SIEM – יצירת ערך מוסף

הצגתי כאן בעבר את השימוש העיקרי במערכת SIEM; ניהול אירועי אבטחת מידע. מחברים את המערכת למקורות מידע (לוגים והתראות) של אפליקציות ומערכות תשתית ומקפיצים אירועים חשודים לבירור של אנשי SOC.

מערכות SIEM עולות כסף רב. עלות הרשיונות, עלות התשתיות התומכות במערכת, עלות שטחי האחסון הרבים הנדרשים לשמירת כל הלוגים וגם עלות פיתוח חוקי האירועים.

לכן, חשוב ליצור לארגון ערך מוסף ממערכות אלה, בפרט בתקופה כזו בה הכלכלה מהווה גורם מרכזי בהחלטות עסקיות. ערך מוסף ניתן ליצור ע"י הוספת יכולת ל – SIEM שאינה קשורה ישירות בטיפול באירועים חשודים. אני מתכוון ליצירת דוחות לשימושים שונים. ראשית נבחן איזה צורך דוחות יכולים לספק ולאחר מכן אציג דוגמאות לדוחות כאלה.

ארגונים המבוקרים ע"י רגולציות שונות, נדרשים פעמים רבות להטמיע מנגנוני מניעה, כגון מנגנונים חשבונאיים, מנגנוני אבטחת מידע, מניעת מעילות ועוד. לפעמים, בין אם מסיבות עלות ובין בגלל סיבות טכנולוגיות, הארגון אינו יכול להטמיע מנגנוני מניעה. במקרים כאלה, מצופה ממנו להטמיע בקרות מפצות. לרוב, בקרה מפצה ממומשת ע"י דוח שעוברים עליו בעין ומחפשים בו חריגות. הקושי הוא לא לאתר חריגות, אלא ליצור את הדוחות האלה.

כאן מתבטא חוזקו וייחודו של ה – SIEM. הרי ממילא הוא 'רואה' פעילויות של משתמשים בלוגים שעוברים דרכו. אז גם אם הפעילות אינה מצביעה על עבירת אבטחה, אפשר לנצל אותה לצרכים אחרים. עכשיו אפשר לבחון מספר דוגמאות.

דוחות לבקרות SOX: אפשר להגדיר דוח המציג פעילות 'בנתיב הכספים'. את העובדים שהקימו ישות כספית במערכת הכספים וגם ביצעו פקודות תשלום לספקים. עובדים מאגף IT שהתחברו למערכות ייצור ועוד.

דוחות ל – PCI: משתמשים שהתחברו לשרתים עם יוזר אדמין.

דוחות מכירות/מגמות: עליה חדה או ירידה חדה של סטטיסטיקת מכירות במוצר מסוים (חומרי גלם לתרופות, היטים באתר האינטרנט של החברה, התקפות וירוסים או ספאם על הרשת ועוד)

דוחות על חריגות: משתמשים שגולשים הרבה זמן באתרים כגון פייסבוק, הזמנת יתר של ציוד משרדי, ועוד.

מערכות SIEM מבצעות שאילתות ויוצרות דוחות מתבניות מובנות. הדוחות ברורים וניתן לצרף להם גרפים. אפשר לתזמן שליחת דוחות חודשיים למנהלים עסקיים. עם מעט שיווק אפשר למכור לארגון את התועלות והיתרונות שמערכות SIEM מספקות. זה מחזק את מעמד יחידת אבטחת המידע ומאפשר להצדיק קבלת משאבים נוספים, אם נדרש, ביתר קלות.