راهکاری جامع برای مدیریت رخدادها

log managment 1

این مقاله قصد دارد تا رویکردی جامع در حوزه امنیتی سازمانی را از طریق معرفی پلت فرم مدیریت ریسک و هوشمندی امنیت (security intelligence and risk management-SIRM) ارائه کند. این پلت فرم بطور منحصر بفردی بمنظور مدیریت تهدیدات پیشرفته از طریق همبستگی سنجی (correlation) بین رخدادهای امنیتی (Event) و آسیب پذیری های سازمان در نظر گرفته می شود. با ایجاد چشم اندازی یکتا و جامع از دارایی های امنیتی و با توجه به فرایندها و برنامه های مهم سازمانی، این رویکرد می تواند سبب تسهیل در مدیریت ریسک های سازمانی و نیز افزایش امنیت در سرمایه های سازمان شود.
در این مقاله قبل از اینکه به لزوم انتخاب راهکاری جامع در خصوص مدیریت رخدادها بپردازیم ابتدا به معرفی و اهمیت جمع آوری و نگهداری رخدادها پرداخته خواهد شد تا خواننده درک بهتری از رویکرد مقاله و راهکار ارائه شده داشته باشد.

ثبت تمامی وقایع در سازمان
کارکنان، کاربران، پیمانکاران، شرکای کاری و حتی افرادی که سیستم های سازمان را مورد استفاده قرار می دهند، پایگاه های داده، وب سایت ها، برنامه های کاربردی و زیرساخت های فیزیکی می توانند تاثیراتی در سازمان بهمراه داشته باشند. این تاثیرات عموماً بعنوان Log و یا رخداد (Event) در نظر گرفته می شوند.

Logها میتوانند با اهداف زیر مورد استفاده قرار گیرند:
  • طراحی و تعیین فرایند های IT از طریق Capture کردن، شاخص گذاری و فهرست کردن تمامی داده ها بمنظور بهبود مدیریت برنامه های کاربردی، سرور ها و زیر ساخت های سازمانی.
  • تسهیل توسعه برنامه های کاربردی از طریق تحلیل های Forensic برای نقص ها، کدها، خطاها و مسائل مربوط به ارتباطات.
  • مقابله با جرایم سایبری، با ایجاد امکان تحلیل ها و آنالیز هایی در تمامی انواع داده ها برای جستجوهای Forensic.
  • Complianceهای منظم از طریق جمع آوری داده ها و ارزیابی کیفیت آن ها، ذخیره سازی و گزارش دهی.

با وجود این قابلیتهای ملموس و مشهود، برای مدیریت Log ها، سازمانها همواره در حال کشمکش با حجم وسیعی از Log های داخل سازمان هستند و هیچ راهکار واحدی توانایی پاسخگویی به تمامی نیازهای تیم های امنیتی، فرایند های IT، توسعه و برنامه نویسی،  ارزیابی و حسابرسی Compliance را ندارد.
البته برای مدیریت هر یک از این بخش ها، محصولاتی در سازمان مورد استفاده قرار می گیرد که در نتیجه آن تحلیل های مختلفی از هر بخش حاصل می شود و در پی آن افزایش هزینه ها و ریسک های سازمانی را بهمراه دارد.
آنچه در ادامه به آن پرداخته خواهد شد علت نیاز به یک راهکار جامع مدیریت Log و در نتیجه چگونگی پاسخ به این نیاز از طریق محصولاتی همانند CoreLog خواهد بود.

نیاز روزافزون به راهکار مدیریت Log ها
مدیریت Logهای حاصل از سیستم های کامپیوتری و برنامه های کاربردی مدت هاست که در سازمان ها مطرح می شود و سابقه آن ها بسیار طولانی است. بطور مرسوم از Log ها بمنظور عیب یابی سیستمها در سازمان استفاده می شود. در حال حاضر ویژگی ها و پیچیدگی شبکه های امروزی سبب افزایش میزان داده ها، اطلاعات، ارتباطات و در نتیجه تعداد کاربران شده است. همچنین میزان اثرپذیری سازمان ها و دولت ها در برابر حملات سایبری، آسیب پذیری ها، فریبکاری ها و جاسوسی های سایبری توسط هکرها، بدافزارها و نفوذ کنندگان در حال افزایش است. از اینرو با توجه به گستردگی و روند رو به رشد جرایم سایبری، Log ها می توانند نقش مهمی را بمنظور تحلیل های Forensic و کشف انواع حوادث امنیتی سایبری ایفا کنند. این کار نیاز به جمع آوری، ذخیره سازی و تحلیل و آنالیز سریع و بموقع تمامی Log ها و در واقع رخدادها از تجهیزات و برنامه های کاربردی مختلف دارد.
تحقیقات و بررسی های اخیر نشان میدهد که هزینه های ناشی از آسیب ها، تخریب های امنیتی و حملات سایبری بر روی زیر ساخت های حیاتی بسیار پر رنگ است.(بررسی صورت گرفته در آمریکا نشان داد که خسارت ناشی از یک حمله سایبری به زیرساخت ها، برابر با وقوع 50 طوفان و حادثه است!!!)
مسئله واقعی این است که بسیاری از زیرساخت های حیاتی توسط بخش های خصوصی مدیریت می شوند و به وضوح می توان نشان داد که امنیت و Compliance وابسته به یکدیگر هستند زیرا اغلب سازمان ها مجبور به قبول و اجابت استانداردها و قوانین حاکم بر کشور هستند و در نتیجه ممکن است مشمول هزینه های زیادی در این رابطه شوند.
پذیرش این قوانین در بسیاری از موارد نیازمند نگهداری داده ها و اطلاعات سازمانی برای زمان طولانی دارد. در اینجاست که مدیریت موثر و کارآمد Log ها میتواند بسیار موثر واقع شود و در نتیجه اعمال آن، سبب کاهش زمان و هزینه های سازمانی در حسابرسی ها و ارزیابی ها گردد.
همچنین مدیریت کارآمد Log ها میتواند سبب شناسایی سریع نقص ها و خطاها در سیستم ها، پیکربندی ها، حسابرسی ها، کارایی و امنیت در تمامی بخش های اجرایی یک سازمان شود. تنها 20 درصد از نقص ها و متوقف شدن اجرای برنامه های مهم و پرکاربرد توسط خطاها حاصل در محیط، تکنولوژی و همچنین حوادث طبیعی ایجاد می شود در حالی که 80 درصد این نقص ها از نیروی انسانی و یا خطا هایی در رویه ها و فرایند ها نشأت می گیرد. قسمتی از این 80 درصد می تواند بواسطه مسائل مربوط به امنیت سایبری باشد، بهرحال مهم ترین مسئله، مدیریت ضعیف تغییرات برنامه ها و فرایند ها است. از آنجاییکه نگهداری Log ها و بررسی آن ها می تواند تمامی تغییرات در سیستم های سازمان را بوضوح نشان دهد، می توان از آن ها برای  تحلیل های Forensic و شناسایی سریع تر مسائل و مشکلات سازمانی بهره برد.
آنچه که پیش از این رایج بوده است، تحلیل Log ها در حوزه های مختلف فرایند ها، امنیت و Compliance، بصورت رویه هایی جداگانه، تحلیل و آنالیز Log ها بصورت Asset-Centric و اتخاذ ابزارهای سازمانی مختص به یک گروه فناوری اطلاعات، دارایی ها و موجودیت های مدیریت شده آن ها بوده است. راهکارهای در نظر گرفته شده به گونه ای طراحی شده بودند که بتوانند Log ها را از منابع مشخصی جمع آوری کرده و با بهینه سازی آن ها، راه حلی برای مشکل خاصی پیدا کنند. بهر حال، در موقعیت کنونی این روند ها بمنظور رفع تمامی چالش های موجود مناسب و کافی نمی باشند.
امروزه مشکلاتی که نیازمند اتخاذ راهکارهایی از طریق تحلیل Log ها باشند در حال افزایش بوده و بصورت user-centric عمل می کنند از اینرو باید تمامی زیر ساخت ها را پوشش دهند. ابزارهای مرسوم برای مدیریت Log ها مقیاس پذیر نبوده و نمی توانند برای پوشش تمامی سازمان و تحلیل Log های حاصله، گسترش یابند بدلیل اینکه آن ها محدود به نوع خاصی از منابع هستند و تنها قابلیت جمع آوری Log ها را از این منابع خاص دارند. بعلاوه محدودیت هایی نیز در قابلیت های جستجو و گزارش دهی دارند بنابراین تنها قادر به حل مشکلات خاصی در سازمان می باشند. از اینرو با افزایش حجم بار ترافیکی و مقیاس سازمانی، قادر به پاسخگویی نخواهد بود.
گسترش و بهبود نسل اول ابزارهای مدیریت Log، نیاز به ایجاد موازنه ای بین میزان جمع آوری Log ها، سرعت انجام تحلیل Log ها و کارامدی در ذخیره آنها دارد. راهکارهای جامع مدیریت Log ها باید موازنه کلاسیک بین کارایی و بهره وری را از بین ببرند و دید جامعی از تمامی Log های سازمان ایجاد کنند. بر خلاف راهکارهای مرسوم که بصورت جامع و مقیاس پذیر نبوده اند، راهکار جامع امروزی کاملاً انعطاف پذیر هستند بصورتی که میتوانند توسط یک تیم تا کل سازمان (در صورت نیاز) گسترش یابند.

لزوم انتخاب راهکار جامع برای مدیریت Log
راهکار جامع مدیریت Log باید به اندازه کافی انعطاف پذیر باشد تا بتواند بطور هم زمان درخواست تیمهای امنیت، Compliance، توسعه برنامه های کاربردی و تیم اجرایی IT را برآورده کند. این راهکار باید توانایی Capture کردن، ذخیره و تحلیل تمامی Log های داخل سازمان را داشته باشد. اما تمامی راهکارهای مدیریت Logها به یک شکل نمی باشند. نشانه های حاصل از بعضی از تهدیدات میتواند نشان دهنده ریسک ها و خطرات مهمی در سازمان باشد. از اینرو شرایط موجود در سازمان ها، نیاز به ابزار مدیریت Log ها را با توجه به ارضای نیازمندی های سازمانی بمنظور پردازش تمامی Event ها در سازمان کاملاً بارز می کند.

Captureکردن و شاخص گذاری رخدادها
اولین گام در تحلیل و آنالیز Log ها، جمع آوری تمامی Log های سازمانی است. با توجه به اینکه فرمت Log های تولید شده می تواند متفاوت باشد، بمنظور جمع آوریLog ها، راهکار مدیریت Log، باید تمامی متدها از جمله Agent-based و Agent-less Collection را پشتیبانی کند. این راهکار علاوه بر جمع آوری تمام Event ها و در نتیجه Log های تولید شده در سازمان، باید قابلیت پشتیبانی تمامی داده های جمع آوری شد ه از ذخیره سازهای مبتنی بر فایل و یا از SysLog را داشته باشد.

محصولات