۱۰ مورد کاربرد سامانه SIEM در چشم‌‌انداز تهدیدات مدرن

سامانه SIEM یا سیستم‌های مدیریت وقایع و امنیت اطلاعات، داده‌های امنیتی را از سازمان جمع‌آوری می‌کنند؛ در شناسایی حوادث و پاسخ به رخداد به تیم‌های امنیتی کمک می‌کنند و گزارشات تطبیق‌پذیری و قانونی را در مورد رویدادهای مربوط به امنیت می‌سازند. از آنجایی که سامانه SIEM یک زیرساخت امنیتی اساسی با دسترسی به داده‌های کل سازمان است، موارد کاربرد گسترده‌ای دارد.

در ادامه برخی از موارد کاربرد متداول ابزار SIEM مطرح می‌شود؛ از کاربردهای قدیمی مثل تطبیق‌پذیری گرفته تا موارد کاربرد جدید مثل شناسایی تهدیدات داخلی و امنیت IoT.

موارد کاربرد سامانه SIEM: تطبیق‌پذیری

SIEM برای تطبیق‌پذیری PCI

استاندارد امنیت داده‌ی صنعت کارت‌های پرداخت (PCI DSS) برای ایمن‌سازی داده‌های دارندگان کارت اعتباری از سرقت و سوءاستفاده ساخته‌شده است. این استاندارد ۱۲ حوزه امنیتی را تعریف می‌کند که شرکت‌ها می‌توانند در این حوزه‌ها حفاظت را برای این نوع از داده تقویت کنند. این الزامات به هر کسی که در پردازش کارت اعتباری دخیل باشد اعمال می‌شود، از جمله فروشندگان، پردازشگران و ارائه‌کنندگان خدمات Third Party.

۵ روشی که سامانه SIEM به تطبیق‌پذیری PCI کمک می‌کند

• امنیت Perimeter: شناسایی اتصالات شبکه غیرمجاز و همبستگی آن‌ها با مدیریت تغییر، جستجو برای پروتکل‌ها و خدمات ناامن و بررسی نحوه جریان ترافیک روی DMZ.
• هویت‌های کاربر: مانیتورینگ هر رویدادی که منجر به تغییرات اطلاعات اعتباری کاربر و فعالیت‌های قطع شده توسط کاربر شود.
• شناسایی تهدید به‌صورت Real-Time: مانیتورینگ لاگ‌های آنتی‌ویروس، مانیتورینگ پورت‌ها و خدمات ناامن و همبستگی با هوش تهدیدات.
• سیستم‌های تولید و داده: جستجو برای اطلاعات اعتباری پیش‌فرض یا dev/test و Replicaها و غیره روی سیستم‌های تولیدی.
• ممیزی و گزارش‌گیری: جمع‌آوری لاگ‌های امنیت و سیستم شامل الزامات PCI Logging، ممیزی آن‌ها در فرمتی که برای گزارش‌گیری PCI مناسب باشد و ایجاد گزارش‌های تطبیق‌پذیری.

سامانه SIEM برای تطبیق‌پذیری GDPR

مقررات عمومی حفاظت از داده یا GDPR چارچوب جدید اتحادیه اروپا برای حفاظت از امنیت و حریم شخصی برای اطلاعات قابل‌شناسایی شخصی یا PII است که در سال ۲۰۱۸ اجرایی شد. GDPR به هر نهاد قانونی که داده‌های شخصی را برای شهروندان اتحادیه اروپا ذخیره، کنترل یا پردازش می‌کند اعمال می‌شود و دو دسته‌بندی اصلی دارد: داده‌های شخصی مثل یک آدرس IP یا نام کاربری و داده‌های شخصی حساس مثل داده‌های بیومتریک یا ژنتیکی.

۵ روشی که سامانه SIEM به تطبیق‌پذیری GDPR کمک می‌کند

• حفاظت از داده با طراحی: تایید و ممیزی کنترل‌های امنیتی برای اینکه مشخص شود به‌درستی به داده‌های کاربر رسیدگی شده است.
• قابلیت دید به داده‌های لاگ: فراهم کردن دسترسی ساختاریافته به اطلاعات لاگ جهت فعال‌سازی گزارش‌گیری برای کاربران داده.
• Logging و ممیزی GDPR: مانیتورینگ تغییرات اساسی در اطلاعات اعتباری، گروه‌های امنیتی و غیره؛ ممیزی کردن دیتابیس‌ها و سرورهایی که PII ذخیره می‌کنند و ردیابی خودکار دارایی‌هایی که داده‌های حساس را ذخیره می‌کنند.
• اطلاع‌رسانی در مورد نقض امنیتی: شناسایی نقض‌های امنیتی داده، هشداردهی به کارمندان امنیتی، تجزیه‌وتحلیل حادثه برای افشای کامل تأثیرگذاری و ایجاد سریع گزارش‌‌هایی که موردنیاز GDPR هستند.
• سابقه‌ی پردازش داده: شناسایی رویدادهای مربوط به داده‌های شخصی، ممیزی هر تغییری در داده‌ها و ایجاد گزارش‌های موردنیاز GDPR.

هشدار

تحت GDPR، خود سامانه SIEM هم می‌تواند یک ریسک محسوب شود زیرا ممکن است داده‌های لاگ حاوی PII باشند. GDPR اجازه‌ی حفظ داده را برای «منافع مشروع» (بند ۶) می‌دهد و ممکن است این اجازه باعث حفظ فایل‌های لاگ به دلایل امنیتی شود. سازمان‌ها باید با مشاوران حقوقی خود مشورت کنند تا درک کنند که تحت قواعد GDPR می‌توانند چه داده‌هایی را در سامانه SIEM نگهداری کنند و چه داده‌هایی را خیر.

سامانه SIEM برای تطبیق‌پذیری HIPAA

HIPPA یک استاندارد در ایالات‌متحده مربوط به سازمان‌ها است که اطلاعات سلامت را به شکل الکترونیک منتقل می‌کند. این استاندارد به سازمان‌های بزرگ و کوچک اعمال می‌شود، از یک پزشک ساده گرفته تا نهادهای ملی رسیدگی به سلامت. استاندارد فرایند مدیریت امنیتی HIPAA از سازمان‌ها می‌خواهد که تجزیه‌و‌تحلیل ریسک و مدیریت ریسک انجام دهند، برای نقض‌های امنیتی داده سیاست تحریم داشته باشند و فعالیت سیستم اطلاعاتی را بررسی می‌کند؛ این بررسی یکی از عناصر کلیدی این استاندارد است که اطمینان حاصل می‌کند تمام ‌عناصر دیگر سرجای خود هستند.

۹ روشی که سامانه SIEM در تطبیق‌پذیری HIPAA کمک می‌کند

• فرایند مدیریت امنیت: کشف دارایی‌های IT جدید، شناسایی سیستم‌های تحت ریسک، مانیتورینگ دسترسی به فایل‌های سیستم، فعالیت و سطح دسترسی کاربر در سیستم‌های حیاتی.
• دسترسی کارمندان: مانیتورینگ دسترسی به فایل‌ها و داده‌های حیاتی، ثبت تلاش برای لاگین و لاگین‌های موفق از سوی کاربران حذف شده.
• مدیریت دسترسی اطلاعات: شناسایی موفقیت و عدم موفقیت Logon، بالا رفتن سطح دسترسی و تغییرات حساب‌های کاربری.
• آگاهی امنیتی: شناسایی آسیب‌پذیری‌ها و بدافزارها، شناسایی سیستم‌های بدون آنتی‌ویروس، مانیتورینگ Logon به دستگاه‌های امنیتی و سیستم‌های حیاتی.
• حوادث امنیتی: شناسایی خودکار تهدیدات، ایجاد هشدارها و اولویت‌بندی آن‌ها، فعال‌سازی بررسی تهدید و تنظیم پاسخ خودکار به حوادث.
• کنترل دسترسی: مانیتورینگ تغییرات در اطلاعات اعتباری و اجازه‌ها، Timeoutهای Session و تغییرات در رمزگذاری تنظیمات.
• کنترل‌های ممیزی: مانیتورینگ تغییرات در Policyها، حفاظت در مقابل افشای داده یا DLP، یکپارچگی فایل و تجزیه‌و‌تحلیل لاگ برای داده‌های تحت حفاظت.
• یکپارچگی داده: مانیتورینگ تغییرات در داده‌های سلامت و تغییرات در Policyهای داده.
• امنیت انتقال: شناسایی ارتباطات غیرمجاز و تلاش برای اصلاح برنامه‌های کاربردی یا Storage حاوی اطلاعات سلامت.

سامانه SIEM برای تطبیق‌پذیری SOX

قانون ساربنز-آکسلی یا SOX در سال ۲۰۰۲ قانونی است که الزاماتی را برای هیئت مدیره‌های شرکت‌های عمومی، مدیریتی و حسابداری تنظیم می‌کند. این قانون در واکنش به چندین رسوایی حسابداری شرکتی از جمله Enron و WorldCom بود. دو چارچوبی که معمولاً توسط سازمان‌های IT برای تطبیق‌پذیری با SOX مورداستفاده قرار می‌گیرد، COSO و COBIT هستند.

تمرکز قانون SOX اطمینان حاصل کردن از این امر است که یک سازمان‌ از طریق فرایندهای گزارش‌گیری SOX به مدیریت اطلاع‌رسانی کرده و موارد زیر را ارائه می‌دهد:

• داده‌های حساس کجا ذخیره شده‌اند
• چه کسی به آن‌ها دسترسی دارد
• چه اتفاقی برایشان افتاده است

سامانه SIEM می‌تواند در جمع‌آوری این داده‌ها و ضبط آن‌ها برای ممیزی‌های SOX مفید باشد.

۵ روشی که سامانه SIEM در تطبیق‌پذیری و ممیزی SOX کمک می‌کند

1. استانداردها و پالیسی‌های امنیتی: ردیابی پالیسی‌های امنیت اطلاعات (برای مثال، یک پالیسی امنیتی ایمیل) و استانداردها (مثلاً یک راه استاندارد برای ایمن‌سازی ماشین‌های دسکتاپ ویندوز). یک SIEM می‌تواند مشخص کند که کدام سیستم‌های IT با پالیسی‌ها و استانداردها تطبیق‌پذیر هستند و به‌صورت Real-Time در مورد نقض‌ها هشدار دهد.
2. دسترسی و احراز هویت: مانیتورینگ ایجاد حساب، درخواست‌های تغییر و فعالیت کارمندان اخراج‌شده.
3. امنیت شبکه: مانیتورینگ هشدارها از فایروال‌ها و دستگاه‌های امنیت Edge دیگر و شناسایی الگوهای حمله‌ی شناخته‌شده در ترافیک شبکه.
4. مانیتورینگ لاگ: تجمیع رویدادهای امنیتی و هشداردهی در مورد تلاش‌های ناموفق برای لاگین، اسکن‌های پورت، بالا رفتن سطح دسترسی و غیره.
5. جداسازی وظایف: استاندارد SOX مشروط بر این است که هیچ فردی یک فرایند داده‌ی کامل را از ابتدا تا انتها کنترل نکند. مثلاً یک سامانه SIEM می‌تواند اطمینان حاصل کند که کارمندانی که داده‌ها را وارد می‌کنند فقط به داده‌هایی که می‌سازند دسترسی داشته باشند و هرگز داده‌های دیگر را نبینند یا تغییر ندهند.

موارد کاربرد سامانه SIEM: استفاده از SIEM برای حفاظت از خود در مقابل نهادهای مورد اعتماد

تهدیدات داخلی

بنا به آمار تهدیدات داخلی که در گزارش بررسی نقض‌های امنیتی Verizon ارائه‌شده است، از هر پنج نقض امنیتی سه مورد آن‌ها به تهدیدات داخلی مربوط هستند و تهدیدات داخلی معمولاً تا چندین ماه (۲۴ درصد از موارد) یا حتی چندین سال (۳۸ درصد از موارد) شناسایی نمی‌شوند.

شناسایی تهدیدات داخلی کار چالش‌برانگیزی است زیرا در اکثر ابزارهای امنیتی، رفتار کاربر هشداری ایجاد نمی‌کند، زیرا عامل تهدید در ظاهر یک کاربر قانونی است. اما یک سامانه SIEM می‌تواند با تجزیه‌و‌تحلیل رفتاری به کشف تهدیدات داخلی کمک کند تا تیم‌های امنیتی بتوانند حملات را شناسایی و اصلاح کنند.

آگاهی نسبت به تهدیدات امنیتی داخلی در حال افزایش است؛ این تهدیدات عبارت‌اند از:

• عامل مخرب داخلی: یک تهدید امنیتی که از کارمندان سازمان، کارمندان سابق، پیمانکاران یا شرکا شروع می‌شود.
• عامل داخلی دچار نقض امنیتی: یک عامل خارجی که اطلاعات اعتباری عامل داخلی را بدست آورده است.

۶ روشی که سامانه SIEM به متوقف کردن تهدیدات داخلی کمک می‌کند

• شناسایی اطلاعات اعتباری کاربر دچار نقض امنیتی: سامانه‌های SIEM می‌توانند با استفاده از تجزیه‌و‌تحلیل رفتاری، رفتار غیرعادی کاربران که نشانه‌ی نقض امنیتی باشد را شناسایی کنند. مثلاً لاگین در ساعات غیرعادی، با بسامد غیرعادی یا دسترسی غیرعادی به داده‌ها یا سیستم‌ها.
• بالا رفتن سطح دسترسی به‌صورت غیرعادی: سامانه SIEM می‌تواند کاربرانی را که سطح دسترسی را برای سیستم‌های حیاتی بالا می‌برند یا تغییر می‌دهند، شناسایی کند.
• ارتباطات دستور و کنترل: سامانه SIEM می‌توانن ترافیک شبکه را با هوش تهدید همبسته کند تا بدافزارهایی که با مهاجمین خارجی ارتباط برقرار می‌کنند شناسایی گردند. این نشانه‌ای از نقض امنیتی حساب کاربری است.
• استخراج داده: SIEMها می‌توانند با استفاده از تجزیه‌و‌تحلیل رفتاری رویدادهایی که ظاهراً بی‌ارتباط هستند را ترکیب و تجزیه‌و‌تحلیل کنند؛ رویدادهایی مثل استفاده از فلش‌های USB، استفاده از خدمات ایمیل شخصی، ذخیره‌سازی غیرمجاز در Cloud یا پرینت بیش‌ازحد.
• رمزگذاری سریع: سامانه SIEM می‌تواند رمزگذاری حجم‌های زیادی از داده را شناسایی و متوقف کنند. این رمزگذاری‌ها می‌توانند نشان‌دهنده‌ی یک حمله‌ی باج‌افزار باشند که معمولاً از سوی یک عامل داخلی دچار نقض امنیتی ایجاد می‌شود.
• حرکت جانبی: عاملان داخلی که حمله‌ای انجام می‌دهند ممکن است سعی کنند حساب، دستگاه و آدرس IP خود را تغییر دهند. سامانه SIEMمی‌تواند این رفتار را شناسایی کنند، زیرا نمای وسیعی از چندین سیستم IT دارند.

SIEM نسل جدید

اکثر قابلیت‌ها در این بخش و بخش بعدی به واسطه‌ی SIEMهای نسل جدید ممکن شده‌اند که تجزیه‌و‌تحلیل رفتار کاربر و موجودیت یا راهکار UEBA را مورداستفاده قرار می‌دهند. تکنولوژی UEBA از یادگیری ماشین و پروفایلینگ رفتاری استفاده می‌کند تا مبنایی از کاربران و سیستم‌های IT ایجاد کند و فراتر از قواعد و ارتباطات آماری مورداستفاده‌ی SIEMها، به‌طور هوشمندی ناهنجاری‌ها را شناسایی می‌کند.

سوءاستفاده از دسترسی سطح بالا

سوءاستفاده از دسترسی سطح بالا مشکل پیچیده‌ای است که از شکاف‌های موجود در کنترل دسترسی در سازمان‌ها سرچشمه می‌گیرد. کاربرانی که به سیستم‌های IT دسترسی دارند می‌توانند اقدامات نامطلوبی را انجام دهند، زیرا سطح دسترسی آن‌ها بیشتر از چیزی است که برای انجام کارشان به آن نیاز دارند. بنا به گزارش بررسی نقض‌های امنیتی داده Verizon در سال ۲۰۱۷، سوءاستفاده از دسترسی سطح بالا سومین دلیل نقض‌ امنیتی داده و دومین دلیل برای حوادث امنیتی بود.

۵ روشی که سامانه SIEM به متوقف کردن سوءاستفاده از دسترسی سطح بالا کمک می‌کند

1. فعالیت ناخواسته: مانیتورینگ و گزارش‌گیری دسترسی مشکوک به هر داده‌ی حساس.
2. تخلفات Third-Party: فعالیت مانیتورینگ از طریق فروشندگان و شرکای خارجی که به سیستم‌های سازمانی دسترسی دارند تا بتوانند رفتارهای غیرعادی یا بالا رفتن سطح دسترسی را تشخیص دهند.
3. کارمندان سابق: هشداردهی در مورد هر فعالیتی توسط حساب‌های کاربری کارمندان سابق یا فعالیت غیرمنتظره از حساب‌هایی که معمولاً غیرفعال هستند.
4. خطای انسانی: هشداردهی در مورد فعالیت‌های غیرعادی که می‌توانند یک خطای انسانی فاجعه‌بار باشند؛ مثلاً حذف مقادیر زیادی از داده.
5. دسترسی بیش‌ازحد: گزارش‌دهی در مورد کاربرانی که به سیستم‌ها یا داده‌هایی دسترسی دارند که در حوزه‌ی همیشگی‌شان جای نمی‌گیرد.

نقض امنیتی هاست و موجودیت مورد اعتماد

بسیار متداول است که مهاجمین درون شبکه سازمانی کنترل اطلاعات اعتباری یا هاست‌ها را بدست بگیرند و در طول چندین ماه یا حتی چندین سال حملات مخفیانه‌ای را پیش ببرند. بنا به گزارش هزینه‌ی نقض‌های امنیتی داده در سال ۲۰۱۷ توسط Ponemon، متوسط زمانی که شرکت‌ها در ایالات‌متحده برای شناسایی یک نقض امنیتی لازم دارند ۲۰۶ روز است. پس یکی از اهداف اصلی تیم‌های امنیتی شناسایی و خنثی‌سازی سریع این حملات است.

۴ روشی که سامانه SIEM در شناسایی و متوقف کردن نقض امنیتی نهاد مورد اعتماد کمک می‌کند

• حساب‌های کاربری: شناسایی فعالیت غیرعادی، هشداردهی در مورد آن و فراهم کردن داده‌های موردنیاز بررسی‌کننده‌ها برای درک اینکه آیا حساب کاربر دچار نقض امنیتی شده است یا خیر.
• سرورها: ایجاد یک مبنای مورد اعتماد از فعالیت سرور، شناسایی انحراف از این مبنا و هشداردهی به کارمندان امنیتی.
• دستگاه‌های شبکه: مانیتورینگ ترافیک در طول زمان و شناسایی افزایش ناگهانی استفاده، منابع ارتباطی غیرقابل‌اعتماد، پروتکل‌های ناامن و نشانه‌های دیگر رفتار مخرب.
• مانیتورینگ ضدویروسی: بدافزار یک نقطه‌ی ورود متداول برای نقض‌های امنیتی هاست است سامانه SIEM می‌تواند به‌طور گسترده به پیاده‌سازی‌های آنتی‌ویروس نگاه کنند و در مورد رویدادهایی مثل غیرفعال شدن حفاظت یا وضعیت به‌روزرسانی‌های تهدید گزارش‌دهی کنند.

موارد کاربرد سامانه SIEM: استفاده از SIEM برای شناسایی تهدید امنیتی پیشرفته

شکار تهدیدات (Threat Hunting)

شکار تهدیدات اقدام به کشف تهدیدات سایبری در یک سازمان‌ یا شبکه است. شکار تهدید را می‌توان بلافاصله بعد از یک حادثه امنیتی انجام داد، اما امکان انجام آن به‌صورت پیشگیرانه نیز وجود دارد تا تهدیدات و نقض‌های امنیتی جدید و ناشناس کشف شوند. با توجه به یک مطالعه توسط موسسه‌ی SANS در سال ۲۰۱۷، ۴۵ درصد سازمان‌ها شکار تهدید را برای حل مشکل یا به‌طور منظم انجام می‌دهند. شکار تهدید نیازمند دسترسی گسترده به داده‌های امنیتی در سرتاسر سازمان‌ است و این داده‌ها توسط سامانه SIEM فراهم می‌شوند.

۷ روشی که سامانه SIEM در شکار تهدید کمک می‌کند

• هشدارهایی از سیستم‌های امنیتی: ارائه‌ی هشدارهای کاربردی که می‌توانند ساختار و داده‌های لازم را برای بررسی حوادث احتمالی فراهم کنند.
• ناهنجاری‌های محیطی: شناسایی ناهنجاری‌ها در سیستم‌های IT با استفاده از همبستگی‌ها و تجزیه‌و‌تحلیل‌های رفتاری.
• آسیب‌پذیری‌های جدید: سازمان‌دهی داده‌ها حول یک آسیب‌پذیری جدید؛ جدول زمانی و سیستم‌ها، داده‌ها و کاربران تحت تأثیر.
• توصیه‌هایی از همکاران و رسانه‌ها: جستجو در داده‌های پیشین برای پیدا کردن الگوهای حمله یا Signatureهایی مشابه با حملات شناخته شده.
• هوش تهدیدات: ترکیب هوش تهدیدات با داده‌های امنیتی برای شناسایی هوشمند حملات در سیستم‌های IT.
• فرضیه‌هایی برمبنای ریسک‌های شناخته شده: کمک به تحلیلگران در شکل داده به یک فرضیه و تست کردن آن با بررسی داده‌های امنیتی در سامانه SIEM.
• حوادث مشابه: بررسی کردن اینکه «آیا این اتفاق قبلاً رخ داده است؟»؛ جستجو در داده‌های امنیتی برای پیدا کردن الگوهای مشابه با حادثه‌ی امنیتی کنونی یا پیشین.

شناسایی استخراج داده

استخراج داده زمانی رخ می‌دهد که داده‌های حساس به‌صورت غیرقانونی به خارج از سازمان‌ منتقل می‌شوند. زمانی که کاربر داده‌ها را از طریق اینترنت منتقل می‌کند یا آن‌ها را در یک دستگاه فیزیکی کپی می‌کند و آن دستگاه را به خارج از سازمان می‌برد این کار به‌صورت دستی انجام می‌شود و درنتیجه‌ی آلوده شدن سیستم‌های Local به بدافزار، به‌صورت خودکار انجام می‌پذیرد.

۶ روشی که سامانه SIEM به پیشگیری از استخراج داده کمک می‌کند

• Backdoorها، Rootkitها و بات‌نت‌ها: شناسایی ترافیک شبکه برای مراکز دستور و کنترل و شناسایی سیستم‌های آلوده که داده‌ها را به افراد غیرمجاز منتقل می‌کنند.
• FTP و Cloud Storage: مانیتورینگ ترافیک شبکه روی پروتکل‌هایی که انتقال داده‌های حجیم را تسهیل می‌کنند و هشداردهی زمانی که مقادیر یا انواع فایل غیرعادی منتقل می‌شوند یا زمانی که هدف ناشناس یا مخرب است.
• برنامه‌های کاربردی وب: مانیتورینگ استفاده از برنامه‌های کاربردی وب سازمانی توسط افراد خارجی یا استفاده داخلی از برنامه‌های کاربردی وب خارجی که می‌تواند شامل دانلودها یا دسترسی مرورگر به داده‌های حساس شود.
• Forward کردن ایمیل: شناسایی ایمیل‌های Forwardشده یا ارسال شده به نهادهای دیگری به غیر از دریافت‌کننده‌ی اصلی.
• حرکت جانبی یا Lateral Movement: استخراج داده معمولاً شامل تلاش مهاجمین برای بالا بردن سطح دسترسی یا دسترسی به سیستم‌های IT دیگر است تا بتوانند هدف پرسودتری پیدا کنند. SIEMها با همبستگی داده از چندین سیستم IT می‌توانند حرکت جانبی را شناسایی کنند.
• امنیت داده‌های موبایل: یک سامانه SIEM می‌تواند داده‌های نیروی کاری موبایل را مانیتور کرده و ناهنجاری‌هایی را شناسایی کند که شاید نشانگر افشای داده از طریق یک دستگاه موبایل باشند.

امنیت IoT

بسیاری از سازمان‌ها برای مدیریت‌ عملیات حیاتی خود از دستگاه‌های متصل استفاده می‌کنند. از جمله این دستگاه‌ها می‌توان به تجهیزات پزشکی متصل به شبکه، ماشین‌آلات و سنسورهای صنعتی و زیرساخت‌های شبکه برق اشاره کرد. دستگاه‌های اینترنت اشیا (IoT) با در نظر گرفتن امنیت ساخته نشده‌اند و بسیاری از آن‌ها دچار آسیب‌پذیری هستند. وقتی دستگاه‌ها پیاده‌سازی شدند، اصلاح این آسیب‌پذیری‌ها دشوار خواهد شد.

۶ روشی که سامانه SIEM به متوقف کردن تهدیدات IoT کمک می‌کند

1. حمله DOS یا Denial of Service: شناسایی ترافیک غیرعادی از دستگاه‌های IoT متعلق به سازمان‌ها که ممکن است برای یک حمله مورد استفاده‌ی یک مهاجم قرار بگیرد.
2. مدیریت آسیب‌پذیری IoT: شناسایی سیستم‌عامل‌های قدیمی، آسیب‌پذیری‌های Patchنشده و پروتکل‌ها ناامن روی دستگاه‌های IoT.
3. کنترل دسترسی: مانیتورینگ اینکه چه کسی به دستگاه‌های IoT دسترسی دارد و به کجا متصل می‌شود و هشداردهی در مورد زمانی که مبدأ یا مقصد ناشناس یا مشکوک است.
4. مانیتورینگ جریان داده: بسیاری از دستگاه‌های IoT از طریق پروتکل‌های بدون رمزگذاری ارتباط برقرار می‌کنند و ممکن است به‌عنوان وسیله‌ای برای انتقال داده‌های حساس مورد استفاده قرار بگیرند. یک سامانه SIEM می‌تواند جریان‌های داده غیرعادی از دستگاه‌های IoT و کارمندان امنیتی و همچنین به‌سوی آن‌ها را مانیتور کند.
5. دستگاه‌های دچار ریسک: شناسایی دستگاه‌های دچار ریسک به دلیل آسیب‌پذیری‌های امنیتی، دسترسی به داده‌های حساس یا عملکردهای حیاتی.
6. دستگاه‌های دچار نقض امنیتی: شناسایی رفتارهای ناهنجار یا مشکوکِ دستگاه‌های IoT و هشداردهی به کارمندان امنیتی در این مورد که یک دستگاه یا چندین دستگاه دچار نقض امنیتی شده‌اند.

موارد کاربرد پیشرفته‌ی تکنولوژی SIEMهای نسل بعدی

SIEM‌های نسل بعدی که همسو با دیدگاه Gartner از پلتفرم SIEM ساخته شده است، همراه با تجزیه‌و‌تحلیل پیشرفته و ابزار خودکارسازی می‌تواند بسیاری از مورد کاربرد پیشرفته را ممکن سازد. به‌طور خاص تکنولوژی تجزیه‌و‌تحلیل رفتار کاربر و موجودیت یا UEBA شناسایی تهدیدات داخلی، انجام شکار تهدید پیشرفته‌تر، پیشگیری از استخراج داده و رفع تهدیدات IoT را ممکن می‌سازد، حتی وقتی ابزار قدیمی هیچ هشداری نمی‌دهند.

شرکت امن‌پردازان کویر (APK) پیشرو در ارائه خدمات امنیت سایبری، محصول APKSIEM، سامانه مدیریت وقایع و امنیت اطلاعات بومی را به منظور نگهداری طولانی مدت رخدادها، بررسی مداوم رویدادهای امنیتی بدون اتکا بر دستگاه‌های امنیتی فعال در سازمان، یکپارچه‌سازی تمامی رخدادها و گام‌های احتمالی مهاجمین در سرتاسر سازمان، امکان مراجعه طولانی مدت و حل مشکلات قانونی و ردیابی سامانه‌های آلوده شده از قبل، جهت کمک به سازمان‌ها برای  تامین بلندمدت امنیت ارائه نموده است.

در صورت تمایل به کسب اطلاعات بیشتر، درخواست دمو یا مشاوره، نسبت به تکمیل فرم مورد نظر اقدام فرمایید.