SIEM 2.0

הדור החדש של מערכות ניהול אירועי אבטחת מידע כולל מלבד ניטור, גם תגובה אוטומטית להתקפות סייבר. מאור קדוש מקבוצת SQlinkמסביר את היתרונות במערכות החדשות

SIEM 2.0

(shutterstock.com)

מערכות SIEM - Security Information and Event Management קיימות בשוק מעל לעשור. הכל התחיל כאשר בשנת 2005 החליטו בחברת המחקר גרטנר לקבוע תקן למערכות SIEM המכיל את הפונקציונליות הנדרשת ממערכת כזו. מאז עברו שבע שנים, ועולם ה-IT השתנה. מתקפות הסייבר הפכו להיות מתוחמות ומורכבות יותר, התוקפים ממוקדים יותר, ותרחישי התקיפה מורכבים וכמעט בלתי אפשריים לזיהוי מקדים.

המערכות המסורתיות נכשלו

וקטורי ההתקפות מכווני אפליקציה דורשים ממערכות ה-SIEM לנטר שלל אפליקציות ולעמוד ברמת התחכום הנדרשת עבור חוקיות שכזו. במציאות, מערכות הדור הראשון כבר מזמן לא עומדות בקצב. ניהול המידע בהן מתבצע בבסיס נתונים אחד, ללא הבחנה בין סוגים וחשיבות הלוגים. ריכוזיות נתונים זו מקשה על ארגונים בעלי פריסה גיאוגרפיית רחבה ,שכן לפעמים מדובר במדיניות שונה לכל ענף, עובדה המגבילה את יכולת הניתוח והתגובה לאירועים של המערכת.

חסרון מהותי נוסף טמון בזמן התגובה של המערכת. מדובר על אחד הפרמטרים הקריטיים במשוואה של עלות המתקפות לארגון, פרמטר שבו נכשלות מערכות ה-SIEM של הדור הראשון. זאת, משום שאינן מציעות מערך תגובה ובקרה אוטומטי שיכול לתפעל מתקפות אגרסיביות בזמן אמת, וההחלטות על תצורת התגובה נתונות בידי בקרי מרכז המבצעים של הארגון (SOC). במקרה הגרוע – נשלחות התראות במייל ללא פידבק האם האירוע טופל. החוסר במנגנון אוטומטי מאריך את זמן התגובה שעלותו במוניטין ובכסף עלולה להיות הרסנית.

עבור ארגוני SMB הטמעת מערכת דור ראשון מסוג זה היא כמעט בלתי אפשרית. הן בשל המחירים הגבוהים והן בשל זמן ההטמעה הארוך שעלול להסתכם בשנים. חוסר נוסף טמון בצורך לנטר את מערכת ה-SIEM המתפרסת על מאות שרתים בארגון באופן ידני. כמה משאבים הסוכנים צורכים מהשרת? ומתי יש צורך בשדרוג החומרה?

מערכות הדור החדש 

חברת logrhythm החליטה לפתח סטנדרט חדש של מערכות SIEM (SIEM 2.0) כדי לתת מענה לתחלואות הדור הראשון. מערכות הדור החדש בנויות בצורה אחרת לגמרי והן כוללות מספר מאפיינים חדשים. לא עוד בסיס נתונים אחד האוגר את כל מידע, אלא ביזור גמיש של בסיסי נתונים ורכיבי המערכת בהתאם למיקומים גאוגרפיים והגבלות התשתית (למשל סניף מרוחק מקבל בסיס נתונים משלו ומעביר ללב המערכת רק את מה שרלוונטי). אגירת נתונים גמישה לפי הצורך כאשר רכיב מסוים נשמר שלושה חודשים והאחר שבע שנים ובדחיסה שונה.

בנוסף, המערכת החדשה מאפשרת שליטה מלאה ברכיבי ממשק הניהול כולל התקנת סוכנים וחיבור מערכות חדשות על ידי סריקה אוטומטית. המערכת יודעת לתשאל רכיבי רשת בפרוטוקול SNMP, ו"לשאול" אותם איזו גרסה הם וכך לחברם ללא מגע יד אדם. עוד מאפיינים כוללים בקרת ביצועים מלאה של כל רכיב במערכת, ניטור גישה לקבצים, ומניעה של זליגת מידע מובנה בכל סוכן.

התמודדות עם ה"לא ידוע" 

אחת הדילמות הקשות באיתור תרחישי אבטחת מידע ופריצות הוא זיהוי התנהגות לא ידועה. מה באמת אמור לקרות? מהו אירוע חריג? במערכת SIEM 2.0 הוסיפו מודול ייעודי המנתח אוטומטית אירועים ומחלק אותם לפי קטגוריות כמו זמני האירועים, רכיבים מעורבים ומה בוצע. אם מספר מחשבים ברשת יחלו לנסות לתקשר החוצה בפורטים או פרוטוקולים לא סטנדרטיים, סיכוי גבוה מאוד שמדובר בהתפשטות סוסים טרויאנים בארגון, ואירוע כזה יראה מיד בגרף המערכת. המודול הזה מוצא את שלא מחפשים.

בנוסף, ניתן לגזור מכל אירוע חריג את הפרמטרים הייחודיים לו ולהפוך אותו ל"חוק" במערכת, כך שבפעם הבאה המערכת כבר תדע לזהות ולהגיב לאותו האירוע באופן אוטומטי.

דרושה: תגובה אוטומטית 

התגובה לאירוע היא בהתאם לאופי הארגוני. אם זה ארגון המקיים הפרדה מוחלטת בין הסביבה הפנימית לסביבת האינטרנט, כפי שנדרש במספר תקנים, אז כנראה שאירוע וירוס ברשת הפנימית הופך להיות משמעותי הרבה יותר. ב- SIEM 2.0 ישנו מודול שעוזר לתעל את רוב סוגי התגובות על ידי מנגנון מגוון המסוגל להגיב באופן אוטומטי באמצעות תוספים (plug-ins) או כתיבה ישירה וכן לבחור האם לבצע קודם סבב אישורים בארגון.

לדוגמה, אם מקבלים המון DROP ב-firewall מכתובת IP איראנית שכנראה אין לארגון עסקים איתה, אפשר להגדיר חסימה אוטומטית של כתובת זו. המערכת גם מתעדת את כל התגובות שביצעה, כך שניתן להפיק מהן דוחות ולהסיק מסקנות לאחר מכן. גם אפשרויות הפריסה מגוונות בהרבה מהדור הקודם. ניתן לקבל את המערכת בכל תצורה אפשרית (חומרה, תוכנה,VM), עם ההתממשקות קלה אודות לתמיכה מובנית ב-500 מוצרים נפוצים. המערכת גם יודעת לסרוק את הארגון ולספק רשימה של המערכות הקיימות.

אין ספק כי מערכות SIEM מהדור החדש אינן מערכות ש"מרחפות" מעל הארגון, אלא מדובר על מערכות אקטיביות המותאמות לעולם הסייבר של היום.

הכותב הוא מנהל מוצר בקבוצת SQlink

אולי יעניין אותך גם

צפו: מנהלת מערכות מידע של משרד האנרגיה האמריקאי בכנס סייברטק ניו-יורק

צריך לתת עדיפות להשקעות באבטחת מידע מול האיומים הכי קריטיים והכי חשוב זה לנהל סיכונים, טוענת אן דאנקין, מנהלת מערכות מידע, משרד האנרגיה האמריקאי בכנס סייברטק שהתקיים בניו-יורק