آنچه که سازمانها باید در مورد سیم بدانند؟

یکی از موارد کلیدی در حفظ امنیت یک سازمان، استفاده از محصولاتی هستند که اصطلاحا به آنها SIM یا Security Information Management اطلاق می شود. به کمک این نرم افزار ها، می توانیم اطلاعات کاملی از رویداد های یک سیستم به منظور آنالیز آنها به دست بیاوریم. در این مقاله ی تخصصی قصد دارم در ابتدا  در مورد ماهیت SIM و لزوم استفاده از آن، و سپس به بیان نکاتی که یک سازمان برای انتخاب یک محصول SIM متناسب با نیاز های خودش باید مد نظر قرار دهد، بپردازم.

این مقاله در دو قسمت در وبلاگ منتشر خواهد شد. قسمت اول شامل نگاهی به SIM و نحوه ی کار آن خواهد بود. همچنین در این قسمت به بررسی چرایی استفاده از این محصول در سازمان ها میپردازم. سپس در قسمت بعد، نکاتی که سازمان ها برای خرید SIM باید مد نظر قرار دهند را بررسی می کنم و در نهایت، چند شرکت تولید کننده ی SIM را معرفی خواهم کرد. بعد از اتمام انتشار مقاله، کل آن را در قالب PDF برای دانلود در وبلاگ قرار خواهم داد.

* به این دلیل که مقالاتی که قبلا در قالب PDF در وبلاگ قرار داده بودم، با استقبال بسیار خوبی مواجه شدند و تعدادی از آنها حتی بیش از 8000 بار دانلود شدند، سعی می کنم در آینده، تعدادی از مباحث عمومی و تخصصی را در قالب فایل PDF نیز ارائه کنم.

SIM چیست؟

سیستم Security Information Management یک نرم افزار یا به تعبیر بهتر، یک پلت فرم قوی برای جمع آوری، آنالیز و ذخیره ی اتفاقات (Events) یک سیستم و یا یک شبکه در یک سرور مرکزی، به منظور تشخیص و کشف یک رفتار غیر منتظره و یا اصطلاحا یک Bad Behavior در مجموعه مورد نظر است.

نحوه ی کار SIM

همان طور که می دانید اکثر نرم افزار های نصب شده بر روی سیستم ها، بر اساس استاندارد هایی مانند SYSLOG قادر به تولید فایل لاگ هستند. در این فایل کلیه اتفاقاتی که مربوط به آن نرم افزار است ثبت میشود.
از طرف دیگر پروتکل بسیار مهمی در شبکه وجود دارد به نام SNMP یا Simple Network Management Protocol که وظیفه ی ارسال فایل های لاگ به یک نرم افزار جانبی برای مانیتور کردن آن را دارد.ما در شبکه، بسیاری از اوقات روتر ها و حتی سوییچ ها را طوری تنظیم می کنیم که به وسیله ی پروتکلSNMP گزارشی لحظه به لحظه از رویداد های آنها داشته باشیم.

SIM دقیقا همین کار را در مقیاس بزرگتر انجام می دهد. نرم افزار ها و سیستم های موجود در شبکه، رویداد های خود را به سرور مرکزی SIM که Security Consol نیز نامیده می شود، ارسال می کنند و ما به وسیله ی SIM می توانیم تمامی اتفاقاتی که در شبکه و در سیستم های مختلف آن در هر حال انجام است را به صورت گزارش، چارت و … مشاهده کنیم. در این حین به محض مشاهده ی یک Bad Behavior می توانیم خیلی فوری تصمیم درست را اتخاذ کنیم.

چرا باید از چنین نرم افزار هایی استفاده کرد؟

استفاده از چنین نرم افزار هایی مزیت های فراوانی برای یک سازمان دارد. اما قبل از برشمردن این مزیت ها این نکته را فراموش نکنیم که کارکرد اصلی SIM ، مانیتور کردن دریایی از دیتا ها، پیدا کردن یک اتفاقات بد و در صورت لزوم اخطار دادن است. بنابراین باید ببینم وقتی می توان به صورت تک تک ! سیستم ها را بررسی کرد، هزینه کردن برای خرید چنین نرم افزاری چه سودی خواهد داشت.

1- بدیهیست که این نرم افزار تمامی فایل های لاگ را به صورت متمرکز و در یک سرور جمع آوری می کند و در وقت، نیروی انسانی و هزینه های ناشی استفاده از نیرو های انسانی زیاد، صرفه جویی قابل ملاحظه ای نصیب سازمان خواهد شد. ضمن اینکه آنالیز داده های به صورت متمرکز بسیار سریع تر و راحت تر از حالت پراکنده خواهد بود.

2- به کمک مدیریت متمرکز، می توانید در صورت بروز یک اتفاق بد، رویداد های مشابه ی آن اتفاق بد را در سایر سیستم ها خیلی خیلی راحت پیدا کنید.

- این نرم افزار ها قابلیت های بسیار بهتری برای ارائه ی گزارش از روند سیستم نسبت به نرم افزار های جانبی نصب شده بر روی سیستم های کلاینت دارند.

4- یک دلیل مهم دیگر برای استفاده از چنین نرم افزار هایی، بایگانی و ذخیره ی فایل های لاگ است که به کمک آن می توانیم در بازه ی زمانی خاص، آماری معتبر از رویداد های شبکه ارائه کنیم.

فراموش نکنید استفاده از چنین نرم افزار هایی در کنار ابزاری مانند فایروال ها و سیستم هایی مانند IDS هستند و نه جایگزین آنها. در واقع هر کدام از اینها بخشی برای تکمیل فرایند امنیتی سازمان شما هستند. هر چند در صورت علاقه، از این سیستم ها می توان به عنوان یک IDS قوی نیز استفاده نمود.

SEM و SIEM چیست؟

قبل از اینکه این موضوع باعث سردرگمی شما شود، لازم است یاداوری کنم این سه واژه (Acronyms) تا حد زیادی به یک موضوع اشاره می کنند. به عنوان مثال یکی از تفاوت هایی که برای SIM و SEM قائل هستند، به قدرت بیشتر SIM در ذخیره کردن اطلاعات برای مدت طولانی اشاره دارد. در واقع هر سه این واژه ها به یک موضوع اشاره می کنند با این تفاوت که شرکت های سازنده برای هر کدام یک ویژگی متمایز قرار می دهند. و دقیقا هم از این جهت است که سازمان ها برای خرید چنین نرم افزار هایی نیازمند توجه به فاکتور های مهمی هستند که هدف این مقاله نیز است.

همچنین در شکل زیر میبینید که SIM دامنه ی گسترده تری در پوشش ابزار های موجود در شبکه دارد و در نهایت از تمامی ابزار هایی که با استاندارد SYSLOG به تولید فایل لاگ اقدام می کنند، پشتیبانی می کند.

SIEM مفهومی (ابداع شده در سال 2005) جدیدتر است که تفاوت بنیادین با دو واژه ی قبلی ندارد. در حقیقت SIEM تلفیقی از SIM و SEM است و ویژگی های بهتری برای مقابله با اتفاقات کشف شده دارد. صرف نظر از تمامی این واژه ها، چیزی که برای شما باید حائز اهمیت باشد، انتظاراتی است که از چنین نرم افزار هایی دارید (و نه صرفا امکاناتی که هر کدام از محصولات دارند) و در صورتی که محصولی از شرکت های مختلف، در بر طرف کردن نیاز های شما موفق بود، آن محصول را انتخاب کنید. اگر بخواهید بدون کارشناسی، محصولی را انتخاب کنید که تنها ویژگی های بیشتری دارد، ممکن است بر خلاف انتظار، امکانات مد نظر شما در آن موجود نباشد و باعث ایجاد هزینه ای مضاعف شود.

نکاتی بنیادی برای خرید:

تا اینجا شما را با مفهوم SIM و دلیل اهمیت آن آشنا کردم. در قسمت بعد به نکاتی اشاره خواهم کرد که سازمان ها برای انتخاب و خرید یک SIM باید مد نظر قرار دهند. امیدوارم این مقاله برای سازمان ها، ادارات و شرکت ها مفید واقع شده باشد و از این چنین مشاوره های رایگانی، نهایت بهره را ببرند.