اكتشاف التهديدات السيبرانية باستخدام حلول SIEM

بالنسبة لمحترفي قواعد البيانات فالعرض المادي materialized views هو جدول بيانات تم إنشاؤه من خلال دمج البيانات من عدة جداول موجودة لاسترجاع البيانات بشكل أسرع. نظراً لأن البيانات قد جهزت مسبقاً ، فإن الاستعلام بهذه الطريقة سيكون أسرع من تنفيذ استعلام على الجدول الأساسي في كل مرة نحتاجها. لنتخيل الأن أهمية هذا المفهوم في اكتشاف التهديدات السيبرانية.

يعتبر الوقت عاملاً حاسماً في تعزيز كفاءة و فعالية الأمن السيبراني لحماية المؤسسات من الهجمات المحتملة. كما يفيد في الاستجابة لها بأسرع و أفضل طريقة. ويعرض لكم روبودين في هذه المقالة فوائد وتطبيقات معالجة البيانات في تحسين أسلوب الكشف عن التهديدات في حلول الـ SIEM. وكذلك بعض أسس المقارنة بين تلك الحلول من ناحية ربط الأحداث الأمنية، تقنيات التخزين المستخدمة و الإجراءات الاستباقية.

معالجة البيانات لاكتشاف التهديدات السيبرانية

يشبه Streaming SQL الإصدارات الأقدم من SQL، ولكنه يختلف في كيفية معالجة البيانات المخزنة والبيانات في الوقت الفعلي. كذلك تركز على حداثة البيانات و تلقي نتائج جديدة بشكل مستمر . ومن هذه النتائج، البيانات التي تم إنشاؤها خلال آخر 30 دقيقة أو ساعة واحدة أو سبعة أيام. يتم استخدام تحليلات Streaming SQL لتوفير نتائج محدثة باستمرار . يفيد ذلك في التنبيه وكذلك للحفاظ على ملخصات البيانات المتعلقة بالأمن. تتضمن هذه الملخصات عرضاً لمحاولات تسجيل الدخول، أو سجلات جدار الحماية، أو تنبيهات نظام كشف التسلل. يمكن أن توفر طرق العرض المجمعة تلك نظرة عامة موحدة ويمكن الوصول إليها لمستخدمي الـ SIEM.

إضافة لما سبق، تلعب طرق العرض المادية materialized views دوراً حاسماً في تحسين كفاءة وأداء اكتشاف التهديدات السيبرانية في SIEM. وبالتالي تقليل زمن الاستجابة عبر التقاط مخرجات استعلامات SQL المنشأة مسبقاً وتحديثها تدريجياً مع وصول بيانات جديدة. يوفر ما سبق تمثيلاً ملخصاً و دقيقاً للوضع الراهن للنشاطات و الأحداث الأمنية. كما تساعد طريقة العرض تلك على تحسين استخدام الموارد الحاسوبية بسبب توفر النتائج المحسوبة مسبقاً بدلاً من حسابها في كل مرة. و بالتالي يمكن استخدام تلك الموارد Resources في التركيز على معالجة البيانات الجديدة. كما تستخدم لتحديث طرق العرض بشكل تدريجي مما يعزز قوة نظام الكشف عن التهديدات.

و أيضاً، فإن هذه التقنية تبسط تعقيد استعلامات SQL المستخدمة لاكتشاف التهديدات. سيمكن ذلك تمكن المحللين تصميم استعلامات تلتقط المعلومات الملخصة الضرورية، بدلاً من الاستعلامات المعقدة على البيانات بأكملها. يسمح هذا التبسيط لفرق الأمن بالتركيز أكثر على مهامهم.

التعلم الآلي (ML) في SIEM – دراسة حالة

يعتبر التعلم الآلي ML سمة مرجحة لأي منتج تقني ومنها حلول الـ SIEM بطبيعة الحال. يستخدم SureLog SIEM -على سبيل المثال- طرق العرض المادية لبناء نماذج التعلم الآلي (ML) و تحسين قدراتها عبر استخدام طرق العرض المادية المستندة إلى معالجة الأحداث المعقدة (CEP). علماً أن CEP هي طريقة لتتبع و تحليل تدفق المعلومات حول ما يجري من أحداث واستخلاص نتيجة منها. كما تسمح تقنيات hot logs بتخزين بيانات تاريخية والوصول إليها. يعزز ذلك إمكانية الكشف عن الحالات الشاذة في الوقت الفعلي و بناء قواعد بشكل مستقل، لاكتشاف الأحداث الأمنية التي تتطلب التحقيق. يتم ما سبق اعتماداً على تحليل السلوك و النمذجة الإحصائية وعلوم البيانات لتحديد أنماط السلوك ومقارنتها بالأنشطة البشرية أو الآلية الأخرى عبر إنشاء ملف تعريف يحدد شكل السلوك الطبيعي مما يمكن إنشاء نماذج تحدد السلوك الشاذ. على سبيل المثال يتعلم SIEMProfiler مما يفعله المستخدمون والكيانات بشكل منتظم، على سبيل المثال لا الحصر أسئلة عن:

• الموقع – IP- الذي تم منه تسجيل الدخول
• الأجهزة التي تم تسجيل الدخول منها
• خوادم الملفات والتطبيقات التي يمكنهم الوصول إليها.
• الامتيازات التي يتمتعون بها.

حجم السجلات – معضلة مساحة التخزين

عند تفكير أي مؤسسة في الاستثمار في حلول SIEM يمكن أن يكون حجم السجلات كبيراً، مما قد يشكل تحدياً للمؤسسة. ولمواجهة هذا التحدي، يمكن الاستفادة من حلول SIEM التي تستخدم تقنيات ضغط القرص لتقليل حجم ملفات السجل دون التضحية بسلامتها. تسمح هذه الحلول للمؤسسات بتخزين المزيد من السجلات لفترات زمنية أطول دون القلق بشأن نفاد مساحة القرص.

و لايمكننا التحدث عن تقنيات ضغط مساحة التخزين دون أن نذكر مثلاً أن منتجي الحلول الأمنية يتنافسون يما بينهم في هذه الميزة. و كمثال فإنه وفقاً للمعلومات المتاحة على موقعه و تجربة المستخدمين فإن SureLog SIEM يبقي السجلات متوفرة لأطول فترة باستخدام أقل حجم للقرص وبمساحة تخزين أقل بنسبة 80 إلى 100 مرة من الحلول المنافسة. يكفي 2.5 تيرابايت لإبقاء السجلات حية و بمتناول اليد لمدة 12 شهرياً وبما يصل لـ تدفق 3000 سجل في الثانية الواحدة EPS.

اكتشاف التهديدات السيبرانية في الوقت الحقيقي

إضافة لمعضلة التخزين المذكورة أعلاه، تعد طريقة إدارة السجلات العنصر الأهم في تقييم أي نظام SIEM. يتم إنشاء هذه السجلات بشكل مستمر. ويتوقع محللو الأمن أنه يمكنهم الوصول إليها بسهولة في الوقت الفعلي مما يسمى Hot Logs. يوفر ذلك لهم نظرة شاملة على الأنشطة التي تجري على شبكاتهم إضافة لبعض الفوائد ومنها:

• اكتشاف الأحداث والحوادث الأمنية فور حدوثها، مما يسمح بالاستجابة الفورية وإجراءات معالجة المخاطر. وهذه الميزة لاتوفرها طرق إدارة السجلات التقليدية التي تعمد لتخزينها في أرشيف مركزي وبالتالي يمكن أن يستغرق تحليلها ساعات أو حتى أيام.
• توفير رؤى قيمة حول علامات الإنذار المبكر للانتهاكات الأمنية المحتملة. من خلال تحليل بيانات السجل في الوقت الفعلي، يمكن لمحللي الأمن تحديد الأنشطة أو الأنماط أو الحالات الشاذة المشبوهة التي قد تشير إلى وجود حادث أمني قيد التقدم أو محاولة هجوم. كلما تم اكتشاف هذه العلامات التحذيرية أبكر كلما كانت الاستجابة أسرع للحوادث عبر اتخاذ تدابير استباقية للتخفيف من المخاطر.
• تعد الـ Hot Logs ضرورية لتحقيقات الطب الشرعي الرقمي اللاحقة لحدث أمني. فهي توفر سجلاً زمنياً مفصلاً للأحداث، مما يسمح للمحللين الأمنيين بإعادة بناء تسلسل الأنشطة التي أدت إلى وقوع حادث أمني وكذلك تمكين المحققين من تحليل البيانات بسرعة وتحديد السبب الجذري للحادث، ومدى الانتهاك، وأي تسرب محتمل للبيانات.
• الامتثال للمتطلبات التنظيمية عبر جمع السجلات والاحتفاظ بها بحيث يسمح هذا التوفر للمدققين وفرق الامتثال بمراجعة السجلات على الفور، مما يضمن الالتزام بسياسات الأمان واللوائح والمعايير.
• يمكن لفرق الأمن تحديد المخاطر المحتملة قبل أن تتحول إلى حوادث. ويتيح ذلك للمؤسسات اتخاذ خطوات استباقية للتخفيف من هذه المخاطر، مثل تنفيذ ضوابط أمنية إضافية أو تدريب الموظفين على أفضل الممارسات الأمنية.

كلمة أخيرة

يمكننا ملاحظة أنه لا غنى للمؤسسات عن الاستثمار في حلول SIEM. و كذلك فإن المقارنة بين هذه الحلول يجب أن تأخذ بعين الاعتبار طرق التقاط السجلات، ونسبة ضغط قرص التخزين، وإمكانية ربط الأحداث الأمنية للوصول لنتائج، والامتثال لأطر الأمن السيبراني NIST، وOWASP، وMITRE، وغيرها من اللوائح مما يعطي الكثير من الطمأنينة لأصحاب القرار.