در قسمت اول مقاله، در تعریف مفهوم راهکار SOAR گفتیم که مجموعه ای از تکنولوژی هایی که سازمان ها را قادر می سازد تا از طریق یک رابط واحد، حوادث امنیتی را مشاهده و درک کرده و با تصمیمگیری مناسب، اقدامات لازم را درباره آنها انجام دهند.
دلیل اهمیت راهکار SOAR چیست
تیم امنیتی احتمالا ميان انبوهي از هشدارها گرفتار ميشود كه خيلی از آنها نادرست و تكرار هشدارهای پيشين هستند. یک تيم امنيتی معمولِی در هر هفته حداقل با 175000 هشدار سروكار دارد. مخفی ماندن اطلاعات اصلی در ميان اين همه نويز، تهديدی بسيار جدی است. اگر تحليلگران امنيتی به صورت دستی به هر يك از اين اطلاعات رسيدگی كنند، به بسياری از آنها اصلا پرداخته نخواهد شد. اين جاست كه راهکار SOAR تفاوتی اساسی ايجاد می دكند؛ از بسياری از اين اقدامات تكراری و فاقد اهميت می كاهد تا تيم امنيتی بتواند بر كارهای مهمتر تمركز كند. SOAR كاربر را قادر به موارد زير می سازد:
- يكپارچهسازی ابزارهای امنيتی عمليات IT و هوش تهديدات: می توان همه راهكارهای امنيتی مختلف و حتی ابزارهايی را كه از جانب Vendorهای مختلف عرضه شدهاند، به يكديگر متصل كرد تا به مرحله فراگيرتري از جمعآوری و تحليل داده رسيد. به اين ترتيب ديگر نياز نيست تيم امنيتی به هماهنگسازی انواعی از كنسولها و ابزارهای مختلف بپردازد.
- نمايش همهچيز در يك مكان: تيم امنيتی به كنسول واحدی دسترسی خواهد يافت كه تمام اطلاعات مورد نياز برای بررسي و اصلاح حوادث را فراهم می كند. اين تيم می تواند برای دسترسی به اطلاعات مورد نياز به يك مكان رجوع كند.
- تسريع پاسخدهی به حوادث: ثابت شده است كه راهکار SOAR، متوسط زمان تشخيص (MTTD) و متوسط زمان پاسخدهي (MTTR) را كاهش می دهد. به دليل آن كه بسياری از اقدامات خودكارسازی شدهاند، بلافاصله و به صورت خودكار به درصد بالايی از حوادث پرداخته خواهد شد.
- پيشگيری از اقدامات زمانبر: راهکار SOAR، خطا در اعلام هشدار، Taskهای تكراری و فرآيندهای دستی ای را كه از تحليلگران امنيتی زمان زيادی می گيرند، به گونه چشمگيری كاهش می دهد.
آشنایی با راهکار Splunk Phantom، یکی از بهترین راهکارهای SOAR
ویدیوهایی بیشتر درباره Splunk
- دسترسی به هوش برتر: راهكارهای SOAR، دادهها را از پلتفرمهای هوش تهديدات، فايروالها، سيستمهای تشخيص نفوذ، SIEM و تكنولوژی هاي ديگر، جمعآوری و ارزيابی می كند و به اين ترتيب Insight و آگاهی بيشتری در اختيار تيم امنيتی قرار می دهد. با اين كار، حل مسائل و بهبود روشها آسانتر می گردد و تحليلگران بهتر می توانند به هنگام ايجاد مشكلات، به بررسی هايی گستردهتر و عميقتر بپردازند.
- بهبود گزارشگيری و ارتباطات: با وجود تمام فعاليتهای عملياتی امنيتی كه در يك مكان جمعآوری شده و در داشبوردهای دارای كاربری آسان نمايش داده می شود، سهامداران می توانند همه اطلاعاتی را كه نياز دارند، دريافت كنند. از جمله اين اطلاعات معيارهای سنجش واضحی است كه به آنها كمك می كند تشخيص دهند چگونه بايد جريانهای كاری را بهبود بخشند و زمان پاسخ را كاهش دهند.
- تقويت توانايی تصميمگيری: پلتفرمهای SOAR احتمالا قابليتهايی نظير شيوهنامههای Pre-built و عملكردهاي Drag-and-drop را براي از نو نوشتن شيوهنامهها و اولويتبندی خودكارشده هشدارها ارائه ميدهند. به همين دليل، هدف اين است كه اين پلتفرمها حتي برای تحليلگران امنيتی باتجربه به صورت كاربرپسند طراحی شوند. به علاوه، ابزار SOAR می تواند دادهها را جمعآوری كند و Insightهايي به تحليلگران ارائه دهد كه ارزيابی حوادث و انجام اقدامات صحيح برای برطرفكردن آنها را سادهتر ميكند.
مشاوره رایگان راه اندازی مرکز عملیات امنیت توسط کارشناسان شرکت APK، تماس با شماره ۸۸۵۳۹۰۴۴-۰۲۱
مزایای پیادهسازی راهکار SOAR
همانند تمام ابزارهای امنيتی، ارزش واقعی راهکار SOAR در اين است كه چگونه از آن استفاده شود. با اين حال، برداشتن قدمهای درست پيش از پيادهسازی اين ابزار، به همين اندازه اهميت دارد. با دنبال كردن بهترين روشها كه در ادامه ذكر شده می توان بيشترين ارزش را از سرمايهگذار در پلتفرم SOAR به دست آورد:
- تعيين اولويتبندی ها. بهترين كار اين است كه ابتدا مكانی را كه در آن خودكارسازی به ويژه برای كسبوكار موردنظر تاثيرگذار است، ارزيابی و سپس آن نيازها اولويتبندی شود. كاربر بايد نمای كلی را در نظر بگيرد، دريابد كه كدام حوادث اغلب اوقات رخ می دهند و بررسی و رفع كداميك بيشترين زمان را می برد، سپس بر اساس اهداف سازمانی و صنعت خود، موارد كاربرد خود را مشخص سازد و سپس فهرستی از چگونگی استفاده از راهکار SOAR فراهم كند. همزمان با تعريف موارد كاربرد، كاربر بايد سهامداران را در تيم عمليات امنيتی خود شريك سازد، هر چند گمان نمی كند كه آنها را بهدرستی اجرا كند. داشتن اين اولويتبندی در ذهن به هنگام تحقيق درباره Vendorها به كاربر كمك می كند تا اطمينان حاصل كند كه پلتفرم در طولانی مدت به خوبی به او خدمت می كند.
- تدوين شيوهنامه: مهم است كه مراحل، دستورالعملها و بهترين روشها مستند شوند تا حوادث به نحو كارآمدی حلوفصل شوند و اطمينان حاصل شود كه تيم امنيتی هر بار پروسهاي ثابت و قابل تكرار را طی می كند. مواردی که باعث از بین بردن Taskهای تكراري و زمانبر از تیم امنیتی هستند، باید در صدر ليست اولويتهايي كه كاربر براي تدوين شيوهنامه ايجاد ميكند، قرار گیرند.
- تهيه فهرست از ابزارها: برنامههاي كاربردي و APIها: كاربر بايد اطمينان حاصل كند كه Vendor انتخابشده می تواند از همه ابزارهای مورد استفاده كنونی او پشتيباني کرده و به طور همزمان بايد ميزان عملكرد درست اين ابزارها را ارزيابی كند. بايد به خاطر داشت كه عملكرد مناسب يك محصول SOAR بستگی به اطلاعاتی دارد كه وارد آن ميشود؛ بنابراين كاربر پيش از پيادهسازی آن، بايد بررسي كند كه آيا نيازی به ارتقای بخشی از زيرساخت امنيتی هست يا خير.
- آموزش كاركنان: آموزش كاركنان هم به منظور استفاده موثر از نرمافزار خودكارسازی امنيت و هم به جهت بررسي حوادث پيچيدهاي كه نرمافزار قادر به رفع آنها نيست، مورد نياز است. زمانی كه در هشدارها علامتی مبنی بر نياز به خلاقيت انسانی باشد، كاركنان بايد از مهارت و اعتمادبهنفس لازم براي حلوفصل اين مسائل برخوردار باشند.
- بهرهوري از زمان تازه كسبشده: خودكارسازی بازدهی تيمهای امنيتی را بالاتر می برد و فرصتهای در اختيار آنها قرار ميدهد تا كارهای بيشتری براي سازمان انجام دهند. بايد براي چگونگی هدايت تمركز تحليلگران به سوي تسكهای دارای ارزش افزوده و سودمند براي سازمان برنامهريزی كرد؛ بررسی عميق علت مقابله مداوم با حملات Phishing، نمونهای از اين قبيل است. همچنين خودكارسازی نقشهای جديدی درون سازمان ايجاد می كند. بنابراين ميتوان در اين فرصت جديد، يك مدل ارتقای پيوسته ايجاد كرد كرد و طراحی، پيادهسازی و ارتقای منطق خودكارسازی را به كاركنان آموزش داد.
- پيشبرد تدريجی امور: بهتر است كاربر به جاي آن كه بخواهد از همان ابتدا تكتك قابليتهای راهکار SOAR را به كار بگيرد، بهآرامی و بهتدريج از آنها استفاده كند. او ميتواند بهسادگی كار را با تمركز بر قسمتهاي حياتی آغاز كرده و به مرور زمان كارهاي پيچيدهتر انجام دهد. اين كار به او كمك ميكند تا با كمترين زحمت از كل پتانسيل پلتفرم بهره ببرد.
بیشتر بخوانید: پنج مزیت خودکارسازی امنیتی با استفاده از تکنولوژی SOAR
چگونگی آغاز كار با SOAR
قدم بعدی در استفاده از SOAR – كه می تواند عمليات امنيتی سراسري را بهبود بخشد – جستوجوی ابزار مناسب برای آن است. در زير قابليتهايی آورده شده كه كاربر بايد به دنبال آن باشد:
- گزارشهای آسان و قابل فهم: كاربر احتمالا می خواهد دادههای رويداد و ابزارهای عمليات امنيتی خود را در يك نمای واحد و منسجم مشاهده كند. اين نمای كلی كاربر را قادر می سازد به سرعت دريابد كه در شبكه چه می گذرد، مسائل را بررسی كند و برای مرحله بعد تصميم بگيرد.
- اصلاح داشبورد: كاربر احتمالا می خواهد دادهها را در فرمتی كه متناسب با نيازهای سازمان باشد، نمايش دهد.
- صفبندی خودكار و اولويتبندی هشدارها: بنا به ضرورت كاربر می خواهد بدون نياز به انجام تحقيقات گسترده، مهمترين وظايف را تشخيص دهد و فورا كار بر آنها را آغاز كند.
- جزئيات هشدار سازمانيافته: دادههايی نظير آدرسهای IP، نامهای دامين، File Hashها، نامهای كاربری، آدرسهای ايميل و ديگر فيلدهای داده مربوط بايد به گونهای سازمان يابند كه تحليلگران امنيتی بتوانند فورا آنها را پردازش كنند.
- ايجاد و مديريت آسان و منعطف شيوهنامه: در حالت ايدهآل، كاربر پلتفرمی می خواهد كه امكان ايجاد شيودهنامه را بدون نياز به كدگذاری برای او فراهم كند. او بايد به دنبال راهكاری بگردد كه هم شيوهنامههاي Built-in و هم امكان سفارشی سازی و ايجاد شيوهنامه شخصي با استفاده از ويراستار شيوهنامه انتخابي خودش را براي او فراهم كند. به علاوه، كاربر ميخواهد شيوهنامهها را بر اساس بهترين كاركرد برای سازمان، سازماندهی و گروهبندی كند.
- يكپارچهسازی با ابزارهاي مورد استفاده براي راهاندازی كسبوكار: اين مورد شامل منابع امنيتی و زيرساختی نظير فايروالها، محصولات Endpoint، سرويسهای Reputation Sandbox، سرويسهای دايركتوری و SIEM است.
- راهبری Built-in: بعضی از پلتفرمها دارای دستيارانی هوشمند هستند كه با رابط آنها يكپارچه شده و پيشنهاداتی مبنی بر بررسی، Containing، حذف و حتی بازيابی از حادثه ارائه می دهند. اين قابليت به ويژه برای تحليلگران امنيتی جديد دارای اهميت است.
- مقياسپذيری: كاربر طبيعتا نياز دارد تا پلتفرم قابليتهای خود را در راستای سازمان رشد دهد.
