هر کسی که چارچوبهای قدیمی امنیت سایبری سازمانی یا IT را بشناسد، باید با قابلیتهای مدیریت رخداد و Logging از طریق یک تکنولوژی به نام SIEM نیز آشنا باشد.
NIST، COBIT، ISO و حتی PCI این قابلیت را یک قابلیت ضروری میدانند. اما در یک محیط فناوری عملیاتی یا OT، باید بتوانیم به سؤالات زیر در مورد تکنولوژی مدیریت رخداد و اطلاعات امنیت پاسخ دهیم.
- کاربرد و هدف SIEM (فارغ از IT یا OT) چیست؟
- تفاوت بین IT SIEM و یک OT SIEM چیست؟
- چه عواملی نیاز به OT SIEM را ایجاد میکنند؟
- معماری مرجع برای OT SIEM چیست؟
سامانه SIEM چیست
سامانه مدیریت وقایع و امنیت اطلاعات یا SIEM سیستمی است که منابع مختلفی از اطلاعات سایبری (امنیتی یا غیره) را برای ذخیرهسازی، هشدارها، پاسخگویی و گزارشگیری، جمعآوری کرده، Parse و آنالیز میکند. هشدارها، اخطارها و مبناهای اصلی دریافت میشوند و تحلیلگران، سیستمهای خودکار و تیمهای امنیتی نسبت به آنها اقدام مینمایند تا ریسکهای سایبری شناسایی شده و برای رفع آنها اقداماتی انجام گردد.
سامانه SIEM معمولاً دارای چند کاربرد اصلی است:
سامانه SIEM یک سیستم متمرکز را برای دریافت، یکپارچهسازی و تجزیه داده فراهم میکند، آن را برای کاربردهای کوتاهمدت و بلندمدت دستهبندی میکند و برای زمانی که از یک آستانه عبور شود یا اتفاق از پیشتعیینشدهای رخ دهد، یک سیستم هشداردهی را فراهم مینماید.
این اتفاقات یا آستانهها از برنامه کاربردی یک سیستم ایجادکننده گرفته میشوند، از یادگیری ماشین، آمار یا فرآیندهای استنتاجی و همچنین از موارد کاربردی انسانی یا مبتنی بر چارچوب، بهره میبرند.
نهایتاً هدف یک سامانه SIEM این است که پیامهایی را دریافت کند (معمولاً در قالب Syslog و رخداد ویندوز)، آنها را برای عملکردهای امنیت سایبری در دسترس قرار دهد و براساس آنها هشداردهی کند تا تیمهای امنیتی بتوانند بهطور کارآمدی فرایندها و رویههای تعریفشده را برای مدیریت تهدید به اجرا درآورند. برای درک بهتر این مسئله به این مثال توجه کنید:
فرض کنید که یک کسبوکار کوچک یا متوسط دارید که دارای یک زیرساخت همگرا است. سیستمهای ویندوزی برای حسابهای قابل پرداخت و همچنین پردازش و توزیع سفارشات فروشگاه و کارهای مرتبط مورد استفاده قرار میگیرند. هر دوی این عملکردها حیاتی هستند اما یکی از آنها مرتبط به IT و دیگری مرتبط به OT است.
حالا بیایید تصور کنیم که فرد مسئول رایانهی حسابهای قابلپرداخت یک ایمیل فیشینگ را باز میکند، مهاجمی بدافزاری را روی آن سیستم قرار میدهد و خوشبختانه آنتیویروس آن سیستم با ایجاد یک هشدار آن را شناسایی میکند.
این یک مثال ساده است، اما در مورد بدافزارهای متداول، لازم است سیستمهای سازمانی که منابع خود را مدیریت میکند، Logهایی را برای تجزیهوتحلیل، رسیدگی به کارها و آموزش به یک سیستم ایمن Forward نماید. در این مورد بدافزار پیدا شد (مثلاً حملهی باجافزاری عظیمی رخ نداد)، اما شاید فرد مسئول حسابهای قابلپرداخت به آموزشی نیاز داشته باشد تا از فیشینگ آگاه شود یا به مدیر خود سری بزند.
بهطور خلاصه، سامانه SIEM با جستجوی رفتارها و هشدارها در دادههایی که از چند سرمایهگذاری یا تکنولوژی امنیت سایبری ایجاد میشوند و استثنا قائل شدن برای منبعی که نسبت به آن اقدام انجام میشود، ارزش خود را نشان میدهد.
IT SIEM و OT SIEM چه تفاوتی با هم دارند
بحثهای زیادی در مورد نیاز به یک مرکز عملیات امنیتی OT یا OT SOC برای مانیتورینگ، تنظیم و استفاده از SIEM وجود دارد. سؤال دیگری نیز در مورد ارزش یک OT SIEM و تفاوت آن با IT SIEM وجود دارد.
۴ تفاوت بین IT SIEM و OT SIEM
- داده: داده در OT SIEM باید شامل اطلاعات پردازششده برای بهبود بینشهایی از هشدارها و کاهش منفیهای کاذب از تغییرات عملیاتی و شناسایی مشکلات فرایندی بالقوه باشد.
- تجزیهوتحلیل:IT معمولاً با تهدیدات سایبری مقابله میکند که روی محرمانگی، یکپارچگی و دسترسپذیری تأثیر میگذارند، درحالیکه فناوری عملیاتی یا OT مربوط است به امنیت، قابلیت اطمینان و بهرهوری. همانطور که میتوانید تصور کنید، با توجه به همگرایی و ارتباط متقابل شبکههای امروز، تهدیدات و سیستمها و زیرساختها از جوانب بسیاری همپوشانی دارند. مهندسان و اپراتورهای سایت باید بهسرعت اطلاعات منابع را به یک رخداد مرتبط کنند تا موقعیت بهخصوصی را اولویتبندی نمایند و فرایندی را به اجرا درآورند (مثلاً فشار دادن یک کلید خاموش قرمز یا Re-image کردن یک سیستم).
- قابلیت دید: عملکردهای سامانه SIEM در یک انبار دادهی مرکزی که در دیتاسنتر سازمانی قرار گرفته است مانیتور میشوند. قابلیت دید به مرکز عملیات امنیتی محدود است. اما در OT، یک تجزیهوتحلیل و پاسخ قوی نیازمند این است که تکنسینهای OT به دادهها و تجزیهوتحلیل دسترسی داشته باشند تا علت اصلی را کشف کنند.
- ROI: تکنولوژی IT SIEM یک ابزار امنیتی مطلق است که با کاهش ریسک حملات سایبری ارزش خود را نشان میدهد. OT SIEM بهعنوان یک ابزار عملیاتی عمل میکند که با جلوگیری از قطعیها به دلیل الگوهای ناهنجاری که هیچ عامل مخربی ندارند، بلکه از نقص یا مشکلی حاصل میشوند، زمان کارکرد دستگاه را بهبود میبخشد. این ابزار دارای موارد کاربرد زیر است:
- حفظ و نگهداری پیشبینیکننده و مانیتورینگ منابع
- سیستمهایی که ناگهان آفلاین میشوند
- شناسایی منابع ناپایدار (حتی شاید دستگاههای متخلف)
- هشدارهای امنیتی برای تهدیدات سایبری قدیمی یا دسترسیهای غیرمجاز
- دسترسی غیرمنتظره به سیستم یا رفتارهای دارای خطای سیستم
- قطع کردن دستی هشدارها، خرابیهای فرایند یا هشدارهای خاموش شدن
- الزامات تطبیقپذیری و نظارتی
فارغ از ریشه، همپوشانیهایی بین موارد کاربرد SIEM و تهدیدات سایبری مثل بدافزارهای متداول وجود دارد، اما هر چقدر که در طیف بین IT و OT به سمت یکی از آنها نزدیک شوید، اتفاقات و رخدادهایی که روی هر یک از دو سمت این تأثیر میگذارند متفاوت میشوند.
IT معمولاً با تهدیداتی از سوی بدافزارها، فیشینگ، افشاگریها و نقضهای امنیتی داده و انواعی از تهدیدات که مستقیماً از اینترنت وارد میشود، مواجه است. در محیطهای OT تهدیدات شامل نقضهای امنیتی بهخصوص تجهیزات کنترل فرایند، سیستمهای امنیتی و خطوط تولیدی است. هم برای IT و هم OT، مجموعه مهارتهای متنوعی با اولویتهای متفاوت براساس نوع کاری که انجام میشود و رخدادی که اتفاق میافتد وجود دارد.
در IT اگر هشداری بیان کند که کاربر X، عمل Y را انجام میدهد یا هشدار بدافزار Z به صدا دربیاید، امنیت سایبری که مسئول رسیدگی به آن شرایط است، بهخوبی درک میشود. اما در OT انواعی از تکنولوژیها و فروشندگان اختصاصی چندین دهه فعالیت کردهاند و این منجر به تولید مقدار خیلی زیادی هشدار برای تیمهایی شده که روی عملیاتی و ایمن نگه داشتن یک مرکز متمرکز هستند.