SIEM - המערכת שעושה את ההבדל

SIEM - המערכת שעושה את ההבדל

בעולם המחשוב המודרני יש לכל ארגון מספר רב של נקודות גישה אפשריות, נכסי מידע והתקני חומרה ותכנה השומרים על המידע בארגון: ציוד רשת, שרתים קריטיים בארגון, חומת אש (firewall) וכו’. כל אחד מהרכיבים האלו יוצר רישום (לוג) של אירועים שונים, בהם גם אירועים הקשורים לאבטחה. ברבים מהמקרים לוג בודד הוא חסר משמעות ורק החיבור בין כל הלוגים מניב את התמונה המלאה של מצב אירועי אבטחת המידע בארגון ומאפשר לזהות כשלים ופרצות.

לשם יצירת חיבור זה קיימות מערכות לניהול אירועי אבטחת מידע, הידועות בשם SIEM (ראשי תיבות של Security Information and Event Management). מערכות אלו, הידועות גם בשם  SIM (Security Information Manager) ו-Security Event Manager) SEM), מלקטות את הלוגים המיוצרים ברכיבים ברשת, אוספות את המידע, מנתחות אותו, ומכניסות אותו לתבניות מוגדרות מראש כך שה-SIEM יכול לקרוא אותן ולנתחן. תבניות אלו מאפשרות לבצע חיתוכים, הצלבות וסטטיסטיקות על המידע, וכן להפיק דוחות לגביו, ובכך הופכות אותו לבעל ערך מוסף רב עבור הארגון בכלל, ועבור מערך אבטחת המידע בפרט. באמצעות השילוב בין מערכת SIEM לבין מרכז ניטור, שליטה ובקרה לאירועי אבטחת מידע (SOC – Security Operating Center) , שילוב הידוע בשם SIEM-SOC , יכול הארגון לזהות פרצות אבטחה או אירועי אבטחה, המתרחשים כמעט בזמן אמת, ולפעול במהירות לסיכולן.

 

 

 

 

 

 

השילוב בין מקבץ של לוגים ממקורות שונים מאפשר, למשל, לזהות פעילות חשודה של משתמש בדומה לתרחיש הבא: תוקף זדוני מצליח בדרך כלשהי להשיג פרטי הזדהות של משתמש מסוים בארגון בעל תפקיד מפתח כגון מנהל מחלקת כספים. יכולת הניתוח של הלוגים השונים מאפשרת לזהות פעולות חריגות של המשתמש הזה – למשל: התחברות מוצלחת ממספר מערכות בשעות חריגות או בסוף השבוע וכן ביצוע מספר רב של פעולות בקבצים במיקום רגיש, כגון: העתקת קובצי מחלקת שכר. אם המערכת מוציאה התראות באופן שוטף לאנליסטים הפועלים ב-SOC, בצוות החוקר התראות אלו סביב השעון (24/7), ניתן יהיה לזהות אירוע אבטחה זה לפני התרחשותה של זליגת מידע רגיש נוסף מהארגון. אם הארגון יחליט להחיל חוק מסוים של אבטחת מידע – למשל: זיהוי התחברות בשעה חריגה כאירוע אבטחה – תתאפשר תפיסת אירוע זה ברגע אמת, כך שהפעילות הזדונית תזוהה ואפשר יהיה למנוע אותה באופן מידי.

במערכות ה-SIEM טמון פוטנציאל עצום, מכיון שככל שמגדירים קורלציות ומערכות חוקים מורכבות יותר ניתן להשתמש במספר רב של לוגים לשם קבלת תמונה כוללת, מדויקת ודינמית של מצב האבטחה בארגון. תמונה כזו מסייעת באכיפה מיידית ופרואקטיבית של מדיניות האבטחה, כך שסיכוני אבטחה רבים נמנעים או מקבלים מענה בזמן אמת, לפני שהצליחו לגרום נזק ממשי.