اسپلانک در امنیت سایبری چه استفاده‌ای دارد؟

اسپلانک یک نرم‌افزار جهت ذخیره‌ سازی ، جست‌و‌جو ،  بررسی و تجزیه و تحلیل داده‌ها است. با استفاده از آن می‌توان با بررسی و تجزیه و تحلیل داده‌ها، الگوها و ارتباطات منطقی بین داده‌ها را پیدا کرده و با ارائه اطلاعات مفید و پیش‌بینی خطرات و ریسک‌ها، مشکلات موجود را برطرف کرد و با کاهش هزینه‌ها، بهره وری را افزایش داد. اسپلانک این قابلیت را فراهم کرده است تا برای درک بهتر از اتفاقات مختلف امنیتی، بتوان از داده‌ها گزارش گرفت، هشدار ساخت و داده‌ها را به صورت گرافیکی، روی یک  Table، چارت، نقشه و یا داشبورد نمایش داد.

بر اساس آنچه توسط شرکت اسپلانک منتشر شده است، معماری کلی پیاده سازی اسپلانک جهت استقرار (برای سازمان‎ها و شرکت‌های متوسط تا بزرگ) به شرح زیر است. معماری اسپلانک دارای لایه های منطقی مختلفی است که در ادامه هر یک از این لایه‌ها تشریح شده است.

• لایه جستجو و نمایش (Search Tier)

وظیفه اصلی این لایه، جستجو، تحلیل و نمایش لاگ‌ها و داده‌ها، به صورت نمودارهای مختلف جهت استفاده کاربران سیستم می‌باشد.

• لایه ذخیره سازی و نگهداری داده‌ها (Indexing Tier)

وظیفه اصلی این لایه، ذخیره سازی لاگ‌ها و داده‌های جمع‌آوری شده از طریق لایه Collection و همچنین پاسخگویی به درخواست‌های لایه Search به منظور نمایش لاگ‌ها است. از آنجا که این لایه وظیفه ذخیره سازی و بازیابی داده‌ها از دیسک را برعهده دارد، لذا طراحی درست در این لایه تاثیر به سزایی در میزان کارایی و سرعت پاسخگویی به درخواست‌ها و همچنین جلوگیری از خطر از دست رفتن داده ها دارد.

• لایه جمع آوری لاگ (Collection Tier)

وظیفه اصلی این لایه، جمع‌آوری لاگ از تجهیزات و سیستم‌عامل‌ها و نرم افزارهای مختلف و ارسال به سمت لایه  Indexer  می‌باشد.

مولفه‌ای که لاگ را از تجهیزات متفاوت شبکه دریافت می‌کند Forwarder نام دارد که شامل دو مدل Heavy Forwarder و یا Universal Forwarder است.

یوزکیس

با پیشرفت روش‌هایی که هکرها برای نفوذ به یک سازمان به کار می‌گیرند و همچنین ظهور حملات پیشرفته بلند مدت موسوم به  APT، امروزه نیاز به یوزکیس (Use Case)های امنیتی که به درستی تولید و Tune شده باشند، بیش از پیش برای سازمان‌ها و مراکز SOC احساس می‌شود. اما با وجود این نیاز، به دلیل عواملی مانند کمبود زمان، کمبود نیروی کارآمد، کمبود دانش کافی در این حوزه، درگیری سازمان با مسائل کلان‌ امنیتی و غیره، کمتر مشاهده می‌شود که شرکت های امنیت به سراغ تولید یوزکیس در زمان مناسب بروند.

با شنیدن نام یوزکیس معمولا موضوعات مربوط به مهندسی نرم‌افزار در اذهان تداعی می‌شود. اما ظهور مفاهیمی مانند مرکز عملیات امنیت (SOC) و SIEM، معانی و تعاریف جدیدی به این واژه در حوزه امنیت اطلاعات داده است. طبق تعریف، می‌توان یوزکیس را نگاشتی بین نیازهای سازمان و برطرف کردن آن با استفاده از قابلیت‌های یک ابزار امنیتی مانند SIEM درنظر گرفت. به بیانی دقیق تر، یوزکیس مجموعه ای از Rule ها، گزارشات، داشبوردها، هشدارها و … است که همگی یک هدف مشترک دارند و آن برطرف شدن نیاز یا دغدغه یک سازمان و ارتقاء بلوغ امنیتی آن است.

شرکت دانش بنیان سورین که یک شرکت امنیت سایبری است، با تکیه بر دانش و تجربه متخصصان خود و با هدف افزایش بهره‌وری تجهیزات امنیتی، یوزکیس‌های کاربردی مختلفی را همراه با مستندات کامل آن عرضه می‌کند. یوزکیس های کاربردی توسعه یافته توسط این شرکت به دو دسته کلی زیر تقسیم بندی می شوند.

یوزکیس‌های عمومی

بسیاری از سازمان‌ها از نظر امنیتی دغدغه‌های مشترک و یکسانی دارند. این دغدغه‌ها و نیازمندی‌ها در قالب ارایه یوزکیس‌های عمومی قابل رفع است.

این دسته از یوزکیس ها شامل موارد رایجی نظیر موارد زیر است.

• Malware Detection
• Asset Monitoring
• Compliance Checking
• Data Exfiltration Detection
• Insider Threats
• ….

یوزکیس‌های سفارشی

امروزه سازمان‌ها علاوه بر استفاده از تجهیزات و سرویس‌های ارتباطی، ذخیره‌سازی، پردازشی، امنیتی و غیره که فارغ از بحث Business سازمان معمولا در همه حوزه‌ها استفاده می‌شوند، از ابزار، تجهیزات و سرویس‌های خاص براساس Business خود بهره می‌گیرند. این سرویس‌ها به دلیل ماهیت خود که تداوم کار سازمان را تضمین می‌کنند، اهمیت و ارزش بالایی داشته و معمولا هدف مهمی برای هکرها به شمار می‌روند. به همین دلیل شناخت این تجهیزات و سرویس‌ها و همچنین آنالیز امنیتی آن‌ها از موارد حائز اهمیت است.

فرآیند تولید و توسعه یوزکیس‌های عمومی و سفارشی  و ارائه خدمات پشتیبانی

فرآیند تولید و توسعه یوزکیس‌های سفارشی با فرآیند تولید یوزکیس‌های عمومی متفاوت است. بر این اساس، در مرحله اول از این فرآیند، سعی بر آن است که شناختی نسبی از شبکه و نیازمندی‌های سازمان به دست آید.

در مرحله بعد، عناوین یوزکیس‌ها با تعامل و توافق سازمان هدف تدوین خواهد شد. به بیان جزیی تر، در این مرحله، یعنی مرحله دوم، نیازمندی‌های سازمان به زبان فنی ترجمه شده و سپس فهرستی از عناوین مورد نظر سازمان تهیه خواهد شد. طبیعتا برای رسیدن به یک فهرست کامل، همکاری سازمان هدف با شرکت سورین بسیار مهم خواهد بود.

در گام بعد، توسعه یورکیس انجام شده و خروجی روی محصول SIEM سازمان پیاده سازی خواهد شد. محتوای یوزکیس‌های توسعه یافته توسط شرکت دانش بنیان سورین، بسته به نوع یوزکیس، شامل داشبورد، گزارش، هشدار، رول و … خواهد بود. در آخرین مرحله از فرآیند توسعه یوزکیس‌های سفارشی و پس از پیاده سازی یوزکیس‌های توسعه یافته (مرحله قبل) نوبت به میزان سازی و یا اصطلاحا Tuning می‌رسد. در این مرحله، بر اساس خروجی به دست آمده از اجرای یوزکیس در سازمان، موارد False Positive احتمالی حتی الامکان برطرف خواهد شد.  علاوه بر این، در این مرحله روی بهینه سازی هرچه بیشتر یوزکیس‌ها کار خواهد شد.

در شکل زیر، مراحل چهارگانه فرآیند توسعه یوزکیس‌های سفارشی مشاهده می‌شود.