تقديم استشارات إدارة المعلومات والأحداث الأمنية لإحدى شركات النفط الخليجية

العميل

واحدة من أكبر شركات النفط والكيماويات في منطقة الخليج العربي. تعمل في مختلف أنحاء العالم في عمليات التنقيب، والإنتاج، والتكرير، والتوزيع، والشحن، والتسويق.

التحدي

تعرضت شبكة الشركة إلى انتشار فيروس ضار من مصادر خارجية أصاب العديد من مكوناتها وأنظمتها وأجهزتها الداخلية. وبعد تعافي نظام الشركة من تلك الحادثة الأمنية، أدرك العميل مدى خطورة الأنشطة الضارة على أعماله التجارية. لذا، قرر معرفة تفاصيل الحادثة والأسباب الجذرية لها وتحديد التدابير الأمنية اللازم تنفيذها لتجنب الأضرار الهائلة المحتملة من مثل هذه الهجمات في المستقبل. واختارت شركة العميل نظام Juniper STRM حلًا لإدارة المعلومات والأحداث الأمنية لجمع تلك الأحداث وتسجيلها وربطها وتحليلها في شبكاتها المؤسسية الواسعة.

استعان خبراء أمن المعلومات في فريق العميل بساينس سوفت، لخبرتها الواسعة في أنظمة QRadar SIEM وJuniper STRM وبراعتها في تقديم الحلول الأمنية المخصصة حسب الطلب لتحسين البنية البرمجية لأنظمة إدارة المعلومات والأحداث الأمنية.

الحل

بعد التحليل المتعمق لنظام الشركة، اكتشف خبراء ساينس سوفت عدة ثغرات أمنية في البنية البرمجية للنظام. وقد نتج عن النشر الأوَّلي للنظام عدد من قواعد الارتباط غير الصالحة وغير المجدية، كما أضر ذلك كثيرًا بمحرر قواعد الارتباط. لذلك، احتاجت الشركة إلى ضبط منتج إدارة المعلومات والأحداث الأمنية وتصميم قواعد ارتباط قادرة على الكشف عن التهديدات في سلوك البنية التحتية للشبكة. احتاجت الشركة أيضًا إلى ربط جميع مصادر السجلات، بما فيها المصادر غير المدعومة، لتحقيق الاستفادة القصوى من الإمكانات الكاملة لحل إدارة المعلومات والأحداث الأمنية.

لتعزيز بنية نظام إدارة المعلومات والأحداث الأمنية، أوصى خبراء ساينس سوفت بتوسيع نطاق السياسة الأمنية لتوفير تغطية أفضل للبنية التحتية للشركة. كما أجرى فريقنا تقييمًا لعملية إدارة الحوادث، وحلَّل قواعد الارتباط، وقدَّم توصيات احترافية بشأن تخصيص منتج إدارة المعلومات والأحداث الأمنية. بعدها قدم فريقنا للعميل هذه النتائج والتوصيات للموافقة عليها.

في المرحلة الثانية من المشروع، صمَّم خبراء ساينس سوفت سيناريوهات متقدمة لمحاكاة التهديدات الأمنية لمنصتي يونيكس ولينكس، بما في ذلك سياسة ومعايير التدقيق لكل منصة.

وإلى جانب العديد من أدوات الأتمتة التي نفذناها للعميل، طور فريقنا أداة لاستيراد وتصدير قاعدة بيانات الأصول، ليتيح للعميل سهولة إجراء التحديثات الضخمة على أصول البنية التحتية للشبكة.

نجح خبراء ساينس سوفت في تحويل السياسة الأمنية الممتدة على مستوى المؤسسة إلى مجموعة من قواعد الارتباط. ولتعزيز القدرة على مواجهة الأنشطة الضارة، طور مستشارونا مصادر جديدة للسجلات وربطوها بنظام إدارة السجلات في الشركة. كما حلَّل فريقنا الأحداث الأمنية وطبَّعها وخطَّطها جيدًا.

بالإضافة إلى ذلك، أنشأ خبراء ساينس سوفت إطار عمل مخصص للتكامل مع أدوات الكشف عن الثغرات الأمنية التي لم تدعمها أنظمة الشركة سابقًا. كذلك خصَّص فريقنا حل إدارة المعلومات والأحداث الأمنية وأضاف إليه عددًا من النصوص والأدوات. وأخيرًا، قدمت ساينس سوفت للعميل توصيات لضبط إعدادات التدقيق كجزء من عملية نقل المعرفة.

النتائج

قدَّمت ساينس سوفت للعميل مجموعة من التقارير التفصيلية شملت البنية التحتية للشركة، وعملياتها التجارية، وأنظمتها، ومكوناتها البرمجية. كذلك قدَّم فريقنا توصيات لتحسين بنية نظام إدارة المعلومات والأحداث الأمنية.

نجح خبراء ساينس سوفت في تخصيص منتج إدارة المعلومات والأحداث الأمنية. إلى جانب ذلك، طورنا للعميل مجموعة من مصادر السجلات المتصلة، بما فيها مصادر جديدة لم تكن مدعومة سابقًا. فوق هذا كله، طور فريقنا قواعد ارتباط جديدة ونفذها بنجاح. وكذلك قدم مستشارونا توصيات قيمة عن إعدادات التدقيق وتكوينات أنظمة التشغيل.

استمر المشروع لمدة 9 أشهر، وقد نفذ فريق العميل أغلب أنشطة المشروع ومهامه.

منجزات المشروع

• متوسط الأحداث لكل ثانية: 11,000.
• إجمالي مصادر السجلات: 1,200.
• مصادر السجلات التي طورها فريقنا: 25.
• سيناريوهات التهديدات التي أنشأها فريقنا: 250.

التقنيات والأدوات

RegExp, Python, Perl, SQL, Shell, Batch.