مجموعه داده‌های سوابق امنیتی برای راه‌حل‌های ابری

برخی اوقات همه‌ی اطلاعات کنترل امنیتی که مرسوم هستند خروجی داده‌های ایجادشده در قالب هشدارها و رخدادهای ثبت ‌شده هستند. با افزایش اندازه‌ی یک سازمان و یا افزایش در سطوح امنیتی ایجاد شده، اندازه‌ی این داده‌ها و نیازهای ذخیره‌سازی آن‌ها نیز به‌سرعت افزایش پیدا می‌کنند. به‌صورت سنتی سازمان‌ها به خرید دستگاه‌های ذخیره‌سازی نسبتاً ارزان‌قیمت می‌پردازند تا بتوانند این داده‌های ثبت ‌شده را پردازش و بایگانی کنند. در برخی از حوزه‌ها، نیاز به حفظ اطلاعات این داده‌های ثبت‌ شده می‌تواند سال‌های زیادی دوام داشته باشد، بنابراین به‌راحتی می‌توان وسعت این داده‌های ثبت ‌شده را بعد از این دوره‌ی طولانی‌مدت تصور کرد.

مهاجرت اخیر تعداد بسیاری از خدمات به سمت ارائه‌کنندگان خدمات ابری موجب ایجاد تعدادی از چالش‌ها برای سازمان‌هایی شده است که تلاش دارند تا با این میزان وسیع از داده‌ها کنار بیایند و اکنون باید آن‌ها را به‌صورت خارجی و در درون بستر ابری قرار دهند. خوشبختانه بسیاری از ارائه‌دهندگان خدمات ابری کاملاً در این زمینه فعال هستند و برخی از آن‌ها فرصت‌های جدید و هیجان‌انگیزی را برای رفع مشکلات ایجاد کرده‌اند.

تجزیه‌ و تحلیل در فضای ابری

سازمانی با ۱۰۰۰ نیروی کاری و اندازه‌ی متوسط، می‌تواند به‌راحتی ۱۰۰ گیگابایت از سوابق را تنها در یک روز تولید کند. در بیشتر محیط‌های سازمانی که در درون بسترهای ابری قرار دارند، تجزیه‌وتحلیل میزان داده‌‌ در وب‌گاه محلی سازمان برای مثال با یک راه‌حل SIEM تقریباً غیرممکن است. چگونه ممکن است این داده‌ها با سرعت کافی همگام‌سازی شوند تا بتوان تجزیه‌وتحلیلی لحظه‌ای را ارائه کرد؟ همچنین این موضوع یک امکان بالقوه را برای مهاجمان پدید می‌آورد تا این جریان داده را با تولید میزان عظیم سوابقی از داده‌ها در حملات DDoS متوقف کرده و یا به تأخیر اندازند و موجب فقدان موقتی نظارت امنیتی شوند.

راه‌حل عملی در اینجا این است که داده‌های ثبت ‌شده را در درون بستر ابری به‌صورت مستقیم و با استفاده از امکانات بستر ابری مورد نظارت و تجزیه‌وتحلیل قرار دهیم. یک راه‌حل ترکیبی ممکن داشتن یک نرم‌افزار SIEM و یا یک نرم‌افزار ساده‌ی تجزیه‌وتحلیل سوابق باشد که در درون کارگزارهای مبتنی بر فضای ابری اجرا می‌شوند و برخی از داده‌های همبسته‌تر را که مورد توجه بیشتری هستند و با انجام پالایش به فضای محلی سازمان برمی‌گردانند. همان‌طور که ذکر شد، ارائه‌کنندگان فضای ابری به ارائه‌ی سامانه‌هایی در این زمینه می‌پردازند تا مشتریان بتوانند این راه‌حل‌ها را بر اساس نیازهای خود پیکربندی کنند.

مایکروسافت یک صفحه سفید برای بستر ابری خود Azure منتشر کرده که امکاناتی را با عناوین Azure Deployment Monitoring و Windows Event Forwarding پوشش می‌دهد. آمازون نیز گزینه‌های مشابهی را ارائه می‌کند و بیشتر ارائه‌دهندگان فضای ابری به مشتریان اجازه می‌دهند تا خدمات SIEM و یا Splunk خاص خود را در ارتباط با خدمات ارائه‌ شده بدون هیچ‌گونه مشکلی مستقر نمایند.

بارگیری از فضای ابری

اطلاعات سوابق امنیتی می‌تواند حتی در صورتی‌که مقدار قابل‌توجهی باشند به‌صورت منظم یا موقتی بارگیری شوند. سپس این داده‌ها می‌توانند به درون راه‌حل‌های SIEM که به‌صورت محلی مستقر شده‌اند نظیر Alienvalult یا ArcSight برای تجزیه‌وتحلیل محلی تزریق شوند و در صورت لزوم با سایر بازخوردهای رویدادها مرتبط شوند. بارگیری منظم می‌تواند بسته به اتصال یک API اسکریپت شده باشد. این کار می‌تواند برای مثال به‌صورت روزانه و یا به شکل مکرر برنامه‌ریزی شود و البته زمانی به این شکل انجام می‌شود که داده‌ها به‌صورت مداوم همگام‌سازی شوند.

این روش اغلب برای این استفاده می‌شود تا داده‌ها برای محصولات امنیتی مبتنی بر فضای ابری نظیر ضد بدافزارهای مبتنی بر فضای ابری و سامانه‌های تشخیص نفوذ، گرفته شوند. همچنان که ذکر شد، پهنای باند استفاده ‌شده و امکان بالقوه‌ی نفوذ و قطع جریان این داده‌ها و محدودیت دیدن رخدادهای امنیتی باید در هنگام برنامه‌ریزی برای این کار در نظر گرفته شوند. به دلیل وضعیت انطباق یا تحقیقات عمیق در مورد رویدادها گاهی باید اطلاعات مربوط به چندین ماه لازم باشد. به دلیل حجم گسترده‌ی داده‌ها، امکان بارگیری آن‌ها وجود نخواهد داشت. ارائه‌‌دهندگان فضای ابری معمولاً می‌توانند با یک راه‌حل سفارشی‌شده و مناسب در این‌گونه موارد کمک کنند. برای مثال آمازون Snowball را توسعه داده است که راه‌حل‌های انتقال داده‌های امن را که برای گرفتن حجم وسیعی از داده‌ها به داخل و خارج فضای ابری AWS طراحی شده‌اند، در اندازه‌های پتابایت ارائه می‌کند. دیگر ارائه‌کنندگان نیز امکانات مشابهی را عرضه می‌کنند چرا که وجود این‌گونه درخواست‌ها برای داده‌های عظیم غیرمعمول نیست.

بارگذاری در فضای ابری

برخی از سازمان‌ها به دنبال بارگیری داده‌های امنیتی از فضای ابری نیستند، به‌جای آن، آن‌ها نیاز دارند تا این داده‌ها را در محیط‌های ابری بارگذاری کنند. برای مثال ما زمانی به این مورد برخورد خواهیم کرد که آن‌ها یک محصول SIEM در محیط ابری داشته باشند. همان‌طور که گفته شد این امر ممکن است چرا که برخی از سازمان‌ها به‌راحتی سوابق داده‌های امنیتی بیشتری را در محیط‌های ابری نسبت به محیط‌های محلی خود تولید می‌کنند. این سوابق داده‌ها که در محیط‌های محلی تولید شده‌اند باید برای تجزیه و تحلیل و همبسته شدن با سایر داده‌ها به محیط ابری بارگذاری شوند.

همچنین این کار می‌تواند یک شکل مطمئن از ذخیره‌سازی خارج سازمان را برای اهداف انطباق و حذف داده‌های غیرضروری ارائه کند. یک مهاجم می‌تواند به سوابق داده‌های امنیتی حمله کند و داشتن یک رونوشت امن در خارج از سازمان بهترین روش امنیت اطلاعات است. سازمان‌هایی که در حال برنامه‌ریزی برای بارگذاری حجم وسیعی از داده‌ها در یک ارائه‌کننده‌ی خدمات ابری هستند دچار همان مشکلاتی خواهند بود که پیش‌تر در مورد بارگیری حجم عظیم داده‌ها به آن اشاره شد: زمان بارگذاری داده‌ها و پهنای باندی که در برخی از موارد نیاز است این کار را غیرممکن می‌کند. در این ‌حال، انتقال داده‌ها به یک سخت‌افزار امن مطمئن تنها راه‌حل خواهد بود.

ارائه‌ی خدمات SIEM

مرکز عملیات امنیتی (SoC) ثالث اختصاص یافته و مبتنی بر فضای ابری نیز محبوبیت زیادی به دست آورده است. سازمان Loggly‌مثالی از یک سازمان است که به مشتریان اجازه می‌دهد تا سوابق داده‌های امنیتی خود را در آن بارگذاری کنند. مرکز عملیات امنیتی Loggly این داده‌ها را مورد تجزیه‌وتحلیل قرار داده و هر جا که لازم باشد به مشتری هشدار می‌دهد. این نوع تنظیمات با عناوین «خدمات ارائه‌ی SOC» و یا «خدمات ارائه‌ی SIEM» (SaaS) نام‌گذاری می‌شوند. هرساله تعداد بیشتری از این ارائه‌کنندگان SaaS نظیر شرکت‌های همچون AlertLogic و Proficio در دسترس هستند و به ‌احتمال ‌زیاد این روند در آینده نیز به رشد خود ادامه خواهد داد. استفاده از ارائه‌کننده‌ی SaaS به این معنا خواهد بود که سازمان‌ها نیازی ندارند تا خود به راه‌اندازی این خدمات بپردازند و در ۲۴ ساعت و در هفت روز هفته‌، مرکز عملیات امنیتی مختص خود را به شکلی ماهرانه و البته در قبال صرف هزینه‌ای فراوان در اختیار خواهند داشت. با این‌ حال باید توجه داشت که تفاوت مواردی چون پهنای باند مورد نیاز، نحوه‌ی دسترسی به خدمات و امکان انطباق و دستورالعمل‌های محلی به این معنا خواهد بود که این راه‌حل برای همه‌ی سازمان‌ها بهترین گزینه نیست.

خلاصه

چالش‌هایی که مشتریان فضای ابری در طی سال‌های گذشته با سوابق داده‌های امنیتی داشته‌اند با طیف وسیعی از راه‌حل‌هایی که امروزه در دسترس هستند عمدتاً حل شده است. بسیاری از این راه‌حل‌ها یک پیکربندی ابری ترکیبی را ایجاد می‌کند که بخشی از داده‌ها به‌صورت محلی و برخی از داده‌ها در فضای ابری ذخیره می‌شوند. این داده‌ها می‌توانند و باید به شکلی با استفاده از گزینه‌های بارگیری و بارگذاری موجود در فضای ابری و سازمان، همگام‌سازی شوند. درحالی‌که اندازه‌ی داده‌ها تبدیل به یک چالش شده است، صحبت با ارائه‌کننده‌ی خدمات ابری انتخاب‌شده برای سازمان می‌تواند منجر به ایجاد یک راه‌حل سفارشی شود که قادر باشد به نحو بهتری با نیازهای سازمان انطباق پیدا کند. ارائه‌ی خدمات SIEM که اخیراً معرفی شده‌اند نشان می‌دهد که قلمرو امنیت فضای ابری بسیار پویا است و باید انتظار تحولات هیجان‌انگیز فراوانی را در سا‌ل‌های آتی در این عرصه داشت.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap