نستعرض في هذا المقال واحد من أهم الضوابط الأمنية التقنية للرقابة و كشف الاختراقات و التصدي لها ألا وهو نظام إدارة المعلومات الأمنية (Security Information and Events Management System)، حيث نوضح آلية عملها وأساليب إدارتها بفعالية.

تعتبر الرقابة جزا أساسي و مهم جداً من منظومة الحماية الأمنية و دورة حياتها (Life-cycle)، حيث تمكن الفريق الأمني من كشف الحوادث الأمنية و محاولات الاختراق و التصدي لها، او على الأقل اتخاذ إجراء أمني مناسب في مرحلة مبكرة مما يقلل من أية خسائر مادية أو غير مادية محتملة مقارنة مع تلك الخسائر التي قد تنجم في حال عدم القدرة على كشف الاختراق الأمني في مراحله المبكرة و معالجته.

تعتمد آلية الرقابة الفعالة على جمع المعلومات الأمنية الكافية و المفيدة (Security information and events) من مصادرها المختلفة (Collect) و من ثم تصنيفها (Normalize) و تحليلها (Analyze) و كشف الروابط بينها (Correlate) و عرضها بشكل مناسب و ومفهوم وذا معنى (Display and Reporting) و من ثم التأكد من صحتها وفيما اذا كان هناك حادث أمني قد وقع وأخيراً اتخاذ الإجراء المناسب بما يتناسب مع طبيعة تلك المعلومات  أو الحادث الأمني.

تطرح هذه الآلية تحديات كبيرة للفريق الأمني المعني بالمراقبة حيث يصعب على الأشخاص القيام بهذا التسلسل من العمليات ابتداءاً من جمع المعلومات وصولاً الى تأكيد صحة الحادث الأمني بشكل دقيق دون إغفال أية معلومة (Information) أو حدث (Event) من أي مصدر كان مما يؤثر سلباً على دقة و فعالية آلية المراقبة، خصوصا إذا كانت آلية المراقبة تلك تغطي مؤسسات كبيرة ذات تنوع كبير في الأنظمة و التطبيقات. و كقاعدة عامة، فإنه من المعروف أنك لا تستطيع أن توفر الحماية من شيء لا تدرك حدوثه أصلاً، ولكي تدرك حدوث طارئ ما فيجب عليك المراقبة. كما ترتبط فعالية و كفاءة مستوى الحماية التي توفرها الشركة أو المؤسسة بكفاءة أسلوب الرقابة التي تنتهجه تلك المؤسسة، كلما استطاعت أن تراقب بشكل أفضل كام بإمكانها اكتشاف المخاطر التي تحدق بها بشكل أفضل و بالتالي توفير الاستجابة التي تتناسب مع تلك المخاطر بشكل أسرع و فعال.

ولهذا السبب، قامت الشركات التجارية المعنية بأمن المعلومات بتطوير نوع من التكنولوجيا و الأنظمة الأمنية تقوم بجميع المراحل المذكورة أعلاه و بفعالية هائلة، حيث يمكن لهذه الأنظمة الجديدة بجمع المعلومات و الأحداث الأمنية من عدد هائل من المصادر كقواعد البيانات على تنوعها وأنظمة التشغيل المختلفة و أجهزة البنية التحتية للشبكات و غيرها الكثير ومن ثم تحليلها و كشف الروابط بينها وتقديم تقارير مفصلة عن أية حوادث محتملة. تعرف هذه الأنظمة بـ Security Information and Events Management System أو اختصاراً بـ SIEM. لهذا، وبدلاَ من أي يقوم الفريق المعني بصرف كامل جهده ووقته على جمع المعلومات و تحليلها، فإنه أصبح بإمكانه تكريس ذلك الوقت و الجهد على ما بعد كشف الحادث الأمني ألا وهو التصدي له و تطوير الضوابط الأمنية لمنع تكرار مثل هذه الحوادث في المستقبل.

يقوم مبدأ هذا النظام – بشكل مختصر – على زيادة كفاءة عملية مراقبة الأحداث و المعلومات الأمنية الصادرة عن مختلف أنظمة تكنولوجيا المعلومات على اختلاف أنواعها من خلال توفير الوقت و الجهد و زيادة الدقة في كشف الحوادث الأمنية (Security incidents) أو حتى مقدمات حدث أمني محتمل وذلك عن طريق جمع المعلومات في نظام مركزي و تحليلها و كشف أية أحداث مشبوهة محتملة و عرضها للمحلل الأمني أو لفريق المراقبة كي يقوم الفريق بدوره باتخاذ الإجراء المناسب، وأحياناً تكون هذه الأنظمة قادرة على القيام بإجراء وقائي من تلقاء نفسها كتحديث نظام الـ Firewall  أو نظام الـ IPS لصد الهجوم أو الاختراق حالة حدوثه.

نأتي الان لمراحل عمل هذا النظام الأمني.

المرحلة الأول: جمع المعلومات و الأحداث الأمنية:


عند التخطيط لتطبيق نظام الـ SIEM  يقوم الفريق الأمني بتحديد المصادر التي يرغب بمراقبتها و طبيعة المعلومات التي ينوي جمعها كي يتأكد من اختيار النظام الأمني الذي يتطابق مع البيئة التقنية الموجودة و التي يرغب بمراقبتها. على سبيل المثال، إذا كانت الشركة أو المؤسسة المعنية تطبق قواعد البيانات Sybase، فيجب على الفريق الأمني أو الشخص المنوط به تطبيق النظام اختيار نظام للرقابة بإمكانه جمع المعلومات من هذا النوع من قواعد البيانات بشكل فعال و دقيق حيث تعتمد فعالية هذا النظام الى حد كبير على نوعية و كمية المعلومات و الأحداث الأمنية التي يتم جمعها.

المرحلة الثانية: تصنيف المعلومات و الأحداث الأمنية:


بعد جمع المعلومات يقوم النظام بتصنيف المعلومات حسب طبيعة و نوع المصدر و تركيبة الحدث لأمني (Security event) أو المعلومة التي تم استقبالها. فمثلاً، تقوم هذه الأنظمة المتقدمة بتمييز أجهزة الشبكات و البنية التحتية و التعرف على تركيبة الحدث الأمني (Security event) لكي تتمكن بعدها من استخراج عنوان بروتوكول الأنترنت لمصدر الحدث (Source IP address)، عنوان الجهة (Destination IP address)، رمز/بورت الخدمة (Port number)، وقت و تاريخ الحدث، وغيرها من التفاصيل ووضعها داخل قاعدة البيانات الخاصة بالنظام كي يسهل الوصول اليها و استخراجها وتحليلها.

المرحلة الثالثة: التحليل:


يقوم النظام في هذه المرحلة بمقارنة المعلومات التي تم جمعها و تصنيفها مع مجموعة من القواعد و المحددات و التي تكون عادة على شكل قواعد منطقية (Logical Rules) يتم بناءها مباشرة بعد تطبيق النظام، تحدد هذه القواعد آلية عمل منظومة المراقبة. على سبيل المثال، قد يرغب المحلل بإنشاء مجموعة من القواعد التي تنص على أنه في حال استقبال 3 أحداث متتالية لفشل في عملية الدخول الى نظام تشغيل سيرفر البريد الإلكتروني خلال فترة 15 دقيقة  خارج أوقات الدوام الرسمي، عندها يقوم النظام بإرسال رسالة نصية أو بريد الكتروني الى فريق المراقبة مما يمكن الفريق من اتخاذ الإجراءات اللازمة، كما يمكن للنظام اتخاذ إجراء تقني معين كتحديث نظام الحائط الناري (Firewall) لصد عملية اختراق محتملة.

المرحلة الرابعة: كشف الروابط بين الأحداث و البيانات المختلفة (Correlate):


تعتبر هذه المرحلة من المهام المهمة لعمل هذا النظام، وعادة ما تعتبر هذه المرحلة من مميزات النظام التي تميزه عن غيره من الأنظمة المنافسة حيث يعتبر بمثابة “العقل المدبر” للنظام.

تقوم فكرة هذه المرحلة على أنه من غير المجدي تحليل حدث أمني معين من نظام معين بمعزل عن باقي الأنظمة ومكونات البنية التحتية، اذا أنه عادة يتطلب كشف حادث أمني أو اختراق معين تحليل البيانات و المعلومات الأمنية الصادرة من عدة مصادر مختلفة على شبكة الشركة أو المؤسسة كي يتمكن المحلل الأمني من تتبع الحادث ووضعه في سياقه المناسب. على سبيل المثال، ملاحظة عدد قليل من المحاولات الفاشلة لاختراق الحائط الناري (Firewall) من مصدر معين على الشبكة العنكبوتية قد لا يعني الشيء الكثير مقارنة مع تتبع نشاطات نفس المصدر على عدة أنظمة بشكل كامل و اكتشاف أن هذا المصدر قد قام ببعض المحاولات الفاشلة على الحائط الناري قبل أن يتمكن من القيام باختراق ناجح أمكنه من الوصول الى خادم (Server) داخلي، و بعد القيام بالعديد من محاولات الدخول الفاشلة على نظام تشغيل الخادم باستخدام تقنيات الـ Brute force attack قبل تمكن المصدر من اكتشاف كلمة السر الخاصة بـمدير نطاق الشبكة  (Domain Administrator) ومن ثم الوصول الى خادم آخر يحتوي قاعدة بيانات تشمل تفاصيل عملاء الشركة و بياناتهم باستخدام نفس معلومات التعريف الخاصة بمدير نطاق الشبكة. مثل هذا التسلل المنطقي للأحداث و طرق كشفها من خلال تحليل كم كبير من البيانات القادمة من عدد كبير من الأنظمة لا يمكن القيام به من دون الاستعانة بمثل هذه الأنظمة ذكية. كما يوفر هذا النظام الأدلة المنطقية اللازمة لرفع القضايا لدى الجهات الأمنية في الحالات الجرمية.   

المرحلة الخامسة: تنبيه الشخص المعني و عرض تفاصيل الحادث الأمني (Notifications and reporting):


هذه هي المرحلة الأخيرة من مراحل عمل النظام وتهدف الى عرض تفاصيل وافية عن الحوادث المحتملة التي كشفها النظام. تشمل هذه التفاصيل عنوان المصدر IP address وعنوان النظام أو الجهاز المستهدف ووقت وقوع الحادث و اسم المستخدم username وتفاصيل الحدث وغيرها من التفاصيل المهمة. كما يمكن للنظام ارسال رسائل تنبيهية لفريق المراقبة أو الضابط الأمني (Security officer) من خلال خدمة الرسائل القصيرة، بالإضافة للكثير من الميزات التنبيهية الأخرى التي يمكن لهذه الأنظمة القيام بها.

في النهاية، يجب التنويه  الى أن هذه الأنظمة – كغيرها – تتطلب الكثير من التحضير و التهيئة و بناء القواعد المنطقية التي تحدد طريقة وكفاءة عملية التحليل وضبط هذه القواعد وتعديلها أو ما يعرف بـ Tuning و ربما تعديلات على الأنظمة الأخرى كي تتمكن من ارسال الحوادث و المعلومات و البيانات الأمنية المهمة الى النظام خصوصاً في المراحل المبكرة من تشغيلها و إدارتها. و بينما تتناقص الحاجة لمثل هذه الأمور مع مرور الزمن الا أنه ينبغي على المحلل أو الضابط الأمني الاستمرار بمراجعة تلك القواعد المنطقية  و تطويرها و تثبيت التحديثات الخاصة بالنظام و القيام ببعض النشاطات الأخرى المتعلقة بصيانة النظام كأي نظام آخر. كما أنه يتوقع أحيانا ارسال النظام بعض الإنذارات الخاطئة (False alerts) و التي يمكن من الحد منها عن طريق القيام بمزيد من الضبط و التعديل.

اقرأ ايضا مقال : بناء خطة ناجحة للاستجابة للحوادث