SIEM چیست؟

SIEM مخفف Security Information and Event Management می باشد و وظیفه مدیریت اطلاعات و داده ها را برعهده دارد. این نرم افزار به متخصصان امنیت سازمانی کمک می کند تا بینش و راندمان بالایی در محیط IT داشته باشند.

تکنولوژی SIEM بیش از یک دهه است که وجود دارد و به بازار عرضه شده است و از ابتدای پیدایش نیز در حال پیشرفت و توسعه می باشد. این فناوری دو تکنولوژی SEM و SIM را باهم ترکیب می کند و با استفاده از این کار به جمع آوری، مدیریت و تجزیه و تحلیل داده های ورودی می پردازد.

 نرم افزار SIEM تمام لاگ های شبکه را از طریق زیرساخت های فناوری سازمان، یا سیستم های میزبان و برنامه های کاربردی شبکه و همچنین فایروال ها و آنتی ویروس ها، جمع آوری و تجزیه و تحلیل می کند. این نرم افزار سپس رویدادها و حوادث امنیتی را شناسایی و طبقه بندی و در انتها تجزیه و تحلیل می کند.

نرم افزارهای SIEM بر دو هدف اصلی استوار است :

• ارائه گزارشات مربوط به حوادث و رویدادهای مربوط به امنیت مانند ورود و خروج های موفق و شکست خورده، فعالیت بدافزارها، دیگر فعالیت های مخرب و …
• ارسال هشدار به هنگام دریافت گزارش مشکوک به هنگام تجزیه و تحلیل داده ها

به گفته کارشناسان، سازمان های بزرگ نیاز به اقدامات امنیتی بیشتر در این حوزه دارند با وجود اینکه طی سال های گذشته نیز بسیاری از شرکت ها وارد استفاده از حوزه این فناوری شده اند.

یکی از عوامل اصلی استفاده از نرم افزارهای SIEM برای مراکز عملیات امنیت، استفاده از قابلیت ها و ظرفیت های موجود در بسیاری از محصولات موجود در بازار است. در حال حاضر بسیاری از تکنولوژی های SIEM علاوه بر داده های ورودی، تهدیدات امنیتی را نیز رصد می کنند. چندین محصول SIEM وجود دارد که دارای قابلیت تجزیه و تحلیل هستند که با نظارت بر رفتار شبکه و همچنین رفتار کاربر، اطمینان بالاتری مبنی بر فعالیت های مخرب در شبکه دارد.

شرکت تحقیقاتی و فناوری گارتنر در گزارش ماه می سال ۲۰۱۷ خود در مورد بازار SIEM می گوید:

“نوآوری در بازار محصولات SIEM با سرعت بسیار بالا و هیجان انگیز برای تولید نرم افزار تشخیص تهدید بهتر، در حال پیشرفت است.”

طبق گفته شرکت Gartner، نرم افزارهای SIEM تنها یک بخش کوچکی از کل هزینه های صرف شده برای امنیت شرکت در سراسر جهان را در بر می گیرد. گارتنر هزینه های جهانی برای امنیت سازمان ها را تقریبا ۹۸٫۴ میلیارد دلار برای سال ۲۰۱۷ برآورد می کند که با نرم افزار SIEM حدود ۲٫۴ میلیارد دلار دیگر به این رقم اضافه خواهد شد. گارتنر پیش بینی می کند که هزینه های فناوری SIEM نسبت به سال قبل به ۲٫۴ میلیارد دلار در سال ۲۰۱۸ و ۳٫۴ میلیارد دلار در سال ۲۰۲۱ افزایش خواهد یافت.

به گفته تحلیلگران، نرم افزار SIEM بیشتر توسط سازمان های بزرگ و شرکت های دولتی مورد استفاده قرار می گیرد، در حالیکه انطباق با مقررات همچنان عامل مهمی در استفاده از این فناوری است.

درحالی که برخی از شرکت های متوسط نیز نرم افزار SIEM استفاده می کنند، شرکت های کوچک تمایل به سرمایه گذاری در این حوزه ندارند و بطور کلی در این زمینه سرمایه گذاری نمی کنند. بنا به گفته تحلیل گران، شرکت های کوچک بیشتر تمایل به استفاده از راه حل های ارزان قیمت دارند، در حالی که برای استفاده از یک سیستم SIEM نیز به هزینه ۱۰ هزار دلاری تا بیش از ۱۰۰ هزار دلاری در سال می باشد همچنین علاوه بر این توانایی استخدام نیرو مورد نیاز برای حفظ و استفاده نرم افزار SIEM را نیز ندارند.

بازار محصولات SIEM دارای چندین برند فروشنده غالب براساس فروش جهانی می باشد که عبارتند از Splunk ، IBM و HPE

همچنین برندهای دیگری نیز هستند که در این حوزه فعالیت دارند مانند : Alert Logic ، Intel ، LogRhythm ، ManageEngine ، SolarWinds و Trustwave

انتخاب محصول باید براساس اهداف سازمان ها مورد ارزیابی قرار گیرد تا بتوانند نیاز های خود را به بهترین نحو، برآورده سازند. بسیاری از سازمان ها بطور عمده استفاده از این محصول را برای انطباق و گزارش گیری مورد استفاده قرار می دهند در حالی که برخی از سازمان ها هستند که از نرم افزار های این حوزه برای راه اندازی مرکز SOC استفاده می کنند.

SIEM به عنوان بخشی از SOC و در قسمت Technology قرار می گیرد و امکان متمرکز کردن قابلیت logging برای رخ دادهای امنیتی را برای محیط های سازمانی فراهم می کند و همچنین براساس log های دریافتی آنالیز و گزارش گیری را انجام میدهد.

در شکل زیر گزارش جدول گارتنر را در حوزه محصولات SIEM مشاهده می کنید:

جدول گارتنر