راهکار SIEM مدت زمان زیادی است که در مورد استفاده قرار گرفته، با این حال به نظر میرسد این فناوری همچنان به خوبی درک نشده باشد. علاوهبراین، گسترش قابلتوجه فناوری طی سالهای گذشته، نه تنها درک این فناوری را آسانتر نکرده، که حتی این مهم را دشوارتر نیز نموده است. با توجه به این مساله، در این مطلب، چگونگی تغییر بازار SIEM، که نشاندهنده پیدایش SIEMهای نسل بعدی و سرویسهای SIEM مدیریت شده است، را شرح داده و تاثیر آنها بر کسبوکارها را بررسی میکنیم.
تاریخچهای مختصر از SIEM
قبل از پرداختن به چیستی SIEMهای نسل بعدی، لازم است تا خلاصهای از تاریخچه این فناوری و نحوه پیدایش آن ارائه شود. اصطلاح SIEM یا مدیریت وقایع و امنیت اطلاعات[۱] برای اولین بار در سال ۲۰۰۵ توسط مارک نیکولت و امریت ویلیامز از موسسه گارتنر و به عنوان ترکیبی از اصطلاحات مدیریت وقایع امنیتی[۲] (SEM) و مدیریت امنیت اطلاعات[۳] (SIM) به کار رفته است. مارک نیکولت و امریت ویلیامز SIEM را به عنوان فناوری پشتیبانیکننده از فرایندهای تشخیص تهدید و پاسخ به وقایع امنیتی تعریف کردند که از طریق جمعآوری بلادرنگ و تجزیه و تحلیل سوابق وقایع امنیتی از گسترهی مختلفی از منابع داده محیطی عمل میکند.
قبل از پیدایش SIEM، حجم زیاد هشدارهای ایجاد شده توسط سیستمهای پیشگیری از نفوذ[۴] (IPS) و سیستمهای شناسایی نفوذ[۵] (IDS) به شدت بخشهای IT سازمانها را تحت فشار قرار میداد. این مساله منجر به این شد تا سازمانها رویکرد فعالانهتری را نسبت به امنیت به کار گیرند، چرا که دریافتند که فناوریهای امنیتی بازدارنده دیگر به تنهایی کافی نیستند. توسعه SIEM نیز به دلیل لزوم رسیدگی به این مساله صورت گرفت. این فناوری، با کمک به سازمانها در تجمیع وقایع و تجزیه و تحلیل بهتر رویدادهای درون شبکه، به بهبود فرایند تشخیص تهدید کمک میکند.
ابزارهای SIEM به کار رفته در آن زمان، که در ادامه این مطلب آنها را ابزارهای SIEM سنتی مینامیم، عمدتا بر جمعآوری و همبستهسازی وقایع امنیتی از منابع مختلفی همچون فایروالها و آنتیویروسها، راهکارهای امنیتی Endpoint، سیستمهای تشخیص نفوذ، و همچنین زیرساختهای شبکه مانند سرورها و نقاط دسترسی بیسیم[۶] متمرکز بودند.
مشکلات SIEMهای سنتی
پس از معرفی فناوری SIEM، به سرعت، بسیاری از سازمانهای رده بالا که شدیدا خواستار ارتقاء وضعیت امنیت سایبری خود بودند، به استفاده از این فناوری روی آوردند. با این حال، گذر زمان مشکلات SIEMهای سنتی را مشخص نمود. از جمله این مشکلات میتوان به موارد زیر اشاره کرد:
- عدم انعطافپذیری در مجموعههای داده: که با توجه به این مشکل، برخی از ابزارهای SIEM قادر به پردازش دادههای موردنیاز نبوده و کاهش اثرگذاری آنها را در پی داشت.
- دشواری نگهداری و بهکارگیری این ابزارها: که افزایش پیچیدگیهای موجود وهدررفت انرژی منابع انسانی را به دنبال داشت.
- تولید موارد False positive بسیار زیاد: که کار تیم امنیتی را مضاعف میکرد.
- توسعه و پیشرفت نامتناسب راهکارهای SIEM در مقایسه با تهدیدهای در حال توسعه: که این مهم افزایش خطرات سایبری را برای کسبوکارها به دنبال داشت.
پیدایش SIEMهای نسل بعدی
بسیاری از تهدیدهای پیشرفته امروزی، برای جلوگیری از شناسایی، به طور مداوم رفتار خود را تغییر داده و به شکلهای مختلف ظاهر میشوند. با توجه به این موضوع، سامانههای SIEM نه تنها باید دادههای بیشتری را پردازش کنند، بلکه باید در شناسایی الگوهای جدید در دادهها نیز بهتر عمل کنند.
مشکلات و محدودیتهای ذکر شده در مورد سامانههای SIEM سنتی، منجر به پیشبینی از دور خارج شدن این فناوری در میان بسیاری از تحلیلگران شد. با این حال، این پیشبینیها به حقیقت نپیوست و تا به امروز نیز همچنان SIEM به عنوان یک فناوری کلیدی مورد استفاده توسط کسبوکارها باقی مانده است. بدین منظور، این فناوری تنها نیاز به تکامل داشت.
در حالی که قبلا سیستمهای SIEM تنها از تعداد انگشتشماری از منابع داده استفاده مینمودند، SIEMهای نسل بعدی برای پردازش گسترده و حجم بیشتری از داده (چه رویدادهای امنیتی و چه رویدادهای غیرامنیتی) و همچنین، برای همبستهسازی به موقع آنها، توسعه یافتند.
تحلیلهای صورت گرفته نشان میدهد که ارزش بازار SIEM در سال ۲۰۱۸ با رشد ۱۲.۴ درصدی نسبت به سال قبل، به سه میلیارد دلار و با رشد سالانه ۲۰ درصدی به ۴.۲ میلیارد دلار در سال ۲۰۲۰ رسیده است. یکی از دلایل رشد ایجاد شده این است که SIEMهای نسل بعد، علاوه بر سازمانهای بزرگ، توسط سازمانهای با اندازه متوسط نیز مورد استفاده قرار میگیرد.
قابلیتهای SIEMهای نسل بعدی
SIEMهای نسل بعدی، که گاهی از آنها با عنوان SIEMهای مبتنی بر تجزیه و تحلیل[۷] یا SIEM 3.0 یاد میشود، قابلیتهای جدیدی را در اختیار سازمانها و تیمهای امنیتی آنها قرار دادهاند. در حال حاضر، سیستمهای SIEM:
- به واسطه معماری باز، یکپارچهسازی سریع با زیرساختهای سازمانی جهت پوشش Cloud، On-premise و داراییهای BYOD[۸] را مقدور میسازند.
- شامل ابزارهای مصورسازی بلادرنگ جهت تشخیص و شناخت مهمترین و پرخطرترین فعالیتها هستند.
- از روشهای تجزیه و تحلیل سناریو و رفتار برای ثبت و ضبط سناریوهای کاملا شناخته شده و مشخص کردن تغییرات قابل توجه در رفتار استفاده میکنند.
- از طریق منابع شخصی، آزاد و تجاری به یکپارچهسازی با هوش تهدید و استفاده از آن میپردازند.
- چارچوبی انعطافپذیر ارائه میدهند که امکان پیادهسازی جریان کاری سفارشی برای موارد استفاده اصلی سازمانی را فراهم میکند.
- با هدف مدیریت و اولویتبندی خطرات، وضعیت را نسبت به چارچوبهای نظارتی (مانند PCI DSS) ارزیابی میکنند.
هماهنگسازی، خودکارسازی و پاسخگویی در امنیت[۹] یا SOAR
هماهنگسازی، خودکارسازی و پاسخگویی در امنیت (SOAR) یک حوزه در حال رشد امنیت است که ارائهدهندگان SIEMهای نسل بعدی از آن برای کمک به فعال کردن آخرین قابلیتها استفاده میکنند. SOAR ذاتا دارای دو ویژگی اساسی است:
- SOAR وارد کردن دادههای بیشتر به SIEM برای تجزیه و تحلیل را ممکن میسازد: SOAR به فناوری SIEM کمک میکند تا هوشمندتر و کلان-داده محور شده و بدین طریق، اتخاذ تصمیمهای سریعتر و آگاهانهتر توسط تیمهای امنیتی را ممکن مینماید. هوش بیشتر به معنای قابل اعتمادتر بودن نتایج شناسایی تهدید و موارد False positive کمتر خواهد بود.
- SOAR به پاسخدهی خودکار وقایع کمک میکند: یک جنبه مهم دیگر که فناوری SOAR از آن طریق بر تکامل SIEMهای نسل بعد اثرگذار بوده، کمک به استانداردسازی فرایندهای تجزیه و تحلیل و پاسخگویی به وقایع است؛ با این هدف که جهت کاهش آسیب و اختلال احتمالی حاصل از نقضهای امنیتی، تمام یا بخشی از فعالیتهای پاسخدهی خودکار شود. از جمله فعالیتهای پاسخدهی اینچنینی میتوان به قفل نمودن حسابهای کاربری به مخاطره افتاده و مسدودسازی آدرسهای IP بر روی فایروالها اشاره کرد. در این راستا، فناوری SOAR با خودکارسازی اقدامات روزمره، به تیمهای امنیتی کمک میکند تا کاراتر شده و با افزایش زمان آزاد خود بتوانند بر شکار تهدید و مدیریت وصلهها[۱۰] متمرکز شوند.
تجزیه و تحلیل رفتار کاربران و موجودیتها[۱۱] یا UEBA
یک ویژگی مهم دیگر SIEMهای نسل بعدی، استفاده از تجزیه و تحلیل رفتار کاربران و موجودیتها (UEBA) است. راهکارهای UEBA در عوض ردیابی رویدادهای امنیتی یا نظارت بر دستگاهها، بر نظارت و تجزیه و تحلیل رفتار کاربران یک سازمان متمرکز هستند. این راهکارها میتوانند در شناسایی حسابهای کاربری به مخاطره افتاده و همچنین تهدیدهای درونی به سازمانها کمک کنند. راهکارهای UEBA از تکنیکهای یادگیری ماشینی و ایجاد پروفایل رفتاری[۱۲] پیشرفته برای شناسایی فعالیتهای غیرعادی مانند حسابهای به مخاطره افتاده و سوءاستفاده از امتیازات استفاده میکند. با توجه به عدم استفاده از روشهای نظارت مبتنی بر قاعده، این راهکارها در طول زمان به طور موثرتر قادر به شناسایی ناهنجاریها هستند.
راهکار SIEM as-a-service
از آنجا که SIEMهای نسل بعدی سازمانها را قادر به نظارت بر محیطهای ابری میسازند، بنابراین بهکارگیری فزاینده این فناوری در فضای ابری نباید تعجببرانگیز باشد. همچنین، استفاده از IaaS، PaaS و SaaS، به همان دلایلی که برای برنامههای تجاری منطقی به نظر میرسند، برای میزبانی از یک SIEM نسل بعدی در فضای ابری نیز بسیار مناسب هستند.
مزایای SIEM as-a-service
- بهکارگیری سریع و راحت
- هزینههای عملیاتی کم
- بهروزرسانیهای خودکار
- صدور صورتحساب با توجه به میزان مصرف
- زیرساخت آزموده و مقیاسپذیر
در حال حاضر، SIEM با گسترش بازار خود را مناسب سازمانهایی با اندازه متوسط نیز نموده است. این فناوری، همچنین خود را به گزینهای جذاب برای سازمانهایی که به خاطر مسائل فصلی، ترافیک شبکه متفاوتی را در بازههای زمانی مختلف تجربه میکنند، تبدیل کرده است.
موسسه گارتنر پیشبینی کرده که تا سال ۲۰۲۳، ۸۰% از راهکارهای SIEM قابلیتهایی مانند ذخیرهسازی Logها، تجزیه و تحلیلها و مدیریت وقایع خواهند داشت که تنها از طریق فناوریهای ابری ارائه میشوند. این مقدار در سال ۲۰۱۸ برابر با ۲۰% بوده است و این تغییر نشانگر اهمیت SIEM as-a-service است.
چالشهای مدیریت و نظارت بر SIEMهای نسل بعدی
علیرغم پیشرفتهای غیرقابلانکار در شناسایی تهدیدهای سایبری پیچیده، در صورت بهکارگیری و نگهداری نامناسب، SIEMهای نسل بعدی نیز ممکن است هشدارهای زیادی ایجاد کنند. این مساله، یعنی جستجو در بین هشدارهای ایجاد شده برای شناسایی مشکلات امنیت شبکه واقعی، میتواند برای سازمانهایی که دچار کمبود منابع IT و کارکنان امنیتی اختصاصی هستند، بسیار پیچیده و زمانبر باشد.
حتی پس از شناسایی تهدیدهای واقعی، دانستن نحوه پاسخدهی به آنها نیز میتواند چالشبرانگیز باشد. بسیاری از سازمانهایی که به پیادهسازی و بهکارگیری SIEMهای نسل بعدی روی میآورند، اغلب این کار را بر اساس فوریت و نیاز شدید انجام میدهند؛ اما به دلیل کمبود آگاهی و مهارتهای درونسازمانی، برای فهم کامل قدرت این فناوری دچار مشکل میشوند. بهرهبرداری بیشتر از SIEM برای کمک به رفع چالشهای امنیتی در حال گسترش، علاوه بر الگوریتمهای هوشمندتر، به کارکنان با آموزش بهتری که بتوانند به طور کاراتر از سیستمها استفاده کرده و اعتبارسنجی هشدارها را انجام دهند، نیاز دارد. بنابراین، کار کردن با یک ارائهدهنده بیرونی که قادر به پوشش یا تقویت ظرفیتهای امنیتی باشد، راهکاری معقول برای سازمانهای فاقد ظرفیت یا دانش درونسازمانی است. یک سرویس SIEM مدیریت شده میتواند با ارائه تخصص خود به صورت شبانهروزی و تمام وقت، به سازمانها در جبران کمبود منابع موجود کمک کرده و همچنین با فراهمسازی هوشمندی و ابزارهای بیشتر در بیشینه کردن ارزش SIEMهای نسل بعدی، این سازمانها را یاری کند.
منبع:
https://www.redscan.com/news/what-is-a-next-gen-siem
[۱] Security information and event management
[۲] Security event management
[۳] Security information management
[۴] Intrusion prevention system
[۵] Intrusion detection system
[۶] Wireless access point
[۷] Analytics-driven
[۸] Bring your own device
[۹] Security Orchestration, Automation and Response
[۱۰] Patch
[۱۱] User & Entity Behavior Analytics
[۱۲] Profiling