نرم افزار SIEM چیست؟ کارکرد آن چگونه است
نرم افزار SIEM چیست؟ کارکرد آن چگونه است
صنعت مدیریت گزارشات بیشتر از هر زمان دیگری رو به تکامل است . SIEM ها امروزه قابلیتهای زیادی را بدست آورده اند یادگیری ماشین تجزیه و تحلیل تهدیدات پیشرفته جزو دست آوردهای SIEM ها محصوب میشود. تو این مقاله میخوایم راجب نرم افزار SIEM موارد استفاده و شیوه انتخاب SIEM مناسب صحبت کنیم .فناوری SIEM بیش از یک دهه است که وجود دارد ، به نوعی SIEM ها تکمیل یافته نرم افزارهای مدیریت لاگ گذشته هستند .این نرم افزارها میتواند دو کار مدیریت رویدادهای امنیتی (SEM) – که به تجزیه و تحلیل داده های ورود به سیستم و رویداد در زمان واقعی تجزیه و تحلیل می کند تا بتواند مانع از تهدید، همبستگی رویدادها و واکنش حوادث شود – و همچنین با مدیریت اطلاعات امنیتی (SIM) که جمع آوری ، تجزیه و تحلیل می کند و گزارش های مربوط به اطلاعات را ثبت می کند، را باهم انجام دهد.
SIEM چگونه کار میکند؟
SIEM لاگ های تولید شده توسط زیرساخت سازمان و همچنین توست هاست های شبکه و تجهیزات امنیتی مانند فایروال و آنتی ویروس را جمع آوری و تجمیع میکند
سپس نرم افزار حوادث و وقایع را شناسایی و طبقه بندی می کند و همچنین آنها را تجزیه و تحلیل می کند. این نرم افزار دو هدف اصلی ارائه می دهد
تولید گزارش بر اساس اتفاقات امنیتی مانند : مانند ورود موفقیت آمیز و ناموفق ، فعالیت بد افزار ،اعلام اخطار در صورتی که نتیجه تجزیه و تحلیل رویداد مخربی را در سیستم نشان دهد
پائولا موسیچ ، مدیر تحقیقات شرکت مدیریت سازمانی (EMA) ، یک شرکت تحقیق و پژوهشگر در بازار میگوید : “نیاز سازمانها برای تجهیزات مدیریت امنیت امروزه بیشتر احساس میشود .”
وی گفت: “حساب رسان امنیت به روشی نیاز داشتند تا ببینند که آیا انطباق قوانین رعایت می شود یا خیر ، و SIEM نظارت و گزارش لازم را برای مواردی مانند HIPPA ، SOX و PCI DDS ارائه داد.” قانون Sarbanes-Oxley و استاندارد امنیت دادهPCI DSS در صنعت پرداخت الکترونیک بکار میرود.
با این حال ، کارشناسان می گویند تقاضای سازمانها برای اقدامات امنیتی بیشتر باعث شده است که بازارهای SIEM در سالهای اخیر رشد بیشتری داشته باشند .موسیچ می گوید: “اکنون سازمان های بزرگ معمولاً به SIEM به عنوان زیربنای مرکز عملیات امنیتSOC نگاه می کنند.”
استفاده از تحلیل و هوش همزمان
یکی از اهداف اصلی استفاده از نرم افزار SIEM برای عملیات امنیت، از قابلیت های جدیدی است که در بسیاری از محصولات موجود در بازار وجود دارد.
وی گفت: “اکنون بسیاری از فن آوری های SEIM علاوه بر آنالیز لاگهای سیستم که به صورت سنی در برخی نرم افزارها وجود داشت ، هوش شناسایی تهدید را نیز دارند ، و چندین محصول SIEM وجود دارند که دارای قابلیت های تجزیه و تحلیل امنیتی هستند که به رفتار شبکه و همچنین رفتار کاربر نگاه می کنند تا اطلاعات بیشتری راجع به اینکه آیا فعالیت نشان دهنده سوءاستفاده است ، را تشخیص دهد .
در واقع ، شرکت تحقیقاتی فناوری گارتنر در گزارش خود در ماه می ۲۰۱۷ در مورد بازار SIEM در سراسر جهان ، اطلاعات موجود در ابزار SIEM را اعلام می کند و می گوید: “نوآوری در بازار SIEM با سرعتی زیاد به دنبال ایجاد ابزار شناسایی تهدید بهتری است.”
گزارش گارتنر در ادامه خاطرنشان می کند که فروشندگان در حال معرفی قابلیت یادگیری ماشینی ، تجزیه و تحلیل آماری پیشرفته و سایر روش های تحلیلی به محصولات خود هستند ، در حالی که برخی نیز در حال تجربه هوش مصنوعی و قابلیت یادگیری عمیق هستند.
به گفته گارتنر ، تولید کنند گان SIEM ها پیشرفتهایی را به عنوان قابلیت هایی به بازار عرضه می کنند که می توانند سرعت ردیابی دقیق تر را با سرعت بیشتری ارائه دهند. با استفاده از هوش مصنوعی و یادگیری ماشینی می توانیم استنباط و نظارت و هشدار مبتنی بر الگو انجام دهیم .
راب استرو ، تحلیلگر Forrester و رئیس هیئت مدیره ISACA ، یک انجمن بین المللی حرفه ای با تمرکز بر حاکمیت فناوری اطلاعات ، می گوید :”با استفاده از قابلیت هوش مصنوعی و یادگیری ماشین می توانیم استنتاج و نظارت و هشدار مبتنی بر الگو را انجام دهیم ، اما انتظار اطلاح عملکرد را نیز در آینده نزدی از SIEM ها باید داشت .
استفاده از نرم افزار SIEM در سازمانها
به گفته گارتنر ، نرم افزار SIEM تنها بخش کمی از کل هزینه هایی را که برای امنیت سازمانها در سرتاسر جهان خرج می شود ، را دریافت میکند. گارتنر هزینه های جهانی برای امنیت سازمانی را برای سال ۲۰۱۷ نزدیک به ۹۸.۴ میلیارد دلار تخمین زده است ، در حالی که نرم افزار SIEM حدود ۲.۴ میلیارد دلار درآمد دارد. گارتنر پیش بینی کرده است که هزینه های فناوری SIEM با اندکی افزایش ، به ۲.۶ میلیارد دلار در سال ۲۰۱۸ و ۳.۴ میلیارد دلار در سال ۲۰۲۱ خواهد رسید .
به گفته تحلیلگران ، نرم افزار SIEM بیشتر توسط سازمانهای بزرگ و شرکتهای دولتی استفاده می شود ، که به گفته تحلیلگران ، پیروی از مقررات همچنان عامل محکمی در استفاده از این فناوری است.
در حالی که برخی از شرکت های متوسط نیز نرم افزار SIEM دارند ، شرکت های کوچک تمایلی به استفاده از قابلیت های SIEM ندارند و نمی خواهند در این زمینه سرمایه گذاری کنند. تحلیلگران می گویند کهSIEM ها اغلب ارزان نیستند ، زیرا هزینه سالانه آن می تواند از ده ها هزار دلار به بیش از ۱۰۰۰۰۰ دلار برسد. علاوه بر این ، شرکت های کوچک توانایی استخدام نیروهای لازم برای نگهداری نرم افزار SIEM را به صورت مداوم را ندارند. تحلیلگران میگویند بعضی کمپانی های کوچک و متوسط به دریافت خدمات SIEM As a Service علاقه دارند . البته در ایران به دلیل تحریم ها نمیتوان از این گونه خدمات استفاده کرد .
در حال حاضر ، مدیران فن آوری شرکتهای بزرگ به دلیل حساسیت برخی از داده های موجود در سیستم ، همیشه نرم افزار SIEM را در شبکه خود اجرا می کنند. جان هوبارد ، تحلیلگر ارشد مرکز عملیات امنیتی ایالات متحده GlaxoSmithKline و مدرس موسسه SANS ، می گوید: “لاگ های سازمانها حاوی اطلاعات حساسی است و این چیزی نیست که واحد امنیت سازمانها بخواهد از طریق اینترنت آنها را به بیرون ارسال کند”.
با این حال ، با افزایش توانایی های یادگیری ماشینی و هوش مصنوعی در محصولات SIEM ، برخی از تحلیلگران انتظار دارند که فروشندگان SIEM گزینه ترکیبی ارائه دهند برای برخی از آنالیز ها که در فضای ابری انجام میشود .
استرود میگوید: “ما شاهد جمع آوری و یکپارچه سازی و هوش اطلاعاتی از طریق رایانش ابری هستیم؛ ”
انتخاب SIEM ، بهترین انتخاب همیشه سخته!
بازار SIEM دارای چندین برند معروف بر اساس فروش جهانی است ، مانند: IBM ، Splunk و HPE. البته چند کمپانی دیگر نیز وجود دارند مانند : Alert Logic، Intel، LogRhythm، ManageEngine، Micro Focus، Solar Winds و Trustwave
موسیچ می گوید شرکت ها برای تعیین اینکه بهترین راهکار SIEM برای نیاز خود ، ناگزیر به ارزیابی محصولات بر اساس اهداف خاص خود هستند. بعضی از سازمانها نرم افزار SIEM را جهت قابلیت های گزارش گیری میخواهند و بعضی برای راه اندازی SOC به آن نیاز دارند .
سازمان هایی که می خواهند این فناوری در درجه اول برای رعایت باشد ، از توانایی های خاصی از جمله گزارشگری ، بسیار مهمتر از سازمان هایی هستند که می خواهند از SIEM برای ایجاد مرکز عملیات امنیتی استفاده کنند.
در همین حال ، او می گوید ، سازمان هایی که دارای حجم داده بسیار بالا در حد petabytes هستند ، برخی از برنده ها را قادر می سازند که نیازهای خود را تأمین کنند ، در حالی که کسانی که داده های کمتری دارند ممکن است گزینه های دیگری را انتخاب کنند. به طور مشابه ، شرکت هایی که خواهان شکار تهدید threat hunting هستند ، احتمالاً به دنبال ابزارهای برتر تجسم داده ها و قابلیت های جستجو هستند که ممکن است دیگران نیازی به آن نداشته باشند.
موسیچ می گوید ، رهبران امنیتی باید چندین فاکتور دیگر – مانند اینکه آیا آنها می توانند از یک ابزار خاص و پیچیده در سیستم استفاده کنند وو اینکه چقدر می خواهند خرج کنند را در نظر بگیرند. به عنوان مثال ، HP ArcSight ESMابزاری کامل است که از قابلیت های زیادی برخوردار است اما به تخصص قابل توجهی نیاز دارد و نسبت به گزینه های دیگر گران تر است.
موسیچ ادامه میدهد که: “همیشه طیف وسیعی از قابلیت ها وجود دارد.” “و هرچه امنیت در عملیات پیچیده تر باشد ، از ابزارهای مورد استفاده خود استفاده بهتری می کنند.”
با توجه به نیازهای متفاوت سازمانها انتخاب SIEM بر اساس دو ویژگی انجام میشود ، یکی برا اساس قابلیت شکار تهدید و دیگری قابلیت انطباق با سیستم . شما ممکن است آنرا بیشتر برای انطباق با سیستم برنامه ریز کنید این کار قابلیت شکار تهدید آنرا اندکی کندتر میکند .
به حداکثر رساندن کارایی SIEM
اریک Ogren ، تحلیلگر ارشد با تیم امنیت اطلاعات در ۴۵۱ Research می گوید : هنوز بیشتر شرکت ها همچنان از نرم افزار SIEM برای ردیابی و بررسی آنچه اتفاق افتاده است ، استفاده می کنند.
همانطور که اوگرن می گوید: “اگر شرکتی هک شود ، هیچ CIO نمی خواهد هیئت مدیره را از آنچه اتفاق افتاده است بگوید ،” نمیدانم چی اتفاقی افتاده است “آنها می خواهند بگویند ،” ما از طریق بررسی لاگها خواهیم فهمید اتفاقی افتاده است .”
با این حال ، Ogren می گوید ، در این زمان ، بسیاری از شرکت ها اکنون فراتر از آن هستند و به طور فزاینده ای از فناوری برای تشخیص مشکل و پاسخ به آن در کوتاه ترین زمان استفاده می کنند. در حال حاضر رقابت بر سر سرعت شناسایی تهدید و پاسخ به آن است . در این زمینه قابلیت یادگیری ماشینی یکی از قابلیت های کلیدی SIEM ها برای شناسایی دقیقتر فعالیت های غیر معمول و مخرب است .
متخصصان میگویند در حال حاضر چالش سازمانها برای بهره گیری بیشتر از مزایای SIEM ها است . دلایل مختلفی برای آن وجود دارد.
اول ، فن آوری های SIEM دارای منابع کمی هستند و به کارکنان با تجربه نیاز دارند تا آنها را پیاده سازی ، حفظ و تنظیم کنند – کارمندانی که هنوز همه سازمانها به طور کامل روی آن سرمایه گذاری نکرده اند.
Stroud می گوید: “بسیاری از سازمان ها این فناوری را وارد می کنند زیرا آنها می دانند که این چیزی است که آنها می خواهند ، اما آنها کارمندی ندارند و یا آنها به کارمندان آموزش لازم برای استفاده از آن را نمی دهند.”
نرم افزار SIEM همچنین برای داشتن حداکثر بازده به داده های با کیفیت نیاز دارد – Stroud توضیح می دهد: “هر چه منبع داده ای بزرگتر باشد ، عملکرد آنها بهتر می شوند. با این حال سازمان ها همچنان در تعریف و تهیه داده های درست دچار چالش هستند.
تحلیلگران می گویند ، حتی با داشتن داده های قوی و یک تیم پیشرفته که فناوری SIEM را اجرا می کند ، این نرم افزارها محدودیت هایی دارند. آنها خاطرنشان كردند كه در تشخیص فعالیت قابل قبول و چه تهدید بالقوه، کاملاً دقیق نيست – اختلافي كه منجر به تعداد زيادي هشدار دروغین در اعلام ها می شود. این سناریو مستلزم رویه های درست و مؤثر در شرکت است تا تیم های امنیتی برای هشدار درگیر کارهای اضافه نشوند.
استرو گفت: متخصصان امنیتی اغلب با تعقیب هشدارهای اشتباه شروع به تعقیب علت می کنند. سازمان های پیشرفته یاد می گیرند که از طریق تنظیم دقیق بر اساس تجارب قبل کاری کنند تا نرم افزار آنچه را که اتفاقات معمول است درک کند و از این طریق تعداد هشدارهای کاذب را کاهش دهد.
از طرف دیگر ، وی گفت که برخی از تیم های امنیتی در این مرحله زیاده روی میکنند و در عوض بیشتر هشدارهای دروغین را از روی عادت تنظیم می کنند – این کار خطر از بین بردن تهدیدهای واقعی را دارد.
موسیچ می گوید ، سازمان های پیشرفته تر نیز اسکریپت هایی را برای اتوماسیون بیشتر کار کردهای روتین ، مانند دریافت داده ها از منابع مختلف برای تکمیل یک تصویر کامل تر در مورد هشدارها برای سرعت بخشیدن به تحقیقات و شناسایی تهدیدات واقعی ، می نویسند. او میگویید این روند خوب است و باعث بلوغ امنیتی در سازمان میشود . البته فقط داشتن ابزار مهم نیست بلکه یکپارچه ساز آن با بقیه قسمتهای سازمان نیز مهم و حیاتی است .
او می گوید ، مزایای این حرکت به این صورت است که می توان مدت زمان کارکنان را برای فعالیت های سطح پایین تر را کاهش داد و در عوض به آنها اجازه دهد انرژی های خود را به سمت کارهای ارزشمند تر که وضعیت امنیتی شرکت را بالا می برد ، هدایت کرد .
نظر خودتون رو در مور SIEM با ما به اشتراک بگزارید .
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.