IRCAR201401196
تاريخ: 17/10/92
SIEM اصطلاحي است براي نرم افزارها و محصولاتي كه از دو بخش مديريت امنيت اطلاعات (SIM) و مديريريت رويدادهاي امنيتي (SEM) تشكيل شده است. فناوري SIEM، از هشدارهاي امنيتي كه توسط سخت افزارها و برنامه هاي كاربردي شبكه ايجاد ميشود تحليل بلادرنگي را فراهم ميكند.
ابزارهاي SIEM، حداقل در موارد زير به سازمانها كمك ميكنند:
- مديريت لاگها جهت تسهيل همبستگي سنجي، هشداردهي و گزارش دهي رويدادهاي امنيتي
- تسهيل فرآيندهاي مديريت مخاطرات، پاسخ به رخداد و انطباق سنجي
- فراهم كردن بستري براي مقايسه سطح تهديدات و فعاليتهاي امنيتي
- افزايش بهره وري و اثر بخشي عملكرد مديران سيستم و امنيت، مميزان داخلي و خارجي و مديران ارشد درگير در مديريت مخاطرات
- اتخاذ روش بهبود مديريت مخاطرات و اولويتبندي رسيدگي به آسيب پذيريها
اما بايد توجه داشت كه ابزارهاي SIEM برخلاف تصورات موجود كارهاي زير را نميكنند:
- SIEM نياز به ديگر سيستمهاي امنيت فناوري اطلاعات را از بين نميبرد، بلكه ارزش هركدام از آن ابزارها را افزايش ميدهد.
- SIEM مستقيماً از سوء استفادهها جلوگيري نميكند، بلكه در شناسايي محدودههايي كه سطح مخاطرات آنها افزايش يافته است و كاهش هزينه و زمان واكنش به رخداد كمك ميكند.
- SIEM نقش مديران و پرسنل عملياتي امنيت را حذف نميكند، بلكه ارزش چنين كارمنداني را مشخص ميكند.
- همچنين، SIEM به تنهايي نميتواند نقضها يا رخنههاي مشابه را حذف كند، بلكه بواسطه ميدان ديد بهتر و از طرق زير سوء استفاده از مخاطرات را كاهش ميدهد:
- شناسايي زودتر حملات پيچيده از طريق همبستگي سنجي رويدادها
- پشتيباني سريعتر و كاملتر از عملياتهاي قانوني حين و بعد از اولين پاسخ به رخداد
- فراهم كردن بازخورد بهتر از تهديدات مشاهده شده روي كنترلهاي امنيتي جهت محافظت بهينه و كاهش مخاطره سوء استفاده هاي آينده
مقايسه رهيافتهاي مديريت فرآيندهاي امنيت اطلاعات همراه با SIEM و بدون آن:
استفاده از SIEM، روي مخاطرات و هزينههاي سازمان تاثير گذار خواهد بود. اما نكته حائز اهميت اين است كه اين تاثير همزمان با استفاده از SIEM خود را نشان نخواهد داد و امري زمانبر است. در نمودار زير، اين امر توضيح داده شده است:
1- قبل از استفاده از SIEM: هزينههاي مديريت امنيت و مخاطرات در طول زمان و با ظهور تهديدات جديد افزايش مييابد.
2- بلافاصله بعد از استفاده از SIEM: بلافاصله بعد از نصب، بدليل مشاهده تهديدات زيادي در سازمان، هزينه مديريت آن تهديدات افزايش مييابد. اما از طرف ديگر:
a. هزينههاي رخداد از طريق شناسايي زودتر رخداد و رسيدگي بهتري كه توسط ابزار SIEM ارائه مي شود كاهش مييابد.
b. زماني كه كارايي SIEM در سازمان درك شود، هزينه مديريت تهديدات قابل مشاهده به سطح اوليه بر ميگردد.
3- بعد از استفاده طولاني از SIEM: هم هزينههاي امنيت و هم هزينههاي مخاطرات، از طريق گزارش بازخوردي كه از SIEM به كنترلهاي فني داده ميشود كاهش مييابد.
جدول زير نشاندهنده مزاياي استفاده از SIEM در پاسخگويي به نيازهاي امنيتي سازمان است. سازمانها، با استفاده از اين جدول مي توانند رويكرد خود به استفاده يا عدم استفاده از SIEM را مشخص كنند.
- 9