فا

‫ معرفي SIEM

IRCAR201401196
تاريخ: 17/10/92
SIEM اصطلاحي است براي نرم افزارها و محصولاتي كه از دو بخش مديريت امنيت اطلاعات (SIM) و مديريريت رويدادهاي امنيتي (SEM) تشكيل شده است. فناوري SIEM، از هشدارهاي امنيتي كه توسط سخت افزارها و برنامه هاي كاربردي شبكه ايجاد مي‌شود تحليل بلادرنگي را فراهم مي‌كند.
ابزارهاي SIEM، حداقل در موارد زير به سازمان‌ها كمك مي‌كنند:
         مديريت لاگ‌ها جهت تسهيل همبستگي سنجي، هشداردهي و گزارش دهي رويدادهاي امنيتي
         تسهيل فرآيندهاي مديريت مخاطرات، پاسخ به رخداد و انطباق سنجي
         فراهم كردن بستري براي مقايسه سطح تهديدات و فعاليت‌هاي امنيتي
         افزايش بهره وري و اثر بخشي عملكرد مديران سيستم و امنيت، مميزان داخلي و خارجي و مديران ارشد درگير در مديريت مخاطرات
         اتخاذ روش بهبود مديريت مخاطرات و اولويت‌بندي رسيدگي به آسيب پذيري‌ها
اما بايد توجه داشت كه ابزارهاي SIEM برخلاف تصورات موجود كارهاي زير را نمي‌كنند:
         SIEM نياز به ديگر سيستم‌هاي امنيت فناوري اطلاعات را از بين نمي‌برد، بلكه ارزش هركدام از آن ابزارها را افزايش مي‌دهد.
         SIEM مستقيماً از سوء استفاده‌ها جلوگيري نمي‌كند، بلكه در شناسايي محدوده‌هايي كه سطح مخاطرات آنها افزايش يافته است و كاهش هزينه و زمان واكنش به رخداد كمك مي‌كند.
         SIEM نقش مديران و پرسنل عملياتي امنيت را حذف نمي‌كند، بلكه ارزش چنين كارمنداني را مشخص مي‌كند.
همچنين، SIEM به تنهايي نمي‌تواند نقض‌ها يا رخنه‌هاي مشابه را حذف كند، بلكه بواسطه ميدان ديد بهتر و از طرق زير سوء استفاده از مخاطرات را كاهش مي‌دهد:
         شناسايي زودتر حملات پيچيده از طريق همبستگي سنجي رويدادها
         پشتيباني سريعتر و كامل‌تر از عمليات‌هاي قانوني حين و بعد از اولين پاسخ به رخداد
         فراهم كردن بازخورد بهتر از تهديدات مشاهده شده روي كنترل‌هاي امنيتي جهت محافظت بهينه و كاهش مخاطره سوء استفاده هاي آينده
مقايسه رهيافت‌هاي مديريت فرآيندهاي امنيت اطلاعات همراه با SIEM و بدون آن:
استفاده از SIEM، روي مخاطرات و هزينه‌هاي سازمان تاثير گذار خواهد بود. اما نكته حائز اهميت اين است كه اين تاثير همزمان با استفاده از SIEM خود را نشان نخواهد داد و امري زمان‌بر است. در نمودار زير، اين امر توضيح داده شده است:
1-      قبل از استفاده از SIEM: هزينه‌هاي مديريت امنيت و مخاطرات در طول زمان و با ظهور تهديدات جديد افزايش مي‌يابد.
2-      بلافاصله بعد از استفاده از SIEM: بلافاصله بعد از نصب، بدليل مشاهده تهديدات زيادي در سازمان، هزينه مديريت آن تهديدات افزايش مي‌يابد. اما از طرف ديگر:
a.       هزينه‌هاي رخداد از طريق شناسايي زودتر رخداد و رسيدگي بهتري كه توسط ابزار SIEM ارائه مي شود كاهش مي‌يابد.
b.       زماني كه كارايي SIEM در سازمان درك شود، هزينه مديريت تهديدات قابل مشاهده به سطح اوليه بر مي‌گردد.
3-      بعد از استفاده طولاني از SIEM: هم هزينه‌هاي امنيت و هم هزينه‌هاي مخاطرات، از طريق گزارش بازخوردي كه از SIEM به كنترل‌هاي فني داده مي‌شود كاهش مي‌يابد.
شكل 1- تاثير SIEM روي مخاطرات و هزينه در طي زمان
 
جدول زير نشان‌دهنده مزاياي استفاده از SIEM در پاسخگويي به نيازهاي امنيتي سازمان است. سازمان‌ها، با استفاده از اين جدول مي توانند رويكرد خود به استفاده يا عدم استفاده از SIEM را مشخص كنند.
رهيافت SIEM
حوزه‌هاي مديريت امنيت
مديريت لاگ‌
مديريت انطباق
مديريت رويداد
مديريت بهتر مخاطرات
بدون SIEM
تنظيمات ذخيره سازي، پشتيبان‌گيري، نگهداري و بايگاني بايد براي هر سيستم كليدي پيكربندي و مديريت شود.
مديريت گزارش انطباق‌ها و بازبيني لاگ‌هاي مرتبط از طريق فرآيندهاي دستي انجام مي‌شود.
فرآيندهاي شناسايي و پاسخگويي به رخداد، بواسطه فقدان قابليت مشاهده بين سيستمي با اختلال مواجه مي‌شود.
اولويت‌بندي ملاحظات امنيتي سيستم‌‎ها تقريباً غيرممكن است و ممكن است براي مخاطرات بين سيستمي قابل محاسبه نباشد.
SIEM مقدماتي (متمركز روي رويداد يا انطباق)
 
 
 
مديريت متمركز لاگ‌ منجر به بهينه شدن زمان و هزينه مديريت لاگ‌هاي كليدي سيستم مي‌شود و فرصت‌هاي بهتري را براي استفاده از اين گونه داده‌ها فراهم مي‌كند.
 
 
 
فرآيندهاي مديريت انطباق مي‌تواند از طريق گزارش زمانبندي شده و از پيش تعريف شده بين سيستمي، ساده‌تر و موثرتر انجام شود.
 
 
 
بواسطه همبستگي سنجي رويدادها، رخدادهاي بيشتري قابل مشاهده است. همچنين از طريق اعلام هشداردها و بررسي‌هاي قانوني، نحوه پاسخ به رخدادها بهبود مي‌يابد.
از طريق انطباق سنجي، ديد واقع بينانه‌اي از مخاطرات پيدا مي‌شود يا از طريق فرآيندهاي مديريت رويداد، اولويت‌بندي بهتري فراهم خواهد شد.
SIEM پيشرفته (متمركز روي رويداد و انطباق)
اطلاعات تركيب شده‌اي كه از فرآيندهاي مديريت رويداد و انطباق سنجي بدست مي‌آيد، ديد كامل‌تري از تمامي مخاطرات سيستم  فراهم مي‌كند.
 
 

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 18 مرداد 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها: 0