SIEM их шилжилтэд та бэлэн үү?

October 01, 2024

Кибер халдлагын Threat Intelligence ангиллын “Leader”, кибер халдлагын трендийн талаарх олон улсын дэлгэрэнгүй судалгаа, анализ хийдэг Mandiant компани нь “M-Trends 2024” тайлангаа танилцуулаад байна. Тус тайланд дурдсанаар 2023 онд хийгдсэн кибер халдлагуудтай холбоотой хакеруудын зан төлөв хамгийн анхаарал татсан бөгөөд хакерууд тухайн онилж буй сүлжээндээ урт хугацаанд мэдэгдэхгүйгээр оршин байхыг илүү чухалчлах болжээ. Өөрөөр хэлбэл шууд халдах аргуудад найдахын оронд хакерууд EDR (Endpoint Detection and Response) системүүдэд баригдалгүй, илүү нарийн бөгөөд тууштай, урт хугацааны тактикуудыг ашиглаж байна. Тухайлбал:

  1. Edge devices буюу ухаалаг утас, IoT төхөөрөмж зэргийг онилох:  Сүлжээний үндсэн дэд бүтэцтэй харьцуулахад хамгаалалт багатай эдгээр төхөөрөмжүүд нь халдагчдын боломжит нэвтрэх цэг, удирдлагын төв болж өгдөг.
  2. "Living off the land" техник: Халдагчид байгууллагын аюулгүй байдлын шийдлүүдэд өртөхөөс сэргийлэн системийн хууль ёсны хэрэгсэл, програм хангамжийг хөшүүрэг болгон ашиглаж сүлжээний хэвийн үйл ажиллагаанд нэвтэрдэг ба ингэснээр хорлонтой зан үйлийг илрүүлэхэд улам хэцүү болдог.
  3. Zero-day эмзэг байдлыг ашиглах: Cофтвэйр дэх шинээр илэрсэн алдаанууд нь халдагчдад unpatched нэвтрэх цэгүүдийг өгч, уламжлалт аюулгүй байдлын хамгаалалтыг давах боломжийг олгодог.

Хакеруудын энэхүү шинэ тактикийн эсрэг байгууллагууд аюулгүй байдлаа нэгдсэн нэг цонхоор харж удирдан, бодит цагийн, нарийвчилсан, оновчтой мэдээлэлтэй байж, халдлагын эсрэг хариу үйлдэл үзүүлдэг байхад SIEM (Security Information and Event Management) шийдлүүд тусална. SIEM шийдэл нь “Аюулгүй байдлын үйл ажиллагааны төв” (SOC-Security Operation Center)-ийн үндсэн, цогц аналитик систем юм.

SIEM нь байгууллагын мэдээллийн технологийн дэд бүтцийн төхөөрөмжүүд, системүүд, болон клаудаас аюулгүй байдлын лог, мэдээллийг цуглуулж, дүн шинжилгээ хийн, аюулгүй байдлын аналист, мэргэжилтнүүдэд аюул занал, халдлагыг хурдтай бөгөөд үр дүнтэй тодорхойлох, судлах, хариу арга хэмжээ авахад тусалдаг.

Аюулгүй байдлын бусад хэрэгслээс авсан телеметрийн болон лог өгөгдлийг SIEM-д оруулснаар тэдгээрийг тус тусад нь биш хооронд нь уялдуулж хамт шинжлэн илүү нарийн, зөв ойлголттой болох юм. Түүнчлэн лог мэдээллүүдийг нэгтгэх нь мөрдөн шалгах ажиллагааг илүү хөнгөвчлөх, сөрөг хүчний буюу хакеруудын тактик, технологийг илүү сайн илрүүлэх, false-positive мэдэгдлийг бууруулж, аюулгүй байдлын багийн үр бүтээмжийг нэмэгдүүлэхэд тусалдаг.

Өдөр ирэх тусам аюулгүй байдлын багууд SIEM-дээ олон тооны аюулгүй байдлын системүүдийг нэмж халдлага, зөрчлийг бүрэн ойлгож танихыг зорьж байна. Түүнчлэн дижитал шилжилтийн эрин үед байгууллагууд зах зээлийн ширүүн өрсөлдөөн, цаг үетэйгээ уялдуулан бизнесийн загвар, технологийн орчноо хурдацтай өөрчилж, боломжит системүүдээ клауд руу гаргах болсон. Өмнө нь цоожтой авдарт байсан байгууллагын дата өгөгдөл нь бизнесийн хурд, хэрэгцээг хангахын тулд хэд хэдэн бизнесийн нэгж, түншүүд болон гаднын байгууллагатай аюулгүй, найдвартай бөгөөд уялдаатай ашиглагдах шаардлага бий болсон.

Эдгээр өөрчлөлтийг даган SIEM-д тавих хэрэглэгчдийн шаардлага нэмэгдсэнээр Cloud SIEM гарч ирсэн. Хэдийгээр SIEM-ийн дэд бүтцийг удирдах нь бүтэн цагийн ажил байдаг ч Cloud SIEM нь ажилтнуудын бүтээмжийг нэмэгдүүлж, аюул заналыг илрүүлэх, судлах, хариу арга хэмжээ авахад улам хялбар болгосноор бусад шаардлагатай ажлууддаа анхаарах боломжийг олгодог.

SIEM-н их шилжилт хэдийн эхэлсэн

SIEM-н шилжилт нь шинэ зүйл биш юм. Байгууллагууд одоогийн SIEM-дээ төдийлөн сэтгэл ханамжтай байхаа больж, олон жилийн турш илүү шинэ, илүү сайн сонголтыг эрэлхийлсээр ирсэн. Гэсэн ч байгууллагууд SIEM-ийг шилжүүлэхээсээ төвөгшөөснөөс өөрсдийн бүрэн ажиллагаагүй, хэт өндөр үнэтэй SIEM-ийг тэвчин ашигласаар байна.

Харин сүүлийн саруудад SIEM-ийн зах зээлд тектоник шилжилтүүд гарч ирсэн бөгөөд SIEM-ийн ландшафт хэдхэн жилийн дараа бүрэн өөрчлөгдөх нь дамжиггүй. Энэ шилжилт нь зах зээлд шинэ тэргүүлэгчдийг төрүүлж, хэдэн арван жилийн турш ноёрхож байсан "томчууд" цөөрч, магадгүй бүр өөрсдийн байр сууриа өөр нэгэнд шилжүүлэх болно. Энэхүү хөгжил нь уламжлалт SIEM-с орчин үеийн SIEM-рүү шилжих шилжилтийг эргэлзээгүй хурдасгахыг доорх томоохон хөдөлгөөнүүдээс харж болно:

  • 2023 оны 09 сард Технологийн тэргүүлэгч Cisco Splunk-г худалдан авах гэж буйгаа зарласан.
  • 2024 оны 05 сард CrowdStrike өөрсдийн шинэ SIEM шийдлээ танилцуулав.
  • 2024 оны 06 сард SIEM-н акулууд гэгдэх Exabeam болон LogRhythm 2 нэгдэх гэж буйгаа зарласан бөгөөд хамтран Cloud Native SIEM-ийг хөгжүүлэх болсноо зарлав.
  • IBM нь QRadar-аа Palo Alto Networks-д зарж, одоо QRadar ашиглаж буй on-premises хэрэглэгчдэдээ зөвхөн update болон bug fix үйлчилгээг үзүүлэхээ мэдэгдэв.

Байгууллагуудын хувьд SIEM-ээ Шилжүүлэх шаардлагатай юу? бус Хэзээ шилжүүлэх вэ? гэдэг асуулттай тулгарч байна. Хамгийн чухал нь одоо ашиглаж байгаа SIEM-ийнхээ дутагдалтай тал юу вэ гэдгийг тодорхойлох ба ингэснээр тохирох SIEM-ээ сонгох, нэвтрүүлэхэд илүү хялбар байх болно. Түүнчлэн SIEM нэвтрүүлэлтийн алдаа нь зөвхөн технологиос хамаардаггүй, байгууллагын процесс тэр дундаа ажилтнуудаас шалтгаалах тохиолдол байдгийг мартаж болохгүй.

SIEM шийдлийг сонгохдоо заавал хариулах асуултууд

  • SIEM with Intelligence

Тухайн SIEM шийдэл нь кибер аюул заналын талаарх хамгийн сүүлийн үеийн мэдээллээр хангадаг уу? Энэ мэдээллийг хэрэглэгч гараар тохируулах шаардлагагүйгээр халдлагын техникүүдийг автоматаар илрүүлэхэд ашиглах боломжтой юу?

Threat intelligence бол байгууллагуудад кибер халдлагыг илрүүлэх, зөв ангилах, тодорхойлох, мөрдөхөд, мөн хариу үзүүлэхэд маш чухал. Ялангуяа Frontline threat intelligence нь сүүлд гарсан халдлага болон эмзэг байдлын талаар бодит цагийн мэдээллээр хангадаг давуу талтай. Аюулгүй байдлын зөрчлийг хурдтай тодорхойлж, эрэмбэлэх, үр дүнтэй хариу арга хэмжээ авах стратегийг боловсруулж хэрэгжүүлэхэд эдгээр мэдээллүүдийг ашиглах боломжтой юм.

Халдлагыг бодит цагт илрүүлж, хариу арга хэмжээ авах чадварыг сайжруулахын тулд байгууллагууд Threat intelligence болон холбогдох өгөгдлийн хангамжийг аюулгүй байдлын үйл ажиллагааны ажлын урсгал болон системүүддээ ямар ч саадгүй, бүрэн нэгтгэхийг эрмэлзэж байна. SIEM систем болон Threat intelligence эх сурвалжуудын хооронд мэдээлэл дамжуулахтай холбоотой гар ажиллагаатай процессууд нь үр дүнд сөргөөр нөлөөлдөг бөгөөд шинжээчийн бүтээмжийг бууруулдаг. Тиймээс төгс интеграци бүхий систем хэрэгтэй.

  • Cloud-native SIEM

Томоохон клауд үйлчилгээ үзүүлэгч компаниуд (Amazon Web Services, Microsoft Azure эсвэл Google Cloud Platform гэх мэт) тухайн SIEM шийдлийг санал болгодог уу? Хэрэв тийм бол дэд бүтцээ бага зардлаар хүссэн хэмжээгээрээ өргөтгөх боломжтой гэсэн үг.

Cloud-native SIEM нь шинэ аюул заналхийллийн хариуд SIEM-ийг өргөтгөх, багасгах, түүнчлэн байгууллагын клауд ажлын урсгалын динамик шинж чанарыг удирдах боломжийг олгодог. Клауд дэд бүтэц, програмууд хэдхэн минутын дотор огцом өсөх боломжтой байдаг. Cloud-native SIEM архитектур нь аюулгүй байдлын багт томоохон байгууллагын хэрэгцээ шаардлагатай ижил хэмжээнд, ижил хурдаар өргөтгөх боломжийг олгодог зэрэг олон давуу талтай.

  • SIEM with Curated content

SIEM шийдэл нь аюулгүй байдлын болзошгүй асуудлуудыг тодорхойлж, тэдгээрт автоматаар арга хэмжээг авахад ашиглаж болохуйц боловсруулсан мэдээллийн сантай юу?

Зарим SIEM үйлдвэрлэгчид түгээмэл өгөгдлүүд бүхий задлан шинжлэгчийн мэдээлэл боловсруулахын тулд өөрсдийн хэрэглэгчдийн холбоо болон техникийн түнш харилцагч нартаа хэт их найддаг. Мэдээж идэвхтэй хэрэглэгчдийн холбоотой байх нь чухал ч гэсэн задлан шинжлэгч зэрэг SIEM-ийн үндсэн боломжоор хангахын тулд хэрэглэгчдээсээ хэт хамааралтай байх нь асуудал юм. Ялангуяа нийтлэг өгөгдлийн эх сурвалжийн задлан шинжлэгчийг SIEM вендор өөрөө шууд үүсгэж,  засварлан, дэмжлэг үзүүлдэг байх шаардлагатай. Илрүүлэлтийн дүрмийн мэдээлэл дээр ч мөн адилхан. Хэдийгээр олон нийтийн оруулсан дүрмүүд нь SIEM-ийн чадавхыг сайжруулж болох ч тогтмол туршиж, засварлаж, тасралтгүй сайжруулсан илрүүлэлт хийх дүрмийн санг бий болгож байхыг вендороосоо шаардах хэрэгтэй.

  • SIEM with AI

Тухайн SIEM нь хиймэл оюун ухааны технологийг ашигладаг уу? Цаашлаад шинэ инновац бий болгохоор зорьж байгаа юу?

AI нь SIEM-д жинхэнэ хувьсгал хийх боломжтой хэдий ч SIEM вендорууд түүний бүрэн хүчин чадлыг хараахан хэрэгжүүлж чадаагүй байна. Гэсэн ч зарим SIEM шийдлийн тэргүүлэх вендорууд natural-language-р хайлт хийх, дүрэм гаргах, автоматжуулсан тайлан гаргах, хариу арга хэмжээг санал болгох зэрэг хиймэл оюун ухааны үндсэн функцүүдийг хэрэгжүүлж эхлээд байна. Дэвшилтэт халдлагыг илрүүлэх, халдлагын зан үйлийг урьдчилан таамаглах зэрэг чадавх нь хиймэл оюун ухаан бүхий SIEM-ийн ноён оргил байх болно гэж тодорхойлж байгаа ч одоогоор ямар ч SIEM эдгээр чадавхыг нэвтрүүлээгүй байна.

Цаашид SIEM-ийн шийдлийг сонгохдоо тухайн вендорын хиймэл оюун ухааны судалгаа, хөгжилд оруулж буй хөрөнгө оруулалтыг анхаарч үзэх нь чухал юм. Хиймэл оюун ухаанд суурилсан SIEM бол ирээдүй юм.

Байгууллагынхаа дижитал хөрөнгийг хамгаалах нь өнөөгийн дижитал шилжилтийн үед юм юунаас илүү чухал. Хэрэв та  өөрийн байгууллагын хэрэгцээ, шаардлагад нийцэх SIEM шийдлийг хайж байвал бидэнтэй холбогдож дэлгэрэнгүй зөвлөгөө авахыг урьж байна. Бид танд on-premise, cloud deployment-тэй, мөн SOAR, UEBA зэрэг SIEM-ийн гол функцүүдийг бүрэн багтаасан дараах SIEM шийдлүүдийг санал болгож байна.

  • LogRhythm SIEM - On-premises болон Cloud
  • Google Chronicle SecOps – Cloud native
  • Fortinet SIEM
  • SolarWinds SEM - On-premises болон Cloud
  • ManageEngine Log360

Та бидэнд хүсэлтээ crm@itzone.mn хаягаар ирүүлээрэй.

 

ITZONE CRM

Таны амжилтын хурдасгуур Ай Ти Зон компани. Мэдээллийн технологийн салбарын тэргүүлэгч. МТ цогц шийдлийг мэргэжлийн түвшинд хүргэгч.