אילוף פילים לבנים ב-IT באמצעות SIEM ArcSight
מאת דורי פישר, Security CTO ב-!We
"פיל לבן" הוא כינוי לנכס רב ערך לכאורה, אשר הופך לעול ולמעמסה. פיל לבן יכול להיות נכס שעלות אחזקתו גבוהה מהתועלת שבו ואינו משמש את הארגון. באבטחת מידע נהוג לציין שני סוגי מוצרים: מוצרים שעניינם אינו דיווח, אך מדווחים על פעולתם – אלו עלולים להפוך לבלתי נהילים עקב הזנחת הבקרות על פעילותם, השינויים הנעשים בהם וכדומה. הסוג השני -מוצרים שעניינם דיווח שיהפכו לפיל לבן במידה והדיווח הינו בכמות אירועים שאינה ברת ניהול ו\או טיפול.
כיצד ניתן לבקר את פעילות המוצרים?
בתחילת שנות האלפיים החלו להפעיל מוצרים שעניינם ניהול לוגים. מטרת המוצרים הללו הייתה לרכז את הלוגים מן המערכות השונות ולספק תחקור לאחור לגבי המוצרים השונים שנאספו. בשנים לאחר מכן התפתחו מוצרים שנקראו SIM (ר"ת Security Information Management), שסיפקו יכולות נוספות מעבר לאיסוף וריכוז הלוגים, בעיקר סביב הדיווחים ונרמול המידע ממקורות שונים. בד בבד התעורר הצורך לאתר אירועים משמעותיים באותם מאסות של לוגים שנאספו ומשם נולדו מוצרים שעניינם Security Event management (או בקיצור: SEM). כיום מקובל להתייחס לשילוב של השניים במונח יחיד: SIEM.
מכיוון שמידע הנאסף והמטופל אינו רק בעל ערך אבטחתי או ממקורות שהינם אבטחת מידע, המינוח ש-ArcSight משתמשת בו כיום הינו ETRM (ר"ת Enterprise Threat and Risk Managemen).
מהו אילוף פילים לבנים?
אילוף פילים לבנים הוא כינוי לתהליך שבו נאספים הלוגים והדיווחים ממקורות המידע השונים ומוצלבים ע"י מוצר SEM על מנת לייצר דיווח אמין יעיל ומדויק. המתודולוגיה לאילוף פילים לבנים כוללת: בניית תרחישים (מה חשוב?), בחירת פילים לבנים לאילוף, טיוב המידע שהתקבל, בדיקת מציאות (בכמה התראות אפשר לטפל) וכיוונון תרחיש לפי התוצאות בשטח.
ArcSight יכול לאלף פילים לבנים כי הוא כולל מנוע קורלציה מתוחכם, המאפשר השוואת אירועים ממקורות שונים על מנת לייצר תמונת מצב מדוייקת; יכולת איסוף גמישה המאפשרת להתחבר לכל מערכת ולמידע שלה; גמישות ארכיטקטורה המאפשרת לפרוס ולהתקין את הפתרון באופן מבוזר על פני סניפים גאוגרפיים שונים; יכולת ליזום פעולות בזמן אמת ולקבל מידע בזמן אמת ופשטות תפעולית גם למפעילים ולבקרים.
דוגמא לאילוף פילים לבנים
מי שניסה להשתמש ב-Vulnerability Scanner על מנת למצוא פגיעויות במחשבים ברשת, בוודאי גילה שאין שום סיכוי להשתלט על הכול ובזמן, מה שהפך את רוב המערכות הללו ל "טוב שיש", אבל "קשה להשתמש". מה לגבי מערכות מניעת חדירות לרשת (IDP)? כמות ההתראות שהן מייצרות,הופכות את הדיווחים למעניינים לאחר שנתגלה אירוע.
כך יישמנו במספר לקוחות את אילוף שני המוצרים הללו:
הנחת יסוד: ישנן הרבה מתקפות ומעט אנשים להתייחס לכולן, יש להתרכז במתקפות שעלולות להצליח.
רעיון מרכזי: איתור מתקפות מוצלחות על נכסי הארגון.
הבעיה כיום: מוצרי מניעת החדירות (IDP) אינם מודעים לנכסים המדוייקים המצויים מאחוריהם וכך מדווחים על מתקפות רבות שאינן רלוונטיות.
שיטה: מידול וניהול נכסים באופן אוטומטי והצלבה בין מתקפות מדווחות במוצרי ההגנה לבין הנכסים המותקפים והפגיעויות הקיימות בהם.
תסריט: סורקי פגיעויות ומערכות נכסים מזהים את המחשבים השונים ברשת ואת הפגיעויות הקיימות בהם ומזינים את מערכת ה-ArcSight, מוצרי הגנה מדווחים על מתקפה לכיוון של X כתובות ברשת.
ArcSight מבצע את ההצלבה בין סוג המתקפה שמדווחת מערכת ההגנה (IDP,Firewall) ובין הפגיעות בפועל לפי הנתונים שהתקבלו במערכות הנכסים וסריקת הפגימויות. כך, במקום לקבל 500 התראות שמהן אחת רלוונטית, ניתן לקבל התראה אחת אמיתית שניתן לפעול לגביה ולאלף שני פילים לבנים.