SIEM
بناءً على تقرير “حالة المصدر المفتوح” الصادر عن OpenLogic، تستخدم 96% من المؤسسات التي شملها الاستطلاع حلولاً مفتوحة المصدر (OSS). ويمكن العثور على هذه الحلول في كل قطاع من قطاعات سوق تكنولوجيا المعلومات – بما في ذلك أدوات أمان المعلومات. ويوصى بها في الغالب لبناء أنظمة إدارة معلومات الأمان والأحداث (SIEM).
للوهلة الأولى ، تبدو حلول المصادر المفتوحة خيارًا رائعًا. وتتمثل الوظيفة الأساسية لنظام إدارة معلومات الأمان والأحداث (SIEM) في جمع بيانات القياس عن بُعد وربطها بشكل منهجي، وهو ما يمكنك إعداده باستخدام أدوات تخزين ومعالجة البيانات المعروفة. وما عليك سوى جمع كل بياناتك باستخدام Logstash، وربط Elasticsearch بها، وبناء الرسوم البيانية المرئية التي تحتاجها في Kibana – وبذلك تكون جاهزًا! وسيوفر لك بحث سريع حلول إدارة معلومات الأمان والأحداث (SIEM) مفتوحة المصدر الجاهزة (غالبًا ما تكون مبنية على المكونات نفسها). وباستخدام حلول إدارة معلومات الأمان والأحداث (SIEM)، يعد تكييف كل من جمع البيانات ومعالجتها وفقًا للاحتياجات المحددة لمؤسستك أمرًا أساسيًا دائمًا، ويوفر نظام الحل مفتوح المصدر المخصص إمكانيات لا حصر لها لذلك. علاوة على ذلك، فإن تكلفة الترخيص صفر. ومع ذلك، يعتمد نجاح هذا المسعى على فريق التطوير لديك والسمات المميزة لمؤسستك والمدة التي ترغب مؤسستك في انتظارها لتحقيق النتائج، ومدى استعدادها للاستثمار في الدعم المستمر.
الوقت من ذهب
السؤال الرئيسي – الذي غالبًا ما يُستهان بأهميته – هو المدة التي سيستغرقها حل إدارة معلومات الأمان والأحداث (SIEM) الخاص بشركتك ليس فقط ليبداً العمل فعليًا بل ليبدأ في تقديم قيمة حقيقية. وتُظهر بيانات Gartner أنه حتى حل إدارة معلومات الأمان والأحداث (SIEM) المكتمل الميزات والجاهز يستغرق متوسط ستة أشهر للتطبيق بالكامل — حيث تقضي واحدة من كل عشر شركات عامًا كاملًا في ذلك. وإذا كنت تقوم ببناء نظام إدارة معلومات الأمان والأحداث (SIEM) الخاص بك أو تكييف حل مفتوح المصدر، فيجب أن تتوقع أن تتضاعف هذه المدة أو تتضاعف ثلاث مرات. وعند وضع الميزانية، اضرب هذا الوقت في معدلات الأجور بالساعة للمطورين لديك. ومن الصعب أيضًا تخيل بناء نظام كامل لإدارة معلومات الأمان والأحداث (SIEM) بواسطة فرد موهوب واحد – ستحتاج شركتك إلى الحفاظ على فريق كامل.
هناك مغالطة نفسية شائعة وهي أن تُخدع بمدى سرعة إنجاز نموذج أولي. ويمكنك نشر حل مفتوح المصدر جاهز في بيئة اختبار في غضون أيام قليلة، لكن الارتقاء به إلى جودة الإنتاج قد يستغرق شهورًا عديدة — بل سنوات.
نقص المهارات
يحتاج نظام إدارة معلومات الأمان والأحداث (SIEM) إلى جمع وفهرسة وتحليل آلاف الأحداث في الثانية. ويتطلب تصميم نظام عالي الأحمال، أو حتى تكييف نظام موجود، مهارات متخصصة ومطلوبة. وإلى جانب المطورين، سيحتاج المشروع إلى مديري تكنولوجيا معلومات ذوي مهارات عالية ومهندسي تطوير وعمليات ومحللين وحتى مصممي لوحات تحكم.
يوجد نوع آخر من النقص الذي يتعين على مطوري نظام إدارة معلومات الأمان والأحداث (SIEM) التغلب عليه وهو الافتقار إلى الخبرة العملية اللازمة لكتابة قواعد التطبيع الفعالة ومنطق الارتباط والمحتوى الآخر الذي يأتي جاهزًا في حلول إدارة معلومات الأمان والأحداث (SIEM) التجارية. وبالطبع، حتى هذا المحتوى الجاهز يتطلب تعديلات كبيرة، لكن الارتقاء به إلى معايير مؤسستك أسرع وأسهل.
الامتثال
بالنسبة للعديد من الشركات، يُشكل امتلاك نظام إدارة معلومات الأمان والأحداث (SIEM) مطلبًا تنظيميًا. ويجب على من يبنون نظام إدارة معلومات الأمان والأحداث (SIEM) بأنفسهم أو يطبقون حلاً مفتوح المصدر أن يبذلوا جهدًا كبيرًا لتحقيق الامتثال. ويحتاجون إلى تعيين قدرات إدارة معلومات الأمان والأحداث (SIEM) الخاصة بهم وفقًا للمتطلبات التنظيمية بأنفسهم – على عكس مستخدمي الأنظمة التجارية، التي غالبًا ما تأتي مع عملية اعتماد مضمنة وجميع الأدوات اللازمة للامتثال.
في بعض الأحيان، قد ترغب الإدارة في تطبيق نظام إدارة معلومات الأمان والأحداث (SIEM) فقط من باب استيفاء المتطلبات الشكلية، سعيًا لتقليل التكلفة. لكن نظرًا لأن معايير PCI DSS واللائحة العامة لحماية البيانات والأطر التنظيمية المحلية الأخرى تركز على النطاق والعمق الفعليين لتطبيق نظام إدارة معلومات الأمان والأحداث (SIEM) – وليس مجرد وجوده – فإن نظام إدارة معلومات الأمان والأحداث (SIEM) الرمزي الذي يتم تنفيذه فقط للعرض سوف يفشل في اجتياز أي تدقيق.
الامتثال ليس شيئًا يمكنك وضعه في الاعتبار في وقت التنفيذ فقط. وإذا توقفت أي مكونات من حلك عن تلقي التحديثات ووصلت إلى نهاية عمرها الافتراضي، أثناء الصيانة والتشغيل الذاتي، فإن فرصك في اجتياز تدقيق أمني ستنخفض بشكل كبير.
الارتباط بالموردين مقابل الاعتماد على الموظفين
لطالما كان السبب الثاني الأكثر أهمية للمؤسسات للنظر في حل مفتوح المصدر هو المرونة في تكييفه مع احتياجاتها الخاصة، إلى جانب تجنب الاعتماد على خريطة طريق تطوير بائع البرامج وقرارات الترخيص الخاصة به.
تعد كلتا هاتين الحجتين مقنعتان، وفي المؤسسات الكبيرة يمكنهما أحيانًا أن تطغيا على عوامل أخرى. ومع ذلك، من الضروري اتخاذ هذا الخيار بفهم واضح لإيجابياته وسلبياته.
- يمكن أن تكون أنظمة إدارة معلومات الأمان والأحداث (SIEM) مفتوحة المصدر أسهل في التعديل لاستيعاب مدخلات البيانات الفريدة.
- مع نظام إدارة معلومات الأمان والأحداث (SIEM) مفتوح المصدر (OSS)، فإنك تحافظ على تحكم كامل في كيفية تخزين البيانات ومعالجتها.
- تتكون تكلفة توسيع نطاق نظام إدارة معلومات الأمان والأحداث (SIEM) مفتوح المصدر بشكل أساسي من أسعار الأجهزة الإضافية وتطوير الميزات المطلوبة.
- يتطلب كل من الإعداد الأولي والتطور المستمر لنظام إدارة معلومات الأمان والأحداث (SIEM) مفتوح المصدر محترفين متمرسين على دراية جيدة بكل من ممارسات التطوير وواقع مركز عمليات الأمن. وإذا غادر أعضاء الفريق الأكثر فهمًا للنظام الشركة أو غيروا أدوارهم، فقد يتوقف تطور النظام. والأسوأ من ذلك، أنه يصبح أقل فاعلية تدريجيًا.
- بينما قد تكون تكلفة التنفيذ الأولية لنظام إدارة معلومات الأمان والأحداث (SIEM) مفتوح المصدر (OSS) أقل بسبب عدم وجود رسوم ترخيص، فإن هذا الفارق غالبًا ما يتلاشى خلال مرحلة الصيانة. ويرجع ذلك إلى المصاريف الإضافية المستمرة للموظفين المؤهلين المكرسين فقط لتطوير نظام إدارة معلومات الأمان والأحداث (SIEM). وعلى المدى الطويل، كثيرًا ما يتضح أن إجمالي تكلفة الامتلاك (TCO) لنظام إدارة معلومات الأمان والأحداث (SIEM) مفتوح المصدر تكون أعلى.
جودة المحتوى
تُعد أهمية محتوى الاكتشاف والاستجابة عاملاً رئيسيًا في فعالية نظام إدارة معلومات الأمان والأحداث (SIEM). وبالنسبة للحلول التجارية، تُقدم تحديثات قواعد الارتباط، وكتيبات الإجراءات وموجزات معلومات التهديدات عادةً كجزء من الاشتراك. ويتم تطويرهها بواسطة فرق بحثية كبير، وتخضع لاختبارات شاملة، وتتطلب عمومًا الحد الأدنى من الجهد من فريق الأمان الداخلي لشركتك لتطبيقها. ومع نظام إدارة معلومات الأمان والأحداث (SIEM) مفتوح المصدر، فأنت مفتوح المصدر: تحتاج إلى البحث في منتديات المجتمع ومستودعات GitHub والموجزات المجانية بنفسك. وتتطلب القواعد بعد ذلك فحصًا تفصيليًا والتكيف مع بنيتك التحتية، وينتهي الأمر بأن تكون مخاطر الإيجابيات الزائفة أعلى. ونتيجة لذلك، يتطلب تطبيق التحديثات في نظام إدارة معلومات الأمان والأحداث (SIEM) مفتوح المصدر جهدًا أكبر بكثير من فريقك الداخلي.
المشكلة المسكوت عنها: الأجهزة
لبدء تشغيل نظام إدارة معلومات الأمان والأحداث (SIEM)، تحتاج إلى شراء الأجهزة أو استئجارها، وبناءً على بنية النظام، يمكن أن تختلف هذه التكلفة بشكل كبير. ولا يهم كثيرًا ما إذا كان النظام مفتوح المصدر أو حلاً تجاريًا خاصًا. ومع ذلك، عند تنفيذ نظام إدارة معلومات الأمان والأحداث (SIEM) مفتوح المصدر بنفسك، فهناك خطر أكبر في اتخاذ قرارات بنيوية دون المستوى الأمثل. وهذا يؤدي، على المدى الطويل، إلى تكاليف تشغيلية باهظة بشكل دائم.
نغطي موضوع تقييم احتياجات أجهزة إدارة معلومات الأمان والأحداث (SIEM) بالتفصيل في منشور منفصل.
النتيجة النهائية
بينما تعتبر فكرة منصة قابلة للتخصيص والتكيف بالكامل وبدون رسوم ترخيص مغرية للغاية، إلا أن هناك خطرًا كبيرًا في أن يتطلب مثل هذا المشروع وقتًا وجهدًا أكبر بكثير من فريق التطوير الداخلي لديك مقارنة بحل تجاري جاهز. وقد يعيق ذلك أيضًا قدرتك على تبني الابتكارات الجديدة بسرعة، ويحول تركيز فريق الأمان لديك من تطوير منطق الاكتشاف وسيناريوهات الاستجابة إلى التعامل بشكل أساسي مع المشكلات التشغيلية. ولهذا السبب غالبًا ما يتوافق الحل لتجاري المُدار والمدعوم من قبل الخبراء والمتكامل جيدًا بشكل أوثق مع أهداف أي مؤسسة نموذجية في تقليل المخاطر بفعالية ووضع ميزانية يمكن التنبؤ بها.
تتيح أنظمة إدارة معلومات الأمان والأحداث (SIEM) التجارية لفريقك الاستفادة من القواعد الجاهزة، وكتيبات الإجراءات، ومحللات القياس عن بُعد، مما يسمح له بالتركيز على المشاريع الخاصة بالمؤسسة – مثل صيد التهديدات أو تحسين الرؤية في البنية التحتية السحابية – بدلاً من إعادة ابتكار ميزات إدارة معلومات الأمان والأحداث (SIEM) الأساسية وتحسينها، أو المعاناة لاجتياز عمليات التدقيق التنظيمية بنظام مطور داخليًا.
النصائح