اشتراک مقالات

بررسی 10 قابلیت اساسی قابل انجام توسط راه حل SOAR – قسمت اول

445 مشاهده 1 25 فروردین, 1402

راه حل SOAR

اصطلاح SOAR مخفف Security Orchestration, Automation and Response یا تنظیم امنیت، خودکارسازی و پاسخ می باشد. در دنیای تکنولوژی امروز امنیت سایبری به سرعت در حال توسعه می باشد، اگر از متخصصان امنیتی در مورد چالش‌هایی که در زمینه امنیت سایبری با آن‌ها روبرو هستند بپرسید، احتمالاً موضوعات رایجی را خواهید شنید. این موارد عبارتند از (اما مسلماً به آنها محدود نمی شود):

لایسنس اسپلانک

• کمبود استعدادهای ماهر در زمینه امنیت سایبری.

• حجم بالای هشدارهای امنیتی.

• بیش از حد بسیاری از نقاط امنیتی محصولات برای مدیریت.

• عدم یکپارچگی بین آن محصولات.

• ناتوانی در مقیاس عملیات امنیتی در طول زمان.

شرکت APK نخستین شرکت دانش محور در اجرای پروژه های انفورماتیکی کشور    تماس با کارشناسان 021-88539044-5

• افزایش هزینه ها و کاهش بودجه.

• افزایش پیچیدگی بدافزارها.

• سرعت کم شناسایی و پاسخ تهدیدها.

با توجه به این چالش‌ها، جای تعجب نیست که تیم‌های امنیتی دائماً تحت فشار هستند.

بهترین راه حل SOAR

بسیاری از تیم ها به ابزارهای هماهنگ سازی امنیتی و پاسخ یا SOAR به عنوان یک راه حل روی آورده اند. یک راه‌حل SOAR می‌تواند اقدامات امنیتی را در محصولات امنیتی مختلف سازماندهی کنند.

برای مشاوره رایگان و یا راه اندازی Splunk/SIEM و مرکز عملیات امنیت SOC با کارشناسان شرکت APK تماس بگیرید

اما همه راه حل های SOAR برابر نیستند، بهترین راه حل SOAR مجموعه ای از قابلیت ها را ارائه می دهد که می تواند رویکرد تیم شما را به عملیات امنیتی کاملا متحول کند. همچنین  این قابلیت ها اجازه خواهند داد:

• با خودکارسازی کارهای دستی و تکراری هوشمندانه تر کار کنید.

• با تشخیص، بررسی و پاسخ خودکار، سریعتر پاسخ دهید و زمان ماندن را کاهش دهید.

• به تیم امنیتی خود کمک کنید تا عملیات امنیتی را خودکار کند و زمان را برای تمرکز بر سایر فعالیت های استراتژیک آزاد نماید.

قابلیت های SOAR

در زیر 10 قابلیت اساسی بهترین راه حل SOAR آورده شده است که به تیم امنیتی سازمان شما کمک می کند تا عملیات امنیتی خود را تحت کنترل درآورد.

آشنایی با راهکار Splunk Phantom، یکی از بهترین راهکارهای SOAR

ویدیویهای بیشتر درباره SOAR

بیایید نگاهی عمیق تر به هر یک از این قابلیت ها بیندازیم:

تنظیم و ارکستراسیون

این هماهنگی مبتنی بر ماشین مجموعه ای از اقدامات امنیتی در یک اکوسیستم پیچیده فناوری اطلاعات است. این در حالی که وظایف را در محصولات و گردش‌های کاری خودکار می‌کند، به همه چیز برای هماهنگی کمک می کند .

خودکارسازی

 اجرای اقدامات امنیتی مبتنی بر ماشین با قدرت شناسایی، بررسی و اصلاح تهدیدات بدون نیاز به مداخله انسانی بوده، اتوماسیون امنیتی بیشتر کار را برای تحلیلگران انجام می دهد، بنابراین آنها دیگر مجبور نیستند هر هشداری را که وارد می شود بررسی کنند و به صورت دستی آن را بررسی کنند.

مدیریت رویداد و هشدار

پس از وارد شدن داده به SOAR، هشدارهای ورودی باید در صف قرار گیرند و اولویت بندی شوند. سپس بررسی ها باید با استفاده از اقدامات دستی یا خودکار انجام شوند تا بالاترین سطح بهره وری و دقت را به دست آورند.

اطلاعات تهدید آمیز

تیم‌های امنیتی باید بتوانند از آخرین اطلاعات تهدیدات بدون استفاده از منابع خود بهره ببرند. هوش تهدید موثر همچنین باید شامل گزینه‌های امتیازدهی برای تعیین اینکه تحلیل‌گران باید روی کدام منابع اطلاعاتی تهدید تمرکز کنند، باشد.

مدیریت پرونده و همکاری

 مدیریت پرونده باید دیدی گسترده‌تر و متقابل از چرخه زندگی یک حادثه، از ایجاد تا حل و فصل داشته باشد. هشدارها و/یا رویدادهای متعدد باید قادر باشند، تا بعنوان موردی تایید، تجمیع و تشدید شوند. این به نوبه خود، همکاری و ارتباط مؤثر در میان تیم امنیتی سازمان را ممکن می‌سازد و در نتیجه حل و فصل رویدادهای امنیتی را تسریع می‌کند.

متریک و گزارش

معیارها و گزارش‌دهی برای درک و تعیین کمیت تقریباً هر چیزی ضروری هستند، و راه‌حل SOAR نیز از این قاعده مستثنی نیست. متریک ها راهی برای سنجش اثربخشی راه حل SOAR و همچنین شناسایی مکان هایی هستند که می توانند برای بهبود ROI پیشرفت هایی انجام دهند.
تحرک

برای راه حل SOAR ضروری است که دسترسی، تعامل و کنترل پلتفرم را به راحتی از دستگاه تلفن همراه یک تحلیلگر ارائه دهد. به این ترتیب، تحلیلگران می‌توانند موضوعات امنیتی و رویدادها را بدون باز کردن لپ‌تاپ بررسی کنند، به درخواست‌های خود پاسخ دهند و همیشه بدون توجه به جایی که هستند، قابل دسترسی باشند.

مقیاس پذیری

یک راه حل SOAR باید درست در امتداد سازمان شما رشد کند. همانطور که موارد استفاده بیشتری در طول زمان اضافه می شود، پلتفرم باید به گونه ای طراحی شود که با افزایش منابع سخت افزاری به عنوان مثال CPU و RAM مقیاس بندی عمودی و با افزایش تعداد نمونه های سروری که از استقرار پشتیبانی می کنند، مقیاس  افقی را فراهم کند.

گسترده و قابل توسعه

یک راه حل SOAR باید برای گسترده بودن و توسعه پذیری طراحی شود. این باید به راحتی سناریوهای امنیتی جدید، محصولات و اقدامات جدید ا در خود جای دهد.

قدرت جامعه

یک راه حل SOAR باید با اتخاذ یک اکوسیستم باز برای توسعه اپلیکیشن، از مدل جامعه پشتیبانی کند. این به ارتقای موفقیت بلندمدت با اجتناب از قفل شدن فروشنده کمک می‌کند و فناوری‌ها می‌توانند به راحتی وارد و خارج شوند، بدون اینکه بر کتاب‌های بازی خودکار تأثیر منفی بگذارند.

تنظیم و Orchestration

هنگامی که یک تیم امنیتی به یک حادثه امنیتی پاسخ می‌دهد، از ابزارهای امنیتی مختلفی استفاده می‌کند. هر یک از این ابزارها نقش متفاوتی را در یک گردش کار تعریف شده ایفا می کنند. به عنوان مثال، می‌توانید به VirusTotal بگویید که اعتبار یک فایل را بررسی کند، از فایروال خود برای مسدود کردن یک IP استفاده کند و سپس از ابزار امنیتی نقطه پایانی خود برای مسدود کردن یک فایل اجرایی استفاده کند. بدون Orchestration، تیم امنیتی این گردش کار را به صورت دستی هماهنگ می کند. اما یک راه‌حل SOAR می‌تواند در تمام این ابزارهای امنیتی مستقر شده از طریق APIها یکپارچه شود و سپس گردش‌های کاری را در این ابزارها برای شناسایی، بررسی یا پاسخگویی به حوادث امنیتی خاص هماهنگ کند. برای مقایسه، اگر ابزارهای امنیتی شما سازهایی هستند که یک ارکستر سمفونیک را تشکیل می دهند، راه حل SOAR شما رهبر ارکستر است و اطمینان می دهد که هر ساز به طور هماهنگ و به موقع می نوازد.

بیشتر بخوانید: پنج مزیت خودکارسازی امنیتی با استفاده از تکنولوژی SOAR

هنگام ارزیابی راه حل SOAR، تابع ارکستراسیون باید تمام فعالیت های مربوط به یک سناریوی امنیتی معین را از ابتدا تا انتها هدایت و نظارت کند و همچنین بتواند داده های امنیتی را از هر منبع داده و در هر قالبی دریافت کند. علاوه بر این، یک ارکستراتور باید اطمینان حاصل کند که داده های خروجی از یک کنش به درستی تجزیه، نرمال و ساختار یافته است تا اقدامات آتی بتوانند از آن استفاده کنند.

خودکارسازی یا Automation

برای اکثر تحلیلگران امنیتی، روز آنها پر از وظایف یا اقدامات امنیتی بسیار تکراری و خسته کننده است. این اقدامات به صورت دستی توسط تیم اجرا می شود. اتوماسیون با استفاده از playbookها باید به تیم امنیتی این امکان را بدهد که مجموعه‌ای از این اقدامات را در چند ثانیه، در مقابل چند دقیقه یا ساعت و گاهی اوقات حتی روزها یا هفته‌ها اجرا کند. به عنوان مثال، تحقیقات فیشینگ که ممکن است به استفاده از اقدامات متعدد در چهار تا پنج ابزار امنیتی مختلف نیاز داشته باشد و اگر به صورت دستی انجام شود تقریباً 40 دقیقه طول می کشد، اکنون باید با استفاده از یک تنظیم خودکار کمتر از یک دقیقه طول بکشد. به این ترتیب، ابزارهای SOAR می توانند میانگین زمان تشخیص یا MTTD و میانگین زمان پاسخ یا MTTR را به شدت کاهش دهند.

ویرایشگر اتوماسیون در یک راه حل SOAR جایی است که یک تحلیلگر یا مدیر فرآیندهای خود را در playbookهای اتوماسیون کدگذاری می کند. ویرایشگر باید هم امکان ویرایش کد منبع و هم ویرایش بصری را فراهم کند. این اجازه می دهد تا همه اعضای تیم امنیتی، صرف نظر از اولویت یا تخصص کدنویسی، playbookهای جامع و پیچیده بسازند. هنگام ساختن playbook راهنما در یک ویرایشگر بصری، کد منبع playbook حاصل باید در زمان واقعی تولید شود و برای نویسنده با تغییر و ویرایش یکپارچه بین ویرایشگر تصویری و کد منبع قابل دسترسی باشد.

مقاله های مرتبط:

بررسی 10 قابلیت اساسی قابل انجام توسط راه حل SOAR – قسمت دوم (پایانی)
راهكار Splunk SOAR و بررسی موارد کاربرد این راهکار در امنیت سایبری – قسمت اول
برچسب ها : soarSplunk SOARsoar چیستراهکار SOAR چیستمزایای SOARقابلیتهای SOARکاربرد SOARFortiSOARبررسی پلتفرم FortiSOAR

مطلب مفید بود؟

 
بیشتر بخوانید