بیت دیفندر

SIEM چیست و چگونه از تهدیدات محافظت می کند؟

SIEM به معنای سیستم مدیریت اطلاعات و رویدادهای امنیتی (Security Information and Event Management) است. SIEM یک نوع تکنولوژی و سیستم امنیتی است که برای جمع‌آوری، تجزیه‌وتحلیل، نظارت و اعلان درباره‌ی رویدادهای امنیتی و وقایع مربوط به امنیت شبکه و سیستم‌ها به‌کار می‌رود. هدف اصلی SIEM ارائه یک نگاه کلی و یکپارچه به اطلاعات امنیتی است تا بتوان از تهدیدات امنیتی سیستم‌ها و شبکه‌ها آگاه شد و برخورد مناسب با آنها را انجام داد.

معماری زیربنایی هر سیستم SIEM مبتنی بر جمع‌آوری داده‌های مرتبط از منابع مختلف، شناسایی موارد نقض خط‌مشی‌های امنیتی و پیاده‌سازی اصول امنیتی قدرتمند برای مقابله با تهدیدات سایبری است. به عنوان مثال، هنگامی که یک مشکل بالقوه شناسایی می‌شود، یک سیستم SIEM ممکن است اطلاعات اضافی در ارتباط با فعالیت‌های پیرامون شبکه را ثبت کند، یک هشدار امنیتی ایجاد کند و به سایر کنترل‌های امنیتی خودکار فرمان دهد تا فعالیت‌های مشکوک را متوقف کنند.

این سیستم که برخی منابع به آن مرکز عملیات امنیت اطلاعات (ISOC) نیز می‌گویند، یک راه‌حل امنیتی متمرکز و اختصاصی است که در آن متخصصان امنیتی تهدیدات سایبری بالقوه را نظارت، تجزیه و تحلیل و کاهش می‌دهند. با توجه به ماهیت توزیع شده دپارتمان‌های مختلف یک سازمان، این سیستم به منظور ساده‌سازی فعالیت‌های تیم‌های متشکل از مهندسان امنیتی و تحلیل‌گران مورد استفاده قرار می‌گیرد.

در حالی که معماری یک سیستم SIEM از سازمانی به سازمان دیگر متفاوت است، اما همه آن‌ها چند قابلیت کلیدی به شرح زیر دارند:

به طور معمول، یک سازمان برای مدیریت تهدیدات و پاسخ‌گویی سریع به تهدیدات به ترکیبی از سامانه‌ها SIEM و SOC نیاز دارد، البته، شرکت‌هایی که حوزه فعالیت آن‌ها بین‌المللی است، ممکن است مرکز عملیات امنیت را در کشورهای مختلف پیاده‌سازی می‌کنند. این مراکز تیمی متشکل از تحلیل‌گران امنیتی مدیریت می‌شوند.

سیستم مدیریت اطلاعات امنیت و رویداد

یک سامانه SIEM چگونه از سازمان ها در برابر تهدیدات محافظت می‌کند؟

یک سامانه SIEM می‌تواند به روش‌های مختلف پیاده‌سازی و پیکربندی شود، به همین دلیل بسته به نیازها و قابلیت‌های یک سازمان امکان اعمال تغییر در آن وجود دارد.. به طور کلی، سامانه‌های SIEM  در ارتباط با فرآیندهای زیر مورد استفاده قرار می‌گیرد:

  • بررسی دارایی‌های سازمانی: برای محافظت از یک سازمان در برابر تهدیدات و شناسایی شکاف‌های امنیتی، یک سامانه SIEM نیازمند دید کاملی بر روی سیستم‌ها، برنامه‌ها و داده‌هایی است که در شبکه مبادله می‌شوند. برای این منظور سامانه فوق به ابزارهای امنیتی برای محافظت از شبکه نیاز دارد.
  • ارزیابی آسیب‌پذیری: برای اندازه‌گیری میزان تاثیرگذاری احتمالی یک حمله سایبری، یک سامانه SIEM ممکن است به روش‌های مختلفی سخت‌افزار و نرم‌افزار‌‌های نصب شده روی سیستم‌ها را مورد آزمایش قرار دهد تا گزارشی قابل استناد در اختیار کارشناسان امنیتی قرار دهد تا خط‌مشی‌های امنیتی را متناسب با آسیب‌پذیری‌های شناسایی شده ویرایش کرده یا طرح واکنش به حادثه را تدوین کنند.
  • تعمیر و نگهداری پیشگیرانه: هنگامی که یک SIEM آسیب‌پذیری‌ها را در زیرساخت سازمانی شناسایی کرد، می‌تواند اقداماتی را برای تقویت وضعیت امنیتی به شکل خودکار انجام دهد. این اقدامات ممکن است شامل به‌روز‌رسانی فایروال‌ها، ویرایش لیست‌های کنترل دسترسی سفید و سیاه وصله کردن نرم‌افزارهای آسیب‌پذیر و اصلاح پروتکل‌ها و رویه‌های امنیتی باشد.

در ابتدا، سامانه‌های SIEM با هدف انطباق‌پذیری بیشتر امور مالی با امنیت سایبری و محافظت از داده‌های مرتبط با تراکنش‌های مالی توسعه پیدا کرده و مورد استفاده قرار گرفتند. با این‌حال، نگرانی‌ها در مورد تهدیدات مداوم پیشرفته، سازمان‌های کوچک‌تر را بر آن داشت تا به سراغ ابزارهای SIEM بروند و از مزایای شاخص آن‌ها استفاده کنند. توانایی مشاهده تمام داده‌های مرتبط با مبحث امنیت از طریق یک داشبورد واحد، تشخیص الگوها و رفتارهای غیرعادی در یک سازمان در هر اندازه‌ای را ساده‌تر می‌کند.

در ابتدایی‌ترین سطح، یک سیستم SIEM می‌تواند قواعد-محور باشد یا از یک موتور پردازشی تحلیلی دقیق به منظور مرتبط کردن ورودی‌های مختلف با یکدیگر و ساخت یک گزارش واحد در ارتباط با رویدادها استفاده کند. سیستم‌های پیشرفته‌تر SIEM توانایی تجزیه و تحلیل رفتار کاربر و موجودیت‌های تحت شبکه و همچنین هماهنگ‌سازی اقدامات امنیتی، خودکارسازی و پاسخ (SOAR) سرنام security orchestration, automation and response  را دارند.

سیستم‌های SIEM با استقرار چند عامل (Agent) فرآیند جمع‌آوری اطلاعات به شیوه سلسله مراتبی را انجام می‌دهند. به بیان دقیق‌تر، رویدادهای مرتبط با امنیت را از دستگاه‌های مورد استفاده توسط کاربر نهایی، سرورها و تجهیزات شبکه و تجهیزات امنیتی تخصصی، مانند فایروال‌ها، برنامه‌های آنتی ویروس یا سیستم‌های پیشگیری از نفوذ (IPS) جمع‌آوری می‌کنند. این مولفه‌ها هنگامی که رویدادهای مختلف را جمع‌آوری کردند، در ادامه برای یک کنسول مدیریت متمرکز ارسال می‌کنند، جایی که تحلیل‌گران امنیتی گزارش‌های نه چندان مهم را  غربال و حذف می‌کنند، نقاط حادثه‌خیز را شناسایی کرده و ارتباط میان آن‌ها را مشخص می‌کنند و در نهایت حوادث امنیتی را اولویت‌بندی می‌کنند.

در برخی از سیستم‌ها، فرآیند پیش پردازش محاسبات می‌تواند در لبه شبکه انجام شود و تنها رویدادهای خاص به یک گره مدیریت متمرکز منتقل می‌شوند. به این ترتیب می‌توان حجم اطلاعات در حال انتقال و ذخیره‌سازی را کم کرد. اگرچه پیشرفت‌ها در حوزه یادگیری ماشین به سیستم‌ها کمک می‌کند تا ناهنجاری‌ها را با دقت بیشتری نشان دهند، اما تحلیل‌گران همچنان باید بازخورد ارائه دهند و به طور مداوم سیستم را در مورد محیط عملیاتی مورد آزمایش و آموزش قرار دهند.

SIEM چگونه کار می‌کند؟

ابزارهای SIEM داده‌های مربوط به رویدادها و گزارش‌های ایجاد شده توسط سیستم‌های میزبان مثل سرورها که در زیرساخت شرکت قرار دارند را جمع‌آوری می‌کنند و آن داده‌ها را در یک پلتفرم متمرکز گرد هم می‌آورند. سیستم‌های میزبان شامل برنامه‌ها، دستگاه‌های امنیتی، آنتی ویروس‌ها و فایروال‌ها هستند. کاری که ابزارهای SIEM انجام می‌دهند دسته‌بندی داده‌ها به گروه‌های مختلف مثل ورود موفق و ناموفق، فعالیت بدافزاری و سایر فعالیت‌های مخرب احتمالی شناسایی شده است.

در این حالت، سامانه SIEM هنگامی که مسائل امنیتی بالقوه را شناسایی می‌کند، هشدارهای امنیتی ایجاد می‌کند. با استفاده از مجموعه‌ای از قوانین از پیش تعریف شده، سازمان‌ها می‌توانند این هشدارها را به عنوان اولویت کم یا زیاد تنظیم کنند.

به عنوان مثال، یک حساب کاربری که 25 تلاش ناموفق برای ورود را در 25 دقیقه ایجاد کرده است، به عنوان یک مورد مشکوک علامت‌گذاری شود، اما همچنان اولویت پایین‌تری خواهد داشت، زیرا احتمالا تلاش‌های ورود به سیستم توسط کاربری انجام شده است که اطلاعات ورود خود را فراموش کرده است. با این حال، یک حساب کاربری که 130 تلاش ناموفق برای ورود را در پنج دقیقه ایجاد می‌کند، به این نکته اشاره دارد که ممکن است هکری از طریق پیاده‌سازی یک حمله جستجوی فراگیر (brute-force) سعی کرده است، حساب کاربری را هک کند.

چرا SIEM مهم است؟

SIEM با فیلتر کردن حجم زیادی از داده‌های امنیتی و اولویت‌بندی هشدارهای امنیتی، مدیریت مباحث امنیتی را برای شرکت‌ها آسان‌تر می‌کند.

سامانه SIEM سازمان‌ها را قادر می‌سازد تا حوادثی را شناسایی کنند که امکان شناسایی آن‌ها به شیوه دستی ممکن است غیر ممکن باشد. این سامانه، ورودی‌های گزارش را تجزیه و تحلیل می‌کند تا هرگونه نشانه‌ مرتبط با فعالیت‌های مخرب را شناسایی کند. علاوه بر این، از آن‌جایی که سیستم رویدادها را از منابع مختلف در سراسر شبکه جمع‌آوری می‌کند، می‌تواند جدول زمانی یک حمله را دوباره ایجاد کند و سازمان را قادر می‌سازد ماهیت حمله و تأثیر آن را بر تجارت تعیین کند.

علاوه بر این، یک سیستم SIEM می‌تواند با تولید خودکار گزارش‌هایی که شامل تمام رویدادهای امنیتی ثبت‌شده مرتبط با منابع مختلف هستند به سازمان کمک کند تا خط‌مشی‌های امنیتی را به شکل دقیقی پیاده‌سازی کند. بدون وجود ابزار SIEM، شرکت باید داده‌های مربوط به سیستم‌ها و برنامه‌های مختلف را به شکل دستی جمع‌آوری کند، آن‌ها را طبقه‌بندی کند، مورد بی مورد را حذف کند تا در نهایت بتواند، اطلاعات را تحلیل کند.

همچنین، یک سیستم SIEM به تیم امنیتی شرکت برای کشف مسیری که یک هکر برای حمله به شبکه سازمانی، پشت سر گذاشته است، کمک می‌کند. منابعی که عامل بروز حمله شده‌اند را شناسایی می‌کند و اقدامات فوری را برای متوقف کردن حمله انجام داده، به کارشناسان امنیتی کمک می‌کند تا مانع بروز حملات در آینده شوند و فرآیند مدیریت و نظارت بر حوادث را بهبود می‌بخشد.

SIEM چه مزایایی در اختیار سازمان‌ها قرار می‌دهد؟

از مزایای مهم یک سامانه SIEM به موارد زیر باید اشاره کرد:

زمان شناسایی تهدیدها را به میزان قابل توجهی کوتاه می‌کند و آسیب ناشی از آن تهدیدها را به حداقل می‌رساند.

SIEM یک نمای کلی از محیط امنیت اطلاعات یک سازمان ارائه می‌دهد و جمع‌آوری و تجزیه و تحلیل اطلاعات امنیتی برای ایمن نگه داشتن سیستم‌ها را آسان‌تر می‌کند. تمام داده‌های یک سازمان را به یک مخزن متمرکز انتقال می‌دهد تا دسترسی به آن‌ها به شکل ساده‌تری انجام شود.

شرکت‌ها می‌توانند از SIEM برای موارد مختلفی که حول داده‌ها یا ساخت گزارش‌ها قرار دارند استفاده کنند که از مهم‌ترین آن‌ها باید به برنامه‌های امنیتی، گزارش‌های ممیزی و انطباق، هلپ‌دسک و عیب‌یابی شبکه اشاره کرد.

SIEM از حجم زیادی از داده‌ها پشتیبانی می‌کند تا سازمان‌ها بتوانند از طریق الگوریتم‌های هوشمند به شکل دقیقی بینش لازم در ارتباط با شبکه و مباحث امنیتی به دست آورند.

SIEM تشخیص تهدیدات و هشدارهای امنیتی را خودکارسازی می‌کند که نقش مهمی در شناسایی زودهنگام تهدیدات دارد. این مسئله می‌تواند تجزیه و تحلیل دقیق  را ساده‌تر کرده و اطلاعات خوبی در ارتباط با جرم‌شناسی دیجیتالی در اختیار سازمان‌ها قرار دهد.

محدودیت‌های SIEM

علیرغم مزایای شاخصی که دارد، SIEM محدویت‌هایی نیز دارد که از مهم‌ترین آن‌ها به موارد زیر باید اشاره کرد:

اجرای SIEM ممکن است زمان‌بر باشد، زیرا برای اطمینان از ادغام موفقیت‌آمیز با کنترل‌های امنیتی سازمان و میزبان‌های مختلفی که در زیرساخت سازمانی مستقر هستند، آزمایش‌های مختلفی نیاز است. به طور معمول این فرآیند 90 روز یا بیشتر طول می‌کشد تا SIEM قبل از پیاده‌سازی عملیاتی در محیط قابل استفاده باشد.

گران‌قیمت است. سرمایه‌گذاری اولیه در SIEM می‌تواند به صدها هزار دلار بودجه نیاز داشته باشد، این مسئله به غیر از هزینه‌های مربوطه و جانبی است. از جمله این موارد باید به هزینه‌های پرسنل برای مدیریت و نظارت بر اجرای SIEM، پشتیبانی سالانه و نرم‌افزار‌های و ابزارهای مناسب برای جمع‌آوری داده‌ها اشاره کرد.

تجزیه و تحلیل، پیکربندی و یکپارچه‌سازی گزارش‌ها مستلزم جذب متخصصان حرفه‌ای است. به همین دلیل است که برخی از سیستم‌های SIEM مستقیما در یک مرکز عملیات امنیتی مدیریت می‌شوند. مرکز متمرکز و واحدی که توسط یک تیم امنیت اطلاعات که با مسائل امنیتی سازمان سروکار دارد، مدیریت می‌شوند.

به طور معمول، ابزارهای SIEM به قوانینی برای تجزیه و تحلیل تمام داده‌های ضبط شده نیاز دارند. مشکل این است که شبکه یک شرکت می‌تواند هزاران هشدار در روز تولید کند. شناسایی حملات احتمالی به دلیل تعداد لاگ‌های نامربوط دشوار است.

یک ابزار SIEM با پیکربندی اشتباه ممکن است رویدادهای امنیتی مهم را از دست بدهد و مدیریت ریسک اطلاعات را کم اثر کند.

SIEM چه ویژگی‌ها و قابلیت‌های کاربردی ارائه می‌دهد

از ویژگی‌های مهمی که باید در هنگام ارزیابی، پیاده‌سازی یا خرید محصولات SIEM باید به آن‌ها دقت کنید به موارد زیر باید اشاره کرد:

تجمیع داده‌ها (Data aggregation)

داده‌ها از برنامه‌ها، شبکه‌ها، سرورها و پایگاه‌های داده جمع‌آوری و زیر نظر می‌گیرند.

همبستگی (Correlation)

یکی از قابلیت‌های کلیدی که SEM ارائه می‌کند، همبستگی است. همبستگی به ماژول یا ابزاری اشاره دارد که ویژگی‌های مشابه را بین رویدادهای مختلف پیدا می‌کند.

داشبوردها (Dashboards)

داده‌ها از برنامه‌ها، پایگاه‌های داده، شبکه‌ها و سرورها تجمیع و جمع‌آوری می‌شوند و در قالب نمودارها در اختیار کارشناسان شبکه قرار می‌گیرد تا الگوهای مشکوک را شناسایی کنند. مزیتی که داشبوردها دارند این است که اجازه نمی‌دهند رویدادهای مهم از دست بروند.

هشداردهی (Alerting)

اگر یک حادثه امنیتی شناسایی شود، ابزارهای SIEM می‌توانند کاربران را مطلع کنند.

خودکارسازی (Automation)

برخی از نرم‌افزارهای SIEM ممکن است دارای عملکردهای خودکار مانند تجزیه و تحلیل خودکار حوادث امنیتی و پاسخ‌گویی خودکار به حوادث باشند.

ابزار و راه‌حل‌های SIEM موجود و در دسترس

طیف گسترده‌ای از ابزارهای SIEM در بازار وجود دارد که در ادامه به چند مورد از گزینه‌های شاخص در این زمینه اشاره خواهیم کرد:

Splunk

یک سیستم SIEM قابل استقرار در شبکه سازمانی است که نظارت امنیتی گسترده و جامعی را ارائه می‌کند و مجهز به قابلیت‌های مختلفی مثل نظارت مستمر امنیتی، تشخیص پیشرفته تهدیدات، بررسی حوادث و پاسخ‌گویی به حوادث است.

IBM QRadar

یک پلت‌فرم SIEM قدرتمند است که نظارت امنیتی بر زیرساخت‌های فناوری اطلاعات را فراهم می‌کند. این راه‌حل قدرتمند قابلیت جمع‌آوری داده‌های ورود به سیستم، تشخیص تهدید و همبستگی رویداد‌ها را دارد.

LogRhythm

یکی دیگر از سیستم‌های SIEM قدرتمند توسعه یافته برای سازمان‌های کوچک است. از ویژگی‌های شاخص این ابزار باید به مدیریت گزارش‌ها، نظارت بر شبکه و پایش نقاط پایانی و جرم‌شناسی دیجیتال و تجزیه و تحلیل امنیتی یکپارچه اشاره کرد.

Exabeam

سامانه مدیریت و نظارتی است که یک دریاچه داده (data lake) را به همراه قابلیت‌هایی در ارتباط با تجزیه و تحلیل پیشرفته و شناسایی تهدیدات در اختیار سازمان‌ها قرار می‌دهد.

NetWitness

پلتفرم NetWitness یک ابزار تشخیص و پاسخ به تهدیدات است که شامل جمع‌آوری، ارسال، ذخیره‌سازی و تجزیه و تحلیل داده‌ها است.

Datadog Cloud SIEM

یک شبکه و سیستم مدیریتی ابرمحور است که هم نظارت بر امنیت در زمان واقعی و هم مدیریت گزارش‌ها را ارائه می‌کند.

Log360

ابزار فوق، اطلاعات تهدید، مدیریت حوادث و ویژگی‌های SOAR را ارائه می‌دهد. از ویژگی‌های شاخص این محصول باید به جمع‌آوری گزارش‌ها، تجزیه و تحلیل، همبستگی گزارش‌ها، هشداردهی و آرشیو بلادرنگ اطلاعات اشاره کرد.

SolarWinds Security Event Manager

یکی از ابزارها SIEM قدرتمند موجود در بازار است که به طور خودکار تهدیدها را شناسایی می‌کند، بر خط‌مشی‌های امنیتی نظارت می‌کند و قادر به محافظت از شبکه‌های سازمانی است. این ابزار ویژگی‌‌هایی مانند نظارت بر یکپارچگی، انطباق گزارش‌ها و جمع‌آوری متمرکز گزارش‌ها را ارائه می‌دهد.

SIEM مخفف Security Information and Event Management به معنای سیستم مدیریت اطلاعات امنیت و رویداد است، SIEM راه‌حلی برای مدیریت مباحث امنیتی می باشد.

SOC به مرکز امنیتی عملیاتی اشاره دارد که در آن، تیم امنیتی با استفاده از ابزارهای مختلف از جمله SIEM، به طور پویا فعالیت های امنیتی سازمان را مدیریت می کنند.
SIEM به عنوان یک ابزار مورد استفاده در SOC استفاده می شود. این ابزار اطلاعات امنیتی از منابع مختلف مانند سیستم، برنامه های کاربردی، دیوایس های شبکه و فایروال ها را جمع آوری کرده و آنها را به منظور تجزیه و تحلیل و یافتن روندهای مشکوک در یک مرکز مشترک می فرستد.

خروج از نسخه موبایل