مدیریت log ها و رخدادهای امنیتی

تقریبا از اواخر دهه 90 میلادی تکنولوژی SIEM (مدیریت اطلاعات و رخدادهای امنیتی)  مطرح شده است و این در حالی است که هنوز بعنوان مبحثی بحث برانگیز در امنیت مطرح است. با وجود بهبودهای امنیتی که از بکارگیری این تکنولوژی انتظار می رود و وجود دیدگاهی مشترک بین کارشناسان امنیت در خصوص امنیت حاصل از بکارگیری آن در سازمانها، هنوز با پذیرش آهسته و آرام آن در سازمان ها مواجه هستیم.  از سویی دیگر در سال های اخیر تکنولوژی SIEM با  تکنولوژی تحت عنوان  Log Management تلفیق شده است که هدف آن جمع آوری گستره عظیمی از log ها بمنظور نائل شدن به اهدافی نظیر واکنش سریع به حوادث در صورت عدم انطباق با استانداردها و قوانین (compliance)، مدیریت سیستم ها و  رفع خطای موجود در برنامه های کاربردی می باشد.

در این نوشته  هدف بررسی و آنالیز  ارتباط بین  این دو تکنولوژی یعنی  SIEM و Log Management است که علاوه بر اشاره به تفاوت های موجود در آن ها و کاربرد متفاوت این تکنولوژی ها به معماری آن ها و چکونگی الحاق آن ها با یکدیگر اشاره می شود.  برای مثال باید مشخص شود که با توجه به نیازمندی ها،  کدامیک از این تکنولوژی ها می تواند مفید واقع شود. کدامیک از این تکنولوژی ها  می تواند نگاهی آنی و لحظه ای را از حملات ایجاد کند؟ بعلاوه برای سازمان هایی که  از استقرار این تکنولوژی ها در سازمانشان بهره می برند راهنمایی ها و پیشنهاداتی ارائه می شود تا بتوانند  حداکثر استفاده از این تکنولوژی ها را داشته و  در نتیجه با افزایش کارایی و بهره وری در سازمانشان مواجه شوند.

ابزارهایSIEM
این ابزارها نخستین بار در سال  1997 پدیدار شدند و استفاده عمده از آن ها بمنظور کاهش اشتباهات تشخیص در  IDS ها بود. این ابزارها برای استقرار و استفاده بسیار  پیچیده بودند از اینرو تنها در سازمان های بزرگی که از برنامه های امنیتی مناسبی بهره می بردند، مورد استفاده قرار گرفتند. امروزه ابزارهای SIEM،  برای تمامی سازمان ها و با هر اندازه ای می توانند مورد استفاده قرار گیرند.
در ابتدا لازم است تعریف و توضیحی از دو تکنولوژی SIEM و Log Management بیان شود تا تفاوت بین این دو تکنولوژی مشخص شود.

SIEM شامل بخش هایی بنام های:
  • log collection
  • log aggregation
  • normalization
  • retention (حفظ و نگهداری log ها)
  • context data collection
  • analysis شامل correlation  و prioritization
  • presentation شامل reporting و visualization
  • workflow  security-related
و مفاهیم مرتبط با امنیت است.  تمامی این موارد  در SIEM بر روی امنیت اطلاعات، امنیت شبکه، امنیت داده ها بهمراه در نظر گرفتن compliance و تطابق با استانداردها و سیاست های سازمانی تمرکز دارند.

از سویی دیگرlog management شامل:
  • log collection (جمع آوری رخدادها)
  • aggregation (تجمیع رخدادها)
  • original log retention (ذخیره log ها بصورت خام و بدون تغییر)
  • log text analysis
  • presentation
  • و سرانجام workflow و  content مربوطه است.
موارد استفاده از تکنولوژی log management بسیار گسترده و وسیع می باشد بطوریکه  تمامی موارد استفاده از  log ها را در سراسر زیرساخت ها مورد پوشش قرار می دهد.
با توجه به آنچه که در بالا به آن اشاره شد تفاوت کلیدی بین این دو تکنولوژی از این حقیقت ناشی می شود که SIEM بر روی امنیت تمرکز دارد و بصورت مدیریت اطلاعات و رخدادهای امنیتی تعریف می شود  و در واقع در این تکنولوژی از  اطلاعات بمنظور نائل شدن به اهداف امنیتی استفاده می شود. از سویی دیگر  log management بر روی  log ها و در واقع استفاده گسترده ای از آن ها هم در حوزه امنیتی و هم خارج از حوزه امنیتی تمرکز دارد.

ویژگی های SIEM
مشکلات و مسائلی که عمدتا سبب می گردد تا سازمان ها بمنظور نائل شدن به آن ها به فکر تهیه و پیاده سازی سامانه  SIEM باشند عبارتند از:

•    Log and context data collection:  قابلیت جمع آوری log ها و  context data نظیر  identity information  و vulnerability assessmentبراساس متدهای مبتنی بر agent و یا بدون agent.

•    Normalization and categorization: قابلیت تبدیل log های اولیه و جمع آوری شده به  یک فرمت واحد  بمنظور استفاده در ابزار  SIEM و سپس دسته بندی رخداد ها، از جمله بصورت "configuration change"، "file access" و یا "buffer overflow attack".

•    Correlation: این قابلیت می تواند بصورت rule-based، statistical و یا algorithmic  باشد. همچنین از متدهای دیگری نیز می توان برای این منظور بهره برد. این عمل بمنظور تعیین ارتباط بین event های مختلف صورت می پذیرد. Correlation باید بصورت آنی و لحظه ای صورت پذیرد با این حال تمامی ابزارها این امر را پشتیبانی نمی کنند و در عوض برای انجام correlation بر روی historical dataهای موجود در پایگاه های داده تمرکز دارند.  بسیاری از مواقع،  روش های موجود برای تحلیل و آنالیز  log ها با عنوان correlation شناخته شده و مورد استفاده قرار می گیرند.

•    Notification/alerting: قابلیت هشدار  و اطلاع رسانی به  مدیران و یا اپراتورها.  از جمله روش های موجود برای این امر ارسال SMS، ایمیل  و یا حتی SNMP message می باشد.

•    Prioritization: قابلیت تعیین کردن اهمیت رخدادها و برجسته کردن رخدادهای امینتی حیاتی و مهم. این کار می تواند از طریق اطلاعات موجود از  آسیب پذیری ها و یا سایر  اطلاعات از دارایی های موجود صورت پذیرد. الگوریتم های موجود برای این کار باید از  اطلاعات مهم و دقیقی که از منابع اصلی  log ها بدست می آید بهره ببرند.

•    Real-time views: این قابلیت داشبوردها و  مانیتورینگ امنیتی را پوشش می دهد که می تواند برای پرسنل در حوزه امنیت مورد استفاده قرار گیرد. آنچه نمایش داده می شود میتواند شامل اطلاعات جمع آوری شده از جمله نتایج حاصل از  correlation بمنظور انجام تجزیه و تحلیل های آنی باشد. همچنین امکان پوشش داده های historical و قدیمی نیز وجود دارد.

•    Reporting: قابلیتی برای ایجاد یک  historical view از  داده های جمع آوری شده از طریق SIEM.در بعضی از ابزارها مکانیزم هایی برای توزیع  گزارش ها  برای پرسنل در حوزه امنیت و یا مدیران IT وجود دارد که این کار می تواند از طریق ایمیل و یا یک پورتال وب ایمن و اختصاصی صورت پذیرد.

•    Security role workflow: این قابلیت تمامی ویژگی های مرتبط با incident management نظیر امکان investigate و در واقع انجام جستجو و بررسی را فراهم می کند بعلاوه انجام task هایی را بصورت اتوماتیک و یا نیمه اتوماتیک در فرایندهای امنیتی امکان پذیر می سازد. در برخی از سامانه های SIEM  امکان انجام چندین بررسی و آنالیز بصورت همزمان فراهم می گردد.

ویژگی هایی که در بالا به آن اشاره شد در اغلب سامانه های SIEM یافت می شود .  بهرحال تمامی این محصولات دارای نقاط ضعف و قوتی هستند.
محصولات