AlienVault چیست؟ معرفی OSSIM و 6 نکته مهم در مورد این ابزار SOC

AlienVault یک محصول شناخته شده در زمینه سیستم های متن باز مدیریت امنیت اطلاعات (SIM) و یا OSSIM به شمار می آید. این سامانه از اجزای اصلی زیادی تشکیل شده است که برای فعالان در زمینه امنیت اطلاعات ابزاری شناخته شده هستند. در این مقاله سعی داریم برخی از این ویژگی ها و مزایا و معایب آن را مورد بررسی قرار دهیم.برخی از این اجزای این سیستم که در نسخه USM آن وجود دارد عبارتند از :

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
  1. ArpWatch که برای تشخیص ناهمگونی ادرس های مک در ترافیک شبکه مورد استفاده قرار میگیرد.
  2. P0f ، این ماژول بصورت فعال به بررسی ، تشخیص و آنالیز سیستم عامل می پردازد.
  3. PADS که بعنوان یک سیستم تشخیص اجزای شبکه عمل می کند و برای تشخیص ناهمگونی در زمینه سرویس های ارائه شده نیز به کار می رود.
  4. OpenVas ، وظیفه ارزیابی آسیب پذیری ها و Correlation با استفاده از لاگ های سیستم های تشخیص نفوذ و اسکنرهای تشخیص آسیب پذیری را بر عهده دارد.
  5. Snort ، در این سامانه به این ماژول Suricata هم گفته می شود که به عنوان یک سیستم تشخیص نفوذ در این سیستم مورد استفاده قرار می گیرد و عمل Correlation را روی خروجی این سیستم و همچنین گزارش های Nessus صورت می گیرد..
  6. TcpTrack ، این ماژول اطلاعاتی در مورد session های برقرار شده به این سیستم می دهد که از این اطلاعات مفید در زمینه correlation حملات استفاده می شود.
  7. Ntop ، برای ذخیره الگوی ترافیکی (بر اساس پروتکل) بین کلاینت ها و یا گروهی از کلاینت ها مورد استفاده قرار می گیرد.
  8. Nagios که از این ماژول برای مانتیورینگ کلاینت ها و ارسال اطلاعات مربوط به "در دسترس" بودن اجزای شبکه به این سیستم مورد استفاده قرار می گیرد.
  9. Ossec که یک سیستم تشخصی نفوذ متن باز مبتنی بر هاست می باشد که فرایندهای آنالیز لاگ ها، تشخصی بدافزارها و .. را انجام می دهد.
  10. Munin که از آن برای انالیز ترافیک و سرویس ها مورد استفاده قرار می گیرد.
  11. FProbe ، این ماژول برای تولید جریان مربوط به پروتکل netflow از ترافیک ذخیره شده مورد استفاده قرار می گیرد.

همچنین این سامانه دارای ماژول های قوی و مفید دیگری نیز می باشد که این سیستم را به مهمترین هدف آن یعنی یک سیستم قوی در زمینه ی correlation (ارتباط متقابل يا تناظر) نزدیک کرده است.AlienVault با در کنارهم قرار دادن ماژول های قوی ، ویژگی های مهم و یک سیستم قوی در زمینه correlation (ارتباط متقابل يا تناظر) توانسته است در بازار سیستم های مدیریت رخداد ها و امنیت اطلاعات (SIEM) جایگاهی را به عنوان پیشرو در این صنعت کسب نماید.در ادامه قصد دارم که با بررسی گزارشهای گارتنر از این سیستم به بیان و ارائه نقاط ضعف و قوت این سیستم بپردازم.

نقاط قوت این سیستم

1-معماری انعطاف پذیر : بی شک یکی از مهمترین نقاط قوت این سیستم در معماری انعظاف پذیر آن در پیاده سازی آن است، این معماری قوی در سه بخش مورد بررسی قرار می گیرد که در مورد هر کدام مختصر توضیحی خدمت شما ارائه می دهم.

وب سایت توسینسو

AV Sensor

این سنسور فرایندهای پیدا کردن Asset ها ، ارزیابی آسیب پذیری ها، شناسایی تهدیدات و رفتار نظارتی برای دریافت جریان دیتا از لاگ ها برای کمک به مانیتورینگ ترافیک شبکه را برای این سیستم بر عهده دارد.می توان گفت دومین فرایند مهمی که این سنسور بر عهده دارد بحث نرمال سازی لاگ های دریافتی و ارتباط و ارسال آن به سمت سرور مرکزی AV می باشد.

AV Server

یک کنسول مدیریتی متمرکز که توانایی های USM را تحت یک ابزار گرافیکی واحد ارائه می دهد. این سرور اطلاعاتی که روی آن فرایند نرمال سازی صورت گرفته است را گرفته و با correlates کردن آنها Alert و یا Alarms تولید می کند. این سرور همچنین طیف گوناگونی از گزارش های امنیتی و داشبور نمایش اطلاعات بصورت آنی را نیز به کاربر نمایش می دهد.

AV logger

این قسمت از این سیستم وظیفه ذخیره و آرشیو لاگ های دریافتی برای اهداف گوناگونی مثل Forensics ، انالیز بیشتر لاگ ها و غیره را برعهده دارد.این سه جز مهم این سیستم می تواند در یک سیستم متمرکز تحت عنوان All-in-One پیاده سازی شود. معماری انعطاف پذیر این قابلیت را به کاربر می دهد تا با پیاده سازی معماری خاص مورد نیاز خود از تمام توانایی های این سیستم حداکثر استفاده را ببرد.

2-راهکاری برای تمام نیازها

بهترین موردی که می توان برای AlienVault USM ذکر کرد این است که راهکاری برای تمامی نیازها را در خود دارد، این سیستم ارائه دهنده قابلیت هایی مثل سیستم های مدیریت رخدادها و اطلاعات امنیتی ، سیستم تشخیص نفوذ ، ارزیابی و کشف آسیب پذیری ها و غیره تحت عنوان یک پلت فرم USM می باشد. از دیدگاه گارتنر نکته ای که لازم است اینجا بیان شود این است که هیچ یک از برندهایی که سیستم های SIEM تولید می کنند نتوانسته اند راهکاری یکپارچه که برای تمامی راهکاری های مورد نیاز کاربر باشد را ارائه دهند.

3-OTX

این ویژگی با نام کامل Open Threat Exchange در این سیستم ارائه می شود که به مشتریان این AV کمک می کند تا ادرس Ip و ادرس اینترنتی خود را در یک جامعه مثل انچه در Splunk برای توسعه دهندگان برنامه هایش راه اندازی کرده است ، به اشتراک بگذارند. این ویژگی یک توانایی بالقوه در زمینه ورود به هوش مصنوعی دنیای واقعی به حساب می آید. با انجام correlation (ارتباط متقابل يا تناظر) توسط موتور مربوط به آن راهکاری بهتر برای مانیتورینگ امنیتی مشتریان خود را فراهم می کند. آزمایشگاه AlienVault همیشه در حال به روز رسانی پایگاه داده این ویژگی برای تشخیص بدافزار ها و کدهای مخرب و غیره است.

4-Multi-Tenancy

اگرچه این ویژگی مورد علاقه بسیاری از مشتریان این سیستم نیست اما آن دسته از مدیرانی که در محیط های MSSP کار کرده اند، می توانند درک کنند چرا این ویژگی جز ویژگی های مهم این سیستم به شمار می آید. این ویژگی زمانی که با ویژگی معماری انعطاف پذیر آن برای پیاده سازی در محیط های MSSP یکی شود، یک مدل قوی در زمینه سیستم های مدیریت رخدادها و امنیت اطلاعات در محیط های MSSP را ارائه می دهد. در این معماری پیاده سازی بصورت پیشفرض یک پایگاه داده با استفاده از مکانیزم ایزوله سازی منطقی اطلاعات و کنترل دسترسی برای ذخیره اطلاعات مشتریان مورد استفاده قرار می گیرد.

5-قیمت

یکی دیگر از ویژگی های خوب این سیستم قیمت مناسب آن است که سعی شده است بر اساس ویژگی ها و محیط های مورد استفاده مشتریان قیمت های متفاوت و مناسبی را به مشتریان خود عرضه کند.در نمونه محصولات مشابه این سیستم مثل Splunk و ArcSight و Qradar این محصول از قیمت کمتری برخوردار است و همین امر باعث می شود که جامعه اماری بیشتری بتوانند برای خرید این محصول اقدام کنند.

6-شخصی سازی

اگر بخواهیم دوباره یکی دیگر از ویژگی ها و نقاط قوت AlienVault صحبت کنیم بی شک توانایی و قدرت این محصول در زمینه شخصی سازی خواهد بود. این شخصی سازی می تواند مطابق نیاز کاربر در زمینه های متفاوت مثل تشخیص تهدیدات، فرایند جست و جوی asset ها و غیره باشد. یکی از این شخصی سازی هایی که برای بنده خیلی جالب بود در زمینه ارائه انواع گزارش های شخصی سازی شده و مطابق با نیازهای سازمان در زمینه های آسیب پذیری های حیاتی، گزارش انواع اسکن های صورت گرفته ، تهدیدات بالقوه و غیره بود.اما تا اینجای مقاله در مورد نقاط قوت این محصول صحبت کردیم ، در ادامه در مورد برخی از نقاط ضعف این محصول بر اساس گزارش گارتنر را بیان میکنم.

1-قوی نبودن در زمینه ای خاص

همان طور که قبلا به آن اشاره شد این محصول در تمامی زمینه ها نیاز مشتری را رفع می کند، که این بدان معنی است که که در زمینه ای خاص بصورت قدرتمند نیست و ممکن است برای سازمان خاصی مناسب باشد. برای مثال سنسوری که وظیفه correlation (ارتباط متقابل يا تناظر) را برعهده دارد میتوان گفت که مانند محصولات دیگری مثل ArcSight ، QRdar و splunk عمل می کند ولی در هوشمندی تهدیدات به خوبی محصولاتی مثل McAfee و Qradar نیست.

2-پایگاه داده

AlienVault از پایگاه داده MySQL استفاده می کند. تمامی موضوعات مرتبط با جمع آوری لاگ ها، ذخیره سازی و مدیریت آنها در این سیستم به خوبی مدیریت و ساختار دهی شده است. تمامی لاگ های مربوط به فرایند مدیریت رخدادها و امنیت اطلاعات (SIEM) در پایگاه داده MySQL ذخیره می شود و همین امر در مقیاس های بزرگ با حجم ورودی لاگ زیاد در زمان تهیه نسخه پشتیبان و بازگردانی آن در پایگاه داده باعث مشغول شدن زیاد RAM و CPU سیستم می شود. USM می تواند با حرکت به سمت ذخیره سازی لاگ ها در یک Non-DB باعث افزایش کارایی و معماری بهتر در ذخیره سازی لاگ ها شود که AlienVault برای رفع این مشکلات خود را برای مهاجرت به سمت استفاده از سرورهای Percona آماده می کند.

3-پایداری محصول

شاید بتوان گفت که بزرگترین مشکل این سیستم پایداری آن باشد. یکپارچگی مربوط به تعداد زیاد ماژول ها و اسکریپت های این سیستم باعث کاهش پایداری این محصول شده است به طوری که به روز رسانی نسخه های آن را برای کاربران همراه با زحمت های زیادی کرده است. نصب مجدد این سیستم و همچنین راه اندازی مجدد سیستم را میتوان پرتکرار ترین راهکار برای حل مشکلات پیش رو دانست اما برای محیط های حساس در زمینه امنیت این راهکارها اصلا توصیه نمی شود. یکی از رایج ترین مشکلات مربوط به سیستم به پایگاه داده ی آن مربوط است که مشکلاتی مثل دسترسی به پایگاه داده، خطاهای مربوط به دیسک و خطا در گرفتن کوئری ها را به همراه دارد.

4-یکپارچگی

در حالی که AV USM به شخصی سازی مطابق نظر مشتری شناخته می شود، اما تعداد پلاگین ها برای مانیتورینگ لاگ ها و همچنین فرایند correlation (ارتباط متقابل يا تناظر) محدود به پلاگین های شناخته شده ی این محصول است و مثل دیگر برندهای سیستم های مدیریت رخدادها و امنیت اطلاعات که پلاگین های خود را به رخ کاربران می کشند، نیست.با این حال اگر شما یک توسعه دهنده محصولات متن باز هستید میتوانید بر این پیکار غلبه کنید و پلاگین های شخصی سازی شده ی خود را استفاده کنید.

5-Correlation یا ارتباط متقابل يا تناظر

اگر یک سیستم مدیریت رخدادها و امنیت اطلاعات نتواند یک فرایند Correlation پیشرفته را انجام دهد پس چه دلیلی دارد که در سازمان ما مورد استفاده قرار بگیرد؟ نسخه ی USM این محصول توانسته است فرایند Correlation را با استفاده از الگوهای حملات ، تشخیص با قالب XML و هشدارهای خود به بهترین نحو انجام دهد، اگر چه زمانی که حرف از محصولات دیگری مثل ArcSight و Qradar می شود ، اختلاف این محصول با آنها فاحش تر می شود.

وب سایت توسینسو

6-پشتیبانی فنی

یکی از مواردی که از مشتریان در مورد پشتیبانی فنی این محصول بیان کرده اند این است که بیشتر راهکارهایی که برای مشکلات آنها بیان می شود محدود به نصب مجدد محصول و یا راه اندازی مجدد سیستم و یا برطرف کردن اشکالی در خود برنامه است که این مشکلات خود به سبب ماژول ها و اسکریپت های زیادی است که این سیستم استفاده می کند پیش امده است. اغلب این پشتیبانی فنی بدون انالیز ریشه اساسی این مشکلات عنوان شده است.در پایان باید عنوان کنم که این محصول در سازمان هایی که قصد راه اندازی سیستم های مدیریت رخداد ها و امنیت اطلاعات را دارند و به دنبال یک راهکار ساده و مطمئن در زمینه پیاده سازی این مصولات هستند ، بسیار ارزشمند و کارا می باشد. در آینده حتما در مورد معماری پیاده سازی این محصول و همچنین راه اندازی و آشنایی کامل با این سیستم مطلبی جامع خواهم نوشت.

نویسنده: حسین لاجوردی (Spoof)


نظرات