6 گام تا موفقیت SIEM

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

6 گام تا موفقیت SIEM

 

در صورتی که هدف شما تشخیص تهدیدها، انطباق با الزامات، تسریع در پاسخ‌گویی به وقایع یا همه موارد مذکور باشد، این راهنما شما را در راستای آماده شدن جهت استفاده از SIEM‌ و انتخاب یک محصول که در محیط شما به طور مناسب عمل کند، کمک می‌کند.

گام اول: ابتدا موارد استفاده خود را بشناسید.

در وهله اول چرا به استفاده از SIEM‌ فکر می‌کنید؟

راه‌حل‌های SIEM مدرن از کسب‌و‌کارهای زیاد و موارد استفاده فنی متنوعی مانند امنیت، انطباق با الزامات، تجزیه و تحلیل کلان‌داده‌ها و ... پشتیبانی می‌کنند. اما این بدین معنی نیست که هر راه‌حلی مناسب کسب‌و‌کار منحصر‌به‌فرد شماست و تمام نیازهای فنی شما را برآورده می‌کند. بنابراین، مهم است که ارزیابی خود از SIEM را با مشخص کردن موارد استفاده و اهداف خود شروع کنید. دانستن دلایل خود برای پیگیری استقرار یک SIEM به شما کمک می‌کند تا موارد زیر را مشخص کنید:

  • دامنه استقرار یعنی محیط‌هایی که قرار است بر آن‌ها نظارت شود.
  • اولویت‌ها منابع داده مختلف یعنی دارایی‌هایی که قصد جمع‌آوری log درباره آن‌ها را دارید.
  • رویدادها و هشدارهای با اولویت بالا که نیاز به تمرکز بر آن‌‌ها است.
  • معیارهای موفقیت و مراحل برجسته در انجام کار.

گام دوم: تمام محیط‌های نیازمند به نظارت را شناسایی کنید.

بر چه دارایی‌هایی باید نظارت کرد و این دارایی‌ها در کجا قرار دارند؟

بعد از شناسایی موارد کاربری کلیدی خود، برای رسیدن به اهداف تجاری خود نیاز به شناسایی و نظارت بر تمام دارایی‌های مرتبط دارید که این خود شامل تمام deviceهای شبکه که اطلاعات مرتبط با امنیت را پردازش می‌کنند، می‌باشد.

موارد کاربری شما از SIEM‌ ممکن است مربوط به کسب تاییدیه در حسابرسی انطباق با الزامات ‌بعدی یا محافظت از مالکیت معنوی شرکت باشد. بنابراین شما باید همه appهای حیاتی و داده‌هایی که کسب‌و‌کار شما در راستای پشتیبانی از مشتریان و پایداری کسب‌و‌کار به آن متکی است را در نظر بگیرید.

زمان ارزیابی SIEM مطمئن شوید که نحوه نظارت بر تمام دارایی‌های حیاتی در محیط IT را در نظر گرفته‌اید. این دارایی‌ها عبارتند از:

  • شبکه ها/زیرساخت فیزیکی IT
  • Cloud های خصوصی / Virtulized IT (VMware) 
  • سایت های راه دور و رسانه های خرده فروشی
  • Public Cloud Account ها (Azure,AWS)
  • محیط های Cloud App/SaaS (Gsuite,Office365,...)

نظارت امنیتی را در طول محیط‌های cloud و در محل یکپارچه کنید.

در گذشته شرکت‌ها اغلب داده‌های خود را بر روی سیستم‌های داخل مرکز داده خود نگهداری می‌کردند و سنسورهای SIEM بر روی هر شبکه برای جمع‌آوری و ترکیب تمام logهای رویدادها در طول شبکه‌های LAN و WAN نصب شده بودند. امروزه شرکت‌های بزرگ به طور متوسط از هزار app مبتنی بر cloud در بخش‌های مختلف سازمان خود استفاده می‌کنند. در نتیجه، احتمال زیادی وجود دارد که داده‌های مهم کسب‌و‌کار یک شرکت روی محیط‌های ابری قرار داشته باشد. بنابراین به عنوان قسمتی از تلاش کلی برای نظارت بر تهدیدات بر علیه این داده‌ها و برای دستیابی به انطباق با الزامات و نشان دادن آن نیاز است تا نظارت امنیتی بر تمام محیط‌ها توسعه یابد. از شبکه‌های در محل و مراکز داده به cloud، چه محیط‌های IaaS/PaaS مانند AWS و Microsoft Azure و چه محیط‌های SaaS مانند G suite و office365.

گام سوم: کسب اطلاع در مورد کنترل‌های امنیتی SIEM‌ و نحوه یکپارچه‌سازی با کنترل‌های امنیتی موجود.

دید امنیتی کامل نیازمند یک چشم‌انداز وسیع با استفاده از طیف گسترده‌ای از ابزارهاست.

در حالیکه SIEM‌ ابزاری قدرتمند در جمع‌آوری داده‌های خام و ایجاد همبستگی مابین آن‌هاست، همچنان نیاز دارید تا دارایی‌های نیازمند به نظارت، آسیب‌پذیری‌های این دارایی‌ها، نوع ترافیک ورودی و خروجی به شبکه و موارد بسیار دیگری را در راستای تشخیص و پاسخ‌گویی به محدوده وسیعی از تهدیدات برای SIEM‌ مشخص کنید.

این بدین معنی است که برای داشتن دید کامل درباره تهدیدات، SIEM شما باید به طور مناسب با سایر کنترل‌های امنیتی شما تعامل کند. با توجه به این مساله، حداقل کنترل‌های امنیتی لازم برای تغذیه SIEM شما چه هستند؟

  •  Asset discovery and inventory
  •  Vulnerability assessment
  • Host based intrusion detection (HIDS) 
  • Network based intrusion detection (NIDS) 
  • Network based intrusion detection (NIDS) 

این منابع داده را کجا و چگونه باید یافت؟

اگر هنوز بر روی این کنترل‌های امنیتی ضروری سرمایه‌گذاری نکرده‌اید، احتمالا پلت‌فرم‌هایی که شامل کنترل‌های نظارت و ارزیابی امنیتی به عنوان بخشی استاندارد از قابلیت‌های خود هستند برای شما بسیار مفید خواهند بود.

پلت‌فرم‌های SIEM چندکاره مزیت‌های زیادی ایجاد می‌کنند:

  • زمان بهره‌وری: در صورت انتخاب یک راهکار SIEM که به خودی خود با دیگر کنترل‌های امنیتی ضروری تجمیع شده باشد، به طور چشم‌گیری به زمان و تلاش کمتری نسبت به تهیه، کاربست، تجمیع و پیکربندی چندین ابزار امنیتی نیاز است.
  • صرفه‌جویی در هزینه: یک SIEM‌ یکپارچه باعث صرفه‌جویی در هزینه‌های اولیه و جاری می‌شود. به جای نیاز به کاربست، نظارت و نگهداری چندین ابزار امنیتی و انطباق با الزامات، یک راهکار یکپارچه نظارت امنیتی کامل و مدیریت انطباق با الزامات را به صورت یک جا ارائه می‌کند.
  • وقت: در استفاده از یک راهکار SIEM یکپارچه، از آن‌جا که تشخیص به طور بهتری مابین کنترل‌های امنیتی درونی هماهنگ شده، هشدارها دقیق‌تر بوده و قواعد همبستگی به طور دقیق تر تنظیم شده‌اند. در نتیجه، هشدارهای اشتباه کمتر شده و زمان بیشتری برای بررسی هشدارهای صحیح وجود خواهد داشت.

اگر در حال حاضر تعدادی از این تکنولوژی‌های مرکزی را در اختیار دارید، نیاز دارید تا بدانید برای یکپارچه کردن آن‌ها با ابزار SIEM و همچنین حفظ این یکپارچگی در صورت ایجاد تغییرات به چه چیزی احتیاج دارید. حتما از ارائه‌دهنده SIEM‌ خود درباره رویکردشان برای یکپارچه‌سازی سایر ابزارها و زمان مورد انتظار برای ایجاد یکپارچگی موردنظر پرس‌و‌جو کنید.

گام چهارم: کسب اطلاع در مورد قواعد همبستگی موتور SIEM.

قواعد همبستگی بسیار مهم هستند.

قسمت مهم و مخفی در هر ابزار SIEMای قسمتی است که با عنوان همبستگی رخدادها[1] شناخته می‌شود. این قسمت به فیلتر کردن داده‌های خام log وقایع برای یافتن فعالیت‌های نشان‌دهنده وقوع یک رویداد بد (در حال وقوع یا اخیرا وقوع‌یافته) می‌پردازد. قواعد همبستگی رویدادها بر اساس درکی از حملات هستند تا زمانی که داده یک رویداد مشخص متناظر با یک حمله در محیط شما مشاهده شود به شما هشدار داده شود. بدون قواعد همبستگی، SIEM‌ شما حتی قادر به صدور یک هشدار نیز نخواهد بود.

چه کسی قواعد همبستگی را می‌نویسد؟

نوشتن، آزمایش، پیاده‌سازی و به‌روزرسانی قواعد همبستگی رویدادها کاری تمام وقت است که به هوش و تجربه زیادی نیاز دارد. از آن‌جا که رویدادهای مرتبط با امنیت و ویژگی‌های آن‌ها به طور مداوم در حال تغییر هستند، قواعد همبستگی هم باید به طور مداوم توسعه یابند تا سریعا قادر به شناسایی تهدیدات نوظهور و پاسخ‌گویی موثر به آن‌ها باشند. درکی واضح از چگونگی به‌روزرسانی قواعد همبستگی توسط ارائه‌دهنده SIEM خود داشته باشید یا مطمئن باشید که تیم داخلی شما قادر به انجام آن است. اگر شما باید قواعد همبستگی خود را نوشته و به‌روز‌رسانی کنید نیاز خواهید داشت تا درباره موارد زیر برای هر تهدیدی که قصد کشف آن را دارید فکر کنید:

  • نوع رویدادهایی که احتمالا نشان‌دهنده وقوع این سناریو بوده و دنباله وقوع آن‌ها چیست؟
  • چه deviceهایی در محدوده تشخیص یک سناریو از این قبیل هستند؟
  • استراتژی پاسخ به رخدادها در زمان وقوع این سناریوها چیست؟

در مورد ارائه‌دهندگانی که نمی‌توانند قواعد همبستگی رویداد خود را به شما نشان دهند یا قادر نیستند روش خود را در شناسایی، مرتبط کردن و دسته‌بندی رویدادها و دنباله‌های رویدادها توضیح دهند، احساس نگرانی کنید. در حقیقت، عدم شفافیت آن‌ها ممکن است پنهان‌کننده این واقعیت باشد که آن‌ها نمی‌دانند به دنبال چه بگردند و انتظار دارند که تیم شما قواعد همبستگی رویدادها را نوشته، آزمایش کرده و پیاده‌سازی کند.

گام پنجم: بررسی نحوه تجمیع هوش تهدید.

هوش تهدید ویژگی‌های ارزشمندی را به SIEM ارائه می‌کند.

همانطور که تهدیدات در طول زمان پیشرفته می‌شوند، SIEM شما نیز نیازمند به‌روز‌رسانی برای تشخیص تهدیدات جدید خواهد بود. اغلب تیم‌های امنیت IT زمان و منابع کافی برای تحقیق در مورد تهدیدات نوظهور به صورت روزانه را نداشته و در نتیجه آن توسعه قواعد جدید کشف را تا زمان وقوع این تهدیدات در محیط شما به تاخیر می‌اندازند. این جایی است که هوش تهدید تجمیع‌یافته نقش بسیار بزرگی را ایفا می‌کند.

هوش تهدید عملی شامل چیست؟

هوش تهدید باید شامل همه مشخصه‌های یک تهدید و همچنین تحلیل‌هایی دیگر برای کمک به تیم‌های IT جهت محافظت در برابر آن تهدید باشد. در صورتی که ارائه‌دهنده SIEM شما فاقد یک تیم تحقیق امنیتی اختصاصی باشد و هوش تهدید را به صورت بومی ارائه نمی‌کند از آن‌ها بپرسید که تهدیدات جدید چطور تشخیص داده می‌شوند؟ مسئولیت نگهداری به‌روز SIEM بر عهده کیست؟ تجمیع با ارائه‌دهنده هوش تهدید چگونه انجام می‌شود؟ آیا این امر هزینه اضافه‌ای برای کاربست SIEM خواهد داشت؟

گام ششم: بررسی انجام هماهنگ و خودکار عملیات امنیت.

شما یک تهدید فعال را تشخیص داده‌اید، در ادامه چه اتفاقی رخ می‌دهد؟

خودکارسازی برای موفقیت SIEM در محیط‌های عملیاتی دنیای واقعی ضروری است. اگر شما نمی‌توانید به سرعت بر اساس هشدار و بینشی که از SIEM خود به دست می‌آورید عمل کنید، بدین معنی است که دانستن این اطلاعات (علی‌رغم بهترین تلاش‌های شما) ارزش کمی برای شما دارد. مسلما تمام فرایند نظارت بر امنیت قابل خودکارسازی نیست. با این حال، هنوز فرصت‌هایی برای خودکارسازی و هماهنگ‌سازی امنیت وجود دارد تا سرعت در فرایند پاسخ‌گویی به وقایع افزایش یابد.

از ارائه‌دهنده SIEM خود بپرسید که آیا آن‌ها قادر به گسترش پلت‌فرم خود برای تشخیص‌دهنده تهدید تلفیقی[2] و هماهنگ‌سازی امنیت و خودکارسازی هستند. appهای شخص سوم و محیط‌های IaaS مورد پشتیبانی توسط آن‌ها را بیابید. علاوه‌بر‌این، بیابید که آیا هشدارهای آن‌ها راهنمایی تخصصی برای نحوه تفسیر تهدید و چگونگی پاسخ به آن ارائه می‌کند.

به یاد داشته باشید که سرعت جزئی ضروری برحسب کنترل آسیب یک حمله سایبری و بازگردانی دارایی‌ها و عملیات‌هاست و از آن‌جا که کاربران به داده‌های شرکتی از طریق همه انواع appها و محیط های SaaS دسترسی می‌یابند، باید اطمینان حاصل کرد که می‌توان پلت‌فرم SIEM‌ را به نحوی گسترش داد که همه این منابع داده غنی را در نظر بگیرد.

در بخش بعد مراحل کلیدی فرایند ارزیابی از SIEM بیان می‌شود. به هر حال از زمانی که شما به یک سرمایه‌گذاری که می‌تواند روی امنیت کلی شما و وجهه قانون‌مندی و رعایت اصول شما تاثیر بگذارد، فکر می‌کنید مهم است که یک فرایند کاملا مستند شده و منظم داشته باشید و همه کارکنان کلیدی سازمان را در جریان پیشرفت قرار دهید.

مراحل ارزیابی SIEM

فاز 1: بررسی اولیه

فعالیت‌های کلیدی: با توجه به معیارهای مشخص شده در این راهنما و همچنین اهداف تجاری خود مجموعه ارائه‌دهندگانی که قصد بررسی و ارزیابی آن‌ها را دارید مشخص کنید.

توصیه حرفه‌ای: سعی کنید 2 یا 3 ارائه‌دهنده را برای ارزیابی دقیق انتخاب کنید. همه ارائه‌دهندگان ارزش وقت‌گذاری و توجه در یک ارزیابی دقیق را ندارند.

فاز 2: SIEM‌ موردنظر را در محیط کاری خود امتحان کنید.

فعالیت‌های کلیدی: معیارهای ارزیابی کلیدی را مشخص کنید. با استفاده از برخی از موارد آزمایش، کار کردن مطابق انتظار، دستیابی به نیازمندی‌های فنی کلیدی و برآورده کردن اهداف تجاری را بررسی کنید.

توصیه حرفه‌ای: به دنبال ارائه‌دهندگانی بگردید که امکان استفاده و ارزیابی از SIEM به صورت آزمایشی یا مشاهده دمو از محصول خود را فراهم کرده‌اند. سعی کنید موارد امتحانی طراحی کنید که تا حد ممکن به نیازمندی‌های اولویتی شما نزدیک باشند. میزان سادگی کار با SIEM پس از نصب را بررسی کنید.

فاز 3: انتخاب ارائه‌دهنده نهایی.

فعالیت‌های کلیدی: نتایج ارزیابی و بازخورد تیم خود از موارد انتخاب شده را جمع‌آوری و تحلیل کنید تا بتوانید ارائه‌دهنده SIEM مناسب برای خود را انتخاب کنید. علاوه‌براین، معیارهایی مانند میزان آرامش در کار با تیم ارائه‌دهنده و همچنین ساعات و سیاست پشتیبانی آن‌ها را ارزیابی کنید.

توصیه حرفه‌ای: همه کارکنان کلیدی را در این فرایند دخیل کرده و دلایل کلیدی برای انتخاب ارائه‌دهنده انتخاب شده را مستند کنید.

 

چک‌لیست SIEM

سوالاتی که باید از ارائه‌دهندگان SIEM پرسیده شود:

  • در فاز بررسی اولیه:
    • تعداد کارکنان یا مشاوران بیرونی که برای پاسخ به هشدارهای SIEM و همچنین مدیریت کلی سیستم نیاز است، چقدر است؟

پاسخ به این پرسش نیاز یا عدم نیاز شما به برون‌سپاری مدیریت SIEM به یک MSSP را مشخص می‌کند یا به عبارتی دیگر، میزان پشتیبانی موردنیاز را مشخص می‌کند.

این مساله بدین جهت مهم است که در صورتی که تیم شما قادر به پاسخگویی به هشدارها در زمان معقول نباشد ممکن است زمان آن رسیده باشد که گزینه استفاده از یک MSSP برای مدیریت پلت‌فرم SIEM خود را بررسی کنید.

  • در فاز دوم:

از آن‌ها بپرسید و بخواهید ادعای خود را اثبات کنند. زمان موردنیاز برای نصب نرم‌افزار، تشخیص منابع داده (آیا به صورت خودکار این فرایند را انجام می‌دهند؟)، استخراج و تجزیه و تحلیل داده‌های log از حداقل 3 منبع داده متفاوت و شروع اعلام هشدار و ارائه گزارش را مستند کنید.

این مساله بدین جهت مهم است که سرعت در تشخیص مهم‌ترین فاکتور برای جلوگیری از data breach است.

  • به چه تعداد کارمند یا مشاور بیرونی برای کارهای یکپارچه‌سازی نیاز است؟

حداقل یک یا دو منبع بیرونی را برای استخراج داده در نظر بگیرید. ضمن توجه به تعداد منابع بیرونی در نظر گرفته شده، تعداد افراد موردنیاز و زمان صرف شده برای انجام کار را مستند کنید.

این مساله بدین جهت مهم است که تجمیع سریع با تمام اکوسیستم شما فاکتوری حیاتی برای اطمینان از داشتن تصویری کامل از امنیت است.

  • آیا هشدارها و اخطارها دستورالعمل مرحله به مرحله برای کاهش شدت آسیب و پاسخ به وقایع ارائه می‌کنند؟

یک رویداد که انتظار دارید منجر به اعلام هشدار شود ایجاد کنید و میزان اطلاعات فراهم شده برای برطرف کردن مساله را ارزیابی کنید.

این مساله بدین جهت مهم است که هشدارهای مرموز که هیچ دستورالعملی برای مقابله ارائه نمی‌کنند باعث کم شدن سرعت پاسخگویی به وقایع و افزایش ریسک می‌شوند.

 

[1] Event correlation

[2] consolidated threat detection

تهران - بلوار كشاورز، خيابان شهيد نادري پائين تر از خيابان ايتاليا، پلاك ۲ واحد ۵۰۵
۷۳ ۴۲۲ (۰۲۱)
۴۲۲۳۸۰۰۰ (۰۲۱)
۱۴۱۶۶۱۳۶۶۹
info{at}apk-group.net
یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان
۳۶۲۹۰۹۹۰ (۰۳۵)
۸۹۱۶۷۱۵۹۵۷

 امن پردازان کویر