روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ بر اساس گزارش «وضعیت متن‌باز» شرکت  OpenLogic، ۹۶٪از سازمان‌های مورد بررسی از راهکارهای متن‌باز (OSS)  استفاده می‌کنند. این نوع راهکارها در تمامی بخش‌های بازار فناوری اطلاعات — از جمله ابزارهای امنیت اطلاعات — حضور دارند. همچنین اغلب برای ساخت سامانه‌های SIEM توصیه می‌شوند. در نگاه اول، راه‌حل‌های متن‌باز گزینه‌ای بسیار مناسب به نظر می‌رسند. وظیفه اصلی یک سامانه SIEM جمع‌آوری منظم اطلاعات تله‌متری و همبستگی آن‌هاست؛ کاری که می‌توان با استفاده از ابزارهای شناخته‌شده ذخیره‌سازی و پردازش داده انجام داد. کافی‌ست همه داده‌ها را با Logstash جمع‌آوری کنید، آن‌ها را به Elasticsearch متصل کرده و تصویری‌سازی‌های مورد نیاز خود را در Kibana بسازید — و کار تمام است! با یک جستجوی ساده حتی می‌توانید به راه‌حل‌های SIEM متن‌باز آماده دست پیدا کنید (که اغلب بر پایه همین مؤلفه‌ها ساخته شده‌اند). در مورد SIEM، انطباق فرآیندهای جمع‌آوری و پردازش داده با نیازهای خاص سازمان، همواره موضوعی کلیدی‌ست، و یک سامانه متن‌باز سفارشی امکانات بی‌شماری برای این منظور فراهم می‌کند. گذشته از آن، هزینه مجوز این ابزارها صفر است. با این حال، موفقیت چنین تلاشی به عوامل متعددی بستگی دارد: تیم توسعه شما، ویژگی‌های خاص سازمان‌تان، مدت‌زمانی که سازمان مایل است برای رسیدن به نتیجه منتظر بماند، و میزان سرمایه‌گذاری‌ای که برای پشتیبانی مستمر در نظر گرفته شده است.

زمان برابر است با هزینه
یکی از پرسش‌های کلیدی — که اغلب نیز اهمیت آن دست‌کم گرفته می‌شود — این است که چه مدت طول می‌کشد تا سامانه SIEM شما نه‌تنها راه‌اندازی شود، بلکه واقعاً شروع به ایجاد ارزش کند. بر اساس داده‌های شرکت گارتنر، حتی یک سامانه SIEM آماده و کامل نیز به‌طور میانگین شش ماه برای پیاده‌سازی کامل زمان نیاز دارد — و یک‌دهم شرکت‌ها حتی یک سال صرف این کار می‌کنند. اگر در حال ساخت SIEM خودتان هستید یا قصد تطبیق یک راه‌حل متن‌باز را دارید، باید انتظار داشته باشید این بازه زمانی دو یا سه برابر شود. هنگام برآورد بودجه، این مدت‌زمان را در نرخ ساعتی توسعه‌دهندگان خود ضرب کنید. همچنین تصور این‌که یک فرد مستعد به‌تنهایی بتواند یک SIEM کامل را توسعه دهد، دشوار است — شرکت شما نیاز به حفظ یک تیم کامل خواهد داشت.

دام روان‌شناختی رایج
یکی از خطاهای رایج روان‌شناختی، قضاوت اشتباه بر اساس سرعت بالای ساخت نمونه اولیه است. ممکن است بتوانید یک راهکار متن‌باز آماده را ظرف چند روز در محیط آزمایشی پیاده‌سازی کنید، اما رساندن آن به کیفیت مناسب برای استفاده در محیط عملیاتی می‌تواند ماه‌ها — حتی سال‌ها — زمان ببرد.

کمبود مهارت
یک سامانه SIEM باید توانایی جمع‌آوری، ایندکس‌گذاری و تحلیل هزاران رویداد در ثانیه را داشته باشد. طراحی یک سامانه با بار پردازشی بالا، یا حتی تطبیق یک سامانه موجود، نیازمند مهارت‌های تخصصی و کمیاب است. فراتر از توسعه‌دهندگان، این پروژه به مدیران سیستم حرفه‌ای، مهندسان DevOps، تحلیل‌گران امنیت، و حتی طراحان داشبورد با تجربه نیاز دارد. نوع دیگری از کمبود که سازندگان SIEM با آن روبه‌رو هستند، نداشتن تجربه عملی در نوشتن قوانین نرمال‌سازی، منطق همبستگی و سایر محتوایی است که به‌صورت پیش‌فرض در راه‌حل‌های تجاری وجود دارد. البته همین محتوای آماده نیز نیاز به تنظیمات و تطبیق دارد، اما رسیدن آن به سطح استانداردهای سازمان، بسیار سریع‌تر و ساده‌تر خواهد بود.

رعایت مقررات
برای بسیاری از شرکت‌ها، داشتن یک سامانه SIEM یک الزام قانونی یا مقرراتی است. سازمان‌هایی که تصمیم می‌گیرند خودشان یک SIEM بسازند یا یک راه‌حل متن‌باز را پیاده‌سازی کنند، باید تلاش زیادی برای دستیابی به انطباق با الزامات مقرراتی انجام دهند. آن‌ها باید خودشان قابلیت‌های SIEM را با الزامات قانونی تطبیق دهند — برخلاف کاربران راه‌حل‌های تجاری که اغلب از فرآیندهای گواهی‌سازی داخلی و ابزارهای آماده برای رعایت مقررات بهره‌مند می‌شوند.

برخی مواقع، مدیریت ممکن است بخواهد صرفاً برای رفع تکلیف یک سامانه SIEM پیاده‌سازی کند تا هزینه‌ها را به حداقل برساند. اما از آن‌جایی که چارچوب‌های مقرراتی مانند PCI DSS، GDPR و سایر قوانین محلی بر دامنه و عمق واقعی اجرای SIEM تمرکز دارند — نه صرفاً بر وجود آن — سامانه‌ای که صرفاً برای نمایش و رفع مسئولیت پیاده‌سازی شده باشد، در هیچ حسابرسی‌ای موفق نخواهد شد.

رعایت مقررات موضوعی نیست که فقط در زمان راه‌اندازی باید در نظر گرفته شود. اگر در زمان نگهداری و بهره‌برداری داخلی، بخشی از راه‌حل شما از دریافت به‌روزرسانی بازماند و به پایان عمر خود برسد، شانس شما برای گذر از حسابرسی امنیتی به شدت کاهش خواهد یافت.

وابستگی به فروشنده در برابر وابستگی به کارکنان

دومین دلیل مهمی که سازمان‌ها را به سمت راهکارهای متن‌باز سوق می‌دهد، انعطاف‌پذیری در انطباق با نیازهای خاص آن‌هاست؛ به‌همراه اجتناب از وابستگی به نقشه‌راه توسعه و سیاست‌های مجوزدهی فروشندگان نرم‌افزاری. هر دوی این دلایل، کاملاً منطقی و قابل دفاع هستند — و در سازمان‌های بزرگ گاهی حتی از عوامل دیگر نیز مهم‌تر می‌شوند. با این حال، بسیار مهم است که این تصمیم با آگاهی کامل از مزایا و معایب آن گرفته شود:

• سامانه‌های SIEM متن‌باز معمولاً راحت‌تر با ورودی‌های خاص داده تطبیق می‌یابند.
• با یک SIEM متن‌باز، کنترل کامل بر نحوه ذخیره‌سازی و پردازش داده‌ها در اختیار شماست.
• هزینه مقیاس‌پذیری در یک SIEM متن‌باز عمدتاً محدود به خرید سخت‌افزار و توسعه ویژگی‌های موردنیاز است.
• اما چه در مرحله پیاده‌سازی و چه در ادامه مسیر، این نوع SIEM نیازمند متخصصان باتجربه‌ای است که هم با اصول توسعه نرم‌افزار و هم با واقعیت‌های عملیاتی مراکز عملیات امنیت (SOC) آشنایی داشته باشند.

اگر اعضای کلیدی تیم که دانش عمیقی از سامانه دارند سازمان را ترک کنند یا نقش آن‌ها عوض شود، روند توسعه سامانه ممکن است متوقف شود — و بدتر از آن، سامانه به‌مرور زمان ناکارآمد خواهد شد. در حالی که هزینه اولیه پیاده‌سازی یک SIEM متن‌باز ممکن است به دلیل نبود هزینه مجوز پایین‌تر به نظر برسد، این تفاوت معمولاً در مرحله نگهداری از بین می‌رود؛ چرا که نیاز مداوم به استخدام و حفظ نیروهای متخصص برای توسعه و نگهداری سامانه، هزینه قابل‌توجهی را در پی خواهد داشت. در بلندمدت، هزینه مالکیت کل (TCO) برای یک SIEM متن‌باز اغلب بالاتر از راه‌حل‌های تجاری تمام می‌شود.

کیفیت محتوا
یکی از عوامل کلیدی در اثربخشی یک سامانه SIEM، تناسب محتوای کشف و پاسخ با تهدیدات روز است. در راه‌حل‌های تجاری، به‌روزرسانی‌های مربوط به قوانین همبستگی، دفترچه‌های بازی یا همان پلی‌بوک‌ها و فیدهای اطلاعات تهدید معمولاً در قالب اشتراک ارائه می‌شوند. این محتواها توسط تیم‌های تحقیقاتی بزرگ تولید می‌شوند، تحت آزمایش‌های دقیق قرار می‌گیرند و پیاده‌سازی آن‌ها برای تیم امنیتی داخل سازمان، معمولاً نیاز به تلاش اندکی دارد.

در مقابل، در SIEM متن‌باز، این مسئولیت به‌طور کامل بر عهده سازمان شماست: باید خودتان در انجمن‌های کاربری، مخازن GitHub، و فیدهای رایگان به‌دنبال محتوای مناسب بگردید. این قوانین سپس نیاز به بررسی دقیق و انطباق با زیرساخت خاص شما دارند، و در نتیجه احتمال خطای مثبت کاذب می‌رود. به همین دلیل، اعمال به‌روزرسانی در یک SIEM متن‌باز نیازمند صرف منابع و تلاش قابل‌توجهی از سوی تیم داخلی است.

مسئله اصلی: سخت‌افزار
برای راه‌اندازی یک SIEM، باید سخت‌افزار موردنیاز را خریداری یا اجاره کنید. بسته به معماری سامانه، این هزینه می‌تواند بسیار متغیر باشد. تفاوت چندانی ندارد که سامانه شما متن‌باز باشد یا تجاری؛ اما در صورت اجرای یک SIEM متن‌باز توسط تیم داخلی، ریسک تصمیم‌گیری‌های معماری نادرست بیشتر است — تصمیماتی که در بلندمدت به هزینه‌های عملیاتی بالا و مداوم منجر می‌شوند.

جمع‌بندی نهایی

ایده داشتن یک پلت‌فرم کاملاً قابل سفارشی‌سازی، با هزینه مجوز صفر، در نگاه اول بسیار جذاب است. اما در عمل، ریسک اینکه چنین پروژه‌ای زمان و انرژی بسیار بیشتری از تیم توسعه داخلی بگیرد، در مقایسه با راه‌حل‌های آماده تجاری، کاملاً جدی است. همچنین ممکن است توان سازمان شما برای بهره‌گیری سریع از نوآوری‌های جدید را کاهش دهد و تمرکز تیم امنیتی را از تولید منطق تشخیص و سناریوهای پاسخ به تهدید، به حل مسائل عملیاتی روزمره منحرف کند. به همین دلیل، یک راهکار تجاریِ یکپارچه، دارای پشتیبانی تخصصی و مدیریت‌شده، در بسیاری از مواقع با اهداف واقعی سازمان‌ها — مانند کاهش مؤثر ریسک‌ها و برنامه‌ریزی بودجه‌ای قابل پیش‌بینی — هم‌راستاتر است. راه‌کارهای SIEM تجاری به تیم شما این امکان را می‌دهند که از قوانین آماده، دفترچه‌های پاسخ و پردازشگرهای تله‌متری از پیش ساخته‌شده استفاده کرده و تمرکز خود را بر پروژه‌های خاص سازمان — مانند شکار تهدیدات یا افزایش دید در زیرساخت کلود — بگذارد، به‌جای آن‌که درگیر بازآفرینی قابلیت‌های پایه SIEM یا گذر از حسابرسی‌های دشوار با یک سامانه دست‌ساز شود.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.