روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ سیستم SIEM (مدیریت اطلاعات و رویدادهای امنیتی) بهعنوان یکی از حیاتیترین ابزارهای امنیتی در سازمانها شناخته میشود. این سیستم بهطور مستمر اطلاعات و رویدادهای مختلف در محیطآیتیِسازمان را جمعآوری، ذخیرهسازی، تحلیل و بررسی میکند تا بتواند تهدیدها و حملات امنیتی را شناسایی کند. بهطور کلی، سیستم SIEM میتواند بهعنوان یک شبکه امنیتی مرکزی برای شناسایی و پاسخ به تهدیدات عمل کند، اما برای اینکه این سیستم بهطور مؤثر عمل کند، باید بهطور دقیق و هوشمند پیکربندی شود. عدم توجه به جزئیات در مراحل پیکربندی و تنظیمات اولیه میتواند باعث شود که سیستم بهطور کامل نتواند به شناسایی تهدیدها بپردازد یا حتی در بهترین حالت، با تعداد زیادی هشدار کاذب مواجه شود.یکی از جنبههای مهم SIEM این است که این سیستم باید بهطور مداوم و همزمان با تغییرات در زیرساختهای سازمان و پیشرفتهشدن تهدیدها، بهروزرسانی و پیکربندی شود. سیستمهای SIEM نمیتوانند بهطور ایستا عمل کنند، زیرا سازمانها بهطور پیوسته در حال تغییر و تکامل هستند و بهدنبال آن، تهدیدهای امنیتی نیز تغییر میکنند. در این راستا، ارزیابی دورهای و مداوم اثربخشی سیستم SIEM بسیار ضروری است. از آنجایی که مشکلات بسیاری در طول زمان ممکن است در عملکرد SIEM پدید آید، ضروری است که سازمانها از خدمات ارزیابی و مشاوره برای شناسایی این مشکلات استفاده کنند و راهحلهایی برای بهینهسازی عملکرد سیستمشان بهدست آورند.
هدف از ارزیابی اثربخشی سیستمهای SIEM این است که بررسی کنیم این سیستم تا چه اندازه توانسته است اهداف امنیتی سازمان را محقق کند و آیا قادر به شناسایی تهدیدات بهطور مؤثر و کارآمد است یا خیر. ارزیابی دقیق معمولاً شامل چندین مرحله است که شامل جمعآوری مستندات سیستم، مصاحبه با افراد مرتبط، تحلیل و بررسی تنظیمات سیستم و بررسی صحت و دقت فرآیندهای مختلف در آن میشود. در نهایت، گزارشی از وضعیت فعلی سیستم و پیشنهاداتی برای بهینهسازی آن ارائه میشود. این پیشنهادات ممکن است شامل تغییرات ساده یا پیچیدهای باشند که مستلزم بهینهسازی فرآیندهای موجود و تنظیمات سیستم هستند.
بررسی منابع داده متصل به سیستم SIEM
یکی از مراحل کلیدی در ارزیابی عملکرد سیستم SIEM، بررسی منابع دادهای است که به سیستم متصل هستند. منابع داده میتوانند شامل انواع مختلفی از دستگاهها، سیستمهای عامل، تجهیزات شبکه، فایروالها، ابزارهای نظارت و سایر تجهیزات امنیتی شوند. برای اینکه سیستم SIEM بتواند بهطور مؤثر تهدیدات را شناسایی کند، باید از تمامی منابع موجود در زیرساخت سازمان اطلاعات کافی دریافت کند. یکی از مشکلات رایجی که در ارزیابیها مشاهده میشود این است که فهرست منابع متصل به SIEM موقع تغییرات زیرساختها بهروز نمیشود. این موضوع ممکن است باعث شود که منابع جدیدی که به شبکه سازمان اضافه میشوند، هیچگاه به سیستم SIEM متصل نشده و در نتیجه، تهدیدات موجود در این منابع نادیده گرفته شوند.در بسیاری از موارد، سازمانها منابع جدید را به شبکه اضافه میکنند اما فراموش میکنند آنها را به سیستم SIEM متصل کنند. به همین دلیل، ارزیابی عملکرد سیستم SIEM باید بهطور دورهای منابع جدید را شناسایی کرده و از اتصال صحیح آنها به سیستم اطمینان حاصل کند. در این راستا، لازم است که بهطور منظم لیستی از تمامی منابع داده موجود در زیرساخت سازمان تهیه و با منابع متصل به SIEM مقایسه شود.
مشکلات مربوط به جریان دادهها و جمعآورندهها
یکی دیگر از مشکلات عمده در ارزیابیهای SIE،عدم ارسال دادهها از منابع خاص به سیستم SIEM است. در بسیاری از موارد، جمعآورندههای داده که وظیفه ارسال اطلاعات از دستگاهها و منابع مختلف به SIEM را دارند، ممکن است به دلایل مختلف مانند تنظیمات نادرست، مشکلات فنی یا مشکلات شبکهای نتوانند دادهها را بهدرستی ارسال کنند. بهعنوان مثال، ممکن است جمعآورندهها بهطور موقت از کار بیفتند یا به دلیل تغییرات پیکربندی، نتوانند دادهها را ارسال کنند. در چنین شرایطی، اگر این جمعآورندهها اطلاعات مورد نیاز SIEM را ارسال نکنند، به سیستم هیچ دادهای برای تجزیه و تحلیل نمیرسد و بنابراین، بخشهایی از زیرساخت سازمان از دید SIEM پنهان میماند. این امر میتواند به از دست رفتن تهدیدها و آسیبپذیریها منجر شود.برای شناسایی این مشکلات، باید بهطور دورهای وضعیت جمعآورندهها را بررسی کرده و مطمئن شویم که تمام جمعآورندهها در حال ارسال داده به سیستم SIEM هستند. همچنین میتوان از آمار و گزارشهای جریان داده استفاده کرد تا دید آیا دادهها از تمامی منابع ارسال میشوند یا خیر. این کار میتواند به شناسایی سریع مشکلات مربوط به جمعآورندهها کمک کند.
عادیسازی دادهها و مشکلات آن
عادیسازی دادهها یکی از فرآیندهای اساسی در سیستمهای SIEM است که وظیفه آن تبدیل دادههای ورودی به یک فرمت یکپارچه و قابل پردازش است. اگرعادیسازی دادهها بهدرستی انجام نشود، منطق تشخیص نمیتواند اطلاعات را بهدرستی استخراج کند و در نتیجه، تهدیدات شناسایی نخواهند شد. این مشکل ممکن است ناشی از استفاده از نرمالسازهای قدیمی، تنظیمات نادرست نرمالسازی یا حتی استفاده از نرمالسازهای غیراستاندارد باشد. عادیسازی صحیح دادهها برای شناسایی تهدیدات امنیتی بسیار حیاتی است. در بسیاری از ارزیابیها، مشاهده شده که نرمالسازهای قدیمی و بهروز نشده در سیستمهای SIEM استفاده میشوند که باعث میشود دادهها بهدرستی پردازش نشوند. برای حل این مشکل، ضروری است که نرمالسازها بهطور مداوم بهروزرسانی شوند و از صحت آنها اطمینان حاصل شود. علاوه بر این، باید از دادههایی که بهطور کامل نرمالسازی نشدهاند، با دقت بیشتری نظارت شود تا در صورت لزوم، اصلاحات لازم در فرآیند نرمالسازی اعمال شود.
پوششدهی منابع داده و مشکلات آن
یکی از مشکلات مهم دیگر در استفاده از SIEM عدم پوششدهی تمامی منابع داده موجود در زیرساخت است. بهطور معمول، وقتی یک SIEM تنظیمات درستی دارد، تمامی منابع موجود باید به سیستم متصل شوند و برای شناسایی تهدیدات از دادههای آنها استفاده شود. اما در برخی موارد، ممکن است برخی منابع به SIEM متصل نشده باشند یا برای آنها منطق تشخیصی توسعه داده نشده باشد. این موضوع میتواند باعث از دست رفتن تهدیداتی شود که در منابع نادیده گرفته شده قرار دارند.در ارزیابیها، این مشکل معمولاً از طریق بررسی گزارشهای جریان دادهها و منابع متصل به SIEM شناسایی میشود. برای حل این مشکل، باید بهطور دورهای فهرستی از تمامی منابع داده تهیه و بررسی شود که آیا برای تمامی آنها منطق تشخیص فعال است یا خیر. اگر برای منبع خاصی منطق تشخیص وجود نداشته باشد، باید بهطور فوری توسعه یابد تا از شناسایی تهدیدها در آن منابع اطمینان حاصل شود.
یکپارچگی با دادههای تهدید (IoC) و اهمیت آن
یکپارچگی با دادههای تهدید اهمیت زیادی دارد. این دادهها میتوانند شامل آدرسهای IP مخرب، دامنههای آلوده، فایلهای بدافزار و اطلاعات دیگر مربوط به تهدیدها شوند. اگر سیستم SIEM بتواند بهطور مؤثری با منابع داده تهدید، مثل پایگاههای اطلاعات تهدید متصل شود، میتواند تهدیدهای جدید را بهتر شناسایی کرده و هشدارهای دقیقتری صادر کند. اما در بسیاری از ارزیابیها، دیده شده که سیستمهای SIEM به این دادهها متصل نیستند یا از این دادهها بهطور درست استفاده نمیکنند. برای حل این مشکل، باید سیستم SIEM بهطور کامل به منابع داده تهدید متصل شود و برای این دادهها قوانین و روشهای شناسایی مناسب ایجاد شود.
سیستم SIEMبه آپدیت مداوم نیاز دارد
یکی از مشکلات رایج دیگر در سیستمهای SIEM، عدم بهروزرسانی آنها پس از استقرار اولیه است. بسیاری از سازمانها پس از راهاندازی اولیه سیستم SIEM، آن را به حال خود رها میکنند و بهروزرسانیهای لازم را در طول زمان انجام نمیدهند. این در حالی است که زیرساختهای سازمانها و تهدیدات بهطور مداوم در حال تغییر و تکامل هستند. به همین دلیل، سیستمهای SIEM باید بهطور مداوم بهروز شوند تا از توانایی شناسایی تهدیدهای جدید و تعامل با زیرساختهای تغییر یافته بهرهبرداری کنند. در نهایت، برای حفظ اثربخشی سیستم SIEM و اطمینان از عملکرد صحیح آن، باید این سیستم بهطور منظم ارزیابی و بهروز شود. ارزیابیها باید تمامی جنبههای سیستم، از جمله منابع داده، نرمالسازی، منطق تشخیص، و یکپارچگی با دادههای تهدید را بررسی کنند تا مطمئن شویم که سیستم قادر به شناسایی تهدیدهای جدید و پیچیده است.
نتیجهگیری
در نهایت، سیستمهای SIEM ابزارهای حیاتی برای شناسایی تهدیدهای امنیتی و نظارت بر رویدادهای مختلف در سازمانها هستند. با این حال، عملکرد مؤثر آنها بستگی زیادی به پیکربندی صحیح، بهروزرسانی مداوم و یکپارچگی با منابع دادههای تهدید دارد. مشکلات رایج مانند عدم بهروزرسانی منابع داده، نرمالسازی نادرست، پوششدهی ناکافی منابع و استفاده نامناسب از دادههای تهدید، میتوانند اثربخشی SIEM را بهطور چشمگیری کاهش دهند. بنابراین، ارزیابی دورهای و بهروزرسانی تنظیمات، منابع و منطق تشخیص سیستم ضروری است. در این راستا، استفاده از خدمات مشاورهای برای شناسایی و رفع مشکلات میتواند به سازمانها کمک کند تا عملکرد سیستمهای SIEM خود را بهینهسازی کرده و تهدیدها را بهطور دقیقتر شناسایی کنند. در نهایت، برای حفظ امنیت سازمانها، باید بهطور مستمر سیستمهای SIEM را مورد بازبینی و بهروزرسانی قرار داد تا از مواجهه با تهدیدهای جدید جلوگیری کرد.
کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
