בתקופה האחרונה אני עובד על פרויקט SIEM (בעבר כונתה SIM) – טכנולוגיה מרתקת המאפשרת ריכוז התראות ולוגים של אבטחת מידע מריבוי מערכות לקונסול אחד, ניתוח ההתראות והלוגים והפקת חיוויים המצביעים על אירוע המתרחש בזמן אמת.
ראשי התיבות של SIEM הם: Security Information and Event Management. מדובר בטכנולוגיה שהפריסה שלה נפוצה בעיקר בארגונים גדולים שכן ההטמעה מאוד מורכבת ומצריכה משאבים רבים.מספר דוגמאות יציגו את המטרה של SIEM יותר טוב מהסברים.
ניקח את המערכות הבאות: Firewall, Active Directory, אפליקציה אינטרנטית, בסיס נתונים Oracle. כל אחד מהם מייצר לדוגמא את ההתראות הבאות:
-
Firewall: סריקת פורטים (Port Scan) מכתובת חיצונית.
-
אפליקציה Web: לוגים על ניסיונות כושלים רבים במסך ההזדהות.
-
בסיס הנתונים: שליפת נתונים רגישים ע"י שרת האפליקציה מטבלאות רגישות שהאפליקציה אינה אמורה לגעת בהן.
-
AD: הוספת משתמש לקבוצת Administrators.
כל אחת מהמערכות האלה מייצרת אלפי ומיליוני Events ביום. עובד אנושי אינו מסוגל לנתח כמות גדולה כל כך של לוגים כל יום. מעבר לכך, כמעט בלתי אפשרי ליצור קורולציה בין התראות (למשל, ניסיון Brute Force על האפליקציה וגישה לטבלאות רגישות בבסיס הנתונים) רק ע"י מעבר ידני על לוגים. למערכת SIEM יש את התכונות הבאות המאפשרות לה לבצע את הקורולציות האלה:
-
איסוף התראות (Event) ממערכות שונות בפורמטים שונים (פורמט לוג של FW שונה מזה של AD).
-
ניתוח התראות על סמך חוקים כתובים מראש.
-
הפקת חיוויים למפעילי המערכת על אירוע, כולל הצגת נתונים מלאים ורלוונטיים להתקפה.
-
ניהול הטיפול באירוע ע"י המערכת, כולל העברת הטיפול לגורמים שונים ומעקב אחר סטטוס הטיפול.
עוד דוגמא קצרה:
המערכת קולטת את הנתונים הבאים:
- התראה מ – AD על החייאת חשבון משתמש שהיה Disabled,
- לוג של גישה מיוזר זה לטבלת שכר בבסיס הנתונים,
- לוג ממערכת מניעת זליגת מידע רגיש מיוזר אחר (לא זה שהוחזר לחיים) על שליחת מייל אל מחוץ לארגון עם תוכן המכיל נתוני שכר.
המערכת תתריע על חשד לזליגת נתוני שכר מיוזר אחד כאשר היא תציג את וקטור ההתקפה הכולל גישה לבסיס הנתונים מיוזר אחר. מפעיל המערכת יחקור את הפרטים ויגלה כנראה שמנהל רשת החזיר לחיים יוזר של עובד משאבי אנוש שעזב לפני חודשיים. מכאן הטיפול יהיה מנהלי ולא טכני.
תגובות אחרונות