خروقات أمن المعلومات؟ – مصادر الأحداث الأمنية لإلقاء اللوم

هل تشعر بعدم الأمان بشأن نظام الأمان الخاص بك؟ حتى تطبيق SIEM المتطور قد لا يعكس ما يحدث فعليًا في شبكتك. في بعض الأحيان، يكمن جذر هذه الأعطال في مجال مصادر الأحداث، أي في مصادر السجل ومشكلات جودة بيانات الأحداث.

تقدم المقالة التالية نظرة داخلية لتحديات SIEM من منظور آي بي إم الأمن QRadar SIEM (ومع ذلك، فهو قابل للتطبيق على أي نظام SIEM آخر).

ابق يقظًا على مصادر السجل الخاص بك

تسرد الأقسام التالية أنواع المشاكل التي قد تحدث لتسجيل المصادر وتسبب مشاكل كبيرة.

مصادر السجل غير المحددة أو التي تم تحديدها بشكل غير صحيح

يقوم كل نظام SIEM بتطبيع البيانات المجمعة من مصادر السجل وفقًا لمجموعة واحدة من سمات الأحداث، مثل الوقت والمستخدم والتشغيل وIP وما إلى ذلك. نطاق هذه السمات في الحل الجاهز محدود. في الوقت الحاضر، لا يتم دعم الكثير من التطبيقات، وخاصة التطبيقات التجارية، بواسطة QRadar. عندما يتلقى سجلات من مصدر ما ولكن لا يمكنه اكتشاف نوع السجلات التي يتلقاها، فقد يؤدي ذلك إلى فقدان التهديدات المحتملة. في مثل هذه الحالات تقوم شركات الأمن السيبراني بتثبيت LSX مخصص (امتداد مصدر السجل)/uDSM (DSM العالمي).

مصادر السجل غير النشطة

هناك حالات يتم فيها إلغاء تنشيط مصادر السجل يدويًا، على سبيل المثال، إذا قام المسؤول بإيقاف التدقيق عن طريق الخطأ أو إذا كان الدافع وراء ذلك هو دوافع ضارة. وبالتالي، في وقت ما، لن يحصل نظام SIEM على أي بيانات من الجهاز. لهذا السبب، تقوم أنظمة SIEM بتتبع عمليات التلاعب من خلال تبديل التدقيق.

في بعض الأحيان، قد يشير الانخفاض في عدد مصادر السجل النشط أيضًا إلى أن بعض الأجهزة قد توقفت للتو عن الشبكة أو تم إيقاف تشغيلها.

مصادر السجل معطلة

يعتمد هذا الخلل على الإنسان ولا يمكن أن يحدث بدون تدخل مسؤول الأمان.

يحتوي QRadar على قائمة بمصادر السجل في لوحة الإدارة. من ناحية، يمكن اكتشاف مصادر السجل تلقائيًا إذا أرسل جهاز الشبكة البيانات إلى QRadar (متغير سلبي). ومن ناحية أخرى، يمكن للمسؤولين تكوينه يدويًا. يبدأ QRadar الاتصال بالنظام المستهدف ثم يتلقى البيانات الضرورية (متغير نشط). يمكن تعطيل مصادر السجل لأسباب مختلفة: السلوك الضار، مثل الخطأ البشري، ونوايا المسؤول الشريرة؛ أو عملية عادية، عندما لا يعود جهاز معين ذا صلة. وعلى عكس حالة مصادر السجل غير النشطة، يقوم المسؤول بتعطيلها في QRadar، وليس في النظام المستهدف.

مصادر السجل المحذوفة

بمجرد حذفه، لا يمكن استعادة مصدر السجل. إذا تم حذف المصدر الذي يقوم بتشغيل إرسال البيانات، فيمكن لـ QRadar تتبع ذلك والإشارة إليه. تعتبر هذه المعلومات مفيدة لمعرفة ما إذا كانت هناك أي مصادر سجل مهمة مفقودة. إذا قمنا بحذف مصدر تمت إضافته إلى QRadar يدويًا، فسوف يختفي دون أي أثر إلا إذا تم حذفه كلين تم تنصيبه.

تجدر الإشارة إلى أن الأسباب الخبيثة الأكثر شيوعًا لإلغاء تنشيط أو تعطيل أو حذف مصادر السجل هي التجسس وتحقيق مكاسب مالية سريعة وسرقة الملكية الفكرية.

أخطاء تكوين البروتوكول

قد يؤدي تكوين البروتوكول المصدر إلى إيقاف تجميع الأحداث. من خلال جمع البيانات النشط، يتطلب QRadar اسم مستخدم وكلمة مرور صحيحين، وإذا فشل المسؤول في تقديم بيانات الاعتماد الصحيحة، يقع مصدر السجل في حالة الخطأ. لذلك، من الضروري التأكد من إعداد جميع مصادر السجل بشكل صحيح، وذلك عن طريق التحقق من حقول المصادقة ومسارات الملفات وأسماء قواعد البيانات لـ JDBC (بروتوكول اتصال قاعدة بيانات Java) والتأكد من قدرة نظام SIEM على الاتصال بالخوادم البعيدة.

مصادر السجل المعدلة

في سياق العمل العادي، لا يُتوقع تعديل مصادر السجل، وبالتالي فإن كل تعديل يكون موضع شك ويجب تدقيقه. يتوقف مصدر السجل عن تلقي الرسائل في حالة حدوث خطأ مطبعي في عنوان IP. لسوء الحظ، ليس لدى الكثير من مسؤولي تكنولوجيا المعلومات خطوط أساس محددة جيدًا للأنشطة العادية في الشبكة، مما يجعل من الصعب اكتشاف الأنشطة غير الطبيعية. تقرير التحقيقات في خرق بيانات Verizon توصي بإيلاء اهتمام وثيق للتحكم المناسب في تغييرات الشبكة لمنع خرق البيانات.

تسجيل جودة البيانات في متناول اليد

هناك مجموعة أخرى من المشكلات التي يجب التركيز عليها وهي جودة بيانات الأحداث، أي الأحداث غير المدعومة وغير المستلمة.

أحداث غير مدعومة

عندما لا يتطابق اسم الحدث الذي تم تحليله في رسالة الحدث مع أي من التعيينات المعروفة لـ QRadar، فإن عارض أحداث QRadar سيعرضها في الفئة “غير معروف”، مما يحول الحدث إلى مجرد وزن وهمي. كما هو الحال مع مصادر السجل غير المحددة، يساعد LSX/uDSM المخصص في مواجهة التحدي، مما يسمح بتوسيع إجراءات التحليل في SIEM الخاص بك.

أحداث لم يتم تلقيها

قد تحدث هذه المشكلة في حالة عدم كفاية ترخيص نظام SIEM. قد يعتبر الإصدار الحالي لديك أنواعًا معينة من الأحداث خارج نطاق الترخيص، وبالتالي فإن عدد الأحداث المدعومة لن يتوافق مع العدد الإجمالي للأحداث.

قد يحدث نفس الشيء عندما يتم ضبط SIEM لتتبع إدخالات النظام الناجحة فقط، وبالتالي سيكون عدد الأحداث “المرئية” أقل من عدد الأحداث المدعومة. يمكن بالفعل تمكين أنواع الأحداث الأخيرة لجهازك وهي مهمة من الناحية الأمنية.

شيء يجب مراعاته

إن التجسس والمكاسب المالية وسرقة الملكية الفكرية ليست سوى عدد قليل من الدوافع وراء الجرائم الأمنية. إذا تم التغاضي عنها أو إهمالها، فقد يكون التكوين الخاطئ لمصادر السجل والأحداث هو السبب وراء الخروقات الأمنية. الطريقة الوحيدة لضمان حماية أمنية قوية لشبكتك بالكامل بما في ذلك مصادر السجل والأحداث هي التحقق من صحة تنفيذ SIEM بانتظام، على سبيل المثال، بمساعدة QLEAN لQRadar.

خدمات استشارات الأمن السيبراني

هل تريد الحفاظ على بيانات عملك آمنة؟ نحن نقدم خدمات استشارات أمن المعلومات التي تعالج التحديات الأمنية مهما كانت درجة تعقيدها.