اگر قصد خرید SIEM یا پیاده سازی SOC داخل سازمان خود دارید و یا اینکه نتیجه مطلوبی از پیادهسازی اینگونه پروژهها نداشتهاید، به شما پیشنهاد میکنیم این مقاله را مطالعه نمائید.
امروزه بسیاری از سازمانها در حوزه ارتقای امنیت اطلاعات در برابر تهدیدات سایبری سرمایهگذاری (نه هزینه) میکنند که عموما با خرید تکنولوژیهای پیشرفته با هزینههای بالا در این زمینه همراه است. اما با توجه به میزان سرمایهگذاریهای انجام شده، همچنان امنیت سازمانها در سطح مطلوب قرار نداشته و روزانه شاهد افزایش تعداد حملات و درز اطلاعات مهم از سازمانها هستیم. واقعا ایراد کار از کجاست؟ اگر بخواهیم کوتاه و سریع پاسخ داده باشیم عدم برنامهریزی صحیح و طراحی مناسب در استقرار و بهرهبرداری از مرکز SOC در یک سازمان از مهمترین عوامل شکست این پروژهها است.
شرکت Mandiant در گزارشهای امنیتی خود که نتیجه بررسی وضعیت امنیتی سازمانهای مختلف در جهان بوده است متوسط تشخیص یک حمله سایبری در یک شرکت را ۹۹ روز اعلام میکند. آیا این مدت زمان که تقریبا معادل یک سوم از سال است برای تشخیص یک حمله سایبری در یک سازمان قابل قبول است؟ یا نتیجه تحقیقات موسسه EY بر روی ۱۸۰۰ سازمان در جهان نشان میدهد ۴۷ درصد سازمانها SOC ندارند، ۵۷ درصد سازمانها با کمبود نیروی متخصص در این حوزه مواجهند و تنها ۲۱ درصد از یک سامانه SIEM به صورت صحیح و موثر استفاده میکنند. نتیجهای که از این گزارش میتوان گرفت این است که بسیاری از سازمانها سامانه SIEM دارند ولی به صورت تاکتیکی از آن استفاده نمیکنند. این موضوع یک مشکل و دغدغه جهانی است.
موسسه MITRE برای مرتفع کردن این دغدغه در کتاب ” Ten Strategies of a world Class Cybersecurity Operations Center ” برای داشتن یک SOC موفق موارد ذیل را پیشنهاد میدهد:
- کیفیت دانش کارکنان را به کمیت آنها ترجیح دهید.
- از تکنولوژیهای خریداری شده ماکزیمم بهرهبرداری را داشته باشید.
- هر نوع داده را از شبکه جمعآوری نکنید.
- کیفیت دانش کارکنان
در یکSOC ، کیفیت تحلیلها به مراتب از تعداد تحلیلهای انجام شده اهمیت بیشتری دارد که این موضوع در ارتباط تنگاتنگی با کیفیت دانش پرسنل واحد SOC است. میتوان ویژگی کلیدی پرسنل واحد مرکز عملیات امنیت را در سه سوال ذیل خلاصه نمود.
ذهنیت: آیا کارمندان این واحد با اشتیاق و حس اینکه سرمایههای شرکت یا سازمان بوده و مجموعه برای آنها سرمایهگذاری کرده است در محل کار خود حاضر میشوند؟
دانش: آیا آنها در مورد روشهای نفوذ به شبکه و دفاع در برابر تهدیدات، دانش لازم را دارند؟
مهارت: آیا آنها مهارتهای تکنیکالی و نرم، برای کار در تیم SOC را دارند؟
- حداکثر بهرهبرداری از تکنولوژی
امروز برای پیادهسازی و استقرار واحد SOC در یک سازمان، تکنولوژیهای متنوع SIEM به صورت گسترده در دسترس است. متاسفانه اکثر سازمانها تمرکز اصلی را بر روی انتخاب و خرید تکنولوژی میگذارند در صورتی که مسئله تامین نیروی متخصص و طراحی فرآیندهای اثربخش، یکی از مهمترین عوامل شکست پروژههای SOC درون سازمانها به حساب میآیند.
موسسه SANS به عنوان یکی از معتبرترین مراجع آموزشی در حوزه امنیت فناوری اطلاعات معتقد است حتی با یک ابزار SIEM متن باز که به مراتب ممکن است امکانات و قابلیتهای آن از یک ابزار تجاری پائینتر باشد میتوان یک واحد SOC با بالاترین کیفیت و اثربخشی را در یک سازمان ایجاد نمود. البته به شرط آنکه در سازمان دانش استفاده و به کارگیری آن تکنولوژی وجود داشته باشد و در طراحیها حداکثر بهرهبرداری از قابلیتهای آن محصول به کار رود.
- هر نوع داده را از شبکه جمع آوری نکنید
موضوع اینکه چه نوع داده و چه میزان از آن جهت تحلیل و آنالیز در یک سامانه SIEM مورد نیاز است یکی از مهمترین مسائل در ایجاد یک مرکز SOC کارآمد و موثر در یک سازمان است. بدیهی است اگر دادهها به اندازه کافی جمعآوری نشوند عملیات جستجو برای کشف تهدیدات بر روی دادههای اندک، کاری بسیار دشوار و حتی در بعضی از مواقع غیرممکن بوده و در نقطه مقابل در برابر حجم وسیع دادهها، پیچیدگی و سردرگمی در جستجو برای کشف تهدیدات به مراتب بیشتر شده و ممکن است تیم SOC چابکی و سرعت عمل لازم در تشخیص را نداشته باشد. هر سازمان باید با توجه به نوع کسب و کار و ساختار شبکه خود، نقطه مناسب در این موضوع را پیدا نماید که این یکی از مهمترین قسمتهایی است که باید در فاز طراحی قبل از استقرار و یا حتی قبل از خرید تکنولوژی مورد توجه قرار گیرد.
اینکه چه چیزی را جمعآوری نمائیم و چه چیزی را تحلیل کنیم نیاز به تجربه و دانش بالا دارد زیرا امروزه در یک شبکه ساده تجهیزات و سرویسهای مختلفی نظیر Firewall،Switches ، IDS/IPS، Proxy، Application Logs، Vulnerability Scanners، Network Security Monitoring و… وجود دارد که انتخاب آنها برای دریافت اطلاعات امنیتی تمامی ندارد. اضافه شدن هر سامانه به پیچیدگی کار اضافه میکند. حتی دانستن نحوه تحلیل این دادهها نیز دشوار است. در اکثر موارد سازمانها تمایل دارند تمام لاگها و اتفاقات سازمان را در سامانه SIEM جمع آوری کنند. برای اینکه دید شهودی از این تصمیم داشته باشیم به تصویر زیر نگاه کنید و در کمتر از یک دقیقه قوطی کنسرو ماهی را پیدا نمائید.
جمع آوری تمام اتفاقات و لاگهای سازمان این مزیت را ایجاد میکند که هر اتفاق رخ داده در سازمان ذخیره شود و همه اتفاقات اعم از رخدادهای بسیار مهم تا کاملا بیارزش را با هم داشته باشیم. اما این ایراد وجود دارد که عملیات جستجو و پایش را خیلی سخت و پرهزینه کرده که به مراتب بسیار آهسته انجام میپذیرد. در مقابل رویکرد جمعآوری تنها لاگهای مورد نیاز میتواند مشکل رویکرد قبلی را حل نموده و با سرعت بیشتر و هزینه به مراتب پائینتر عملیات جستجو و پایش را انجام داد اما این احتمال وجود دارد که شما مواردی را از دست بدهید که از نیاز به آنها اطلاعی ندارید و در روز واقعه به آنها احتیاج داشته باشید. اما راهکار پیشنهادی ترکیب این دو رویکرد است به نحوی که ابتدا تمامی لاگها را جمعآوری کرده و به مرور زمان، اطلاعات نویزی را حذف میکنیم که این رویکرد نیاز به نگهداری و تنظیم مداوم دارد. یکی از مهمترین بخشهای ایجاد بلوغ در پروژههای SOC سازمان توجه به این امر مهم است.
امروزه نکته قابل توجه در دنیای پر سر و صدای خرید سامانههای SIEM این است که داشتن یک سامانه SIEM شرط لازم برای رهاندازی مرکز SOC است اما شرط کافی برای این مهم نیست. برای دست یافتن به این موضوع نیاز به یک سامانه SIEM تاکتیکی داریم. تصویر زیر تفاوت این دو رویکرد را نشان میدهد.
برنامه ریزی و طراحی
برنامه ریزی و طراحی استقرار یک پروژه SIEM نیاز به دانش و تجربه فراوان در این زمینه دارد و عموما در یک سازمان پروسه زمانبری محسوب میشود. مباحثی نظیر استراتژی نحوه دریافت لاگها، پیشبینی میزانEPS[۱]، محاسبه میزان Storage، ماندگاری اطلاعات[۲]، نقشها و تخصصهای مورد نیاز، فرآیندهای ارائه سرویس SOC و… باید در این مرحله در نظر گرفته شود.
تخمین EPS واقعی سازمان یکی از موارد کلیدی در مشخص کردن میزان منابع مورد نیاز برای ذخیرهسازی لاگهای جمعآوری شده است. سختافزار و نرمافزارهای انتخاب شده در یک پروژه SOC باید قابلیت تحمل و کارایی لازم برای دریافت کامل EPS واقعی سازمان را داشته باشند. در کنار تخمین میزان واقعی EPS یک سازمان، باید طول لاگهای تولید شده توسط تجهیزات نیز مورد بررسی قرار گیرد. زیرا طول لاگها تاثیر بالایی بر روی عملکرد Parsing سامانه و حجم فضای مورد نیاز برای ذخیرهسازی لاگها دارد. میزان EPS دریافتی همیشه یک عدد ثابت نیست و با توجه به پیک کاری آن سازمان ممکن است تا ۵۰ درصد نوسان داشته باشد. در مواقعی که EPS تخمینی سازمان عدد بالایی است شاید بهتر باشد به جای در نظر گرفتن تعداد تجهیزات، تخمین دقیق از هر تجهیز بررسی شود. به طور مثال ممکن است یک سرور EPSی معادل با ۰۰۵/۰ و یک سرور دیگر EPSی معادل با ۱ داشته باشد که تفاوت آنها ۲۰۰ برابر است.
محاسبه Storage و پیشبینی میزان فضای مورد نیاز برای ذخیرهسازی لاگهای سازمان، شاید یکی از حساسترین و مهمترین بخشهای طراحی یک مرکز SOC باشد. با توجه به هزینههای بالای خرید تجهیزات ذخیرهسازی، عدم توجه مناسب به این بخش میتواند منجر به شکست کل پروژه یا حتی توقف آن قبل ازشروع شود. بهترین روش برای محاسبه دقیق میزان Storage مورد نیاز در یک پروژه، انجام فاز شناخت دقیق و جمعآوری کامل اطلاعات مورد نیاز در این حوزه است. نمونه سوالاتی که در این فاز باید به آنها پاسخ داده شود:
- تکنولوژی انتخابی از چه الگوریتمهای فشردهسازی استفاده میکند؟
- سیاست ذخیرهسازی لاگها در سازمان چگونه است؟ آیا لاگها حتما باید به صورت خام ذخیرهسازی شوند؟
- سیاستهای نگهداری لاگها بر اساس دادهها Hot ،Warm و Cold در سازمان به چه نحوی است؟
- نتیجهگیری
در پایان نکات کلیدی که باعث شکست در اجرای موفق یک پروژهSIEM میشوند را میتوان به شرح ذیل جمعبندی نمود.
- عدم طراحی مناسب و تهیه نقشه راه برای سازمان
- عدم وجود تجربه و دانش لازم در تیمهای پیادهساز
- تمرکز بر روی جمعآوری تمام لاگها به جای تحلیل و آنالیز آنها
- عدم تامین تیم متخصص یا عدم سرمایهگذاری بر روی دانش تیم
[۱] Event Per Second
[۲] Data Retention