فناوری SIEM ترکیبی از فناوریهای مدیریت وقایع امنیتی (SEM) و مدیریت امنیت اطلاعات (SIM) میباشد. تیمهای IT از فناوری SEM برای بازبینی logها و دادههای مربوط به وقایع به دست آمده از شبکهها، سیستمها یا سایر محیطهای IT یک کسبوکار استفاده کرده، زیر و بم تهدیدات سایبری را در آورده و بر این اساس آمادگی لازم را ایجاد میکنند. در مقابل، آنها از فناوری SIM برای بازیابی کردن و گزارش دادن در مورد دادههای log استفاده میکنند.
فناوری مدیریت وقایع و امنیت اطلاعات (SIEM) نحوه شناسایی تهدیدات سایبری، جمعآوری و تحلیل دادههای مربوط به تهدیدها و پاسخ به وقایع امنیتی توسط تیمهای IT را دگرگون کرده است. اما معنای این عبارت چیست؟ برای درک بهتر فناوری SIEM، در ادامه به بررسی این فناوری، روش کار و مزایای آن خواهیم پرداخت.
SIEM چیست؟
فناوری SIEM ترکیبی از فناوریهای مدیریت وقایع امنیتی (SEM) و مدیریت امنیت اطلاعات (SIM) میباشد. تیمهای IT از فناوری SEM برای بازبینی logها و دادههای مربوط به وقایع به دست آمده از شبکهها، سیستمها یا سایر محیطهای IT یک کسبوکار استفاده کرده، زیر و بم تهدیدات سایبری را در آورده و بر این اساس آمادگی لازم را ایجاد میکنند. در مقابل، آنها از فناوری SIM برای بازیابی کردن و گزارش دادن در مورد دادههای log استفاده میکنند.
SIEM چگونه عمل میکند؟
تیمهای IT از فناوری SIEM برای جمعآوری دادههای log در زیرساخت یک شبکه شامل applicationها، شبکهها، دستگاههای امنیتی و … استفاده میکنند. در ادامه، تیمهای IT قادر هستند از این دادهها برای شناسایی، دستهبندی و تحلیل رویدادهای امنیتی استفاده کنند. در نهایت، با توانایی درک امنیت، تیمهای IT میتوانند به مدیران کسبوکارها در مورد مشکلات امنیتی هشدار داده، گزارشهای سازگاری (compliance report) ایجاد کرده و بهترین راهکارهای ممکن برای محافظت از کسبوکارها در برابر تهدیدات امنیتی را بیابند.
SIEM چیست و چرا کسب وکار شما به آن احتیاج دارد؟
مزایای استفاده از SIEM چیست؟
فناوری SIEM اغلب به کسبوکارها برای کاهش نقضهای امنیتی و شناسایی تهدیدات کمک میکند. نتایج یک نظرسنجی انجام شده در سال ۲۰۱۹ درباره SIEM نشان میدهند که ۷۶ درصد از متخصصان امنیت بیان کردهاند که استفاده از ابزارهای SIEM منجر به کاهش نقض امنیتی در سازمانهای آنها شده است. همچنین، ۴۶ درصد از پاسخدهندگان به این نظرسنجی بیان کردهاند که پلتفرم SIEM سازمان آنها حداقل نیمی از وقایع امنیتی را تشخیص میدهد.
علاوهبراین، ابزارهای SIEM به طور معمول گزارش سازگاری را نیز، به عنوان ابزاری برای کسبوکارهایی که باید خود را با مقررات عمومی حفاظت از دادههای اتحادیه اروپا و یا هر الزام امنیت داده دیگری انطباق دهند، ارائه میکنند. انطباق با الزامات امنیت داده مسالهای بسیار مهم برای کسبوکارهاست و ابزارهای SIEM با ایجاد اطمینان از شناسایی سریع مشکلات امنیتی توسط تیمهای IT و در نتیجه آن انجام اقدامات لازم قبل از وقوع یک نقض سازگاری راهکاری مناسب برای این مساله ارائه میکنند.
ابزارهای SIEM به افزایش سرعت در پاسخدهی کمک کرده و به تیمهای IT برای غلبه بر کمبود موجود در استعداد امنیت سایبری، که معضلی اساسی در تامین امنیت کسبوکارهاست، کمک میکنند. استقرار ابزارهای SIEM به طور معمول ساده بوده و اغلب میتوان از آنها به صورت ترکیبی با ابزارهای امنیتی شخص ثالث استفاده کرد. بنابراین، ابزارهای SIEM برخی مواقع نیاز به استخدام متخصصان امنیت سایبری بیشتر را نیز کاهش میدهند.
آیا SIEM مناسب کسبوکار من است؟
فناوری SIEM به گونهای طراحی شده که برای همه کسبوکارها با هر اندازه و از هر صنعتی مناسب باشد. برای مثال، اگر یک خردهفروش با اندازه متوسط بخواهد از دادههای حیاتی خود در برابر تهدیدات داخلی محافظت کند، فناوری SIEM میتواند در انجام این کار به آن کمک کند. به عنوان مثالی دیگر، در صورتی که یک بانک شناخته شده جهانی به ابزاری کاربرپسند برای مدیریت سازگاری (compliance management) نیاز داشته باشد، میتواند از فناوری SIEM به عنوان بخشی از تلاشهای خود جهت محققسازی الزامات صنعت استفاده کند. ابزارهای SIEM حتی میتوانند با اقداماتی مانند جستجوی فعالانه تهدیدات سایبری به کسبوکارها جهت محافظت از دستگاههای اینترنت اشیای (IoT) آنها در برابر حملات سایبری کمک کند.
چگونه میتوانم ابزار SIEM مناسب کسبوکار خودم را انتخاب کنم؟
SIEM مناسب برای یک کسبوکار به معیارهای متفاوتی مانند وجهه امنیتی آن کسبوکار، بودجه آن کسبوکار و … بستگی دارد. با این وجود، بهترین ابزارهای SIEM به طور معمول قابلیتهای زیر را ارائه میکنند:
-
گزارش سازگاری،
-
نظارت بر دسترسی به پایگاههای داده و سرورها،
-
جرمیابی (forensics) و پاسخدهی به وقایع،
-
شناسایی تهدیدات داخلی و بیرونی،
-
سیستم تشخیص و پیشگیری از نفوذ، فایروال، application ثبت وقایع و یکپارچهسازی applicationها و سیستمها،
-
ایجاد همبستگی و تحلیل بر روی چند سیستم و application، و نظارت بر تهدید بلادرنگ،
-
هوش تهدید (threat intelligence)،
-
نظارت بر فعالیت کاربر.
در پایان، لازم به ذکر است که اغلب همکاری با ارائهدهندگان شناخته شده فناوری SIEM مفیدتر واقع خواهد شد. زیرا داشتن یک ارائهدهنده فناوری SIEM مناسب در کنار خود، به طور یکپارچه امکان تجمیع ابزار SIEM با فعالیتهای روزانه کسبوکار شما را فراهم ساخته و به تیم IT شما در موثرتر کردن مدیریت امنیت کمک میکند.
با توجه به موقعیت حساس و کلیدی جمهوری اسلامی ایران در منطقه و جهان و ضرورت توجه به امنیت در حوزه فضای سایبری، به ویژه در مراکز حساس و حیاتی، کارشناسان شرکت APK امن پردازان کویر در راستای تولید داخلی و بومیسازی محصولات امنیتی حوزه فناوری اطلاعات با بهرهگیری از تجارب خود در پروژههای امنیتی بزرگ کشور، نسبت به تولید و عرضه سامانه مدیریت وقایع و امنیت اطلاعات بومی تحت عنوان APKSIEM در قالب چهار ماژول اقدام نموده است.
SA (Smart Agent) – NBA (Network Behavior Analysis) – LCE (Log Correlation Engine) – LM (Log Manager)