AlienVault یک محصول شناخته شده در زمینه سیستم های متن باز مدیریت امنیت اطلاعات (SIM) و یا OSSIM به شمار می آید. این سامانه از اجزای اصلی زیادی تشکیل شده است که برای فعالان در زمینه امنیت اطلاعات ابزاری شناخته شده هستند. در این مقاله سعی داریم برخی از این ویژگی ها و مزایا و معایب آن را مورد بررسی قرار دهیم.برخی از این اجزای این سیستم که در نسخه USM آن وجود دارد عبارتند از :
همچنین این سامانه دارای ماژول های قوی و مفید دیگری نیز می باشد که این سیستم را به مهمترین هدف آن یعنی یک سیستم قوی در زمینه ی correlation (ارتباط متقابل يا تناظر) نزدیک کرده است.AlienVault با در کنارهم قرار دادن ماژول های قوی ، ویژگی های مهم و یک سیستم قوی در زمینه correlation (ارتباط متقابل يا تناظر) توانسته است در بازار سیستم های مدیریت رخداد ها و امنیت اطلاعات (SIEM) جایگاهی را به عنوان پیشرو در این صنعت کسب نماید.در ادامه قصد دارم که با بررسی گزارشهای گارتنر از این سیستم به بیان و ارائه نقاط ضعف و قوت این سیستم بپردازم.
1-معماری انعطاف پذیر : بی شک یکی از مهمترین نقاط قوت این سیستم در معماری انعظاف پذیر آن در پیاده سازی آن است، این معماری قوی در سه بخش مورد بررسی قرار می گیرد که در مورد هر کدام مختصر توضیحی خدمت شما ارائه می دهم.
این سنسور فرایندهای پیدا کردن Asset ها ، ارزیابی آسیب پذیری ها، شناسایی تهدیدات و رفتار نظارتی برای دریافت جریان دیتا از لاگ ها برای کمک به مانیتورینگ ترافیک شبکه را برای این سیستم بر عهده دارد.می توان گفت دومین فرایند مهمی که این سنسور بر عهده دارد بحث نرمال سازی لاگ های دریافتی و ارتباط و ارسال آن به سمت سرور مرکزی AV می باشد.
یک کنسول مدیریتی متمرکز که توانایی های USM را تحت یک ابزار گرافیکی واحد ارائه می دهد. این سرور اطلاعاتی که روی آن فرایند نرمال سازی صورت گرفته است را گرفته و با correlates کردن آنها Alert و یا Alarms تولید می کند. این سرور همچنین طیف گوناگونی از گزارش های امنیتی و داشبور نمایش اطلاعات بصورت آنی را نیز به کاربر نمایش می دهد.
این قسمت از این سیستم وظیفه ذخیره و آرشیو لاگ های دریافتی برای اهداف گوناگونی مثل Forensics ، انالیز بیشتر لاگ ها و غیره را برعهده دارد.این سه جز مهم این سیستم می تواند در یک سیستم متمرکز تحت عنوان All-in-One پیاده سازی شود. معماری انعطاف پذیر این قابلیت را به کاربر می دهد تا با پیاده سازی معماری خاص مورد نیاز خود از تمام توانایی های این سیستم حداکثر استفاده را ببرد.
بهترین موردی که می توان برای AlienVault USM ذکر کرد این است که راهکاری برای تمامی نیازها را در خود دارد، این سیستم ارائه دهنده قابلیت هایی مثل سیستم های مدیریت رخدادها و اطلاعات امنیتی ، سیستم تشخیص نفوذ ، ارزیابی و کشف آسیب پذیری ها و غیره تحت عنوان یک پلت فرم USM می باشد. از دیدگاه گارتنر نکته ای که لازم است اینجا بیان شود این است که هیچ یک از برندهایی که سیستم های SIEM تولید می کنند نتوانسته اند راهکاری یکپارچه که برای تمامی راهکاری های مورد نیاز کاربر باشد را ارائه دهند.
این ویژگی با نام کامل Open Threat Exchange در این سیستم ارائه می شود که به مشتریان این AV کمک می کند تا ادرس Ip و ادرس اینترنتی خود را در یک جامعه مثل انچه در Splunk برای توسعه دهندگان برنامه هایش راه اندازی کرده است ، به اشتراک بگذارند. این ویژگی یک توانایی بالقوه در زمینه ورود به هوش مصنوعی دنیای واقعی به حساب می آید. با انجام correlation (ارتباط متقابل يا تناظر) توسط موتور مربوط به آن راهکاری بهتر برای مانیتورینگ امنیتی مشتریان خود را فراهم می کند. آزمایشگاه AlienVault همیشه در حال به روز رسانی پایگاه داده این ویژگی برای تشخیص بدافزار ها و کدهای مخرب و غیره است.
اگرچه این ویژگی مورد علاقه بسیاری از مشتریان این سیستم نیست اما آن دسته از مدیرانی که در محیط های MSSP کار کرده اند، می توانند درک کنند چرا این ویژگی جز ویژگی های مهم این سیستم به شمار می آید. این ویژگی زمانی که با ویژگی معماری انعطاف پذیر آن برای پیاده سازی در محیط های MSSP یکی شود، یک مدل قوی در زمینه سیستم های مدیریت رخدادها و امنیت اطلاعات در محیط های MSSP را ارائه می دهد. در این معماری پیاده سازی بصورت پیشفرض یک پایگاه داده با استفاده از مکانیزم ایزوله سازی منطقی اطلاعات و کنترل دسترسی برای ذخیره اطلاعات مشتریان مورد استفاده قرار می گیرد.
یکی دیگر از ویژگی های خوب این سیستم قیمت مناسب آن است که سعی شده است بر اساس ویژگی ها و محیط های مورد استفاده مشتریان قیمت های متفاوت و مناسبی را به مشتریان خود عرضه کند.در نمونه محصولات مشابه این سیستم مثل Splunk و ArcSight و Qradar این محصول از قیمت کمتری برخوردار است و همین امر باعث می شود که جامعه اماری بیشتری بتوانند برای خرید این محصول اقدام کنند.
اگر بخواهیم دوباره یکی دیگر از ویژگی ها و نقاط قوت AlienVault صحبت کنیم بی شک توانایی و قدرت این محصول در زمینه شخصی سازی خواهد بود. این شخصی سازی می تواند مطابق نیاز کاربر در زمینه های متفاوت مثل تشخیص تهدیدات، فرایند جست و جوی asset ها و غیره باشد. یکی از این شخصی سازی هایی که برای بنده خیلی جالب بود در زمینه ارائه انواع گزارش های شخصی سازی شده و مطابق با نیازهای سازمان در زمینه های آسیب پذیری های حیاتی، گزارش انواع اسکن های صورت گرفته ، تهدیدات بالقوه و غیره بود.اما تا اینجای مقاله در مورد نقاط قوت این محصول صحبت کردیم ، در ادامه در مورد برخی از نقاط ضعف این محصول بر اساس گزارش گارتنر را بیان میکنم.
همان طور که قبلا به آن اشاره شد این محصول در تمامی زمینه ها نیاز مشتری را رفع می کند، که این بدان معنی است که که در زمینه ای خاص بصورت قدرتمند نیست و ممکن است برای سازمان خاصی مناسب باشد. برای مثال سنسوری که وظیفه correlation (ارتباط متقابل يا تناظر) را برعهده دارد میتوان گفت که مانند محصولات دیگری مثل ArcSight ، QRdar و splunk عمل می کند ولی در هوشمندی تهدیدات به خوبی محصولاتی مثل McAfee و Qradar نیست.
AlienVault از پایگاه داده MySQL استفاده می کند. تمامی موضوعات مرتبط با جمع آوری لاگ ها، ذخیره سازی و مدیریت آنها در این سیستم به خوبی مدیریت و ساختار دهی شده است. تمامی لاگ های مربوط به فرایند مدیریت رخدادها و امنیت اطلاعات (SIEM) در پایگاه داده MySQL ذخیره می شود و همین امر در مقیاس های بزرگ با حجم ورودی لاگ زیاد در زمان تهیه نسخه پشتیبان و بازگردانی آن در پایگاه داده باعث مشغول شدن زیاد RAM و CPU سیستم می شود. USM می تواند با حرکت به سمت ذخیره سازی لاگ ها در یک Non-DB باعث افزایش کارایی و معماری بهتر در ذخیره سازی لاگ ها شود که AlienVault برای رفع این مشکلات خود را برای مهاجرت به سمت استفاده از سرورهای Percona آماده می کند.
شاید بتوان گفت که بزرگترین مشکل این سیستم پایداری آن باشد. یکپارچگی مربوط به تعداد زیاد ماژول ها و اسکریپت های این سیستم باعث کاهش پایداری این محصول شده است به طوری که به روز رسانی نسخه های آن را برای کاربران همراه با زحمت های زیادی کرده است. نصب مجدد این سیستم و همچنین راه اندازی مجدد سیستم را میتوان پرتکرار ترین راهکار برای حل مشکلات پیش رو دانست اما برای محیط های حساس در زمینه امنیت این راهکارها اصلا توصیه نمی شود. یکی از رایج ترین مشکلات مربوط به سیستم به پایگاه داده ی آن مربوط است که مشکلاتی مثل دسترسی به پایگاه داده، خطاهای مربوط به دیسک و خطا در گرفتن کوئری ها را به همراه دارد.
در حالی که AV USM به شخصی سازی مطابق نظر مشتری شناخته می شود، اما تعداد پلاگین ها برای مانیتورینگ لاگ ها و همچنین فرایند correlation (ارتباط متقابل يا تناظر) محدود به پلاگین های شناخته شده ی این محصول است و مثل دیگر برندهای سیستم های مدیریت رخدادها و امنیت اطلاعات که پلاگین های خود را به رخ کاربران می کشند، نیست.با این حال اگر شما یک توسعه دهنده محصولات متن باز هستید میتوانید بر این پیکار غلبه کنید و پلاگین های شخصی سازی شده ی خود را استفاده کنید.
اگر یک سیستم مدیریت رخدادها و امنیت اطلاعات نتواند یک فرایند Correlation پیشرفته را انجام دهد پس چه دلیلی دارد که در سازمان ما مورد استفاده قرار بگیرد؟ نسخه ی USM این محصول توانسته است فرایند Correlation را با استفاده از الگوهای حملات ، تشخیص با قالب XML و هشدارهای خود به بهترین نحو انجام دهد، اگر چه زمانی که حرف از محصولات دیگری مثل ArcSight و Qradar می شود ، اختلاف این محصول با آنها فاحش تر می شود.
یکی از مواردی که از مشتریان در مورد پشتیبانی فنی این محصول بیان کرده اند این است که بیشتر راهکارهایی که برای مشکلات آنها بیان می شود محدود به نصب مجدد محصول و یا راه اندازی مجدد سیستم و یا برطرف کردن اشکالی در خود برنامه است که این مشکلات خود به سبب ماژول ها و اسکریپت های زیادی است که این سیستم استفاده می کند پیش امده است. اغلب این پشتیبانی فنی بدون انالیز ریشه اساسی این مشکلات عنوان شده است.در پایان باید عنوان کنم که این محصول در سازمان هایی که قصد راه اندازی سیستم های مدیریت رخداد ها و امنیت اطلاعات را دارند و به دنبال یک راهکار ساده و مطمئن در زمینه پیاده سازی این مصولات هستند ، بسیار ارزشمند و کارا می باشد. در آینده حتما در مورد معماری پیاده سازی این محصول و همچنین راه اندازی و آشنایی کامل با این سیستم مطلبی جامع خواهم نوشت.
نویسنده: حسین لاجوردی (Spoof)
زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18
فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود