October 01, 2024
Кибер халдлагын Threat Intelligence ангиллын “Leader”, кибер халдлагын трендийн талаарх олон улсын дэлгэрэнгүй судалгаа, анализ хийдэг Mandiant компани нь “M-Trends 2024” тайлангаа танилцуулаад байна. Тус тайланд дурдсанаар 2023 онд хийгдсэн кибер халдлагуудтай холбоотой хакеруудын зан төлөв хамгийн анхаарал татсан бөгөөд хакерууд тухайн онилж буй сүлжээндээ урт хугацаанд мэдэгдэхгүйгээр оршин байхыг илүү чухалчлах болжээ. Өөрөөр хэлбэл шууд халдах аргуудад найдахын оронд хакерууд EDR (Endpoint Detection and Response) системүүдэд баригдалгүй, илүү нарийн бөгөөд тууштай, урт хугацааны тактикуудыг ашиглаж байна. Тухайлбал:
Хакеруудын энэхүү шинэ тактикийн эсрэг байгууллагууд аюулгүй байдлаа нэгдсэн нэг цонхоор харж удирдан, бодит цагийн, нарийвчилсан, оновчтой мэдээлэлтэй байж, халдлагын эсрэг хариу үйлдэл үзүүлдэг байхад SIEM (Security Information and Event Management) шийдлүүд тусална. SIEM шийдэл нь “Аюулгүй байдлын үйл ажиллагааны төв” (SOC-Security Operation Center)-ийн үндсэн, цогц аналитик систем юм.
SIEM нь байгууллагын мэдээллийн технологийн дэд бүтцийн төхөөрөмжүүд, системүүд, болон клаудаас аюулгүй байдлын лог, мэдээллийг цуглуулж, дүн шинжилгээ хийн, аюулгүй байдлын аналист, мэргэжилтнүүдэд аюул занал, халдлагыг хурдтай бөгөөд үр дүнтэй тодорхойлох, судлах, хариу арга хэмжээ авахад тусалдаг.
Аюулгүй байдлын бусад хэрэгслээс авсан телеметрийн болон лог өгөгдлийг SIEM-д оруулснаар тэдгээрийг тус тусад нь биш хооронд нь уялдуулж хамт шинжлэн илүү нарийн, зөв ойлголттой болох юм. Түүнчлэн лог мэдээллүүдийг нэгтгэх нь мөрдөн шалгах ажиллагааг илүү хөнгөвчлөх, сөрөг хүчний буюу хакеруудын тактик, технологийг илүү сайн илрүүлэх, false-positive мэдэгдлийг бууруулж, аюулгүй байдлын багийн үр бүтээмжийг нэмэгдүүлэхэд тусалдаг.
Өдөр ирэх тусам аюулгүй байдлын багууд SIEM-дээ олон тооны аюулгүй байдлын системүүдийг нэмж халдлага, зөрчлийг бүрэн ойлгож танихыг зорьж байна. Түүнчлэн дижитал шилжилтийн эрин үед байгууллагууд зах зээлийн ширүүн өрсөлдөөн, цаг үетэйгээ уялдуулан бизнесийн загвар, технологийн орчноо хурдацтай өөрчилж, боломжит системүүдээ клауд руу гаргах болсон. Өмнө нь цоожтой авдарт байсан байгууллагын дата өгөгдөл нь бизнесийн хурд, хэрэгцээг хангахын тулд хэд хэдэн бизнесийн нэгж, түншүүд болон гаднын байгууллагатай аюулгүй, найдвартай бөгөөд уялдаатай ашиглагдах шаардлага бий болсон.
Эдгээр өөрчлөлтийг даган SIEM-д тавих хэрэглэгчдийн шаардлага нэмэгдсэнээр Cloud SIEM гарч ирсэн. Хэдийгээр SIEM-ийн дэд бүтцийг удирдах нь бүтэн цагийн ажил байдаг ч Cloud SIEM нь ажилтнуудын бүтээмжийг нэмэгдүүлж, аюул заналыг илрүүлэх, судлах, хариу арга хэмжээ авахад улам хялбар болгосноор бусад шаардлагатай ажлууддаа анхаарах боломжийг олгодог.
SIEM-н шилжилт нь шинэ зүйл биш юм. Байгууллагууд одоогийн SIEM-дээ төдийлөн сэтгэл ханамжтай байхаа больж, олон жилийн турш илүү шинэ, илүү сайн сонголтыг эрэлхийлсээр ирсэн. Гэсэн ч байгууллагууд SIEM-ийг шилжүүлэхээсээ төвөгшөөснөөс өөрсдийн бүрэн ажиллагаагүй, хэт өндөр үнэтэй SIEM-ийг тэвчин ашигласаар байна.
Харин сүүлийн саруудад SIEM-ийн зах зээлд тектоник шилжилтүүд гарч ирсэн бөгөөд SIEM-ийн ландшафт хэдхэн жилийн дараа бүрэн өөрчлөгдөх нь дамжиггүй. Энэ шилжилт нь зах зээлд шинэ тэргүүлэгчдийг төрүүлж, хэдэн арван жилийн турш ноёрхож байсан "томчууд" цөөрч, магадгүй бүр өөрсдийн байр сууриа өөр нэгэнд шилжүүлэх болно. Энэхүү хөгжил нь уламжлалт SIEM-с орчин үеийн SIEM-рүү шилжих шилжилтийг эргэлзээгүй хурдасгахыг доорх томоохон хөдөлгөөнүүдээс харж болно:
Байгууллагуудын хувьд SIEM-ээ Шилжүүлэх шаардлагатай юу? бус Хэзээ шилжүүлэх вэ? гэдэг асуулттай тулгарч байна. Хамгийн чухал нь одоо ашиглаж байгаа SIEM-ийнхээ дутагдалтай тал юу вэ гэдгийг тодорхойлох ба ингэснээр тохирох SIEM-ээ сонгох, нэвтрүүлэхэд илүү хялбар байх болно. Түүнчлэн SIEM нэвтрүүлэлтийн алдаа нь зөвхөн технологиос хамаардаггүй, байгууллагын процесс тэр дундаа ажилтнуудаас шалтгаалах тохиолдол байдгийг мартаж болохгүй.
SIEM шийдлийг сонгохдоо заавал хариулах асуултууд
SIEM with Intelligence
Тухайн SIEM шийдэл нь кибер аюул заналын талаарх хамгийн сүүлийн үеийн мэдээллээр хангадаг уу? Энэ мэдээллийг хэрэглэгч гараар тохируулах шаардлагагүйгээр халдлагын техникүүдийг автоматаар илрүүлэхэд ашиглах боломжтой юу?
Threat intelligence бол байгууллагуудад кибер халдлагыг илрүүлэх, зөв ангилах, тодорхойлох, мөрдөхөд, мөн хариу үзүүлэхэд маш чухал. Ялангуяа Frontline threat intelligence нь сүүлд гарсан халдлага болон эмзэг байдлын талаар бодит цагийн мэдээллээр хангадаг давуу талтай. Аюулгүй байдлын зөрчлийг хурдтай тодорхойлж, эрэмбэлэх, үр дүнтэй хариу арга хэмжээ авах стратегийг боловсруулж хэрэгжүүлэхэд эдгээр мэдээллүүдийг ашиглах боломжтой юм.
Халдлагыг бодит цагт илрүүлж, хариу арга хэмжээ авах чадварыг сайжруулахын тулд байгууллагууд Threat intelligence болон холбогдох өгөгдлийн хангамжийг аюулгүй байдлын үйл ажиллагааны ажлын урсгал болон системүүддээ ямар ч саадгүй, бүрэн нэгтгэхийг эрмэлзэж байна. SIEM систем болон Threat intelligence эх сурвалжуудын хооронд мэдээлэл дамжуулахтай холбоотой гар ажиллагаатай процессууд нь үр дүнд сөргөөр нөлөөлдөг бөгөөд шинжээчийн бүтээмжийг бууруулдаг. Тиймээс төгс интеграци бүхий систем хэрэгтэй.
Cloud-native SIEM
Томоохон клауд үйлчилгээ үзүүлэгч компаниуд (Amazon Web Services, Microsoft Azure эсвэл Google Cloud Platform гэх мэт) тухайн SIEM шийдлийг санал болгодог уу? Хэрэв тийм бол дэд бүтцээ бага зардлаар хүссэн хэмжээгээрээ өргөтгөх боломжтой гэсэн үг.
Cloud-native SIEM нь шинэ аюул заналхийллийн хариуд SIEM-ийг өргөтгөх, багасгах, түүнчлэн байгууллагын клауд ажлын урсгалын динамик шинж чанарыг удирдах боломжийг олгодог. Клауд дэд бүтэц, програмууд хэдхэн минутын дотор огцом өсөх боломжтой байдаг. Cloud-native SIEM архитектур нь аюулгүй байдлын багт томоохон байгууллагын хэрэгцээ шаардлагатай ижил хэмжээнд, ижил хурдаар өргөтгөх боломжийг олгодог зэрэг олон давуу талтай.
SIEM with Curated content
SIEM шийдэл нь аюулгүй байдлын болзошгүй асуудлуудыг тодорхойлж, тэдгээрт автоматаар арга хэмжээг авахад ашиглаж болохуйц боловсруулсан мэдээллийн сантай юу?
Зарим SIEM үйлдвэрлэгчид түгээмэл өгөгдлүүд бүхий задлан шинжлэгчийн мэдээлэл боловсруулахын тулд өөрсдийн хэрэглэгчдийн холбоо болон техникийн түнш харилцагч нартаа хэт их найддаг. Мэдээж идэвхтэй хэрэглэгчдийн холбоотой байх нь чухал ч гэсэн задлан шинжлэгч зэрэг SIEM-ийн үндсэн боломжоор хангахын тулд хэрэглэгчдээсээ хэт хамааралтай байх нь асуудал юм. Ялангуяа нийтлэг өгөгдлийн эх сурвалжийн задлан шинжлэгчийг SIEM вендор өөрөө шууд үүсгэж, засварлан, дэмжлэг үзүүлдэг байх шаардлагатай. Илрүүлэлтийн дүрмийн мэдээлэл дээр ч мөн адилхан. Хэдийгээр олон нийтийн оруулсан дүрмүүд нь SIEM-ийн чадавхыг сайжруулж болох ч тогтмол туршиж, засварлаж, тасралтгүй сайжруулсан илрүүлэлт хийх дүрмийн санг бий болгож байхыг вендороосоо шаардах хэрэгтэй.
SIEM with AI
Тухайн SIEM нь хиймэл оюун ухааны технологийг ашигладаг уу? Цаашлаад шинэ инновац бий болгохоор зорьж байгаа юу?
AI нь SIEM-д жинхэнэ хувьсгал хийх боломжтой хэдий ч SIEM вендорууд түүний бүрэн хүчин чадлыг хараахан хэрэгжүүлж чадаагүй байна. Гэсэн ч зарим SIEM шийдлийн тэргүүлэх вендорууд natural-language-р хайлт хийх, дүрэм гаргах, автоматжуулсан тайлан гаргах, хариу арга хэмжээг санал болгох зэрэг хиймэл оюун ухааны үндсэн функцүүдийг хэрэгжүүлж эхлээд байна. Дэвшилтэт халдлагыг илрүүлэх, халдлагын зан үйлийг урьдчилан таамаглах зэрэг чадавх нь хиймэл оюун ухаан бүхий SIEM-ийн ноён оргил байх болно гэж тодорхойлж байгаа ч одоогоор ямар ч SIEM эдгээр чадавхыг нэвтрүүлээгүй байна.
Цаашид SIEM-ийн шийдлийг сонгохдоо тухайн вендорын хиймэл оюун ухааны судалгаа, хөгжилд оруулж буй хөрөнгө оруулалтыг анхаарч үзэх нь чухал юм. Хиймэл оюун ухаанд суурилсан SIEM бол ирээдүй юм.
Байгууллагынхаа дижитал хөрөнгийг хамгаалах нь өнөөгийн дижитал шилжилтийн үед юм юунаас илүү чухал. Хэрэв та өөрийн байгууллагын хэрэгцээ, шаардлагад нийцэх SIEM шийдлийг хайж байвал бидэнтэй холбогдож дэлгэрэнгүй зөвлөгөө авахыг урьж байна. Бид танд on-premise, cloud deployment-тэй, мөн SOAR, UEBA зэрэг SIEM-ийн гол функцүүдийг бүрэн багтаасан дараах SIEM шийдлүүдийг санал болгож байна.
Та бидэнд хүсэлтээ crm@itzone.mn хаягаар ирүүлээрэй.