سیستم SIEM چیست چه کاربردهایی دارد؟

24 تیر 1403 259 بازدید
سیستم SIEM چیست چه کاربردهایی دارد؟

سیستم SIEM یا Security Information and Event Management یک نرم افزار یا سامانه است که برای مدیریت اطلاعات امنیتی و رویدادها استفاده می‌شود. این سیستم قادر است به طور همزمان اطلاعات امنیتی از منابع مختلف مانند دستگاه‌های شبکه، سرورها، بانک‌های اطلاعاتی و برنامه‌ها را جمع‌آوری، تجزیه و تحلیل کند و به این ترتیب برای ارتقای امنیت سازمان کمک کننده است. در ادامه بیشتر با سیستمSIEM آشنا خواهیم شد.

اصول اساسی در سیستم SIEM

اصول اساسی هر سیستم SIEMجمع‌آوری داده‌های مرتبط از منابع متعدد، شناسایی ناهنجاری‌ها و انجام اقدامات مناسب برای مقابله با آن‌ها است. به عنوان مثال، هنگامی که یک مشکل بالقوه شناسایی می‌شود، یک سیستمSIEMمی‌تواند اطلاعات اضافی را ثبت کند، هشدار ایجاد کند و به سایر کنترل‌های امنیتی دستور دهد تا از پیشرفت یک فعالیت امنیتی جلوگیری کنند.

انطباق با استانداردهای امنیت داده‌های صنعت پرداخت‌های کارت بانکی در سطح اینترنت در ابتدا باعث پذیرش SIEM در شرکت‌های بزرگ شد، اما نگرانی‌ها در مورد تهدیدات مداوم پیشرفته، سازمان‌های کوچک‌تر را بر آن داشت تا به مزایای ابزارهای SIEM نیز توجه کنند. توانایی مشاهده تمام داده‌های مرتبط با امنیت از یک دیدگاه واحد، تشخیص الگوهای غیرعادی را برای سازمان‌ها در هر اندازه آسان‌تر می‌کند.

در ابتدایی‌ترین سطح، یک سیستم SIEM می‌تواند مبتنی بر قوانین باشد یا از یک موتور همبستگی آماری برای ایجاد ارتباط بین ورودی‌های گزارش رویداد استفاده کند. سیستم‌های پیشرفته SIEM تکامل یافته‌اند تا شامل تجزیه و تحلیل رفتار کاربر و موجودیت، و همچنین هماهنگ‌سازی‌های امنیتی و خودکارسازی پاسخ‌دهی (automation and response) شوند.

سیستم‌های SIEM با استقرار چندین عامل (Agent) به شیوه‌ای سلسله برای جمع‌آوری اطلاعات و رویدادهای امنیتی از دستگاه‌های کاربر نهایی (End-User)، سرورها و تجهیزات شبکه، و همچنین تجهیزات امنیتی-تخصصی مانند فایروال‌ها، آنتی‌ویروس‌ها یا سیستم‌های پیشگیری از نفوذ (IPS) کار می‌کنند. گردآورندگان، رویدادها را به یک کنسول مدیریت متمرکز ارسال می‌کنند، جایی که تحلیلگران امنیتی تهدیدات را غربال می‌کنند، اطلاعات را با هم مقایسه و حوادث امنیتی را اولویت‌بندی می‌کنند.

 

در برخی از سیستم‌ها، می‌توان با انجام فرایند پیش‌پردازش (pre-processing) در لبه شبکه با استفاده از اطلاعات دریافت شده از گردآورندگان رویدادها، تنها رویدادهای خاص و منتخب را به نقطه مدیریت مرکزی ارسال کرد. به این ترتیب می‌توان از حجم اطلاعات در حال انتقال و ذخیره سازی کاست. اگرچه پیشرفت‌ها در یادگیری ماشینی به سازمان‌ها کمک می‌کند تا ناهنجاری‌ها را با دقت بیشتری شناسایی کنند اما تحلیلگران نیز همچنان باید بازخوردهای خود را ارائه دهند و به طور مداوم سازمان‌ها را در این مورد آموزش دهند.

 

سیستم SIEM چگونه کار می‌کند؟

ابزارهای SIEM داده‌ها و گزارشات ایجاد شده توسط سیستم‌های میزبان را در سرتاسر زیرساخت شرکت جمع‌آوری می‌کنند و آن‌ها را در یک پلتفرم متمرکز گرد هم می‌آورند. سیستم‌های میزبان شامل برنامه‌ها، دستگاه٬های امنیتی، فیلترهای آنتی‌ویروس و فایروال‌ها هستند. ابزارهای سیستم SIEM داده‌ها را به دسته‌هایی مانند ورودی‌های موفق و ناموفق، فعالیت‌های بدافزار و سایر فعالیت‌های مخرب احتمالی شناسایی و مرتب می‌کنند.

نرم افزار SIEM هنگامی که موارد امنیتی بالقوه را شناسایی میکند، هشدارهای امنیتی ایجاد میکند. با استفاده از مجموعهای از قوانین از پیش تعریف شده، سازمانها میتوانند این هشدارها را به ترتیب اولویت تنظیم کنند.

نرم افزار SIEM موارد امنیتی بالقوه را شناسایی می‎کند

نرم افزار SIEM موارد امنیتی بالقوه را شناسایی می‎کند

به عنوان مثال، یک حساب کاربری که 25 تلاش ناموفق برای ورود را در 25 دقیقه ایجاد میکند، میتواند به عنوان یک مورد مشکوک علامت گذاری شود، اما همچنان در اولویت پایینتری قرار میگیرد، زیرا احتمالاً تلاشهای ورود به سیستم توسط کاربری انجام شده است که اطلاعات ورود خود را فراموش کرده است.

با این حال، یک حساب کاربری که 130 تلاش ناموفق برای ورود را در پنج دقیقه ایجاد میکند، به عنوان یک رویداد با اولویت بالا علامتگذاری می‌شود زیرا به احتمال زیاد یک حمله brute-force در حال انجام است.

 

چرا سیستم SIEM اهمیت دارد؟

SIEM با فیلتر کردن مقادیر انبوه داده‌های امنیتی و اولویت‌بندی هشدارهای امنیتی که توسط نرم افزارهای SIEM تولید می‌شود، مدیریت سطح امنیت را برای سازمان‌ها آسان‌تر می‌کند.

نرم‌ افزارهای SIEM سازمان‌ها را قادر می‌سازند تا حوادثی را شناسایی کنند که با راهکارهای دیگر قابل شناسایی نیستند. این نرم افزارها ورودی‌های گزارش را تجزیه و تحلیل می‌کنند تا نشانه‌هایی از فعالیت‌های مخرب را شناسایی کنند. علاوه بر این، از آنجایی که رویدادها را از منابع مختلف در سراسر شبکه جمع‌آوری می‌کنند، می‌توانند جدول زمانی یک حمله را بازسازی کنند و سازمان‌ها را قادر می‌سازند تا ماهیت حمله و تأثیر آن بر تجارت را مشخص کنند.

یک سیستم SIEMهمچنین می‌تواند با تولید خودکار گزارش‌هایی که شامل تمام رویدادهای امنیتی ثبت‌شده توسط منابع مختلف است، به سازمان‌ها کمک کند تا اقدامات لازم متناسب با آن رویداد امنیتی را انجام دهند. بدون نرم افزار SIEM، داده‌های لازم جهت ایجاد گزارش باید صورت دستی جمع‌آوری شوند.

یک سیستم SIEM همچنین با کمک به تیم امنیتی سازمان برای کشف مسیری که یک حمله در سراسر شبکه طی می‌کند، شناسایی منابعی که در معرض خطر قرار گرفته‌اند و ابزارهای خودکار برای جلوگیری از حملات در حال انجام، مدیریت حادثه را بهبود می‌بخشد.

SIEM زمان شناسایی تهدیدها را به میزان قابل توجهی کوتاه می‌کندSIEM زمان شناسایی تهدیدها را به میزان قابل توجهی کوتاه می‌کند

مزایای سیستم SIEM چیست؟

از مزایای SIEM می‌توان به موارد زیر اشاره کرد:

  • زمان شناسایی تهدیدها را به میزان قابل توجهی کوتاه می‌کند و آسیب ناشی از آن تهدیدها را به حداقل می‌رساند.
  • SIEM یک نمای کلی از محیط امنیت اطلاعات یک سازمان ارائه می‌دهد و جمع‌آوری و تجزیه و تحلیل اطلاعات امنیتی برای ایمن نگه‌داشتن سیستم‌ها را آسان‌تر می‌کند. تمام داده‌های یک سازمان در یک مخزن (repository) متمرکز ذخیره می‌شوند و به راحتی قابل دسترس هستند.
  • شرکت‌ها می‌توانند از SIEM برای موارد مختلفی که حول داده‌ها یا گزارش‌ها می‌چرخند مانند برنامه‌های امنیتی و عیب‌یابی شبکه استفاده کنند.
  • SIEM از حجم زیادی از داده‌ها پشتیبانی می‌کند تا سازمان‌ها بتوانند به اضافه کردن داده‌های بیشتر ادامه دهند.
  • سیستم SIEM تشخیص تهدید و هشدارهای امنیتی را ارائه می دهد.

محدودیت‌های سیستم SIEM

علیرغم مزایای آن، SIEM دارای محدودیت‌های زیر نیز می‌باشد:

  • اجرای SIEM ممکن است زمان زیادی طول بکشد زیرا برای اطمینان حاصل کردن از یکپارچگی موفقیت آمیز آن با کنترل‌های امنیتی سازمان و میزبان‌های موجود در زیرساخت شبکه سازمان نیازمند پشتیبانی است.
  • نصب و راه‌اندازی SIEM قبل از شروع به کار معمولاً 90 روز یا بیشتر طول می‌کشد.
  • گران است. سرمایه گذاری اولیه در SIEM می‌تواند صدها هزار دلار باشد. و همچنین هزینه‌های پرسنل برای مدیریت و نظارت بر اجرای SIEM، هزینه پشتیبانی سالانه و نرم افزار‌های جمع‌آوری داده‌ها نیز به این هزینه‌ها اضافه می‌شود.
  • تجزیه و تحلیل، پیکربندی و یکپارچه‌سازی گزارش‌ها مستلزم استعداد متخصصین است. به همین دلیل است که برخی از سیستم‌های SIEM مستقیماً در یک مرکز عملیات امنیتی مدیریت می‌شوند که توسط یک تیم امنیت اطلاعات انجام می‌شود.
  • ابزارهای SIEM معمولاً به قوانین تجزیه و تحلیل داده‌های ضبط شده بستگی دارند. مشکل این است که شبکه یک شرکت می‌تواند هزاران هشدار در طول روز تولید کند و شناسایی حملات احتمالی به دلیل تعداد لاگ‌های نامربوط، بسیار دشوار است.
  • یک ابزار SIEM با پیکربندی نادرست ممکن است رویدادهای امنیتی مهم را از دست بدهد و تاثیر مدیریت ریسک اطلاعات را کمرنگ کند.

 

 

ویژگی‌ها و قابلیت‌های سیستم SIEM

ویژگی‌های مهمی که باید در هنگام ارزیابی محصولات SIEM در نظر گرفت شامل موارد زیر است :

 

تجمیع داده‌ها

داده‌ها از برنامه‌ها، شبکه‌ها، سرورها و پایگاه‌های داده جمع‌آوری و نظارت می‌شوند.

همبستگی

همبستگی به ابزاری اشاره دارد که ویژگی‌های مشابه را بین رویدادهای مختلف پیدا می‌کند.

داشبوردها

داده‌ها از برنامه‌ها، پایگاه‌های داده، شبکه‌ها و سرورها جمع‌آوری می‌شوند و در نمودارها برای کمک به یافتن الگوها و جلوگیری از دست دادن رویدادهای مهم نمایش داده می‌شوند.

هشدار دهنده

اگر یک حادثه امنیتی شناسایی شود، ابزارهای سیستم SIEM می‌توانند کاربران را مطلع کنند.

اتوماسیون

برخی از نرم ‌افزارهای SIEM ممکن است دارای عملکردهای خودکار مانند تجزیه و تحلیل خودکار حوادث امنیتی و پاسخ‌های خودکار حادثه باشند.

 

ابزار و نرم افزارهای سیستم SIEM

طیف گسترده‌ای از ابزارهای SIEM در بازار وجود دارد. موارد زیر نمونه‌هایی از این ابزارها هستند :

 

اسپلانک

Splunkیک سیستم SIEMداخلی است که از نظارت امنیتی پشتیبانی می‌کند و خدماتی مانند نظارت مستمر امنیتی، تشخیص پیشرفته تهدید، بررسی حادثه و پاسخ به حادثه را ارائه می‌دهد.

IBM QRadar

پلت فرم IBM QRadar نظارت امنیتی را برای زیرساخت‌های فناوری اطلاعات فراهم می‌کند و خدماتی مانند جمع@آوری داده‌های ورودی به سیستم، تشخیص تهدید و ضریب همبستگی را ارائه می‌دهد.

LogRhythm

یک سیستم SIEMبرای سازمان‌های کوچکتر است که مدیریت گزارش‌ها، نظارت بر شبکه، نظارت بر نقطه‌های پایانی (Endpoint) و همچنین تجزیه و تحلیل امنیتی را یکپارچه می‌کند.

NetWitness

پلتفرم RSA NetWitness یک ابزار تشخیص و پاسخ تهدید است که شامل جمع‌آوری، ارسال، ذخیره سازی و تجزیه و تحلیل داده‌ها می‌شود.

 

SolarWinds

ابزارSolarWinds Security Event Managerبه طور خودکار تهدیدها را شناسایی می‌کند، سیاست‌های امنیتی را نظارت می‌کند و از شبکه‌ها محافظت می‌کند. این ابزار ویژگی‌هایی مانند نظارت بر یکپارچگی، گزارش انطباق و جمع‌آوری متمرکز گزارش را ارائه می‌دهد.

 

کلام آخر

در نهایت با توجه به پیشرفت روز افزون در حوزه فناوری و امنیت اطلاعات نتیجه می‌گیریم سیستم SIEM ابزاری است که با بهترین راهکارها و تطبیق‌پذیری مبتنی بر مقررات مورد نیاز همه سازمان‌ها و ارگان‌هایی که زیرساخت آن‌ها با نرم افزار و فناوری اطلاعات IT بنا شده است  آمیخته شده و بسیاری از شرکت‌ها دارای اطلاعات امنیتی و نظارت بر رویدادها (SIEM) هستند تا امنیت فناوری اطلاعات خود را ارتقا دهند.

نیما جهانگیرفرد

نیما جهانگیرفرد

کارشناس امنیت اطلاعات