SIEM چیست و چگونه از آن در فناوری های جدید امنیتی استفاده کنیم؟
راهکارهای مدیریت رویداد و اطلاعات امنیتی (SIEM[1]) یک نگرش متمرکز و جامع را برای نظارت وضعیت محیط فناوری اطلاعات و حتی بعضی از محیطهای فناوری عملیاتی (OT) سازمانها فراهم میکنند. بعضی از ویژگیهای یک راهکار SIEM شامل موارد زیر هستند:
- دریافت حجم بزرگی از دادهها در سطح کل سازمان (از جمله محیط داخلی سازمان و محیطهای مبتنی بر ابر)
- استفاده از تحلیلهای لحظهای برای جمعبندی رویدادهای امنیتی مرتبط و ایجاد هشدارهای اولویتبندی شده
- ارسال هشدارهای امنیتی به راهکار هماهنگسازی، خودکارسازی و واکنش امنیتی ([2]SOAR) برای فعال کردن دستورالعملهای واکنش به حادثه
ناکامی در شناسایی یک تهدید سایبری میتواند بدترین کابوس برای مدیران ارشد عملیات امنیت باشد. راهکار SIEM امکان تشخیص تهدیدات را فراهم میکند. تیم مرکز عملیات امنیت (SOC) بدون داشتن توانایی تشخیص تهدیدات، هیچ امیدی برای واکنش مناسب به رخدادهای سایبری ندارد.
SIEM به تحلیلگران مرکز عملیات امنیت در جهت تحقق اهداف زیر کمک میکند:
- امکان نظارت کامل بر محیط سازمان
- شناسایی تهدیدات
- تحقیق درباره فعالیتهای غیرعادی
- ایجاد هشدارهای لازم برای انجام واکنش مناسب توسط ابزارهای SOAR.
راهکارهای SIEM چه ارزشی برای کسبوکارها دارند؟
برای به حداقل رساندن پیامد رخدادهای امنیتی، ویژگی زمان از اهمیت ویژهای برخوردار است. بر اساس گزارش «هزینه نفوذهای امنیتی سال 2020» به طور میانگین تشخیص یک نفوذ، 207 روز و مقابله با آن 73 روز به طول می انجامد. نتایج تحقیقات صورت گرفته در این مطالعه نشان میدهد وقتی یک نفوذ امنیتی در مدت زمان کمتر از 200 روز رفع شود، در مقایسه با مواردی که بیش از 200 روز زمان میبرند، حدود یک میلیون دلار از هزینه خسارتها کاسته میشود. از این رو نفوذهای امنیتی باید در اسرع وقت شناسایی شده و پاسخ مناسبی به آنها داده شود.
یک راهکار SIEM قادر به کاهش زمان شناسایی و نیز بررسی و واکنش به نفوذهای امنیتی بوده و پیامدهای مخرب آنها را کاهش میدهد. این راهکار به سازمانها کمک میکند سرمایهگذاریهای فنی خودشان را به بیشترین حد ممکن رسانده و قابلیت های بیشتری برای کارشناسان تیم امنتیی شان فراهم کنند. از سوی دیگر، چنین راهکارهایی نقش چشمگیری در کاهش مخاطرات مرتبط با نقض استانداردهای قانونی از جمله مقررات عمومی حفاظت از داده اتحادیه اروپا (GDPR)، استاندارد امنیت دادهها در صنعت کارت های پرداخت (PCI DSS)، قانون انتقال و پاسخگویی الکترونیک بیمه سلامت (HIPAA) و غیره دارند.
فناوری SIEM به مرور زمان چه تغییری کرده است؟
تغییر و تحولات صورت گرفته در SIEM بسیار جالب و چشمگیر است. در ادامه، نگاهی به مهمترین نقاط عطف آن خواهیم داشت و سپس به بررسی وضعیت حال و آینده SIEM میپردازیم. در ابتدا تیمهای امنیت فقط اطلاعات موجود در فایلهای لاگ را مطالعه کرده و مجموعهای از این لاگ ها را در اختیار داشتند. به مرور زمان، مدیریت لاگ ها به این روش کارایی خود را از دست داده و راهکارهای مدیریت اطلاعات امنیتی (SIM[3]) ابداع شدند. این راهکارها اولین نسل فناوری بودند که امکان جستجوی ساده را فراهم میکردند. نسل دوم نیز راهکارهای مدیریت رویدادهای امنیتی (SEM[4]) بودند که رویدادهای مختلف را از چندین سیستم امنیتی مختلف جمعآوری کرده و به هم ارتباط میدادند.
اصطلاح SIEM برای اولین بار در سال 2005 میلادی توسط Amrit T. Williams و Mark Nicolett تحلیلگران مؤسسه گارتنر در گزارشی که برای بهبود عملکرد مدیریت آسیبپذیری نوشته بودند، به کار برده شد. این تغییر سوم در اثر نیاز سازمانها به پیروی از استانداردهای قانونی و شناسایی تهدیدات پیشرفتهتر به وجود آمد. Williams و Nicolett فناوری SIEM را به عنوان یک فناوری تعریف کردند که امکان مدیریت بلادرنگ رویدادها و تحلیل تاریخچهای دادههای امنیتی به دست آمده از منابع غیرهمگن مختلف را فراهم میکند.
راهکارهای SIEM در ابتدا فقط برای دفاع در برابر حملات جزئی که توسط تنها یک هکر انجام می شدند کاربرد داشتند ولی به تدریج رشد و تکامل یافته و به یک فناوری مهم برای شناسایی تهدیدات مانای پیشرفته (APT) از سوی مجرمان سایبری و دولتهای متخاصم تبدیل شدند.
از جمله پیشرفتهای صورت گرفته در این ابزارها میتوان به امکان جمعآوری هوش تهدید، تحلیل رفتار کاربران و امکان استفاده از فناوریهای یادگیری ماشینی و هوش مصنوعی اشاره کرد. با رشد و تکامل راهکارهای SIEM، ضرورت استفاده از آنها در طرحهای واکنش به تهدید هم بیشتر شد. در حال حاضر راهکارهای SIEM از طریق ادغام و یکپارچهسازی بی وقفه، دادههای مفیدی در اختیار پلتفرمهای SOAR قرار میدهند تا به آنها برای انجام بهتر تحقیقات کمک کنند.
راهکارهای SIEM امروزی چگونه کار میکنند؟
در بخش های زیرین، نگاهی دقیقتر به عملکرد سیستمهای مدیریت رویداد و اطلاعات امنیتی خواهیم داشت که به مراکز عملیات امنیت برای دستیابی به اهداف شان یعنی امکان نظارت کامل، قابلیت تشخیص، بررسی و مقابله با تهدیدات کمک میکنند.
قابلیت نظارت
راهکارهای SIEM میتوانند دادههای مختلف را از تمامی مسیرهای حمله در سازمان، از جمله کاربران، نقاط انتهایی، شبکه، لاگ های فایروال و رویدادهای مربوط به ضدویروسها جمع آوری کنند. چنین راهکارهایی امکان نظارت کامل بر محیط سازمان و ابر را فراهم میکنند. لازم به ذکر است که به طور میانگین سازمانها بیش از 45 راهکار امنیتی پیادهسازی نموده و برای واکنش به حوادث امنیتی از 19 ابزار مختلف استفاده میکنند. قابلیت نظارت توسط یک راهکار SIEM میتواند به کاهش پیچیدگی ابزارها برای تیمهای مرکز عملیات امنیت کمک کند.
همچنان که سازمانهای بیشتری زیرساختهای خودشان را به سمت ابر حرکت داده و از سرویسهای ابری بیشتری استفاده میکنند، مهاجمان هم تمرکز و سرمایهگذاریهای مجرمانه شان را تغییر میدهند. بنابر تجربه ما سازمانهایی که محیطهای چندابری ترکیبی دارند (یعنی بیشتر سازمانها) در صورت دسترسی به دادههای چندپلتفرمی از طریق SIEM، قدرت امنیتی بیشتری پیدا میکنند.
راهکارهای SIEM میتوانند نقش کلیدی برای تشخیص ناهنجاریها در شبکه ایفا کنند. بر اساس گفتههای Jon Oltsik از مؤسسه ESG: «ترکیب SIEM و NDR به تیمهای امنیت سایبری کمک میکند تا با جمعآوری دادههای لازم در سطح سیستمها و شبکه، توانایی بیشتری برای شناسایی و واکنش به تهدیدات داشته باشند».
تشخیص تهدیدات
پس از اینکه تیمهای امنیت سایبری دادههای لازم را جمعآوری کردند، فعالیتهای مخرب و الگوهای غیرطبیعی را راحتتر میتوانند شناسایی نمایند.
از SIEM میتوان برای شناسایی اکسپلویتهای مهم و تهدیدات ناشناخته مثل آنچه در حملات سولارویندز یا مایکروسافت اکسچنج مشاهده شد، استفاده کرد. امروزه مهاجمان سایبری قابلیت اجرای تکنیکهای پیشرفتهتر را پیدا کردهاند. یک راهکار SIEM قادر است تیمهای مرکز عملیات امنیت را مجهز به قابلیت شناسایی تغییرات کوچک در شبکه و شناسایی رفتار سیستمها و کاربران کند. چنین تغییراتی میتوانند نشان دهنده وجود کارمندان خرابکار، به خطر افتادن اعتبارنامهها یا وجود تهدیدات مانای پیشرفته باشند.
بررسی
پس از شناسایی یک تهدید، راهکارهای SIEM میتوانند از روشهای تحلیل خودکار و انواع دادهها برای بررسی بیشتر استفاده کنند. به این ترتیب حجم کارهای دستی که تحلیلگران انجام میدهند، کاهش یافته و میتوانند وقت خودشان را صرف فعالیتهای ارزشمندی مثل شکار تهدید و واکنش به حوادث کنند.
در یک مثال واقعی، سازمانی توانست به کمک هوش مصنوعی برای کاهش تشخیصهای مثبت کاذب، زمان بررسی و تحقیق را از 3 ساعت به 3 دقیقه کاهش دهد. با توجه به کمبود نیروی امنیت سایبری (که برآورد میشود در سال 2021 رقم آن به 3 و نیم میلیون برسد) وجود چنین ابزارهایی بسیار مفید است.
واکنش
زمانی که یک راهکار SIEM، تهدیدی بالقوه را شناسایی کند میتواند دادههای به دست آمده را برای تحقیق بیشتر در اختیار تیم مرکز عملیات امنیت قرار دهد. هشدارها، رویدادهای مشکوک و رخدادهای شناسایی شده توسط چنین سیستمی میتوانند به شروع اجرای خودکار یا دستی بررسیها کمک کنند.
تیمهای واکنش به حادثه معمولاً از دادههای SIEM برای تحقیق بر اساس آنچه در راهنمای ابزار SOAR آمده استفاده میکنند. به این ترتیب تیمهای امنیت سایبری میتوانند رویکردشان را از حالت واکنشی به پیشگیرانه تغییر دهند. استانداردسازی روشهای تشخیص و واکنش، همزمان با در اختیار داشتن جریانهای کاری هدایت شده و مشخص به تیمهای امنیت سایبری برای ایجاد یک طرح واکنش به حادثه قابل تکرار کمک میکند.
SIEM قابلیت تشخیص چه تهدیداتی را دارد؟
قابلیتهای SIEM بیشمار هستند. سازمانها میتوانند از راهکارهای نظارت بر امنیت جهت شناسایی تهدیدات مختلف استفاده کنند. تعدادی از این تهدیدها شامل موارد زیر هستند:
باجافزار
در سال 2020 میلادی حملات باجافزاری رشد چشمگیری پیدا کرد و بر اساس جدیدترین شاخص هوش تهدید X-Force، حدود 20 درصد از حملات سایبری را به خود اختصاص داد. مهاجمان تاکنون با استفاده از باجافزار به سودهای هنگفتی رسیدهاند. از جمله اهداف مهم باجافزارها میتوان به صنایعی مثل کارخانجات تولیدی و حوزه انرژی اشاره کرد که به راحتی ممکن است از کار بیافتند!
راهکارهای SIEM قادرند از قابلیتهای تحلیلی برای شناسایی حملات باجافزاری استفاده کنند. از جمله این قابلیتها میتوان به شناسایی آدرسهای آی پی مخرب، نظارت بر الگوهای غیرعادی برای دسترسی به فایلها و ارتباطات غیرمعمول اشاره کرد.
تهدیدات مانای پیشرفته (APT)
تهدیدات مانای پیشرفته معمولاً توسط مهاجمان مجهز و توانمند اجرا میشوند که اهداف خاصی دارند. چنین مهاجمانی عموماً آهسته و پیوسته حرکت میکنند در نتیجه شناسایی حملات آنها سختتر است. راهکارهای SIEM میتوانند از قابلیت تشخیص ناهنجاری برای شناسایی چنین حملاتی استفاده کنند.
راهکارهای SIEM همچنین میتوانند از قابلیت ادغام با فیدهای هوش تهدید لحظهای استفاده کرده تا مطمئن شوند تیمهای مرکز عملیات امنیتی آنها بر رویدادهای مهم تمرکز یافته و دانش لازم برای شناسایی جدیدترین نشانه های مخاطره را دارند.
تهدیدات داخلی
تهدید داخلی زمانی ایجاد میشود که کاربران معمولی با قابلیت دسترسی به دارایی های سازمان، خواسته یا ناخواسته به سازمان آسیب وارد میکنند.
شناسایی کاربران، فعالیتها و الگوهای رفتاری آنها اهمیت بسیار زیادی دارد. هر گونه ناهنجاری در این حوزهها میتواند نشان دهنده زنگ خطر باشد. همانگونه که در رابطه با بحث امکان نظارت اشاره شد، راهکارهای SIEM میتوانند دادههای مربوط به رفتار کاربران را از منابع مختلف جمع آوری کرده و الگوی کلی رفتار کاربر را تشخیص دهند. هر رفتاری که با رفتارهای قبلی کاربر یا کاربران مشابه در تناقض باشد میتواند یک علامت هشدار باشد و نیاز به تحلیل و بررسی بیشتر دارد. در اغلب وقت ها برای تحلیل رفتار کاربر از یادگیری ماشینی استفاده میشود.
فیشینگ
بر اساس مطالعه IBM Security X-Force، فیشینگ دومین روش حمله پرکاربرد در سال 2020 میلادی بوده است. اگرچه بسیاری از سازمانها سعی میکنند آگاهی کارمندان شان را در این زمینه افزایش دهند اما همچنان نرخ موفقیت حملات فیشینگی که سعی دارند کاربران را تشویق به کلیک بر روی لینکهای آلوده کنند، بسیار زیاد است.
یک راهکار SIEM میتواند به شناسایی نشانه های حمله فیشینگ مثل عناوین مشکوک ایمیلها، نشت احتمالی دادهها، رفتارهای غیرعادی در ارتباطات و ایمیلهای ارسالی و دریافتی کمک کند. علاوه بر این، راهکارهای SIEM قابلیت ادغام با ابزارهای امنیت نقاط انتهایی را برای شناسایی رفتارهای مشکوکی که میتوانند حاکی از اجرای حمله فیشینگ باشند، دارند.
چگونه یک راهکار SIEM مناسب را انتخاب کنیم؟
کارشناسان امنیتی توصیه میکنند پیش از انتخاب یک راهکار SIEM، ابتدا سؤالات زیر را از خودتان بپرسید:
- آیا راهکار مورد نظر، محتوای امنیتی و کاربردهای آماده و مشخصی دارد؟ راهکارهای SIEM میتوانند علاوه بر قابلیت تنظیم و سفارشیسازی، قابلیتهای تشخیص و کاربردهایی آماده داشته باشند تا به سازمانها برای دستیابی به بیشترین حد ارزش سرمایهگذاری شان کمک کنند. پیدا کردن راهکاری که کار با آن نیاز به دانش تخصصی چندانی نداشته باشد، کار کارمندانتان را سادهتر میکند.
- آیا راهکار مورد نظر با استانداردهای قانونی جهانی انطباق دارد؟ قابلیت پشتیبانی از قوانینی مثل مقررات عمومی حفاظت از داده اتحادیه اروپا، استاندارد امنیت دادهها در صنعت کارت های پرداخت، قانون انتقال و پاسخگویی بیمه الکترونیک سلامت و غیره به سازمانها برای پیروی از این استانداردها و پیشگیری از مواجه شدن با جریمههای سنگین کمک میکند. بعضی از این راهکارها الگوها و گزارشهای آمادهای دارند که راهنماییهای لازم برای پیروی از این استانداردها را در اختیار شما قرار میدهند.
- آیا راهکار مدنظر، انعطافپذیری لازم را برای نصب دارد؟ آیا این راهکار بر روی بستر ابر یا محیط سازمان یا اینکه در هر دو کار میکند؟ بر اساس گزارشی که در سایت IBM منتشر شده: «از آنجا که سازمانها فعالیت هایشان را به سمت ابر منتقل کردهاند تا از مقیاس، انعطافپذیری و دسترسپذیری بالای آن استفاده کنند، فروشندگان راهکارهای امنیتی اقدام به ارایه راهکارهای تحلیل امنیت مبتنی بر ابر نمودهاند». با این وجود باید راهکاری انتخاب کنید که نیازهای سازمانتان را برآورده کند.
- آیا این راهکار با چارچوبهای صنعتی همخوانی دارد؟ اگر تیم شما از چارچوبهای صنعتی مثل MITRE ATT&CK استفاده میکند، این راهکارها باید قابلیت انطباق با آنها را داشته باشند.
جمعبندی و نتیجه گیری
دسترسی به اطلاعات و بینش ارایه شده توسط راهکارهای SIEM برای هر سازمانی ضروری است. راهکارهای SIEM باید در عین سادگی، انعطافپذیری لازم برای شناسایی جدیدترین تهدیدات و تطبیق با زیرساختهای رو به تحول را داشته باشند. با تغییر ابزارها و زیرساختهای درون سازمانها، محتوا و یکپارچهسازی ابزارها هم نیازمند تغییر هستند. ارایهدهندگان راهکارهای SIEM برای حفظ جذابیت محصولات شان باید قابلیت ادغام با سایر فناوریها (حتی فناوریهای رقیب) را در محصولات خود پیادهسازی کنند. این راهکارها همچنین باید قابلیت تشخیص و واکنش را هم داشته باشند.
چنین راهکارهایی برای تیمهای مرکز عملیات امنیت ارزش زیادی دارند اما به سایر ابزارها مثل NDR و EDR نیز متکی می باشند. در راستای حرکت صنعت امنیت سایبری جهت کاهش پیچیدگی راهکارهای امنیتی، در حال حاضر شاهد ادغام و یکپارچهسازی ابزارهایی مثل SIEM، EDR و NDR و تبدیل آنها به ابزارهای تشخیص و واکنش توسعه یافته (XDR[5]) هستیم.
XDR یک دید جامع بر کل شبکه، نقاط انتهایی و رویدادهای امنیتی سازمان فراهم کرده و شباهت زیادی به SIEM دارد. از این رو انتظار میرود در بعضی سازمانها این ابزارها همکاری نزدیکی با یکدیگر داشته و حتی در برخی موارد هم با یکدیگر ترکیب شوند. SIEM سابقهای غنی از نظر ایجاد ارزش افزوده و پیامدهای کاری ارزشمند دارد و XDR هنوز یک فناوری جدید و نوظهور است. فناوریهای SIEM و XDR در کنار یکدیگر میتوانند به صنعت امنیت سایبری برای مقابله با تهدیدات کمک کنند.
[1] Security Information and Event Management
[2] Security Orchestration, Automation, and Response
[3] Security Information Management
[4] Security Event Management
[5] Extended Detection and Response