OT SIEM چیست و چه تفاوتی با IT SIEM دارد – بخش اول

هر کسی که چارچوب‌های قدیمی امنیت سایبری سازمانی یا IT را بشناسد، باید با قابلیت‌های مدیریت رخداد و Logging از طریق یک تکنولوژی‌ به نام SIEM نیز آشنا باشد.

NIST، COBIT، ISO و حتی PCI این قابلیت را یک قابلیت ضروری می‌دانند. اما در یک محیط فناوری عملیاتی یا OT، باید بتوانیم به سؤالات زیر در مورد تکنولوژی‌ مدیریت رخداد و اطلاعات امنیت پاسخ دهیم.

• کاربرد و هدف SIEM (فارغ از IT یا OT) چیست؟
• تفاوت بین IT SIEM و یک OT SIEM چیست؟
• چه عواملی نیاز به OT SIEM را ایجاد می‌کنند؟
• معماری مرجع برای OT SIEM چیست؟

سامانه SIEM چیست

سامانه مدیریت وقایع و امنیت اطلاعات یا SIEM سیستمی است که منابع مختلفی از اطلاعات سایبری (امنیتی یا غیره) را برای ذخیره‌سازی، هشدارها، پاسخگویی و گزارش‌گیری، جمع‌آوری کرده، Parse و آنالیز  می‌کند. هشدارها، اخطارها و مبناهای اصلی دریافت‌ می‌شوند و تحلیلگران، سیستم‌های خودکار و تیم‌های امنیتی نسبت به آن‌ها اقدام می‌نمایند تا ریسک‌های سایبری شناسایی شده و برای رفع آن‌ها اقداماتی انجام گردد.

سامانه SIEM معمولاً دارای چند کاربرد اصلی است:

سامانه SIEM یک سیستم متمرکز را برای دریافت، یکپارچه‌سازی و تجزیه داده فراهم می‌کند، آن را برای کاربردهای کوتاه‌مدت و بلندمدت دسته‌بندی می‌کند و برای زمانی که از یک آستانه عبور شود یا اتفاق از پیش‌تعیین‌شده‌ای رخ دهد، یک سیستم هشداردهی را فراهم می‌نماید.

این اتفاقات یا آستانه‌ها از برنامه کاربردی یک سیستم ایجاد‌کننده گرفته می‌شوند، از یادگیری ماشین، آمار یا فرآیندهای استنتاجی و همچنین از موارد کاربردی انسانی یا مبتنی بر چارچوب، بهره می‌برند.

نهایتاً هدف یک سامانه SIEM این است که پیام‌هایی را دریافت‌ کند (معمولاً در قالب Syslog و رخداد ویندوز)، آن‌ها را برای عملکردهای امنیت سایبری در دسترس قرار دهد و براساس آن‌ها هشداردهی کند تا تیم‌های امنیتی بتوانند به‌طور کارآمدی فرایندها و رویه‌های تعریف‌شده را برای مدیریت تهدید به اجرا درآورند. برای درک بهتر این مسئله به این مثال توجه کنید:

فرض کنید که یک کسب‌و‌کار کوچک یا متوسط دارید که دارای یک زیرساخت همگرا است. سیستم‌های ویندوزی برای حساب‌های قابل پرداخت و همچنین پردازش و توزیع سفارشات فروشگاه و کارهای مرتبط مورد استفاده قرار می‌گیرند. هر دوی این عملکردها حیاتی هستند اما یکی از آن‌ها مرتبط به IT و دیگری مرتبط به OT است.

حالا بیایید تصور کنیم که فرد مسئول رایانه‌ی حساب‌های قابل‌پرداخت یک ایمیل فیشینگ را باز می‌کند، مهاجمی بدافزاری را روی آن سیستم قرار می‌دهد و خوشبختانه آنتی‌ویروس آن سیستم با ایجاد یک هشدار آن را شناسایی می‌کند.

این یک مثال ساده است، اما در مورد بدافزارهای متداول، لازم است سیستم‌های سازمانی که منابع خود را مدیریت می‌کند، Logهایی را برای تجزیه‌و‌تحلیل، رسیدگی به کارها و آموزش به یک سیستم ایمن Forward نماید. در این مورد بدافزار پیدا شد (مثلاً حمله‌ی باج‌افزاری عظیمی رخ نداد)، اما شاید فرد مسئول حساب‌های قابل‌پرداخت به آموزشی نیاز داشته باشد تا از فیشینگ آگاه شود یا به مدیر خود سری بزند.

به‌طور خلاصه، سامانه SIEM با جستجوی رفتارها و هشدارها در داده‌هایی که از چند سرمایه‌گذاری یا تکنولوژی‌ امنیت سایبری ایجاد می‌شوند و استثنا قائل شدن برای منبعی که نسبت به آن اقدام انجام می‌شود، ارزش خود را نشان می‌دهد.

IT SIEM و OT SIEM چه تفاوتی با هم دارند

بحث‌های زیادی در مورد نیاز به یک مرکز عملیات امنیتی OT یا OT SOC برای مانیتورینگ، تنظیم و استفاده از SIEM وجود دارد. سؤال دیگری نیز در مورد ارزش یک OT SIEM و تفاوت آن با IT SIEM وجود دارد.

۴ تفاوت بین IT SIEM و OT SIEM

• داده: داده در OT SIEM باید شامل اطلاعات پردازش‌شده برای بهبود بینش‌هایی از هشدارها و کاهش منفی‌های کاذب از تغییرات عملیاتی و شناسایی مشکلات فرایندی بالقوه باشد.
• تجزیه‌و‌تحلیل:IT معمولاً با تهدیدات سایبری مقابله می‌کند که روی محرمانگی، یکپارچگی و دسترس‌پذیری تأثیر می‌گذارند، درحالی‌که فناوری عملیاتی یا OT مربوط است به امنیت، قابلیت اطمینان و بهره‌وری. همانطور که می‌توانید تصور کنید، با توجه به همگرایی و ارتباط متقابل شبکه‌های امروز، تهدیدات و سیستم‌ها و زیرساخت‌ها از جوانب بسیاری هم‌پوشانی دارند. مهندسان و اپراتورهای سایت باید به‌سرعت اطلاعات منابع را به یک رخداد مرتبط کنند تا موقعیت به‌خصوصی را اولویت‌بندی نمایند و فرایندی را به اجرا درآورند (مثلاً فشار دادن یک کلید خاموش قرمز یا Re-image کردن یک سیستم).
• قابلیت دید: عملکردهای سامانه SIEM در یک انبار داده‌ی مرکزی که در دیتاسنتر سازمانی قرار گرفته است مانیتور می‌شوند. قابلیت دید به مرکز عملیات امنیتی محدود است. اما در OT، یک تجزیه‌و‌تحلیل و پاسخ قوی نیازمند این است که تکنسین‌های OT به داده‌ها و تجزیه‌و‌تحلیل دسترسی داشته باشند تا علت اصلی را کشف کنند.
• ROI: تکنولوژی IT SIEM یک ابزار امنیتی مطلق است که با کاهش ریسک حملات سایبری ارزش خود را نشان می‌دهد. OT SIEM به‌عنوان یک ابزار عملیاتی عمل می‌کند که با جلوگیری از قطعی‌ها به دلیل الگوهای ناهنجاری که هیچ عامل مخربی ندارند، بلکه از نقص یا مشکلی حاصل می‌شوند، زمان کارکرد دستگاه را بهبود می‌بخشد. این ابزار دارای موارد کاربرد زیر است:
  • حفظ و نگهداری پیش‌بینی‌کننده و مانیتورینگ منابع
  • سیستم‌هایی که ناگهان آفلاین می‌شوند
  • شناسایی منابع ناپایدار (حتی شاید دستگاه‌های متخلف)
  • هشدارهای امنیتی برای تهدیدات سایبری قدیمی یا دسترسی‌های غیرمجاز
  • دسترسی غیرمنتظره به سیستم یا رفتارهای دارای خطای سیستم
  • قطع کردن دستی هشدارها، خرابی‌های فرایند یا هشدارهای خاموش شدن
  • الزامات تطبیق‌پذیری و نظارتی

فارغ از ریشه، هم‌پوشانی‌هایی بین موارد کاربرد SIEM و تهدیدات سایبری مثل بدافزارهای متداول وجود دارد، اما هر چقدر که در طیف بین IT و OT به سمت یکی از آن‌ها نزدیک شوید، اتفاقات و رخدادهایی که روی هر یک از دو سمت این  تأثیر می‌گذارند متفاوت می‌شوند.

IT معمولاً با تهدیداتی از سوی بدافزارها، فیشینگ، افشاگری‌ها و نقض‌های امنیتی داده و انواعی از تهدیدات که مستقیماً از اینترنت وارد می‌شود، مواجه است. در محیط‌های OT تهدیدات شامل نقض‌های امنیتی به‌خصوص تجهیزات کنترل فرایند، سیستم‌های امنیتی و خطوط تولیدی است.  هم برای IT و هم OT، مجموعه مهارت‌های متنوعی با اولویت‌های متفاوت براساس نوع کاری که انجام می‌شود و رخدادی که اتفاق می‌افتد وجود دارد.

در IT اگر هشداری بیان کند که کاربر X، عمل Y را انجام می‌دهد یا هشدار بدافزار Z به صدا دربیاید، امنیت سایبری که مسئول رسیدگی به آن شرایط است، به‌خوبی درک می‌شود. اما در OT انواعی از تکنولوژی‌ها و فروشندگان اختصاصی چندین دهه فعالیت کرده‌اند و این منجر به تولید مقدار خیلی زیادی هشدار برای تیم‌هایی شده که روی عملیاتی و ایمن نگه داشتن یک مرکز متمرکز هستند.