نکات مهم در خرید سامانه SIEM و پیاده‌سازی SOC

اگر قصد خرید SIEM یا پیاده سازی SOC  داخل سازمان خود دارید و یا اینکه نتیجه مطلوبی از پیاده‌سازی اینگونه پروژه‌ها نداشته‌­اید، به شما پیشنهاد می‌کنیم این مقاله را مطالعه نمائید.

امروزه بسیاری از سازمان‌­ها در حوزه ارتقای امنیت اطلاعات در برابر تهدیدات سایبری سرمایه‌گذاری (نه هزینه) می‌­کنند که عموما  با خرید تکنولوژی­‌های پیشرفته با هزینه‌­های بالا در این زمینه همراه است. اما با توجه به میزان سرمایه‌گذاری‌­های انجام شده، همچنان امنیت سازمان‌­ها در سطح مطلوب قرار نداشته و روزانه شاهد افزایش تعداد حملات و درز اطلاعات مهم از سازمان‌­ها هستیم. واقعا ایراد کار از کجاست؟ اگر بخواهیم کوتاه و سریع پاسخ داده باشیم عدم برنامه‌ریزی صحیح و طراحی مناسب در استقرار و بهره­‌برداری از مرکز SOC در یک سازمان از مهم­ترین عوامل شکست این پروژه­‌ها است.

شرکت Mandiant در گزارش­‌های امنیتی خود که نتیجه بررسی وضعیت امنیتی سازمان­‌های مختلف در جهان بوده است متوسط تشخیص یک حمله سایبری در یک شرکت را ۹۹ روز اعلام می­‌کند. آیا این مدت زمان که تقریبا معادل یک سوم از سال است برای تشخیص یک حمله سایبری در یک سازمان قابل قبول است؟ یا نتیجه تحقیقات موسسه EY بر روی ۱۸۰۰ سازمان در جهان نشان می‌دهد ۴۷ درصد سازمان­‌ها SOC ندارند، ۵۷ درصد سازمان­‌ها با کمبود نیروی متخصص در این حوزه مواجهند و تنها ۲۱ درصد از یک سامانه SIEM به صورت صحیح و موثر استفاده می‌­کنند. نتیج‌ه­ای که از این گزارش می‌­توان گرفت این است که بسیاری از­ سازمان‌­ها سامانه SIEM دارند ولی به صورت تاکتیکی از آن استفاده نمی­‌کنند. این موضوع یک مشکل و دغدغه جهانی است.

موسسه MITRE برای مرتفع کردن این دغدغه در کتاب ” Ten Strategies of a world Class Cybersecurity Operations Center ” برای داشتن یک SOC موفق  موارد ذیل را پیشنهاد می‌­دهد:

• کیفیت دانش کارکنان را به کمیت آن­ها ترجیح دهید.
• از تکنولوژی­‌های خریداری شده ماکزیمم بهره‌برداری را داشته باشید.
• هر نوع داده­ را از شبکه جمع­‌آوری نکنید.

• کیفیت دانش کارکنان

در یکSOC ، کیفیت تحلیل­‌ها به مراتب از تعداد تحلیل­‌های انجام شده اهمیت بیشتری دارد که این موضوع در ارتباط تنگاتنگی با کیفیت دانش پرسنل واحد SOC است.  می­توان ویژگی کلیدی پرسنل واحد مرکز عملیات امنیت را در سه سوال ذیل خلاصه نمود.

ذهنیت: آیا کارمندان این واحد با اشتیاق و حس اینکه سرمایه‌های شرکت یا سازمان بوده و مجموعه برای آن‌ها سرمایه‌گذاری کرده است در محل کار خود حاضر می‌­شوند؟

دانش: آیا آن‌­ها در مورد روش­‌های نفوذ به شبکه و دفاع در برابر تهدیدات، دانش لازم را دارند؟

مهارت: آیا آن­ها مهارت­‌های تکنیکالی و نرم، برای کار در تیم SOC را دارند؟

• حداکثر بهره‌برداری از تکنولوژی­

امروز برای پیاده‌­سازی و استقرار واحد SOC در یک سازمان، تکنولوژی­‌های متنوع SIEM به صورت گسترده در دسترس است. متاسفانه اکثر سازمان­‌ها تمرکز اصلی را بر روی انتخاب و خرید تکنولوژی می­‌گذارند در صورتی که مسئله تامین نیروی متخصص و طراحی فرآیند­های اثربخش، یکی از مهم­ترین عوامل شکست پروژه‌­های SOC درون سازمان­‌ها به حساب می­‌آیند.

موسسه SANS به عنوان یکی از معتبرترین مراجع آموزشی در حوزه امنیت فناوری اطلاعات معتقد است حتی با یک ابزار SIEM  متن باز که به مراتب ممکن است امکانات و قابلیت‌­های آن از یک ابزار تجاری پائین‌­تر باشد می‌­توان یک واحد SOC با بالاترین کیفیت و اثربخشی را در یک سازمان ایجاد نمود. البته به شرط آنکه در سازمان دانش استفاده و به کارگیری آن تکنولوژی وجود داشته باشد و در طراحی­‌ها حداکثر بهره‌برداری از قابلیت­‌های آن محصول به کار رود.

• هر نوع داده را از شبکه جمع آوری نکنید

موضوع اینکه چه نوع داده و چه میزان از آن­ جهت تحلیل و آنالیز در یک سامانه SIEM مورد نیاز است یکی از مهم­ترین مسائل در ایجاد یک مرکز SOC کارآمد و موثر در یک سازمان است. بدیهی است اگر داده‌­ها به اندازه کافی جمع‌آوری نشوند عملیات جستجو برای کشف تهدیدات بر روی داده­‌های اندک، کاری بسیار دشوار و حتی در بعضی از مواقع غیرممکن بوده و در نقطه مقابل در برابر حجم وسیع داده­‌ها، پیچیدگی و سردرگمی در جستجو برای کشف تهدیدات به مراتب بیشتر شده و ممکن است تیم SOC چابکی و سرعت عمل لازم در تشخیص را نداشته باشد. هر سازمان باید با توجه به نوع کسب و کار و ساختار شبکه خود، نقطه مناسب در این موضوع را پیدا نماید که این یکی از مهم­ترین قسمت‌هایی است که باید در فاز طراحی قبل از استقرار و یا حتی قبل از خرید تکنولوژی مورد توجه قرار گیرد.

اینکه چه چیزی را جمع‌آوری نمائیم و چه چیزی را تحلیل کنیم نیاز به تجربه و دانش بالا دارد زیرا امروزه در یک شبکه ساده تجهیزات و سرویس­‌های مختلفی نظیر Firewall،Switches ، IDS/IPS، Proxy، Application Logs، Vulnerability Scanners، Network Security Monitoring و… وجود دارد که انتخاب آن­‌ها برای دریافت اطلاعات امنیتی تمامی ندارد. اضافه شدن هر سامانه به پیچیدگی کار اضافه می‌­کند. حتی دانستن نحوه تحلیل این داده­‌ها نیز دشوار است. در اکثر موارد سازمان­‌ها تمایل دارند تمام لاگ‌­ها و اتفاقات سازمان را در سامانه SIEM جمع آوری کنند. برای اینکه دید شهودی از این تصمیم داشته باشیم به تصویر زیر نگاه کنید و در کمتر از یک دقیقه قوطی کنسرو ماهی را پیدا نمائید.

جمع آوری تمام اتفاقات و لاگ‌­های سازمان این مزیت را ایجاد می­‌کند که هر اتفاق رخ داده در سازمان ذخیره شود و همه اتفاقات اعم از رخدادهای بسیار مهم تا کاملا بی­ارزش را با هم داشته باشیم. اما این ایراد وجود دارد که عملیات جستجو و پایش را خیلی سخت و پرهزینه کرده که به مراتب بسیار آهسته انجام می­‌پذیرد. در مقابل رویکرد جمع‌آوری تنها لاگ­‌های مورد نیاز می‌­تواند مشکل رویکرد قبلی را حل نموده و با سرعت بیشتر و هزینه به مراتب پائین‌­تر عملیات جستجو و پایش را انجام داد اما این احتمال وجود دارد که شما مواردی را از دست بدهید که از نیاز به آنها اطلاعی ندارید و در روز واقعه به آن‌ها احتیاج داشته باشید. اما راهکار پیشنهادی ترکیب این دو رویکرد است به نحوی که ابتدا تمامی لاگ‌­ها را جمع‌آوری کرده و به مرور زمان، اطلاعات نویزی را حذف می­‌کنیم که این رویکرد نیاز به نگهداری و تنظیم مداوم دارد. یکی از مهم­ترین بخش­‌های ایجاد بلوغ در پروژه­‌های SOC سازمان توجه به این امر مهم است.

امروزه نکته قابل توجه در دنیای پر سر و صدای خرید سامانه­‌های SIEM این است که داشتن یک سامانه SIEM شرط لازم برای ره‌اندازی مرکز SOC است اما شرط کافی برای این مهم نیست. برای دست یافتن به این موضوع نیاز به یک سامانه SIEM تاکتیکی داریم. تصویر زیر تفاوت این دو رویکرد را نشان می‌­دهد.

برنامه­ ریزی و طراحی

برنامه ریزی و طراحی استقرار یک پروژه SIEM نیاز به دانش و تجربه فراوان در این زمینه دارد و عموما در یک سازمان پروسه زمان­‌بری محسوب می‌شود. مباحثی نظیر استراتژی نحوه دریافت لاگ­‌ها، پیش­بینی میزانEPS[۱]، محاسبه میزان Storage، ماندگاری اطلاعات[۲]، نقش‌ها و تخصص‌های مورد نیاز، فرآیندهای ارائه سرویس SOC و… باید در این مرحله در نظر گرفته شود.

تخمین EPS واقعی سازمان یکی از موارد کلیدی در مشخص کردن میزان منابع مورد نیاز برای ذخیره­‌سازی لاگ‌­های جمع­‌آوری شده است. سخت‌افزار و نرم­‌افزارهای انتخاب شده در یک پروژه SOC باید قابلیت تحمل و کارایی لازم برای دریافت کامل EPS واقعی سازمان را داشته باشند. در کنار تخمین میزان واقعی EPS یک سازمان، باید طول لاگ­‌های تولید شده توسط تجهیزات نیز مورد بررسی قرار گیرد. زیرا طول لاگ‌­ها تاثیر بالایی بر روی عملکرد Parsing سامانه و حجم فضای مورد نیاز برای  ذخیر‌ه‌­سازی لاگ‌ها دارد. میزان EPS دریافتی همیشه یک عدد ثابت نیست و با توجه به پیک کاری آن سازمان ممکن است تا ۵۰ درصد نوسان داشته باشد. در مواقعی که EPS تخمینی سازمان عدد بالایی است شاید بهتر باشد به جای در نظر گرفتن تعداد تجهیزات، تخمین دقیق از هر تجهیز بررسی شود. به طور مثال ممکن است یک سرور EPSی معادل با ۰۰۵/۰ و یک سرور دیگر EPSی معادل با ۱ داشته باشد که تفاوت آن­ها ۲۰۰ برابر است.

محاسبه Storage و پیش­بینی میزان فضای مورد نیاز برای ذخیره‌­سازی لا‌گ‌­های سازمان، شاید یکی از حساس‌­ترین و مهم­ترین بخش‌های طراحی یک مرکز SOC ­باشد. با توجه به هزینه‌­های بالای خرید تجهیزات ذخیر‌ه‌سازی، عدم توجه مناسب به این بخش می‌تواند منجر به شکست کل پروژه یا حتی توقف آن قبل ازشروع شود. بهترین روش برای محاسبه دقیق میزان Storage مورد نیاز در یک پروژه، انجام فاز شناخت دقیق و جمع­‌آوری کامل اطلاعات مورد نیاز در این حوزه است. نمونه سوالاتی که در این فاز باید به آن­ها پاسخ داده شود:

• تکنولوژی انتخابی از چه الگوریتم‌­های فشرده‌سازی استفاده می­‌کند؟
• سیاست ذخیره‌سازی لاگ­‌ها در سازمان چگونه است؟ آیا لاگ‌­ها حتما باید به صورت خام ذخیره‌سازی شوند؟
• سیاست‌­های نگهداری لاگ‌­ها بر اساس داده­‌ها Hot ،Warm و Cold در سازمان به چه نحوی است؟

• نتیجه‌گیری

در پایان نکات کلیدی که باعث شکست در اجرای موفق یک پروژهSIEM  می‌­شوند را می­توان به شرح ذیل جمع‌­بندی نمود.

• عدم طراحی مناسب و تهیه نقشه راه برای سازمان
• عدم وجود تجربه و دانش لازم در تیم­‌های پیاده‌ساز
• تمرکز بر روی جمع‌­آوری تمام لاگ­‌ها به جای تحلیل و آنالیز آنها
• عدم تامین تیم متخصص یا عدم سرمایه‌گذاری بر روی دانش تیم

[۱] Event Per Second

[۲] Data Retention