• آشنایی با SIEMهای نسل جدید

    Next Generation SIEM

مروری بر تاریخچه SIEM

قبل از اینکه به شرح و توضیح نسل بعدی فناوری SIEM بپردازیم بهتر است نیم نگاهی به تاریخچه چگونگی شکل گیری این تکنولوژی داشته باشیم.

اصطلاح SIEM مخفف عبارت Security information and Event management یا مدیریت رخدادها و امنیت اطلاعات می‏باشد، این واژه ترکیبی در سال ۲۰۰۵  به پیشنهاد دوتن از کارکنان شرکت گارتنر به نامهای  مارک نیکولت و آرمیت ویلیامز از ترکیب دو واژه  SEM (مدیریت رخداد) و SIM (مدیریت اطلاعات) بدست آمد.

آنها SIEM را نوعی از تکنولوژی معرفی می‏کنند که شناسایی تهدیدات و واکنش امنیتی مناسب به رخدادها را پشتیبانی می‏کند، این فرایند با جمع آوری و آنالیز بلادرنگ رخدادهای امنیتی از بین طیف وسیعی از رخدادها و منابع داده متنی صورت می‏گیرد.

SIEM در ابتدا بناچار بعنوان راهکاری جهت پاسخگویی به سیلی از هشدارهای ایجاد شده توسط سیستمهای IPS *و IDS *مطرح شد، چرا که انبوه  alertهای دریافتی عمدتا باعث سردرگمی پرسنل واحد IT هر سازمان می‏شد و دشواری تحلیل مساله وآنالیز دیتا رابهمراه داشت. در واقع SIEM، ابزار توانمدی برای تجمیع و آنالیز رخدادهای درون شبکه در اختیار سازمانها قرار میداد و امکان بهبود تشخیص تهدیدات را فراهم میساخت، همچنین از آنجایی که رویکرد پیشگیرانه امنیتی به تنهایی برای تامین امنیت شبکه کفایت نمی‏کند این راهکار سازمانها را به سمت یک رویکرد پویای امنیتی هدایت می‏کرد.

IDSو* IPS: سیستمهای تشخیص و جلوگیری از نفوذ و حملات

در آنزمان نسلهای قدیمی تر SIEM (چنانچه به آنها اشاره خواهیم کرد) بطور گسترده ای به جمع آوری و ارتباط رخدادهای امنیتی از منابع متنوع از جمله دیواره های آتش، آنتی ویروسها، امنیت نقاط پایانی، IDS به انضمام زیرساخت شبکه مانند سرورها و access point های بی سیم متمرکز بودند.

مشکلات نسلهای اولیه SIEM

با پیدایش نسل اولیه SIEM، بسیاری از سازمانهای رده enterprise ولع شدیدی نسبت به بهبود وضعیت امنیت سایبری خود نشان دادند و در نتیجه بسرعت از این تکنولوژی استقبال شد اما دیری نپایید که بدنبال استفاده از آن، مشکلات هم آشکار شدند.

نمونه هایی از مشکلات نسل اولیه SIEM عبارتند از:

  • بدلیل عدم انعطاف پذیری و سازگاری داده های ورودی با نسل اولیه، برخی از سیستمهای SIEM قادر به پردازش آنها نبودند در نتیجه اثربخشی آنها بطرز محسوسی محدود می‏شد.
  • در نسل اولیه، نگهداری و کارکردن با داده های متنوع ورودی به اندازه ای دشوار بود که باعث پیچیدگی کار و سردرگمی منابع انسانی می‏شد، همچنین استفاده از این نسل تکنولوژی باعث ایجاد مقدار قابل توجهی false positive (تشخیص نادرست) می‏شد که تبعات آن کار بیشتری برای تیمهای امنیت می‏تراشید، بنابراین SIEM بعنوان یک تکنولوژی برتر برای حفظ موجودیت خود چاره ای جز دست و پنجه نرم کردن با مولفه هایی نظیر تهدیدات و ریسکهای امنیتی و رشد کسب و کار سازمانها نداشت.

ظهور نسل بعدی

امروزه بسیاری از تهدیدات پیشرفته بیش از آنکه ایستا باشند، polymorphic (چند ریختی) هستند، بدیل معنی که دارای قابلیت تغییر رفتار برای فرار از تشخیص هستند، درمقابل سیستمهای SIEM نیز علاوه بر پردازش دیتای بیشتر باید به الگوهای تشخیص بهتر و جدیدتری مجهز شوند. بدلیل مشکلات و محدودیت های سیستمهای SIEM ، بسیاری از مفسران، مرگ این سیستمها را پیش‏بینی کرده بودند اما این اتفاق نیفتاد، SIEM همچنان تکنولوژی کلیدی مورد استفاده کسب و کارها باقی ماند و در عوض برای حفظ بقای خود انعطاف پذیری، درگیری و تعامل خود را در انواع کسب و کار گسترس داد.

بر خلاف نسلهای پیشین SIEM که متکی به منابع داده محدودی بودند، نسل بعدی سیستمهای SIEM به گونه ای پیاده سازی شدند تا داده های حجیم تر و متنوع تر شامل رخدادهای امنیتی و غیر امنیتی را در کوتاهترین زمان ممکن با حفظ وابستگیها پردازش کنند.

به گزارش گارتنر در زمان تدوین این مقاله (سال ۲۰۱۸)، بازار SIEM رشدی معادل ۱۴.۶% در سال ۲۰۱۸ داشت و ارزشی بیش از ۳.۶ میلیارد درسال ۲۰۱۹ برای آن پیش بینی شد، یک دلیل این رشد استفاده از سیستمهای نسل بعدی بود که عمده مصرف کنندگان آن نه فقط سازمانهای enterprise که بیشتر ارگانهای متوسط بودند.

قابلیتها و امکانات نسل بعدی SIEM

نسل بعدی SIEM ها بعنوان SIEM نسخه ۳.۰ یا analytic driver شناخته می‏شود که قابلیتهای جدیدی به سازمانها و تیم امنیتی آنها اضافه می‏کند، این قابلیتها عبارتند از:

  • برخورداری از قابلیت یکپارچه شدن سریعتر با زیرساختهای enterprise  بگونه ای که با معماریهای مبتنی بر تکنولوژی ابری، محیطهای پیشفرض(on premise) و داراییهای BYOD و مواردی از این دست سازگار بخوبی سازگارست.
  • نسل بعدی شامل ابزار بصری بلادرنگ به منظور فهم و شناسایی بهتر فعالیتهای مهم و پر ریسک می‏باشد.
  • نسل بعدی این تکنولوژی با برخورداری از قابلیت تجزیه وتحلیل سناریو و رفتار، سناریوهای قابل فهم را دریافت کرده  و تغییرات رفتاری قابل توجه را شناسایی و برجسته می‏کند.
  • برخورداری از امکان یکپارچه شدن با منابع تجاری و منابع متن باز (open source) و دریافت تهدیدات هوشمند
  • قابلیت تولید یک  frame workانعطاف پذیر بنحوی که برای کاربردهای سازمانی، امکان پیاده سازی workflow سفارشی شده را مهیا می‏سازد.
  • دارای قابلیت اندازه گیری وضعیت در برابر frameworkهای نظارتی با هدف اولویت بندی و مدیریت ریسک، بطور مثال PCI DSS که استاندارد امنیت داده در صنعت کارتهای پرداخت است.

هماهنگ کننده امنیت، اتوماسیون و پاسخگویی یا SOAR

اصطلاح SOAR مخفف عبارت هماهنگ کننده امنیت(security orchestration)، اتوماسیون(automation) و واکنش response)) ‏می‏باشد، در واقع یک محدوده امنیتی‏ست که تامین کنندگان SIEM نسل بعدی از آن کمک می‏گیرند تا از جدیدترین قابلیتها برخوردار شوند، بطور خلاصهSOAR دارای دو بعد اساسی می‏باشد:

  • داده های بیشتری را برای تجزیه و تحلیل SIEM فراهم می‏کند.

به بیان دیگر SOAR به فناوری SIEM کمک می‏کند تا عمکرد هوشمندانه تری داشته باشد بنحوی که با محوریت داده های کلان بتواند تیم امنیت چابکتر با قابلیت تصمیم گیری بهتری فراهم کند، هوشمندی جامع تر به معنی تعریف تهدیدات قابل اعتمادتر و false positive (تشخیصهای نادرست کمتر) خواهد بود.

  • واکنش خودکار به رخدادها را تسهیل می‏کند.

یکی دیگر از روشهایی که موجب شده تا SOAR روی سیر تکاملی نسل بعدی SIEM تاثیر بسزایی داشته باشد عبارت است از کمک به استانداردسازی تجزیه و تحلیل و نحوه واکنش به رویه ها. در اینجا هدف اصلی خودکار کردن واکنش مناسب به کلیه فعالیتها می‏باشد که در نهایت به کاهش پتانسیل خرابی، خسارت و قطعی سرویس ناشی از وجود رخنه های امنیتی منجر خواهد شد. بعنوان مثال برای چنین واکنشهایی میتوان از lock کردن کاربر مخرب شناسایی شده و یا مسدود سازی یک آدرسIP روی فایروال نام‏ برد. با اتوماتیک کردن اقدامات روتین، SOAR به تیم امنیت کمک می‏کند تا تاثیرگذارتر عمل کرده و زمان آزاد بیشتری  برای تمرکز بر شکار تهدیدات و بروز رسانی وصله های امنیتی در اختیار داشته باشند.

آنالیز رفتار موجودیت و کاربر

یکی دیگر از قابلیتهای نسل جدید SIEM استفاده از آنالیز رفتاری موجودیت و کاربر می‏باشد که به اختصار UEBA نامیده می‏شود. UEBA بجای دنبال کردن رخدادهای امنیتی و یا مانیتور کردن تجهیزات، به نظارت و تجزیه و تحلیل رفتار کاربران سازمان می‏پردازد.

UEBA در شناسایی اکانتهای خطرآفرین سازمان و همچنین برای تهدیدات داخلی میتواند بشدت کارگشا باشد، با استفاده از قابلیت پیشرفته machine learning و تکنیکهای پروفایل سازی رفتاری، برای شناسایی فعالیتهای غیرعادی مانند رفتار مشکوک شناسهای کاربری و سوء استفاده از دسترسیهای سطح بالا استفاده می‏کند. از آنجایی که این مکانیزم از مانیتورینگ قانونمند مشخصی استفاده نمی‏کند با تحلیل رفتاری در مدت زمان بیشتر میتواند دقت و تاثیر بزرگتری بر شناسایی انواع آنومالیها (رفتارهای غیر عادی و ناهنجاریها) داشته باشد.