روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ یک شرکت با ابعاد موسط هدف جذابی برای مجرمان سایبری است. در واقع این شرکت در مقیاسی کار می‌کند که آنقدری بزرگ هست که در صورت گروگان گرفتن داده‌های شرکت، باج قابل توجهی را بپردازد. رویکرد آن به امنیت اطلاعا اغلب ارثِ زمانی است که کوچک‌تر بوده. هکرها می‌توانند تاکتیکی دست و پا کنند تا محافظت پایه شرکت را دور زده و با مقاومت کم یا هیچ مقاومی، شبکه را دستکاری کنند. خسارت ناشی از این رخدادها حدوداً 100 هزار دلار تخمین زده می‌شود. جنبه نظارتی مسائل را هم نمی‌توان نادیده گرفت: قوانین و رگولاسیون امنیت سایبری در سراسر جهان رو به افزایش است و همینطور جرائم عدم رعایت آن‌ها. کسب و کارها اغلب به این تهدیدها شناخت دارند و علاقمندند منابع بیشتری را برای تیم‌های امنیت اطلاعات خود اختصاص دهند. اما سوال این است که چطور می‌شود امنیت سازمانی را بدون هزینه مازاد، به سطح بعدی رساند؟ بگذارید کمی ماجرا را لو دهیم: با بکارگیری سیستم SIEM (مدیریت رخداد و اطلاعات امنیت). SIEM کلیدی است.

محافظت لایه‌ای

هدف بلند مدت یک شرکت، ایجاد دفاع لایه‌ای است که در آن ابزارهای مختلف و کنترل‌ها همدیگر را تکمیل کنند و در نتیجه حملات به سازمان به طور قابل‌توجهی پیچیده شده و گزینه‌های مهاجمین محدود و محدودتر شود. شرکتی با 500 تا 3000 نیرو تقریباً ابزارهای پایه و لایه محافظتی اولیه را دارد: کنترل دسترسی از طریق احراز هویت و مجوزف، محافظت اندپوینت (معروف به آنتی‌ویروس)، محافظت سرور شامل سرورهای ایمیل و فایروال. نکته بعدی که بیشتر تکمیل‌کننده است تا جایگزین، تجهیز کردن شرکت به ابزارهای پیشرفته‌ی امنیت سایبری است که عبارتند از:

•         سیستمی برای نظارت و ارتباط همه‌جانبه رخدادهای امنیتی از منابع مختلف داده (رایانه‌ها، سرورها و برنامه‌ها) در زمان واقعی در کل زیرساخت
•         ابزارهایی برای به دست آوردن اطلاعات افزایش یافته در مورد حوادث احتمالی یا فقط فعالیت‌ها و ناهنجاری‌های مشکوک
•         ابزارهای واکنش به رخداد: از تحقیقات مطابق با الزامات قانونی، تا جداسازی میزبان‌ها و حساب‌های در معرض خطر، حذف آسیب‌پذیری و غیره
•         ابزارهای پیشرفته مدیریت هویت: از مدیریت متمرکز کاربر و کنترل دسترسی مبتنی بر نقش، تا یک پورتال احراز هویت واحد با MFA
•         ابزارهایی برای بهبود قابلیت دید و مدیریت دارایی‌های فناوری اطلاعات، مدیریت سطح حمله و مدیریت پچ

داشتن همه اینها در آن واحد دور از ذهن است پس پیاده‌سازی این اقدامات نیاز به اولویت‌بندی خواهد داشت و باید به فازهای مختلف رده‌بندی‌شان کرد. نظارت جامع مبنای بسیاری از ابزارهای امنیت اطلاعات را شکل می‌دهد و بنابراین پیاده‌سازی SIEM باید در صدر جدول باشد. این به مدافعان قابلیت‌های جدید می‌دهد: شناسایی فعالیت‌های بدون بدافزار مهاجمین، شناسایی ابژه‌ها و رفتاهای مشکوک و تجسم‌سازی و اولویت‌دهی رخدادهای زیرساخت. استفاده مناسب از SIEM می‌تواند حجم کار تیم امنیت سایبری را کم کند زیرا دیگر نیازی نیست زمان خود را صرف مدیریت رخدادهای ایزوله، لاگ‌ها و سایر مصنوعات به صورت دستی کنند.

سیستم SIEM چیست و چرا یک شرکت با ابعاد متوسط به آن نیاز دارد؟

راهکارهای SIEM دو دهه است که برای نظارت جامع آی‌تی در زیرساخت‌های سازمانی استفاده می‌شوند. این راهکارها شامل تعداد اجزا می‌شوند که کارشان جمع‌آوری، ذخیره، ساماندهی و تحلیل تله‌متری است و اجازه واکنش به رخدادهایی که در حال وقوع هستند. به لطف SIEM یک کارمند امنیت اطلاعات می‌تواند در یک کنسول بیشتر هشدارها را دریافت کرده و براحتی ابعاد مختلف رخداد را (نظیر ایجاد فایل، فعالیت شبکه و لاگین اکانت) بدون اینکه مجبور باشد 5 منبع داده مختلف را بجورد لینک کرده و سریع به آن رخدادها واکنش نشان دهد. درجه بالای اتوماسیون کلی در زمان تیم امنیت اطلاعات صرفه‌جویی می‌کند. کاری که قبلاً به‌صورت دستی انجام می‌دادید و خیلی راحت هم انجام می‌شد با بزرگ‌تر شدن شرکت مدام سخت و سخت‌تر می‌شود.  

اجزای کلیدی SIEM برای کسب وکارهایی با ابعاد متوسط

ممکن است معماری بین سیستم‌های SIEM متفاوت باشد، اما عناصر کلیدی همیشه یکسان هستند:

منابع رویداد: اینها بخشی از SIEM نیستند، اما به عنوان ارائه دهندگان اطلاعات عمل می‌کنند. هر چیزی که در حین اجرا لاگ ایجاد می‌کند – چه یک سیستم عامل، یک عامل EDR، برنامه تجاری یا دستگاه شبکه – می‌تواند منبع باشد.

جمع کننده: این معمولاً یک سرویس جداگانه است که گزارش‌ها را از منابع تله متری برای پردازش در SIEM دریافت می‌کند.

نرمال‌ساز لاگ و ذخیره‌سازی: اینها عناصر هسته پلت‌فرم SIEM هستند. نرمال‌ساز گزارش‌هایی را که از یک جمع‌کننده دریافت می‌کند تبدیل و تطبیق می‌دهد تا آنها را برای استفاده، جستجو و تجزیه و تحلیل مناسب کند. ذخیره‌سازی متمرکز داده‌ها به طور قابل توجهی شناسایی و بررسی رخدادها و همچنین ارائه اطلاعات رویداد به تنظیم کننده‌ها را ساده می‌کند.

همبستگی رویداد قلب سیستم‌های SIEM است. این مرحله کلیدی است که در آن رویدادهای از هم گسیخته موجود در گزارش‌های مختلف مرتبط می‌شوند، اگر مشخص شود که با یک فعالیت یا مراحل مختلف یک فعالیت مرتبط هستند، ادغام  و اولویت‌بندی می‌شوند. اولویت‌بندی بر اساس اطلاعات تهدید در دسترس مدافعان صورت می‌گیرد. این همان چیزی است که می‌تواند به عنوان پایه ای برای نوشتن یک قانون عمل کند که هر بار که یک اسکریپت PowerShell اجرا می‌شود، تیم infosec را پینگ نمی‌کند، اما اگر یک اسکریپت با گزینه‌های خط فرمان مشخصه یک حمله هدفمند اجرا شود، هشدار ایجاد می‌شود.

داشبوردها و هشدارها بخش صرفاً بصری اما مهمی از سیستم هستند که به درک انبوهی از داده‌ها کمک می‌کنند، به راحتی آنچه را که به دنبال آن هستید پیدا کنید، به سرعت در مورد یک حادثه تحقیق و در مورد مسائل یا رویدادهای مشکوک به موقع اطلاعات کسب کنید.

قیمت گزاف در گذشته مانعی واقعی برای پذیرش SIEM توسط مشاغل متوسط ​​بود، زیرا محصولات منحصراً شرکت‌های بزرگ‌تر را هدف قرار می‌دادند. اکنون با ظهور راهکارهای جدیدی که دیگر فقط بخش سازمانی بازار را هدف قرار نمی‌دهند، مانند پلت‌فرم نظارت و تجزیه و تحلیل یکپارچه کسپرسکی ما تغییر کرده است.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.