04
נוב
08

מה זה SIEM

בתקופה האחרונה אני עובד על פרויקט SIEM (בעבר כונתה SIM) – טכנולוגיה מרתקת המאפשרת ריכוז התראות ולוגים של אבטחת מידע מריבוי מערכות לקונסול אחד, ניתוח ההתראות והלוגים והפקת חיוויים המצביעים על אירוע המתרחש בזמן אמת.

ראשי התיבות של SIEM הם: Security Information and Event Management. מדובר בטכנולוגיה שהפריסה שלה נפוצה בעיקר בארגונים גדולים שכן ההטמעה מאוד מורכבת ומצריכה משאבים רבים.מספר דוגמאות יציגו את המטרה של SIEM יותר טוב מהסברים.

ניקח את המערכות הבאות: Firewall, Active Directory, אפליקציה אינטרנטית, בסיס נתונים Oracle. כל אחד מהם מייצר לדוגמא את ההתראות הבאות:

  1. Firewall: סריקת פורטים (Port Scan) מכתובת חיצונית.

  2. אפליקציה Web: לוגים על ניסיונות כושלים רבים במסך ההזדהות.

  3. בסיס הנתונים: שליפת נתונים רגישים ע"י שרת האפליקציה מטבלאות רגישות שהאפליקציה אינה אמורה לגעת בהן.

  4. AD: הוספת משתמש לקבוצת Administrators.

כל אחת מהמערכות האלה מייצרת אלפי ומיליוני Events ביום. עובד אנושי אינו מסוגל לנתח כמות גדולה כל כך של לוגים כל יום. מעבר לכך, כמעט בלתי אפשרי ליצור קורולציה בין התראות (למשל, ניסיון Brute Force על האפליקציה וגישה לטבלאות רגישות בבסיס הנתונים) רק ע"י מעבר ידני על לוגים. למערכת SIEM יש את התכונות הבאות המאפשרות לה לבצע את הקורולציות האלה:

  1. איסוף התראות (Event) ממערכות שונות בפורמטים שונים (פורמט לוג של FW שונה מזה של AD).

  2. ניתוח התראות על סמך חוקים כתובים מראש.

  3. הפקת חיוויים למפעילי המערכת על אירוע, כולל הצגת נתונים מלאים ורלוונטיים להתקפה.

  4. ניהול הטיפול באירוע ע"י המערכת, כולל העברת הטיפול לגורמים שונים ומעקב אחר סטטוס הטיפול.

עוד דוגמא קצרה:

המערכת קולטת את הנתונים הבאים:

  • התראה מ – AD על החייאת חשבון משתמש שהיה Disabled,
  • לוג של גישה מיוזר זה לטבלת שכר בבסיס הנתונים,
  • לוג ממערכת מניעת זליגת מידע רגיש מיוזר אחר (לא זה שהוחזר לחיים) על שליחת מייל אל מחוץ לארגון עם תוכן המכיל נתוני שכר.

המערכת תתריע על חשד לזליגת נתוני שכר מיוזר אחד כאשר היא תציג את וקטור ההתקפה הכולל גישה לבסיס הנתונים מיוזר אחר. מפעיל המערכת יחקור את הפרטים ויגלה כנראה שמנהל רשת החזיר לחיים יוזר של עובד משאבי אנוש שעזב לפני חודשיים. מכאן הטיפול יהיה מנהלי ולא טכני.

מודעות פרסומת

1 Response to “מה זה SIEM”


  1. 13/11/2008 ב- 23:38

    היי

    קח בחשבון שמניסיון שלי בד"כ עקב ריבוי הלוגים הקיימים קשה להבדיל בין פריצה אמיתית לבין פעולה לא חוקית של מערכת או אפליקציה.
    נכון שאפשר להגיע לרמה מאוד גבוהה של חיווי לגבי כל דבר שרץ באופן לא חוקי ברשת אך קשה מאוד להבחין בהתקפה.
    כמו כן לא תמיד מה שמחפשים הוא זה שיקפוץ בעת תקיפה.
    סיפור שקרה לי – אחד הארגונים שעבדתי איתו בעבר הטמיעה מערכת שכזאת שעלתה לו הון ובמשך קרוב לשלוש שנים ביצעו קסטומיזציה.
    המערכת הסתמכה על לוגי מערכת ההפעלה של השרתים ה – FW, AD ומערכות ה – IDS שלהם.
    אך ברגע האמת שפרצתי הם לא ידעו בכלל איפה אני ומה אני עושה.
    מהסיבה הפשוטה שבפעולות שלי לא הפעלתי לוג מערכת הפעלה אחד והשתמשתי במשתמשים שלהם
    גם שנתתי להם את ה – MAC שלי לקח להם המון זמן לאתר איפה אני עקב ריבוי הלוגים.
    כמובן שלא היה FW שהפריד בין המשתמשים לשרתים.
    שלא תבין אותי לא נכון אני מאוד בעד המערכות האלה אבל צריך להבין מה לחפש בהם,כיצד להגדירם ובנוסף להגדיר את הרשת בצורה כזאת שתוכל לזהות פריצה (כמו הפרדה בין רשת המשתמשים לרשת השרתים ועוד..)
    ובד"כ האנשים שמוכרים את המערכות ומגדרים אותם לא ביצעו בחייהם פריצה.
    אז קצת קשה להבין איך הם אלה שיכולו להגן בפני תקיפה אמיתית.
    המלצה שלי לקינפוג המערכות קח קבוצה של פורצים זה יעלה לך בד"כ יותר זול ותקבל הרבה יותר.


להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s


נובמבר 2008
א ב ג ד ה ו ש
« אוק   דצמ »
 1
2345678
9101112131415
16171819202122
23242526272829
30  
מודעות פרסומת

%d בלוגרים אהבו את זה: