اسپلانک در امنیت سایبری چه استفادهای دارد؟
اسپلانک یک نرمافزار جهت ذخیره سازی ، جستوجو ، بررسی و تجزیه و تحلیل دادهها است. با استفاده از آن میتوان با بررسی و تجزیه و تحلیل دادهها، الگوها و ارتباطات منطقی بین دادهها را پیدا کرده و با ارائه اطلاعات مفید و پیشبینی خطرات و ریسکها، مشکلات موجود را برطرف کرد و با کاهش هزینهها، بهره وری را افزایش داد. اسپلانک این قابلیت را فراهم کرده است تا برای درک بهتر از اتفاقات مختلف امنیتی، بتوان از دادهها گزارش گرفت، هشدار ساخت و دادهها را به صورت گرافیکی، روی یک Table، چارت، نقشه و یا داشبورد نمایش داد.
بر اساس آنچه توسط شرکت اسپلانک منتشر شده است، معماری کلی پیاده سازی اسپلانک جهت استقرار (برای سازمانها و شرکتهای متوسط تا بزرگ) به شرح زیر است. معماری اسپلانک دارای لایه های منطقی مختلفی است که در ادامه هر یک از این لایهها تشریح شده است.
- لایه جستجو و نمایش (Search Tier)
وظیفه اصلی این لایه، جستجو، تحلیل و نمایش لاگها و دادهها، به صورت نمودارهای مختلف جهت استفاده کاربران سیستم میباشد.
- لایه ذخیره سازی و نگهداری دادهها (Indexing Tier)
وظیفه اصلی این لایه، ذخیره سازی لاگها و دادههای جمعآوری شده از طریق لایه Collection و همچنین پاسخگویی به درخواستهای لایه Search به منظور نمایش لاگها است. از آنجا که این لایه وظیفه ذخیره سازی و بازیابی دادهها از دیسک را برعهده دارد، لذا طراحی درست در این لایه تاثیر به سزایی در میزان کارایی و سرعت پاسخگویی به درخواستها و همچنین جلوگیری از خطر از دست رفتن داده ها دارد.
- لایه جمع آوری لاگ (Collection Tier)
وظیفه اصلی این لایه، جمعآوری لاگ از تجهیزات و سیستمعاملها و نرم افزارهای مختلف و ارسال به سمت لایه Indexer میباشد.
مولفهای که لاگ را از تجهیزات متفاوت شبکه دریافت میکند Forwarder نام دارد که شامل دو مدل Heavy Forwarder و یا Universal Forwarder است.
یوزکیس
با پیشرفت روشهایی که هکرها برای نفوذ به یک سازمان به کار میگیرند و همچنین ظهور حملات پیشرفته بلند مدت موسوم به APT، امروزه نیاز به یوزکیس (Use Case)های امنیتی که به درستی تولید و Tune شده باشند، بیش از پیش برای سازمانها و مراکز SOC احساس میشود. اما با وجود این نیاز، به دلیل عواملی مانند کمبود زمان، کمبود نیروی کارآمد، کمبود دانش کافی در این حوزه، درگیری سازمان با مسائل کلان امنیتی و غیره، کمتر مشاهده میشود که شرکت های امنیت به سراغ تولید یوزکیس در زمان مناسب بروند.
با شنیدن نام یوزکیس معمولا موضوعات مربوط به مهندسی نرمافزار در اذهان تداعی میشود. اما ظهور مفاهیمی مانند مرکز عملیات امنیت (SOC) و SIEM، معانی و تعاریف جدیدی به این واژه در حوزه امنیت اطلاعات داده است. طبق تعریف، میتوان یوزکیس را نگاشتی بین نیازهای سازمان و برطرف کردن آن با استفاده از قابلیتهای یک ابزار امنیتی مانند SIEM درنظر گرفت. به بیانی دقیق تر، یوزکیس مجموعه ای از Rule ها، گزارشات، داشبوردها، هشدارها و … است که همگی یک هدف مشترک دارند و آن برطرف شدن نیاز یا دغدغه یک سازمان و ارتقاء بلوغ امنیتی آن است.
شرکت دانش بنیان سورین که یک شرکت امنیت سایبری است، با تکیه بر دانش و تجربه متخصصان خود و با هدف افزایش بهرهوری تجهیزات امنیتی، یوزکیسهای کاربردی مختلفی را همراه با مستندات کامل آن عرضه میکند. یوزکیس های کاربردی توسعه یافته توسط این شرکت به دو دسته کلی زیر تقسیم بندی می شوند.
یوزکیسهای عمومی
بسیاری از سازمانها از نظر امنیتی دغدغههای مشترک و یکسانی دارند. این دغدغهها و نیازمندیها در قالب ارایه یوزکیسهای عمومی قابل رفع است.
این دسته از یوزکیس ها شامل موارد رایجی نظیر موارد زیر است.
- Malware Detection
- Asset Monitoring
- Compliance Checking
- Data Exfiltration Detection
- Insider Threats
- ….
یوزکیسهای سفارشی
امروزه سازمانها علاوه بر استفاده از تجهیزات و سرویسهای ارتباطی، ذخیرهسازی، پردازشی، امنیتی و غیره که فارغ از بحث Business سازمان معمولا در همه حوزهها استفاده میشوند، از ابزار، تجهیزات و سرویسهای خاص براساس Business خود بهره میگیرند. این سرویسها به دلیل ماهیت خود که تداوم کار سازمان را تضمین میکنند، اهمیت و ارزش بالایی داشته و معمولا هدف مهمی برای هکرها به شمار میروند. به همین دلیل شناخت این تجهیزات و سرویسها و همچنین آنالیز امنیتی آنها از موارد حائز اهمیت است.
فرآیند تولید و توسعه یوزکیسهای عمومی و سفارشی و ارائه خدمات پشتیبانی
فرآیند تولید و توسعه یوزکیسهای سفارشی با فرآیند تولید یوزکیسهای عمومی متفاوت است. بر این اساس، در مرحله اول از این فرآیند، سعی بر آن است که شناختی نسبی از شبکه و نیازمندیهای سازمان به دست آید.
در مرحله بعد، عناوین یوزکیسها با تعامل و توافق سازمان هدف تدوین خواهد شد. به بیان جزیی تر، در این مرحله، یعنی مرحله دوم، نیازمندیهای سازمان به زبان فنی ترجمه شده و سپس فهرستی از عناوین مورد نظر سازمان تهیه خواهد شد. طبیعتا برای رسیدن به یک فهرست کامل، همکاری سازمان هدف با شرکت سورین بسیار مهم خواهد بود.
در گام بعد، توسعه یورکیس انجام شده و خروجی روی محصول SIEM سازمان پیاده سازی خواهد شد. محتوای یوزکیسهای توسعه یافته توسط شرکت دانش بنیان سورین، بسته به نوع یوزکیس، شامل داشبورد، گزارش، هشدار، رول و … خواهد بود. در آخرین مرحله از فرآیند توسعه یوزکیسهای سفارشی و پس از پیاده سازی یوزکیسهای توسعه یافته (مرحله قبل) نوبت به میزان سازی و یا اصطلاحا Tuning میرسد. در این مرحله، بر اساس خروجی به دست آمده از اجرای یوزکیس در سازمان، موارد False Positive احتمالی حتی الامکان برطرف خواهد شد. علاوه بر این، در این مرحله روی بهینه سازی هرچه بیشتر یوزکیسها کار خواهد شد.
در شکل زیر، مراحل چهارگانه فرآیند توسعه یوزکیسهای سفارشی مشاهده میشود.
اگر برای خرید مودم، اینترنت و تجهیزات شبکه سوال داشتید یا نیاز به راهنمایی و کمک دارید؛ کانال تلگرام شبکهچی به آیدی shabakehchi@ را فالو و پرسش خود را برای مدیر کانال بفرستید تا جواب دهیم.