ماذا تعرف علن خرق أمن المعلومات؟

مدير عام6 أغسطس 2020آخر تحديث :
خرق أمن المعلومات

هل تشعر بعدم الأمان بشأن نظام الأمان لديك؟ حتى تطبيق SIEM المتطور قد لا يعكس ما يحدث بالفعل في شبكتك. في بعض الأحيان ، يكمن جذر هذه الأعطال في مجال مصادر الأحداث ، أي في مصادر السجلات وقضايا جودة بيانات الأحداث.

تقدم المقالة التالية نظرة داخلية لتحديات SIEM من منظور IBM Security QRadar SIEM (ومع ذلك ، فهي قابلة للتطبيق على أي نظام SIEM آخر).

المحتويات

ترقبوا مصادر السجل الخاصة بك

تسرد الأقسام التالية أنواع المشاكل التي قد تحدث لمصادر السجلات وتتسبب في مشاكل كبيرة.

مصادر سجل مجهولة الهوية أو تم تحديدها بشكل غير صحيح

يقوم كل نظام SIEM بتطبيع البيانات التي تم جمعها من مصادر السجل وفقًا لمجموعة واحدة من سمات الأحداث ، مثل الوقت والمستخدم والتشغيل وعنوان IP وما إلى ذلك. نطاق هذه السمات في حل خارج الصندوق محدود. في الوقت الحاضر ، لا يدعم QRadar الكثير من التطبيقات ، وخاصة التطبيقات التجارية. عندما تتلقى سجلات من مصدر ما ولكن لا يمكنها اكتشاف نوع السجلات التي تتلقاها ، فقد تؤدي إلى فقد التهديدات المحتملة. في مثل هذه الحالات ، تقوم شركات الأمن السيبراني بتثبيت LSX (ملحق مصدر السجل) / uDSM (Universal DSM).

مصادر السجل غير النشطة

هناك حالات يتم فيها إلغاء تنشيط مصادر السجل يدويًا ، على سبيل المثال ، إذا قام المسؤول بإيقاف التدقيق عن طريق الخطأ أو إذا كانت مدفوعة بدوافع ضارة. ومن ثم ، في وقت ما ، لن يحصل نظام SIEM على أي بيانات من الجهاز. لهذا السبب ، تتعقب أنظمة SIEM التلاعب في تبديل التدقيق.

في بعض الأحيان ، قد يشير الانخفاض في عدد مصادر السجل النشطة أيضًا إلى أن بعض الأجهزة قد توقفت للتو عن الشبكة أو تم إيقاف تشغيلها.

مصادر السجل المعطلة

هذا العطل يعتمد على الإنسان ولا يمكن أن يحدث بدون تدخل مسؤول الأمن.

يحتوي QRadar على قائمة بمصادر السجل على لوحة المشرف. من ناحية أخرى ، يمكن اكتشاف مصادر السجل تلقائيًا إذا أرسل جهاز الشبكة البيانات إلى QRadar (متغير سلبي). من ناحية أخرى ، يمكن للمسؤولين تكوينه يدويًا. يبدأ QRadar الاتصال بنظام مستهدف ثم يتلقى البيانات اللازمة (متغير نشط). يمكن تعطيل مصادر السجل لأسباب مختلفة: السلوك الخبيث ، مثل الخطأ البشري ، والنوايا الشريرة للمسؤول ؛ أو عملية عادية ، عندما يصبح جهاز معين غير ذي صلة. على عكس الحالة مع مصادر السجل غير النشطة ، يقوم المسؤول بتعطيلها في QRadar ، وليس في نظام مستهدف.

مصادر السجل المحذوفة

بمجرد الحذف ، لا يمكن استعادة مصدر السجل. إذا تم حذف مصدر يؤدي إلى إرسال البيانات ، يمكن لـ QRadar تتبع ذلك والإشارة إليه. هذه المعلومات مفيدة لمعرفة ما إذا كانت مصادر السجلات الهامة مفقودة. إذا قمنا بحذف مصدر تمت إضافته إلى QRadar يدويًا ، فسوف يختفي بدون أي أثر ما لم يتم تثبيت QLEAN.

وتجدر الإشارة إلى أن الأسباب الخبيثة الأكثر شيوعًا لتعطيل مصادر السجل أو تعطيلها أو حذفها هي التجسس والمكاسب المالية السريعة وسرقة الملكية الفكرية.

أخطاء تكوين البروتوكول

قد يمنع تكوين بروتوكول المصدر تجميع الأحداث. مع جمع البيانات النشط ، يتطلب QRadar اسم مستخدم وكلمة مرور صحيحين ، وإذا فشل المسؤول في توفير بيانات الاعتماد الصحيحة ، يقع مصدر السجل في حالة الخطأ. لذلك ، من الضروري التأكد من إعداد جميع مصادر السجلات بشكل صحيح ، وذلك من خلال التحقق من حقول المصادقة ، ومسارات الملفات ، وأسماء قواعد البيانات لـ JDBC (بروتوكول اتصال قاعدة بيانات Java) والتأكد من أن نظام SIEM يمكنه الاتصال بالخوادم البعيدة.

مصادر السجل المعدلة

في سياق العمل العادي ، لا يُتوقع تعديل مصادر السجل ، وبالتالي فإن كل تعديل مشبوه ويجب تدقيقه. يتوقف مصدر السجل عن تلقي الرسائل في حالة وجود خطأ إملائي في عنوان IP. لسوء الحظ ، لا يمتلك الكثير من مسؤولي تكنولوجيا المعلومات خطوط أساس محددة جيدًا للأنشطة العادية في الشبكة ، مما يجعل من الصعب اكتشاف الأنشطة غير الطبيعية. يوصي تقرير تحقيقات خرق البيانات من Verizon بإيلاء اهتمام وثيق للتحكم المناسب في تغييرات الشبكة لمنع خرق البيانات.

تسجيل جودة البيانات في متناول اليد

هناك مجموعة أخرى من المشكلات التي يجب التركيز عليها وهي جودة بيانات الأحداث ، أي الأحداث غير المدعومة وغير المستلمة.

الأحداث غير المدعومة

عندما يتم تحليل اسم الحدث في رسالة الحدث لا يتطابق مع أي من التعيينات المعروفة لـ QRadar ، فسوف يعرضها عارض أحداث QRadar في فئة “غير معروفة” ، مما يحول الحدث إلى وزن زائف. كما هو الحال مع مصادر السجلات غير المحددة ، تساعد LSX / uDSM المخصصة على معالجة التحدي ، مما يسمح بتمديد إجراءات التحليل في SIEM.

الأحداث غير المستلمة

قد تحدث هذه المشكلة في حالة عدم كفاية الترخيص لنظام SIEM. قد يعتبر الإصدار الحالي أنواعًا معينة من الأحداث خارج نطاق الترخيص ، وبالتالي فإن عدد الأحداث المدعومة لن يتوافق مع العدد الإجمالي للأحداث.

قد يحدث نفس الشيء عند ضبط SIEM لتتبع إدخالات النظام الناجحة فقط ، وبالتالي فإن عدد الأحداث “المرئية” سيكون أقل من الأحداث المدعومة. يمكن بالفعل تمكين أنواع الأحداث الأخيرة لجهازك وهي مهمة من وجهة نظر الأمان.

شيء يجب مراعاته

التجسس والمكاسب المالية وسرقة الملكية الفكرية ليست سوى دوافع قليلة وراء المخالفات الأمنية. إذا تم التغاضي عن ذلك أو إهماله ، فقد يكون التكوين الخاطئ لمصادر وأحداث السجل هو السبب في الانتهاكات الأمنية. الطريقة الوحيدة لضمان حماية أمنية قوية لشبكتك بأكملها بما في ذلك مصادر السجلات والأحداث هي التحقق من صحة تنفيذ SIEM بانتظام ، على سبيل المثال ، بمساعدة QLEAN لـ QRadar.

خدماتنا الأمنية

information security consulting~ ~767w

استشارات الأمن السيبراني

هل تريد الحفاظ على بيانات عملك آمنة؟ نحن نقدم خدمات استشارات أمن المعلومات التي تتصدى للتحديات الأمنية من أي تعقيد.


خدماتنا الأمنية

اترك تعليق

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


شروط التعليق :

عدم الإساءة للكاتب أو للأشخاص أو للمقدسات أو مهاجمة الأديان أو الذات الالهية. والابتعاد عن التحريض الطائفي والعنصري والشتائم.

الاخبار العاجلة