پنج مساله مهم در تهیه و استقرار سامانه های مدیریت رخدادها و اطلاعات امنیتی (SIEM) - بخش دوم

soc-articleمسئله 4: عدم وجود منابع کارا و مناسب
" SIEM بمنظور صرفه جویی در زمان و هزینه تهیه شده است. با این حال انتظار آن می رفت که کاربر SIEM باشیم نه اینکه آن را مدیریت کنیم."
SIEM اغلب بمنظور کاهش در هزینه های امنیت و کنترل انطباق با سیاست های سازمان تهیه می شود. از طریق فرایندهای مدیریت و گزارش گیری خودکار رخدادها، SIEM می تواند بطور قابل ملاحظه ای هزینه های امنیتی را کاهش داده، شناسایی نفوذها و دسترسی های غیرمجاز، مدیریت log ها، حسابرسی انطباق و ... را ممکن کند. بهرحال، هزینه ها و منابع دیگری وجود دارند که در زمان تهیه و استقرار SIEM باید درنظر گرفته شوند.
عدم وجود منابع کارا و مناسب برای پیاده سازی پلت فرم SIEMو مدیریت آن، سبب ناکارآمدی و عدم موفقیت پروژه های SIEM می شود. برخلاف سایر فناوری های امنیتی مرسوم، از جمله فایروال ها و IDS ها، SIEM برای حصول کارایی بیشتر، باید با گستره ی وسیعی از فناوری ها در محیط مورد نظر، یکپارچه و مجتمع شود که این امر سبب می شود لزوما، پلت فرم SIEM بسیار  پیچیده باشد. از اینرو برای استقرار SIEM در هر سازمانی  نیاز به دانش و مهارت زیاد و مدیریت صحیح است.
البته، داشتن مهارت و دانش SIEM به تنهایی کارا و مفید نخواهد بود چنانکه علاوه بر آن نیاز به آگاهی از منابع داده موجود در محیط مورد نظر و اطلاعات حاصل از این منابع داده ای، مرتبط با مفاهیم امنیت و انطباق مورد نیاز سازمان مورد نظر می باشد. بدون در نظر گرفتن این مسائل، پروژه های SIEM در پشتیبانی از اهداف امنیتی مورد نظر با شکست روبرو می شوند.
هزینه لازم بمنظور حضور پرسنل با دانش و تخصص مورد نیاز برای پشتیبانی یک پروژه SIEM ،اغلب درتهیه یک ابزار SIEM نادیده گرفته می شود. در هر سازمانی یک مرکز اختصاصی برای مدیریت زیرساخت SIEM و اجرای وظایف مورد نیاز برای حفظ کارایی SIEM بطور مطلوب، مورد نیاز می باشد. براساس تخمین صورت گرفته از Salary.com، میزان هزینه سالیانه برای یک مدیر SIEM بین 100000 تا 130000دلار می باشد. بعلاوه مدیر SIEM، به تحلیگران SIEM برای مانیتورینگ و بررسی رخدادهای حاصل از پلت فرم SIEM نیاز دارد.
بسته به نیاز های مورد نظر و میزان پوشش مورد نیاز، تعداد تحلیلگران مورد نیاز میتواند شامل یک نفر برای پوشش دهی 5* 8 در محیط های بسیار کوچک (با کمتر از 5 دستگاه برای مانیتورشدن) تا بیش از 10 نفر برای پوشش 24*7*365 در سازمان های بزرگ باشد. همچنین تخمین Salary.com برای هزینه کل سالیانه بمنظور تحلیل امنیت اطلاعات بین 75000 تا 100000دلار برآورد شده است.
اغلب ابزارهای SIEM شامل 3 مولفه نرم افزاری پایه هستند که از فروشندگان SIEM خریداری می شود: collector، agent ها و یک کنسول مدیریت SIEM. سرورهای موردنیاز برای هر collector و کنسول مدیریت SIEM باید تهیه و مستقر شوند. همچنین نرم افزار پایگاه داده برای پشتیبانی از ذخیره سازی، یکپارچه سازی و گزارش دهی رخدادها مورد نیاز است. هر یک از این آیتم ها در هزینه استقرار و پیاده سازی SIEM و هزینه های نگهداری و پشتیبانی رخدادها درنظر گرفته می شوند. برخی از محصولات SIEM برای استفاده در محیط های کوچک پیاده سازی شده اند  و موارد بالا را در یک ابزار واحد و منفرد بمنظور  کاهش هزینه ها، تجمیع می کنند. اما این رویکرد از نظر مقیاس پذیری با محدودیت مواجه است که در نتیجه برای محیط های بزرگ مناسب نخواهد بود.
در زمان برنامه ریزی و تعیین بودجه برای یک پروژه SIEM، بسیاری از سازمان ها تنها بر روی هزینه اعلام شده توسط ارائه دهندگان SIEM، تمرکز می کنند صرفنظر از هزینه های اضافی ای که در هزینه کل یک پروژه SIEM در نظر گرفته می شود که این هزینه های افزونه تفاوت قابل توجهی ای را در میزان هزینه های صورت گرفته در مقایسه با میزان هزینه ای که درابتدا پیش بینی شده بود، ایجاد می کنند. همچنین در بسیاری از موارد، هزینه های مازاد و کاهش پرسنل نیز منجر به پروژه های SIEM ناموفق یا ناتمام می شود.

مسئله 5: فقدان راهکاری جامع برای حل مشکلات امنیتی
" ابزار SIEM بمنظور رفع تمامی مشکلات امنیتی خریداری شد اما..."
برعکس آنچه که برخی از ارائه دهندگان این ابزار ادعا می کنند، SIEM "راهکاری جامع برای حل همه مشکلات امنیتی" نیست. اگرچه SIEM بعنوان یک استراتژی دفاعی قدرتمند و موثر شناخته می شود، با این حال به تنهایی نمی تواند امنیتی جامع را ایجاد کند. متاسفانه، بسیاری از سازمان ها که SIEM را خریداری می کنند، بر این باورند که این ابزار، امنیت جامع  و یکپارچه را حاصل می کند اما این  تصور غلط از SIEM منجر به کارایی ضعیف SIEM و یک برنامه امنیتی همه جانبه ضعیف می شود.
تکنولوژی SIEM جایگزینی برای اقدامات امنیتی مرسوم از جمله فایروال ها، IDS ها، IPS هاو Host Audit Logs نیست. SIEM بمنظور یکپارچه سازی تکنولوژی های امنیتی در یک برنامه امنیتی واحد می باشد که این یکپارچگی و جامعیت، اطلاعات امنیتی یکپارچه ای را در نتیجه کنترل های امنیتی مختلف در محیط مورد نظر و مجتمع سازی رخدادها برای شناسایی تهدیدهای واقعی حاصل می کند و در نتیجه سبب بهبود وضعیت امنیت و انطباق می شود.
سازمان هایی که از SIEM بمنظور ایجاد امنیتی جامع و فراگیر در سازمان، بدون  وجود منابع اختصاصی و کنترل های امنیتی ضروری از جمله فایروال ها، تجهیزات IDS  و IPSها، استفاده می کنند، آورده کم ارزشی را در مقایسه با سرمایه گذاری صورت گرفته برای SIEM دریافت می کنند و این واقعیتی انکارناپذیر است چرا که SIEM به تنهایی نمی تواند محیط امنی را ایجاد کند ودلیل آن کاملا واضع است؛ بدلیل اینکه این ابزار، مبتنی بر رخدادهای جمع آوری شده از تجهیزات امنیتی و حسابرسی Log ها می باشد. کارایی  SIEM حاصل از هوشمندی خودکاری است که بواسطه توانایی آن در شناسایی آنی تهدید ها از رخداد های جمع آوری شده فراهم می شود. افزایش مانیتورینگ منابع رخدادها بهمراه یک تکنولوژی SIEM که بخوبی مدیریت می شود، شناسایی و گزارش رخدادها را توسط برنامه امنیتی امکان پذیر می سازد.

اجتناب از مشکلات SIEM
مدیریت اطلاعات امنیتی، امکان حفاظت از شبکه ها و براورد نیازمندی های انطباقی برای استاندارهایی نظیر PCI ,GLBA ,FFIEC ,HIPAA ,SOX ,NERC CIP و... را برای سازمان ها فراهم می کند. تکنولوژی SIEM قابلیت دفاع قدرتمند و موثری را از طریق جمع آوری، یکپارچگی و تهیه گزارش از اطلاعات امنیتی سازمان ها، ایجاد می کند. بوسیله خودکار سازی این وظایف، SIEM سبب کاهش هزینه های امنیتی و انطباقی می شود.
در مجموع، با توجه به آنچه که بیان شد، عدم تخمین صحیح و دقیق از منابع، هزینه ها و پی آمدها، سبب ایجاد ریسک هایی در زمان توسعه SIEM میشود که این ریسک ها نیز به نوبه خود منجر به مسائل و مشکلاتی می شوند که به آن ها اشاره شد.بنابراین لازم است که این مسائل بگونه ای دقیق در زمان توسعه راهکار های SIEM در سازمان، در نظر گرفته شده و بررسی شوند.
بسیاری از سازمان ها در جهت اتخاذ رویکرد استفاده از راهکارهای SIEM بعنوان یک سرویس، بمنظور اجتناب از این ریسک ها می باشند که در این صورت تکنولوژی SIEM توسط ارائه دهنده سرویس، پیاده سازی، مدیریت و پشتیبانی می شود. راهکارهای SIEM مبتنی بر سرویس، بدون هزینه های اساسی و سرمایه گذاری برای نرم افزار و سخت افزارهای مورد نیاز سازمان می باشد که کاهش ریسک ها را بهمراه احتمال موفقیت بیشتری در مدیریت اطلاعات امنیتی حاصل می کند.

محصول CoreLog، اولین سامانه بومی مدیریت رخدادها و تهدیدات است که توانمندی ایجاد یک راهکار جامع دفاع سایبری را برای سازمان ها ایجاد می نماید. راهکار جامع دفاع سایبری شرکت بهین راهکار شامل ایجاد یک مرکز عملیات امنیت با محوریت سامانه CoreLog، ایجاد فرایندهای مورد نیاز و همچنین طراحی و استقرار مناسب سایر ابزارهای امنیتی در سازمان است.