SIEM چیست و چگونه از آن در فناوری های جدید امنیتی استفاده کنیم؟

راهکارهای مدیریت رویداد و اطلاعات امنیتی (SIEM[1]) یک نگرش متمرکز و جامع را برای نظارت وضعیت محیط فناوری اطلاعات و حتی بعضی از محیط‌های فناوری عملیاتی (OT) سازمان‌ها فراهم می‌کنند. بعضی از ویژگی‌های یک راهکار SIEM شامل موارد زیر هستند:

• دریافت حجم بزرگی از داده‌ها در سطح کل سازمان (از جمله محیط داخلی سازمان و محیط‌های مبتنی بر ابر)
• استفاده از تحلیل‌های لحظه‌ای برای جمع‌بندی رویدادهای امنیتی مرتبط و ایجاد هشدارهای اولویت‌بندی شده
• ارسال هشدارهای امنیتی به راهکار هماهنگ‌سازی، خودکارسازی و واکنش امنیتی ([2]SOAR) برای فعال کردن دستورالعمل‌های واکنش به حادثه

ناکامی در شناسایی یک تهدید سایبری می‌تواند بدترین کابوس برای مدیران ارشد عملیات امنیت باشد. راهکار SIEM امکان تشخیص تهدیدات را فراهم می‌کند. تیم مرکز عملیات امنیت (SOC) بدون داشتن توانایی تشخیص تهدیدات، هیچ امیدی برای واکنش مناسب به رخدادهای سایبری ندارد.

SIEM به تحلیلگران مرکز عملیات امنیت در جهت تحقق اهداف زیر کمک می‌کند:

• امکان نظارت کامل بر محیط سازمان
• شناسایی تهدیدات
• تحقیق درباره فعالیت‌های غیرعادی
• ایجاد هشدارهای لازم برای انجام واکنش مناسب توسط ابزارهای SOAR.

 

راهکارهای SIEM چه ارزشی برای کسب‌وکارها دارند؟

برای به حداقل رساندن پیامد رخدادهای امنیتی، ویژگی زمان از اهمیت ویژه‌ای برخوردار است. بر اساس گزارش «هزینه نفوذهای امنیتی سال 2020» به طور میانگین تشخیص یک نفوذ، 207 روز و مقابله با آن 73 روز به طول می انجامد. نتایج تحقیقات صورت گرفته در این مطالعه نشان می‌دهد وقتی یک نفوذ امنیتی در مدت زمان کمتر از 200 روز رفع شود، در مقایسه با مواردی که بیش از 200 روز زمان می‌برند، حدود یک میلیون دلار از هزینه‌ خسارت‌ها کاسته می‌شود. از این رو نفوذهای امنیتی باید در اسرع وقت شناسایی شده و پاسخ مناسبی به آنها داده شود.

یک راهکار SIEM قادر به کاهش زمان شناسایی و نیز بررسی و واکنش به نفوذهای امنیتی بوده و پیامدهای مخرب آنها را کاهش می‌دهد. این راهکار به سازمان‌ها کمک می‌کند سرمایه‌گذاری‌های فنی خودشان را به بیشترین حد ممکن رسانده و قابلیت های بیشتری برای کارشناسان تیم‌ امنتیی شان فراهم کنند. از سوی دیگر، چنین راهکارهایی نقش چشمگیری در کاهش مخاطرات مرتبط با نقض استانداردهای قانونی از جمله مقررات عمومی حفاظت از داده اتحادیه اروپا (GDPR)، استاندارد امنیت داده‌ها در صنعت کارت های پرداخت (PCI DSS)، قانون انتقال و پاسخگویی الکترونیک بیمه سلامت (HIPAA) و غیره دارند.

فناوری SIEM به مرور زمان چه تغییری کرده است؟

تغییر و تحولات صورت گرفته در SIEM بسیار جالب و چشمگیر است. در ادامه، نگاهی به مهمترین نقاط عطف آن خواهیم داشت و سپس به بررسی وضعیت حال و آینده SIEM می‌پردازیم. در ابتدا تیم‌های امنیت فقط اطلاعات موجود در فایل‌های لاگ را مطالعه کرده و مجموعه‌ای از این لاگ ها را در اختیار داشتند. به مرور زمان، مدیریت لاگ ها به این روش کارایی خود را از دست داده و راهکارهای مدیریت اطلاعات امنیتی (SIM[3]) ابداع شدند. این راهکارها اولین نسل فناوری بودند که امکان جستجوی ساده را فراهم می‌کردند. نسل دوم نیز راهکارهای مدیریت رویدادهای امنیتی (SEM[4]) بودند که رویدادهای مختلف را از چندین سیستم امنیتی مختلف جمع‌آوری کرده و به هم ارتباط می‌دادند.

اصطلاح SIEM برای اولین بار در سال 2005 میلادی توسط Amrit T. Williams و Mark Nicolett تحلیلگران مؤسسه گارتنر در گزارشی که برای بهبود عملکرد مدیریت آسیب‌پذیری نوشته بودند، به کار برده شد. این تغییر سوم در اثر نیاز سازمان‌ها به پیروی از استانداردهای قانونی و شناسایی تهدیدات پیشرفته‌تر به وجود آمد. Williams و Nicolett فناوری SIEM را به عنوان یک فناوری‌ تعریف کردند که امکان مدیریت بلادرنگ رویدادها و تحلیل تاریخچه‌ای داده‌های امنیتی به دست آمده از منابع غیرهمگن مختلف را فراهم می‌کند.

راهکارهای SIEM در ابتدا فقط برای دفاع در برابر حملات جزئی که توسط تنها یک هکر انجام می شدند کاربرد داشتند ولی به تدریج رشد و تکامل یافته و به یک فناوری مهم برای شناسایی تهدیدات مانای پیشرفته (APT) از سوی مجرمان سایبری و دولت‌های متخاصم تبدیل شدند.

از جمله پیشرفت‌های صورت گرفته در این ابزارها می‌توان به امکان جمع‌آوری هوش تهدید، تحلیل رفتار کاربران و امکان استفاده از فناوری‌های یادگیری ماشینی و هوش مصنوعی اشاره کرد. با رشد و تکامل راهکارهای SIEM، ضرورت استفاده از آنها در طرح‌های واکنش به تهدید هم بیشتر شد. در حال حاضر راهکارهای SIEM از طریق ادغام و یکپارچه‌سازی بی وقفه، داده‌های مفیدی در اختیار پلتفرم‌های SOAR قرار می‌دهند تا به آنها برای انجام بهتر تحقیقات کمک کنند.

 

راهکارهای SIEM امروزی چگونه کار می‌کنند؟

در بخش های زیرین، نگاهی دقیق‌تر به عملکرد سیستم‌های مدیریت رویداد و اطلاعات امنیتی خواهیم داشت که به مراکز عملیات امنیت برای دستیابی به اهداف شان یعنی امکان نظارت کامل، قابلیت تشخیص، بررسی و مقابله با تهدیدات کمک می‌کنند.

قابلیت نظارت

راهکارهای SIEM می‌توانند داده‌های مختلف را از تمامی مسیرهای حمله در سازمان، از جمله کاربران، نقاط انتهایی، شبکه، لاگ های فایروال و رویدادهای مربوط به ضدویروس‌ها جمع آوری کنند. چنین راهکارهایی امکان نظارت کامل بر محیط سازمان و ابر را فراهم می‌کنند. لازم به ذکر است که به طور میانگین سازمان‌ها بیش از 45 راهکار امنیتی پیاده‌سازی نموده و برای واکنش به حوادث امنیتی از 19 ابزار مختلف استفاده می‌کنند. قابلیت نظارت توسط یک راهکار SIEM می‌تواند به کاهش پیچیدگی ابزارها برای تیم‌های مرکز عملیات امنیت کمک کند.

همچنان که سازمان‌های بیشتری زیرساخت‌های خودشان را به سمت ابر حرکت داده و از سرویس‌های ابری بیشتری استفاده می‌کنند، مهاجمان هم تمرکز و سرمایه‌گذاری‌های مجرمانه شان را تغییر می‌دهند. بنابر تجربه ما سازمان‌هایی که محیط‌های چندابری ترکیبی دارند (یعنی بیشتر سازمان‌ها) در صورت دسترسی به داده‌های چندپلتفرمی از طریق SIEM، قدرت امنیتی بیشتری پیدا می‌کنند.

راهکارهای SIEM می‌توانند نقش کلیدی برای تشخیص ناهنجاری‌ها در شبکه ایفا کنند. بر اساس گفته‌های Jon Oltsik از مؤسسه ESG: «ترکیب SIEM و NDR به تیم‌های امنیت سایبری کمک می‌کند تا با جمع‌آوری داده‌های لازم در سطح سیستم‌ها و شبکه، توانایی بیشتری برای شناسایی و واکنش به تهدیدات داشته باشند».

تشخیص تهدیدات

پس از اینکه تیم‌های امنیت سایبری داده‌های لازم را جمع‌آوری کردند، فعالیت‌های مخرب و الگوهای غیرطبیعی را راحت‌تر می‌توانند شناسایی نمایند.

از SIEM می‌توان برای شناسایی اکسپلویت‌های مهم و تهدیدات ناشناخته مثل آنچه در حملات سولارویندز یا مایکروسافت اکسچنج مشاهده شد، استفاده کرد. امروزه مهاجمان سایبری قابلیت اجرای تکنیک‌های پیشرفته‌تر را پیدا کرده‌اند. یک راهکار SIEM قادر است تیم‌های مرکز عملیات امنیت را مجهز به قابلیت شناسایی تغییرات کوچک در شبکه و شناسایی رفتار سیستم‌ها و کاربران کند. چنین تغییراتی می‌توانند نشان دهنده وجود کارمندان خرابکار، به خطر افتادن اعتبارنامه‌ها یا وجود تهدیدات مانای پیشرفته باشند.

بررسی

پس از شناسایی یک تهدید، راهکارهای SIEM می‌توانند از روش‌های تحلیل خودکار و انواع داده‌ها برای بررسی بیشتر استفاده کنند. به این ترتیب حجم کارهای دستی که تحلیلگران انجام می‌دهند، کاهش یافته و می‌توانند وقت خودشان را صرف فعالیت‌های ارزشمندی مثل شکار تهدید و واکنش به حوادث کنند.

در یک مثال واقعی، سازمانی توانست به کمک هوش مصنوعی برای کاهش تشخیص‌های مثبت کاذب، زمان بررسی و تحقیق را از 3 ساعت به 3 دقیقه کاهش دهد. با توجه به کمبود نیروی امنیت سایبری (که برآورد می‌شود در سال 2021 رقم آن به 3 و نیم میلیون برسد) وجود چنین ابزارهایی بسیار مفید است.

 

واکنش

زمانی که یک راهکار SIEM، تهدیدی بالقوه را شناسایی کند می‌تواند داده‌های به دست آمده را برای تحقیق بیشتر در اختیار تیم مرکز عملیات امنیت قرار دهد. هشدارها، رویدادهای مشکوک و رخدادهای شناسایی شده توسط چنین سیستمی می‌توانند به شروع اجرای خودکار یا دستی بررسی‌ها کمک کنند.

تیم‌های واکنش به حادثه معمولاً از داده‌های SIEM برای تحقیق بر اساس آنچه در راهنمای ابزار SOAR آمده استفاده می‌کنند. به این ترتیب تیم‌های امنیت سایبری می‌توانند رویکردشان را از حالت واکنشی به پیشگیرانه تغییر دهند. استانداردسازی روش‌های تشخیص و واکنش، همزمان با در اختیار داشتن جریان‌های کاری هدایت شده و مشخص به تیم‌های امنیت سایبری برای ایجاد یک طرح واکنش به حادثه قابل تکرار کمک می‌کند.

SIEM قابلیت تشخیص چه تهدیداتی را دارد؟

قابلیت‌های SIEM بی‌شمار هستند. سازمان‌ها می‌توانند از راهکارهای نظارت بر امنیت جهت شناسایی تهدیدات مختلف استفاده کنند. تعدادی از این تهدیدها شامل موارد زیر هستند:

باج‌افزار

در سال 2020 میلادی حملات باج‌افزاری رشد چشمگیری پیدا کرد و بر اساس جدیدترین شاخص هوش تهدید X-Force، حدود 20 درصد از حملات سایبری را به خود اختصاص داد. مهاجمان تاکنون با استفاده از باج‌افزار به سودهای هنگفتی رسیده‌اند. از جمله اهداف مهم باج‌افزارها می‌توان به صنایعی مثل کارخانجات تولیدی و حوزه انرژی اشاره کرد که به راحتی ممکن است از کار بیافتند!

راهکارهای SIEM قادرند از قابلیت‌های تحلیلی برای شناسایی حملات باج‌افزاری استفاده کنند. از جمله این قابلیت‌ها می‌توان به شناسایی آدرس‌های آی پی مخرب، نظارت بر الگوهای غیرعادی برای دسترسی به فایل‌ها و ارتباطات غیرمعمول اشاره کرد.

تهدیدات مانای پیشرفته (APT)

تهدیدات مانای پیشرفته معمولاً توسط مهاجمان مجهز و توانمند اجرا می‌شوند که اهداف خاصی دارند. چنین مهاجمانی عموماً آهسته و پیوسته حرکت می‌کنند در نتیجه شناسایی حملات آنها سخت‌تر است. راهکارهای SIEM می‌توانند از قابلیت تشخیص ناهنجاری برای شناسایی چنین حملاتی استفاده کنند.

راهکارهای SIEM همچنین می‌توانند از قابلیت ادغام با فیدهای هوش تهدید لحظه‌ای استفاده کرده تا مطمئن شوند تیم‌های مرکز عملیات امنیتی آنها بر رویدادهای مهم تمرکز یافته و دانش لازم برای شناسایی جدیدترین نشانه های مخاطره را دارند.

تهدیدات داخلی

تهدید داخلی زمانی ایجاد می‌شود که کاربران معمولی با قابلیت دسترسی به دارایی های سازمان، خواسته یا ناخواسته به سازمان آسیب وارد می‌کنند.

شناسایی کاربران، فعالیت‌ها و الگوهای رفتاری آنها اهمیت بسیار زیادی دارد. هر گونه ناهنجاری در این حوزه‌ها می‌تواند نشان دهنده زنگ خطر باشد. همان‌گونه که در رابطه با بحث امکان نظارت اشاره شد، راهکارهای SIEM می‌توانند داده‌های مربوط به رفتار کاربران را از منابع مختلف جمع آوری کرده و الگوی کلی رفتار کاربر را تشخیص دهند. هر رفتاری که با رفتارهای قبلی کاربر یا کاربران مشابه در تناقض باشد می‌تواند یک علامت هشدار باشد و نیاز به تحلیل و بررسی بیشتر دارد. در اغلب وقت ها برای تحلیل رفتار کاربر از یادگیری ماشینی استفاده می‌شود.

فیشینگ

بر اساس مطالعه IBM Security X-Force، فیشینگ دومین روش حمله پرکاربرد در سال 2020 میلادی بوده است. اگرچه بسیاری از سازمان‌ها سعی می‌کنند آگاهی کارمندان شان را در این زمینه افزایش دهند اما همچنان نرخ موفقیت حملات فیشینگی که سعی دارند کاربران را تشویق به کلیک بر روی لینک‌های آلوده کنند، بسیار زیاد است.

یک راهکار SIEM می‌تواند به شناسایی نشانه های حمله فیشینگ مثل عناوین مشکوک ایمیل‌ها، نشت احتمالی داده‌ها، رفتارهای غیرعادی در ارتباطات و ایمیل‌های ارسالی و دریافتی کمک کند. علاوه بر این، راهکارهای SIEM قابلیت ادغام با ابزارهای امنیت نقاط انتهایی را برای شناسایی رفتارهای مشکوکی که می‌توانند حاکی از اجرای حمله فیشینگ باشند، دارند.

 

چگونه یک راهکار SIEM مناسب را انتخاب کنیم؟

کارشناسان امنیتی توصیه می‌کنند پیش از انتخاب یک راهکار SIEM، ابتدا سؤالات زیر را از خودتان بپرسید:

• آیا راهکار مورد نظر، محتوای امنیتی و کاربردهای آماده و مشخصی دارد؟ راهکارهای SIEM می‌توانند علاوه بر قابلیت تنظیم و سفارشی‌سازی، قابلیت‌های تشخیص و کاربردهایی آماده داشته باشند تا به سازمان‌ها برای دستیابی به بیشترین حد ارزش سرمایه‌گذاری شان کمک کنند. پیدا کردن راهکاری که کار با آن نیاز به دانش تخصصی چندانی نداشته باشد، کار کارمندان‌تان را ساده‌تر می‌کند.
• آیا راهکار مورد نظر با استانداردهای قانونی جهانی انطباق دارد؟ قابلیت پشتیبانی از قوانینی مثل مقررات عمومی حفاظت از داده اتحادیه اروپا، استاندارد امنیت داده‌ها در صنعت کارت های پرداخت، قانون انتقال و پاسخگویی بیمه الکترونیک سلامت و غیره به سازمان‌ها برای پیروی از این استانداردها و پیشگیری از مواجه شدن با جریمه‌های سنگین کمک می‌کند. بعضی از این راهکارها الگوها و گزارش‌های آماده‌ای دارند که راهنمایی‌های لازم برای پیروی از این استانداردها را در اختیار شما قرار می‌دهند.
• آیا راهکار مدنظر، انعطاف‌پذیری لازم را برای نصب دارد؟ آیا این راهکار بر روی بستر ابر یا محیط سازمان یا اینکه در هر دو کار می‌کند؟ بر اساس گزارشی که در سایت IBM منتشر شده: «از آنجا که سازمان‌ها فعالیت هایشان را به سمت ابر منتقل کرده‌اند تا از مقیاس، انعطاف‌پذیری و دسترس‌پذیری بالای آن استفاده کنند، فروشندگان راهکارهای امنیتی اقدام به ارایه راهکارهای تحلیل امنیت مبتنی بر ابر نموده‌اند». با این وجود باید راهکاری انتخاب کنید که نیازهای سازمان‌تان را برآورده کند.
• آیا این راهکار با چارچوب‌های صنعتی همخوانی دارد؟ اگر تیم شما از چارچوب‌های صنعتی مثل MITRE ATT&CK استفاده می‌کند، این راهکارها باید قابلیت انطباق با آنها را داشته باشند.

جمع‌بندی و نتیجه گیری

دسترسی به اطلاعات و بینش ارایه شده توسط راهکارهای SIEM برای هر سازمانی ضروری است. راهکارهای SIEM باید در عین سادگی، انعطاف‌پذیری لازم برای شناسایی جدیدترین تهدیدات و تطبیق با زیرساخت‌های رو به تحول را داشته باشند. با تغییر ابزارها و زیرساخت‌های درون سازمان‌ها، محتوا و یکپارچه‌سازی ابزارها هم نیازمند تغییر هستند. ارایه‌دهندگان راهکارهای SIEM برای حفظ جذابیت محصولات شان باید قابلیت ادغام با سایر فناوری‌ها (حتی فناوری‌های رقیب) را در محصولات خود پیاده‌سازی کنند. این راهکارها همچنین باید قابلیت تشخیص و واکنش را هم داشته باشند.

چنین راهکارهایی برای تیم‌های مرکز عملیات امنیت ارزش زیادی دارند اما به سایر ابزارها مثل NDR و EDR نیز متکی می باشند. در راستای حرکت صنعت امنیت سایبری جهت کاهش پیچیدگی راهکارهای امنیتی، در حال حاضر شاهد ادغام و یکپارچه‌سازی ابزارهایی مثل SIEM، EDR و NDR و تبدیل آنها به ابزارهای تشخیص و واکنش توسعه یافته (XDR[5]) هستیم.

XDR یک دید جامع بر کل شبکه، نقاط انتهایی و رویدادهای امنیتی سازمان فراهم کرده و شباهت زیادی به SIEM دارد. از این رو انتظار می‌رود در بعضی سازمان‌ها این ابزارها همکاری نزدیکی با یکدیگر داشته و حتی در برخی موارد هم با یکدیگر ترکیب شوند. SIEM سابقه‌ای غنی از نظر ایجاد ارزش افزوده و پیامدهای کاری ارزشمند دارد و XDR هنوز یک فناوری جدید و نوظهور است. فناوری‌های SIEM و XDR در کنار یکدیگر می‌توانند به صنعت امنیت سایبری برای مقابله با تهدیدات کمک کنند.

 

[1] Security Information and Event Management

[2] Security Orchestration, Automation, and Response

[3] Security Information Management

[4] Security Event Management

[5] Extended Detection and Response