SIEM


 5 مساله مهم در تهیه و استقرار سامانه های مدیریت رخدادها و اطلاعات امنیتی

 

 در آشنایی با مسائل مهم در تهیه و استقرار سامانه های مدیریت رخدادها و اطلاعات امنیتی (SIEM) می باشد. عدم توجه به این مسائل، سبب می گردد که پیاده سازی این محصولات در سازمان ها ناموفق بوده و بعضا حتی به شکست بینجامند.
ما امیدواریم رهنمودهایی را برای حصول اطمینان از موفقیت آمیز بودن یک پروژه SIEM برای سازمان هایی که به SIEM نیاز دارند از طریق بررسی ریسک ها و چالش هایی که در این پروژه ها وجود دارند، فراهم کنیم.

چرا سامانه های مدیریت رخدادها و اطلاعات امنیتی (SIEM)
امروزه برای حفاظت بهتر از شبکه ها، علاوه بر بکارگیری تجهیزاتی نظیر فایروال ها، آنتی ویروس ها، سیستم های تشخیص نفوذ و ... بسیار ی از سازمان ها، بدنبال بکارگیری ابزارهای مدیریت رخدادها و اطلاعات امنیتی (SIEM) می باشند که بدینوسیله،با جمع آوری، یکپارچه سازی و گزارش دهی رخدادهای امنیتی حاصل از فایروال ها، تجهیزات IDS/IPS، سرورها و سایر منابع  داده ای در سراسر شبکه،  قابلیت دفاعی قدرتمندی ایجاد نمایند. با پیاده سازی و مدیریت صحیح، تکنولوژی SIEM سبب بهبود عملکردهای امنیتی با در نظر گرفتن موارد زیر، می شود:

·         شناسایی و واکنش سریعتر  به تهدید های  واقعی    

·         ارزیابی و اولویت دهی ریسکها

·         ایجاد معیارهای سطح بالا برای تصمیم گیری های استراتژیک

·         کاهش اشتباهات در تشخیص / عدم تشخیص تهدیدات


برای سازمان هایی که علاقمند به بکارگیری استانداردهایی نظیر PCI , GLBA , FFIEC , HIPAA SOX , FISMA , NERC CIP  و ... در سازمان خود هستند، فناوری SIEM، توانمندیهای مهمی را برای مانیتورینگ و حسابرسی logها ارائه می کند.
همچنین SIEM گزارش های انطباقی (گزارشاتی که میزان انطباق فعالیت های موجود در سازمان با سیاستهای آن را مورد بررسی قرار می دهند) خودکاری ایجاد می کنند که می توانند برای مانیتورینگ وضعیت انطباق با سیاستهای سازمان و ایجاد کنترل موثر بر فعالیتها در فرایندهای حسابرسی ها بکار روند.
بهرحال، پیاده سازی و مدیریت تکنولوژی SIEM، عمل راحتی نیست. بسیاری از سازمان ها در پروژه های SIEM، به واسطه ریسک های پیش بینی نشده و مسائل غیر منتظره، با مشکلات و چالش هایی مواجه می شوند که اتلاف منابع، عملکردهای امنیتی ضعیف و حسابرسی غیر کارا را بهمراه دارد.
هدف از این نوشته، کمک به متخصصان فناوری اطلاعات خصوصا کارشناسان امنیت


مسئله 1: جمع آوری اطلاعات امنیتی
"
با وجودی که مدت زمانی از خریداری و استقرار ابزار SIEM می گذرد، هنوز نیاز است برای یکپارچه سازی دسترسی ها در کل شبکه تلاش زیادی صورت پذیرد."
اصولا، ابزارهای SIEM سیستم های پیچیده ای هستند. اغلب شبکه ها، شامل گستره وسیعی از فناوری ها، از جمله فایروال ها، سیستم های شناسایی و جلوگیری از دسترسی های غیر مجاز، مسیریاب ها، سوییچ ها، سرورها، برنامه های کاربردی و سایر منابع داده ای می باشند. تعیین تجهیزات و سیستم هایی که باید مانیتور شوند، نیازمند ترسیم محیط IT مورد نظر می باشد. بعلاوه، پیاده ساز ی و اجرای یک ابزار SIEM برای capture کردن، پردازش و گزارش دهی اطلاعات امنیتی مورد نیاز از تمامی منابع داده ای، فرایندی بغرنج و پیچیده می باشد که می تواند زمان زیادی برای اینکار صرف شود. بنابراین ایجاد محدودیت در پیاده سازی ها و کاربردها، برای پرهیز از نقص ها و عدم موفقیت ها، مخصوصا برای سازمان هایی که منابعی برای استقرار این فناوری ها ندارند، مسئله ای دور از ذهن نیست.
ابزارهای SIEM مبتنی بر agent پیچیدگی بیشتری را برای این فرایند بهمراه دارند چنانکه نیاز به نصب agent های نرم افزاری مختلف برای هر نوع از منابع داده ای (به سیستم ها یا تجهیزات تولید کننده رخداد اصطلاحا سنسور گفته می شود) می باشند و در سازمان های بزرگ و با اندازه متوسط، با وجود تجهیزات بسیار زیاد، پروژه عظیمی است که نیاز به منابع مهم و قابل توجه ای دارد. این agentها، با بروز شدن سیستم میزبان برای عملکرد صحیح، باید بدرستی پیکربندی و بروز شوند. بعلاوه، اگر agent نرم افزاری برای یک سیستم یا یک سری از تجهیزات خاص، موجود نباشد، نیاز به تیم های برنامه نویسی در جهت تولید agent مورد نیاز آن سیستم می باشد.  البته بعضی از محصولات SIEM شامل ابزارهایی هستند که می توانند agentهایی برای  پشتیبانی از سیستم های جدیدی که برای آنها هیچ agent رسمی وجود ندارد، بکار روند. ولی نکته قابل توجه اینجاست که حتی با وجود این ابزارها، توسعه یک agent جدید می تواند زمان قابل توجهی را صرف کند که نیاز به ملاحظات عمیقی با توجه به آن سیستم ها یا تجهیزات جدید است.
راهکار دیگر برای جمع آوری رخدادها ، ارسال رخدادها  توسط یک پروتکل استاندارد، از هر منبع داده  به یک ابزار جمع آوری SIEM می باشد که لازمه اینکار، وجود توانایی در ابزار جمع آوری SIEM برای دریافت و پردازش log data های ارسال شده از طریق پروتکل های استاندارد از جمله Syslog و  SNMPمی باشد. اغلب تجهیزات شبکه و سرورها، ارسال log data  را از طریق این پروتکل ها پشتیبانی می کنند که بدین طریق امکان عدم نیاز به نصب agent های نرم افزاری را برای سازمان ها فراهم می کند. اما در این بین ابزارها و برنامه های کاربردی ای وجود دارند که نمی توانند رخدادهای موردنیاز  را با استفاده از این پروتکل ها ارسال کنند که در این صورت ممکن است به agentها نیاز باشد.
در هر دو رویکرد، نیاز به دانش عمیقی از منبع داده  و تکنولوژی SIEM وجود دارد تا اطمینان از جمع آوری و نرمال سازی صحیح رخدادهای جمع آوری شده ایجاد شود. البته متاسفانه بسیاری از سازمان ها منابع لازم برای  انجام این کار در سراسر محیط خود را  ندارند، که نتیجه آن استقرار و توسعه محدود SIEM می باشد. بسیاری از تولیدکنندگان سامانه های SIEM خدمات مشاوره ای را برای کمک به مجتمع سازی محصولاتشان و ارائه محصولات یکپارچه برای محیط کاربران  ارائه می کنند. که ارائه این خدمات می تواند بعنوان یک گزینه برای انتخاب مورد توجه سازمان ها قرار گیرد. اما متاسفانه اغلب اوقات سازمانها هزینه اضافه ای را  برای دریافت خدمات مشاوره، در  هنگام تهیه یک ابزار SIEM در نظر نمی گیرند و بدین طریق این امکان را از دست می دهند. ولی در هر حالت  با حمایت و یا بدون حمایت تولید کنندگان سامانه های SIEM، یکپارچگی ابزارهای SIEM فرایندی است که لازم است در سازمانها انجام شود هر چند که ممکن است زمان زیادی بطول بیانجامد.

مسئله 2:  ازدیاد رخداد
"
ابزار SIEM در ابتدا بسیار عالی بود، اما با افزایش تعداد رخدادهای جمع آوری شده از کیفیت آن کاسته شده است"
خریداری و استقرار یک ابزار SIEM می تواند هزینه عمده ای را بهمراه داشته باشد، از اینرو قابلیت مقیاس پذیری و پشتیبانی ابزار SIEM از یک محیط سازمانی در حال رشد، ضرور ی می باشد. ابزارهای SIEM معمولا از پارامترهای کارایی از جمله تعداد رخدادها در هر ثانیه (Event per Second = EPS) برای بیان مقیاس پذیری استفاده می کنند. مقیاس پذیری، پارامتر بسیار مهمی می باشد از آنجاییکه یک ابزار SIEM باید قابلیت پردازش حجم زیادی از رخدادهای همزمان در محیط شبکه را داشته باشد. اما در نظر گرفتن تنها این پارامتر ، بعنوان قابلیتی برای ابزار SIEM کافی نمی باشد.
عملکرد اصلی یک ابزار SIEM به اصطلاح " find the needle in the haystack " و در واقع شناسایی رخدادهای امنیتی و انطباقی در میان میلیون ها هشدار و log غیر مرتبط می باشد.  توانایی یک ابزار SIEM برای کاهش میلیون ها رخداد و انتخاب تعداد کمی از "رخدادهای امنیتی مورد نظر"، نیاز به بررسی هایی بمنظور تعیین منابع مورد نیاز برای جستجو و واکنش به رخدادهای امنیتی بالقوه دارد. ابزارهای SIEM از قواعد فیلترینگ و یکپارچگی برای مجتمع کردن رخدادها به  اطلاعات امنیتی سودمند جهت انجام بررسی، استفاده می کند. تنها درصد بسیار کمی از رخدادها (کمتر از یک درصد) از نظر امنیتی و انطباق مرتبط با محیط شبکه می باشند و بقیه ترافیک های معمولی و یا نویز هستند. برای مثال، کاربری که سایتی را مرور می کند، ممکن است رخداد های فایروالی زیادی را بواسطه هر صفحه ای که ملاقات می کند، ایجاد کند. این رخداد ها مرتبط با امنیت و  انطباق نمی باشند و می توانند از فرایند SIEM بدون هیچ تاثیر منفی ای حذف شوند. فیلترینگ و یکپارچه سازی که بصورت صحیح مدیریت شود، قابلیت کاهش حجم وسیعی از رخدادها را از طریق تفکیک رخدادهای مورد نظر، ایجاد می کند.
اگر قواعد فیلترینگ و یکپارچگی، برای حفظ کیفیت رخدادهای مورد نظر (برای مثال FALSE POSITIVE،no duplicate، accurate consolidation و...) بطور صحیح تنظیم و پشتیبانی نشوند، تعداد رخدادهایی که ظاهر می شوند بیشتر از  حد توانایی سازمان در ارزیابی تهدیدها می گردد که این موضوع سبب اتلاف منابع ، نادیده گرفتن رخدادها و ناکارآمدی SIEM می شود.

مسئله 3: گزارش های نادرست
"
گزارش های SIEM به گزارش هایی غیر قابل اطمینان تبدیل شده است و  اطلاعات بی معنی زیادی وجود دارد."
علت اصلی در خریداری SIEM تهیه گزارش می باشد. SIEM می تواند گزارش های جامعی را در سیستم های مختلف ارائه کند و اطلاعاتی را که پیش از این برای یکپارچه سازی بسیار دشوار بودند را مجتمع کرده و با حجم کمی ایجاد کند. گزارش های SIEM  کمک شایانی در  تشریح  وضعیت امنیتی سازمان می کند بعلاوه  SIEM سبب سادگی و کارایی در تهیه گزارش های انطباقی می شود که مستندات کافی را برای کنترل های امنیتی و حسابرسی و مدیریت سناریو ها بصورتی موثر، فراهم می کند.
بهرحال، دقت و صحت گزارش های SIEM وابسته به دقت و صحت فرایند پردازشی رخداد SIEM می باشد. اگر رخدادها بگونه ای صحیح جمع آوری، یکپارچه سازی و بررسی نشوند، اطلاعات حاصل از گزارش ها، نادرست بوده و ارزش گزارش های SIEM  بسیار کم می شود. بسیاری از سازمان ها که ابزار SIEM را مورد استفاده قرار می دهند، گزارش های دقیقی در زمان اولیه، پس از استقرار و اجرای این فناوری، بدست می آورند.  در حالیکه حفظ کیفیت گزارشات ارائه شده در طول مدت فعالیت SIEM بدون هیچ گونه کم و کاستی  از ضروریات یک سامانه SIEM است.


منبع : سایت بهین راهکار