فرض اینکه SQL Server داشته باشید. بسیاری از SIEM ها نوع سروری که اجرا می کنید را مدنظر قرار نمی دهند که همین کار باعث بروز خطاهای زیادی در اعلام هشدار می شود و این خطاها عملا SIEM شما را بی فایده می کنند.

یک راهکار SIEM کامل درک می کند که سرور چیست؟ چه برنامه های کاربردی را اجرا می کند؟ چه نوع پیکربندی دارد؟ داشتن این اطلاعات از خطا در اعلام هشدار پیشگیری می کند. یعنی فقط وقتی از خواب بیدار می شوید که لازم است کاری را انجام دهید.

در مقابل یک راهکار SIEM حقیقی، پیکربندی کامل، برنامه های کاربردی در حال اجرا و اطلاعات دیگر را از تمام دستگاه های دیگر دریافت می کند تا زمینه حیاتی را به رخدادها و Notification ها بیفزاید. این امر به SIEM این توانایی را می دهد که متوجه تغییرات دستگاه های حیاتی، مانند روترها، و فایروال ها شود و در صورت رخ دادن تغییرات غیر مجاز Notification ایجاد کند.

یک راهکار کامل همچنین Feed های هوش تهدیدات، لیست های سیاه و داده های معین شده موقعیت فیزیکی را با هم ترکیب می کند تا دقت عمل را بیش از پیش افزایش دهد و اطمینان حاصل گردد که Notification ها عملی هستند و خطاها در اعلام هشدار به طور چشمگیری کاهش می یابد.

در این مورد باید کاملا جدی و صادق باشیم، یک خطا در اعلام هشدار یعنی خواب بی خواب، یعنی ناامیدی و هزینه های اضافی برای سازمان شماست. بدتر از این حالت بروز خطا در اعلام هشدار به معنای Notification های نادیده است که سازمان شما را تحت ریسک و تهدید قرار می دهد.

درک صحیح از یک SIEM

حال بهتر است بدانید که SIEM فقط یک ابزار تجمیع Log ها نیست. جمع آوری و ذخیره سازی فایل های Log کار ساده ای است اما این کار قابلیتی را به وضعیت امنیتی شما اضافه نمی کند و یا کمکی به از بین بردن تهدیدات نمی ­کند.

بسیاری از شرکت هایی که ارائه دهنده SIEM هستند، در حقیقت فقط جمع کنندگان Log ها هستند. دومین نکته این است که برخی از افراد تصور می کنند سیستم IDS/IPS آن ها کار یکسانی با SIEM انجام می دهد.

یک IDS یک Feed داده ی واحد است که به خودی خود پر از خطا بوده و در اعلام هشدار دارای یک سری اطلاعات غلط می باشد، یک SIEM این اطلاعات را می گیرد و با داده های دیگر سیستم ها، و دیگر Feed های تهدیدات و اطلاعات پیکربندی، مغایرت و تطبیق می دهد تا مشخص کند که آیا واقعا تهدیدی در کار است یا خیر؟ تنها تکیه کردن به یک سیستم IDS مانند این است که یک قسمت از فیلمی را دیده باشید و تصور کنید کهتمام فیلم را تماشا کرده اید.

برخی از تجهیزات جدید باید در مکان خیلی خاصی در شبکه نصب شوند.یا از یک TAP شبکه استفاده کنند. تا تمامی جریان های شبکه از آن عبور نمایند. این کار مشکلی ندارد اما برای اینکه آن تجهیزات بتوانند چیزی را متوجه شوند، هیچ یک از آن جریان های ترافیک نباید رمزگذاری شده باشند.اما در بیشتر شبکه های امروزی، مقدار بسیار زیادی از ترافیک رمزگذاری می گردد مثلا Citrix، نشست های VPN و بسیاری از ترافیک های دیگر کاملا در این دستگاه ها مخفی هستند.

ضرورت SIEM

جدا از اینکه اکثر بدافزارها و دیگر ابزارهای متداول هکرها دارای رمزگذاری Built-in هستند تا از این سیستم ها عبور کنند.

پس با وجود اینکه، این ها راهکارهایی عالی برای نیازهای خاص هستند. قطعا نیاز به SIEM را از بین نبرده و حتی آن را کاهش هم نمی دهند. دلایل بسیار زیادی برای داشتن یک SIEM وجود دارد. اول از همه برای از بین بردن نقاط کور باید تمامی اطلاعات امنیتی و رخدادهای خود را در یک مکان واحد جمع آوری کرد. و باید بتوانید بدون اینکه توسط اعلام هشدار درگیر خطا  شوید، رفتارهای مشکوک را شناسایی کنید.

تجزیه و تحلیل دقیق و همبستگی، به شما این توانایی را می دهد که پیش از اینکه این مشکلات تبدیل به نقض امینتی شوند، آن ها را شناسایی کنید. قابلیت دید جامع از طریق یک SIEM به شما این توانایی را می دهد که Policyهای سازمانی را مانتیور و اعمال نمایید. و در نهایت، الزامات مبتنی بر مقررات، از جمله PCI و HIPAA و FFIEC عملا از شما می خواهند که SIEM را در سازمان و یا اداره خود داشته باشید.

نتیجه گیری

با توجه به پیشرفت روز افزون در حوزه فناوری و امنیت اطلاعات نتیجه می گیریم SIEM ابزاری است که با ارائه بهترین راهکارها، با تطبیق پذیری مبتنی بر مقررات مورد نیاز همه سازمان ها و ارگان هایی که زیرساخت آنها با نرم افزار و  فناوری اطلاعات IT آمیخته شده است می باشد  لذا همه این سازمان ها برای مدیریت و امنیت اطلاعات و همچنین مدیریت رویداد های خود بایستی از ابزارها و نرم افزارهای مرتبط با SIEM استفاده کنند.

امیدوارم خواندن این مقاله برای شما کاربران عزیز وبسایت کالی بویز مفید و کاربردی باشد.

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.