در صورتی که هدف شما تشخیص تهدیدها، انطباق با الزامات، تسریع در پاسخگویی به وقایع یا همه موارد مذکور باشد، این راهنما شما را در راستای آماده شدن جهت استفاده از SIEM و انتخاب یک محصول که در محیط شما به طور مناسب عمل کند، کمک میکند.
گام اول: ابتدا موارد استفاده خود را بشناسید.
در وهله اول چرا به استفاده از SIEM فکر میکنید؟
راهحلهای SIEM مدرن از کسبوکارهای زیاد و موارد استفاده فنی متنوعی مانند امنیت، انطباق با الزامات، تجزیه و تحلیل کلاندادهها و … پشتیبانی میکنند. اما این بدین معنی نیست که هر راهحلی مناسب کسبوکار منحصربهفرد شماست و تمام نیازهای فنی شما را برآورده میکند. بنابراین، مهم است که ارزیابی خود از SIEM را با مشخص کردن موارد استفاده و اهداف خود شروع کنید. دانستن دلایل خود برای پیگیری استقرار یک SIEM به شما کمک میکند تا موارد زیر را مشخص کنید:
- دامنه استقرار یعنی محیطهایی که قرار است بر آنها نظارت شود.
- اولویتها منابع داده مختلف یعنی داراییهایی که قصد جمعآوری log درباره آنها را دارید.
- رویدادها و هشدارهای با اولویت بالا که نیاز به تمرکز بر آنها است.
- معیارهای موفقیت و مراحل برجسته در انجام کار.
گام دوم: تمام محیطهای نیازمند به نظارت را شناسایی کنید.
بر چه داراییهایی باید نظارت کرد و این داراییها در کجا قرار دارند؟
بعد از شناسایی موارد کاربری کلیدی خود، برای رسیدن به اهداف تجاری خود نیاز به شناسایی و نظارت بر تمام داراییهای مرتبط دارید که این خود شامل تمام deviceهای شبکه که اطلاعات مرتبط با امنیت را پردازش میکنند، میباشد.
موارد کاربری شما از SIEM ممکن است مربوط به کسب تاییدیه در حسابرسی انطباق با الزامات بعدی یا محافظت از مالکیت معنوی شرکت باشد. بنابراین شما باید همه appهای حیاتی و دادههایی که کسبوکار شما در راستای پشتیبانی از مشتریان و پایداری کسبوکار به آن متکی است را در نظر بگیرید.
زمان ارزیابی SIEM مطمئن شوید که نحوه نظارت بر تمام داراییهای حیاتی در محیط IT را در نظر گرفتهاید. این داراییها عبارتند از:
- شبکه ها/زیرساخت فیزیکی IT
- Cloud های خصوصی / Virtulized IT (VMware)
- سایت های راه دور و رسانه های خرده فروشی
- Public Cloud Account ها (Azure,AWS)
- محیط های Cloud App/SaaS (Gsuite,Office365,…)
نظارت امنیتی را در طول محیطهای cloud و در محل یکپارچه کنید.
در گذشته شرکتها اغلب دادههای خود را بر روی سیستمهای داخل مرکز داده خود نگهداری میکردند و سنسورهای SIEM بر روی هر شبکه برای جمعآوری و ترکیب تمام logهای رویدادها در طول شبکههای LAN و WAN نصب شده بودند. امروزه شرکتهای بزرگ به طور متوسط از هزار app مبتنی بر cloud در بخشهای مختلف سازمان خود استفاده میکنند. در نتیجه، احتمال زیادی وجود دارد که دادههای مهم کسبوکار یک شرکت روی محیطهای ابری قرار داشته باشد. بنابراین به عنوان قسمتی از تلاش کلی برای نظارت بر تهدیدات بر علیه این دادهها و برای دستیابی به انطباق با الزامات و نشان دادن آن نیاز است تا نظارت امنیتی بر تمام محیطها توسعه یابد. از شبکههای در محل و مراکز داده به cloud، چه محیطهای IaaS/PaaS مانند AWS و Microsoft Azure و چه محیطهای SaaS مانند G suite و office365.
گام سوم: کسب اطلاع در مورد کنترلهای امنیتی SIEM و نحوه یکپارچهسازی با کنترلهای امنیتی موجود.
دید امنیتی کامل نیازمند یک چشمانداز وسیع با استفاده از طیف گستردهای از ابزارهاست.
در حالیکه SIEM در جمعآوری دادههای خام و ایجاد همبستگی مابین آنهاست، همچنان نیاز دارید تا داراییهای نیازمند به نظارت، آسیبپذیریهای این داراییها، نوع ترافیک ورودی و خروجی به شبکه و موارد بسیار دیگری را در راستای تشخیص و پاسخگویی به محدوده وسیعی از تهدیدات برای SIEM مشخص کنید.
این بدین معنی است که برای داشتن دید کامل درباره تهدیدات، SIEM شما باید به طور مناسب با سایر کنترلهای امنیتی شما تعامل کند. با توجه به این مساله، حداقل کنترلهای امنیتی لازم برای تغذیه SIEM شما چه هستند؟
- Asset discovery and inventory
- Vulnerability assessment
- Host based intrusion detection (HIDS)
- Network based intrusion detection (NIDS)
- Network based intrusion detection (NIDS)
این منابع داده را کجا و چگونه باید یافت؟
اگر هنوز بر روی این کنترلهای امنیتی ضروری سرمایهگذاری نکردهاید، احتمالا پلتفرمهایی که شامل کنترلهای نظارت و ارزیابی امنیتی به عنوان بخشی استاندارد از قابلیتهای خود هستند برای شما بسیار مفید خواهند بود.
پلتفرمهای SIEM چندکاره مزیتهای زیادی ایجاد میکنند:
- زمان بهرهوری: در صورت انتخاب یک راهکار SIEM که به خودی خود با دیگر کنترلهای امنیتی ضروری تجمیع شده باشد، به طور چشمگیری به زمان و تلاش کمتری نسبت به تهیه، کاربست، تجمیع و پیکربندی چندین ابزار امنیتی نیاز است.
- صرفهجویی در هزینه: یک SIEM یکپارچه باعث صرفهجویی در هزینههای اولیه و جاری میشود. به جای نیاز به کاربست، نظارت و نگهداری چندین ابزار امنیتی و انطباق با الزامات، یک راهکار یکپارچه نظارت امنیتی کامل و مدیریت انطباق با الزامات را به صورت یک جا ارائه میکند.
- وقت: در استفاده از یک راهکار SIEM یکپارچه، از آنجا که تشخیص به طور بهتری مابین کنترلهای امنیتی درونی هماهنگ شده، هشدارها دقیقتر بوده و قواعد همبستگی به طور دقیق تر تنظیم شدهاند. در نتیجه، هشدارهای اشتباه کمتر شده و زمان بیشتری برای بررسی هشدارهای صحیح وجود خواهد داشت.
اگر در حال حاضر تعدادی از این تکنولوژیهای مرکزی را در اختیار دارید، نیاز دارید تا بدانید برای یکپارچه کردن آنها با ابزار SIEM و همچنین حفظ این یکپارچگی در صورت ایجاد تغییرات به چه چیزی احتیاج دارید. حتما از ارائهدهنده SIEM خود درباره رویکردشان برای یکپارچهسازی سایر ابزارها و زمان مورد انتظار برای ایجاد یکپارچگی موردنظر پرسوجو کنید.
گام چهارم: کسب اطلاع در مورد قواعد همبستگی موتور SIEM.
قواعد همبستگی بسیار مهم هستند.
قسمت مهم و مخفی در هر ابزار SIEMای قسمتی است که با عنوان همبستگی رخدادها[۱] شناخته میشود. این قسمت به فیلتر کردن دادههای خام log وقایع برای یافتن فعالیتهای نشاندهنده وقوع یک رویداد بد (در حال وقوع یا اخیرا وقوعیافته) میپردازد. قواعد همبستگی رویدادها بر اساس درکی از حملات هستند تا زمانی که داده یک رویداد مشخص متناظر با یک حمله در محیط شما مشاهده شود به شما هشدار داده شود. بدون قواعد همبستگی، SIEM شما حتی قادر به صدور یک هشدار نیز نخواهد بود.
چه کسی قواعد همبستگی را مینویسد؟
نوشتن، آزمایش، پیادهسازی و بهروزرسانی قواعد همبستگی رویدادها کاری تمام وقت است که به هوش و تجربه زیادی نیاز دارد. از آنجا که رویدادهای مرتبط با امنیت و ویژگیهای آنها به طور مداوم در حال تغییر هستند، قواعد همبستگی هم باید به طور مداوم توسعه یابند تا سریعا قادر به شناسایی تهدیدات نوظهور و پاسخگویی موثر به آنها باشند. درکی واضح از چگونگی بهروزرسانی قواعد همبستگی توسط ارائهدهنده SIEM خود داشته باشید یا مطمئن باشید که تیم داخلی شما قادر به انجام آن است. اگر شما باید قواعد همبستگی خود را نوشته و بهروزرسانی کنید نیاز خواهید داشت تا درباره موارد زیر برای هر تهدیدی که قصد کشف آن را دارید فکر کنید:
- نوع رویدادهایی که احتمالا نشاندهنده وقوع این سناریو بوده و دنباله وقوع آنها چیست؟
- چه deviceهایی در محدوده تشخیص یک سناریو از این قبیل هستند؟
- استراتژی پاسخ به رخدادها در زمان وقوع این سناریوها چیست؟
در مورد ارائهدهندگانی که نمیتوانند قواعد همبستگی رویداد خود را به شما نشان دهند یا قادر نیستند روش خود را در شناسایی، مرتبط کردن و دستهبندی رویدادها و دنبالههای رویدادها توضیح دهند، احساس نگرانی کنید. در حقیقت، عدم شفافیت آنها ممکن است پنهانکننده این واقعیت باشد که آنها نمیدانند به دنبال چه بگردند و انتظار دارند که تیم شما قواعد همبستگی رویدادها را نوشته، آزمایش کرده و پیادهسازی کند.
گام پنجم: بررسی نحوه تجمیع هوش تهدید.
هوش تهدید ویژگیهای ارزشمندی را به SIEM ارائه میکند.
همانطور که تهدیدات در طول زمان پیشرفته میشوند، SIEM شما نیز نیازمند بهروزرسانی برای تشخیص تهدیدات جدید خواهد بود. اغلب تیمهای امنیت IT زمان و منابع کافی برای تحقیق در مورد تهدیدات نوظهور به صورت روزانه را نداشته و در نتیجه آن توسعه قواعد جدید کشف را تا زمان وقوع این تهدیدات در محیط شما به تاخیر میاندازند. این جایی است که هوش تهدید تجمیعیافته نقش بسیار بزرگی را ایفا میکند.
هوش تهدید عملی شامل چیست؟
هوش تهدید باید شامل همه مشخصههای یک تهدید و همچنین تحلیلهایی دیگر برای کمک به تیمهای IT جهت محافظت در برابر آن تهدید باشد. در صورتی که ارائهدهنده SIEM شما فاقد یک تیم تحقیق امنیتی اختصاصی باشد و هوش تهدید را به صورت بومی ارائه نمیکند از آنها بپرسید که تهدیدات جدید چطور تشخیص داده میشوند؟ مسئولیت نگهداری بهروز SIEM بر عهده کیست؟ تجمیع با ارائهدهنده هوش تهدید چگونه انجام میشود؟ آیا این امر هزینه اضافهای برای کاربست SIEM خواهد داشت؟
گام ششم: بررسی انجام هماهنگ و خودکار عملیات امنیت.
شما یک تهدید فعال را تشخیص دادهاید، در ادامه چه اتفاقی رخ میدهد؟
خودکارسازی برای موفقیت SIEM در محیطهای عملیاتی دنیای واقعی ضروری است. اگر شما نمیتوانید به سرعت بر اساس هشدار و بینشی که از SIEM خود به دست میآورید عمل کنید، بدین معنی است که دانستن این اطلاعات (علیرغم بهترین تلاشهای شما) ارزش کمی برای شما دارد. مسلما تمام فرایند نظارت بر امنیت قابل خودکارسازی نیست. با این حال، هنوز فرصتهایی برای خودکارسازی و هماهنگسازی امنیت وجود دارد تا سرعت در فرایند پاسخگویی به وقایع افزایش یابد.
از ارائهدهنده SIEM خود بپرسید که آیا آنها قادر به گسترش پلتفرم خود برای تشخیصدهنده تهدید تلفیقی[۲] و هماهنگسازی امنیت و خودکارسازی هستند. appهای شخص سوم و محیطهای IaaS مورد پشتیبانی توسط آنها را بیابید. علاوهبراین، بیابید که آیا هشدارهای آنها راهنمایی تخصصی برای نحوه تفسیر تهدید و چگونگی پاسخ به آن ارائه میکند.
به یاد داشته باشید که سرعت جزئی ضروری برحسب کنترل آسیب یک حمله سایبری و بازگردانی داراییها و عملیاتهاست و از آنجا که کاربران به دادههای شرکتی از طریق همه انواع appها و محیط های SaaS دسترسی مییابند، باید اطمینان حاصل کرد که میتوان پلتفرم SIEM را به نحوی گسترش داد که همه این منابع داده غنی را در نظر بگیرد.
در بخش بعد مراحل کلیدی فرایند ارزیابی از SIEM بیان میشود. به هر حال از زمانی که شما به یک سرمایهگذاری که میتواند روی امنیت کلی شما و وجهه قانونمندی و رعایت اصول شما تاثیر بگذارد، فکر میکنید مهم است که یک فرایند کاملا مستند شده و منظم داشته باشید و همه کارکنان کلیدی سازمان را در جریان پیشرفت قرار دهید.
مراحل ارزیابی SIEM
فاز ۱: بررسی اولیه
فعالیتهای کلیدی: با توجه به معیارهای مشخص شده در این راهنما و همچنین اهداف تجاری خود مجموعه ارائهدهندگانی که قصد بررسی و ارزیابی آنها را دارید مشخص کنید.
توصیه حرفهای: سعی کنید ۲ یا ۳ ارائهدهنده را برای ارزیابی دقیق انتخاب کنید. همه ارائهدهندگان ارزش وقتگذاری و توجه در یک ارزیابی دقیق را ندارند.
فاز ۲: SIEM موردنظر را در محیط کاری خود امتحان کنید.
فعالیتهای کلیدی: معیارهای ارزیابی کلیدی را مشخص کنید. با استفاده از برخی از موارد آزمایش، کار کردن مطابق انتظار، دستیابی به نیازمندیهای فنی کلیدی و برآورده کردن اهداف تجاری را بررسی کنید.
توصیه حرفهای: به دنبال ارائهدهندگانی بگردید که امکان استفاده و ارزیابی از SIEM به صورت آزمایشی یا مشاهده دمو از محصول خود را فراهم کردهاند. سعی کنید موارد امتحانی طراحی کنید که تا حد ممکن به نیازمندیهای اولویتی شما نزدیک باشند. میزان سادگی کار با SIEM پس از نصب را بررسی کنید.
فاز ۳: انتخاب ارائهدهنده نهایی.
فعالیتهای کلیدی: نتایج ارزیابی و بازخورد تیم خود از موارد انتخاب شده را جمعآوری و تحلیل کنید تا بتوانید ارائهدهنده SIEM مناسب برای خود را انتخاب کنید. علاوهبراین، معیارهایی مانند میزان آرامش در کار با تیم ارائهدهنده و همچنین ساعات و سیاست پشتیبانی آنها را ارزیابی کنید.
توصیه حرفهای: همه کارکنان کلیدی را در این فرایند دخیل کرده و دلایل کلیدی برای انتخاب ارائهدهنده انتخاب شده را مستند کنید.
چکلیست SIEM
سوالاتی که باید از ارائهدهندگان SIEM پرسیده شود:
- در فاز بررسی اولیه:
- تعداد کارکنان یا مشاوران بیرونی که برای پاسخ به هشدارهای SIEM و همچنین مدیریت کلی سیستم نیاز است، چقدر است؟
پاسخ به این پرسش نیاز یا عدم نیاز شما به برونسپاری مدیریت SIEM به یک MSSP را مشخص میکند یا به عبارتی دیگر، میزان پشتیبانی موردنیاز را مشخص میکند.
این مساله بدین جهت مهم است که در صورتی که تیم شما قادر به پاسخگویی به هشدارها در زمان معقول نباشد ممکن است زمان آن رسیده باشد که گزینه استفاده از یک MSSP برای مدیریت پلتفرم SIEM خود را بررسی کنید.
- در فاز دوم:
- زمان راهاندازی SIEM یعنی از شروع نصب تا آغاز اعلام هشدارها چقدر است؟
از آنها بپرسید و بخواهید ادعای خود را اثبات کنند. زمان موردنیاز برای نصب نرمافزار، تشخیص منابع داده (آیا به صورت خودکار این فرایند را انجام میدهند؟)، استخراج و تجزیه و تحلیل دادههای log از حداقل ۳ منبع داده متفاوت و شروع اعلام هشدار و ارائه گزارش را مستند کنید.
این مساله بدین جهت مهم است که سرعت در تشخیص مهمترین فاکتور برای جلوگیری از data breach است.
- به چه تعداد کارمند یا مشاور بیرونی برای کارهای یکپارچهسازی نیاز است؟
حداقل یک یا دو منبع بیرونی را برای استخراج داده در نظر بگیرید. ضمن توجه به تعداد منابع بیرونی در نظر گرفته شده، تعداد افراد موردنیاز و زمان صرف شده برای انجام کار را مستند کنید.
این مساله بدین جهت مهم است که تجمیع سریع با تمام اکوسیستم شما فاکتوری حیاتی برای اطمینان از داشتن تصویری کامل از امنیت است.
- آیا هشدارها و اخطارها دستورالعمل مرحله به مرحله برای کاهش شدت آسیب و پاسخ به وقایع ارائه میکنند؟
یک رویداد که انتظار دارید منجر به اعلام هشدار شود ایجاد کنید و میزان اطلاعات فراهم شده برای برطرف کردن مساله را ارزیابی کنید.
این مساله بدین جهت مهم است که هشدارهای مرموز که هیچ دستورالعملی برای مقابله ارائه نمیکنند باعث کم شدن سرعت پاسخگویی به وقایع و افزایش ریسک میشوند.
[۱] Event correlation
[۲] consolidated threat detection