در پاسخ به سوال راهکار SOAR چیست میتوان گفت Security Orchestration, Automation and Response یا تنظیم امنیت، خودکارسازی و پاسخ که به اختصار SOAR نامیده میشود و مجموعهای از تکنولوژیهاست که سازمانها را قادر میسازد تا از طریق یک رابط واحد، حوادث امنیتی را مشاهده و درک کنند، درباره آنها تصمیم بگیرند و اقداماتی در خصوص آنها انجام دهند.
گارتنر در ابتدا از این اصطلاح استفاده کرد تا همگرایی تنظیم و خودکارسازی امنیت، پلتفرمهای پاسخ به حادثه امنیتی یا به اختصار SIRP و پلتفرمهای هوش تهدیدات یا به اختصار TIPها را شرح دهد. این کلمات مخفف ممکن است گیجکننده باشند: SOAR و SA&O ممکن است برای رجوع به یک مفهوم واحد به کار روند، با این حال، یک راهکار SOAR حقیقی، چیزی بیشتر از صرفا خودکارسازی امنیت (SA) و خودکارسازی و تنظیم امنیت (SA&Q) خواهد بود، چرا که قابلیت پاسخ به حادثه با عملکرد کامل را نیز با قابلیتهای دیگر تلفیق میکند.
نقش SOAR چیست؟ در عملیات امنیتی، به ویژه در روشی که تیمهای امنیتی هشدارها و تهدیدات را مدیریت و تحلیل کرده و به آنها پاسخ میدهند، انقلابی ایجاد خواهد کرد. اگر هیچ گونه خودکار سازی امنیتی در کار نباشد، تحلیلگران امنیت با تعداد رو به افزایشی از حملات سایبری دستی از جانب Bad Actorهای بسیار پیشرفته درگیر خواهند شد.
تحلیلگران امنیت، مسئول رسیدگی به هزاران (و گاهی حتی میلیونها) هشدار هستند، بدین معنی که این افراد باید در خصوص جدی گرفتن برخی هشدارها و کار کردن روی آنها و نادیده گرفتن برخی دیگر، تصمیم بگیرند. پاسخ به حادثه و بازیابی ممکن است چند روز یا بیشتر به طول بینجامد و این در صورت حضور کارکنان کافی و افراد واجد شرایط است. این صنعت در کل جهان با کمبود شدید استعداد امنیت سایبری روبهرو شده است.
با توجه به این عوامل، ممکن است تیم امنیتی با مشکل زیاد بودن هشدارها روبهرو باشند و نتوانند به درستی به همه آنها رسیدگی کنند. در نتیجه، ممکن است تهدیدات واقعی از دید آنها جا بماند و همچنان که به سرعت و به طور همزمان به مسائل میپردازند، خطاهای فاحشی از آنها سر بزند.
آشنایی با راهکار Splunk Phantom، یکی از بهترین راهکارهای SOAR
ویدیوهای بیشتر درباره امنیت
این جاست که راهکار SOAR وارد عمل میشود. به طور خلاصه، راهکارهای SOAR با استفاده از خودکارسازی، به پاکسازی وظایف جزئی که زمان زیادی از مدیران امنیتی میگیرند، کمک میکنند و در عین حال به آنها قابلیت تنظیم در سراسر زیرساختهای امنیتیشان ارائه میدهد تا بیشتر مثمر ثمر واقع شوند. این قابلیت آنها را قادر میسازد تا حوادث بیشتری را مورد بررسی قرار دهند، به مهمترین مسائل عمیقتر رسیدگی کنند و وضعیت کلی امنیت سازمان را به طور گسترده بهبود بخشند.
در این مقاله، به سوال راهکار SOAR چیست پاسخ داده و سپس اجزای مختلف SOAR من جمله خودکارسازی امنیت و تنظیم آن، همچنین تفاوتهای آنها مورد بررسی قرارمیدهیم. همچنین علت اهمیت داشتن SOAR برای سازمانها و چگونگی بهرهوری بیشتر از این راهکار توضیح داده میشود.
خودکارسازی امنیت چه معنایی دارد
خودکارسازی امنیت، به اجرای مبتنی بر ماشین اقدامات امنیتی و تشخیص، بررسی و رفع تهدیدات سایبری از طریق برنامهنویسی، بدون نیاز به دخالت انسان گفته میشود.
برای مشاوره رایگان و یا راه اندازی Splunk/SIEM و مرکز عملیات امنیت SOC با کارشناسان شرکت APK تماس بگیرید |
این خودکارسازی یا به اختصار SA، بیشتر کار را برای کارکنان انجام میدهد و بنابراین دیگر نیازی نیست تا آنها شخصا به تکتک هشدارهای وارده رسیدگی کنند. خودکارسازی امنیت میتواند:
- تهدیدات را در محیط کاربر تشخیص دهد.
- مراحل، دستورالعملها و جریانی را که طی آن تحلیلگران امنیت به برنامهریزی میپردازند، دنبال و به این ترتیب تهدیدات بالقوه را اولویتبندی کند تا به بررسی رویداد بپردازد و تعیین کند که آیا حادثه مجاز است یا خیر.
- تعیین کند که آیا باید در خصوص حادثه اقدامی صورت گیرد یا خیر.
- مسئله را مهار کرده و حل نماید.
همه موارد بالا میتواند ظرف چند ثانیه و بدون هیچ گونه دخالتی از جانب کارکنان اتفاق بیفتد. مسئولیت فعالیتهای وقتگیر و مکرر دیگر با تحلیلگران امنیت نخواهد بود و در نتیجه آنها خواهند توانست بر کارهای مهمتر تمرکز کنند.
مفهوم تنظیم امنیت چیست
تنظیم امنیت، هماهنگی مبتنی بر ماشین مجموعهای از اقدامات امنیتی در سطح زیرساختی پیچیده است. این تنظیم تضمین میکند که همه ابزارهای امنیتی و حتی ابزارهای غیر امنیتی، هماهنگ با یکدیگر مشغول به کار باشند و در عین حال وظایفی را در سطح محصولات و جریانهای کاری خودکار میسازد.
بیشتر بخوانید: پنج مزیت خودکارسازی امنیتی با استفاده از تکنولوژی SOAR
تنظیم امنیت یا SO، بررسی حادثه، پاسخ و اساسا تصمیمگیری را هماهنگ میسازد. به علاوه، با وجود تنظیم امنیت، دیگر تحلیلگران امنیت نیاز به جهتیابی چندین صفحه نمایش و سیستم نخواهند داشت، چرا که همه چیز را در یک جا جمعآوری شده و در یک داشبورد واحد نمایش داده میشود. تنظیم امنیت میتواند:
- برای حوادث امنیتی آگاهی فراهم کند. ابزار تنظیم امنیت، دادهها را از منابع مختلف گرد میآورد تا Insight عمیقتری ارائه دهد. به این ترتیب، دیدگاهی جامع از کل محیط به دست میآید.
- امکان بررسیهای عمیقتر و معنادارتر را فراهم کند. تحلیلگران امنیت میتوانند به مدیریت هشدارها خاتمه دهند و شروع به بررسی علت پیدایش حوادث کند. به علاوه، ابزارهای تنظیم امنیت معمولا داشبوردها، نمودارها و جداول بصری بسیار تعاملی و شهودی ارائه میدهند، و این تصاویر میتوانند طی فرایند بررسی بسیار مفید واقع شوند.
- هماهنگی را بهبود بخشد. گروههای دیگر، نظیر تحلیلگران Tierهای مختلف، مدیران، مدیران اجرایی CTO و C-suite، تیمهای مجاز و منابع انسانی نیز ممکن است نیاز پیدا کنند نتا در انواع خاصی از حوادث امنیتی دخیل شوند. تنظیم امنیت میتواند تمام دادههای مورد نیاز را در دسترس همه قرار دهد و هماهنگی، حل مسئله و تصمیمگیری را موثرتر سازد.
اساسا تنظیم، لایههای دفاعی را بیشتر با هم تلفیق میکند و امکان خودکارسازی فرایندهای امنیتی پیچیده را برای تیم امنیتی شما فراهم میسازد، و بهره دریافت شده از کارکنان امنیتی، فرایندها و ابزارها را به حداکثر میرساند.
تفاوت بین خودکارسازی و تنظیم
خودکارسازی امنیت تماما درباره سادهسازی و اجرای کارآمدتر عملیات امنیتی است، در حالی که تنظیم امنیت همه ابزارهای مختلف امنیتی را به یکدیگر متصل میسازد تا دادههای خود را تبادل کنند.
خودکارسازی امنیت و تنظیم امنیت اصطلاحاتی هستند که اغلب به جای یکدیگر به کار میروند، اما این دو پلتفرم در واقع نقشهای بسیار متفاوتی ایفا میکنند.
خودکارسازی امنیت، در میان دیگر ابزارها، زمان تشخیص حوادث مکرر و خطاها در اعلام هشدار و پاسخدهی به آنها را کاهش میدهد و به این ترتیب در زمان کوتاهتری به هشدارها رسیدگی میگردد. همچنین با این خودکارسازی دیگر نیاز نخواهد بود تا تحلیلگران امنیت زمان خود را به تمرکز بر وظایف استراتژیک، مانند تحقیقات توام با بررسی، اختصاص دهند. با این حال، خودکارسازی امنیت محدود است، چرا که هر Playbook به سناریویی شناختهشده به همراه یک دوره عملیاتی از پیش تعیینشده میپردازد.
تنظیم امنیت، از سوی دیگر، امکان اشتراکگذاری آسان اطلاعات را فراهم میسازد و توانایی پاسخدهی گروهی به حوادث را در اختیار چندین ابزار قرار میدهد، حتی زمانی که دادهها در سراسر یک شبکه بزرگ و چندین سیستم یا دستگاه پخش شده باشند. این تنظیم از چندین وظیفه خودکارشده استفاه میکند تا یک فرایند یا جریان کاری کامل و پیچیده را اجرا کند.
به طور خلاصه، خودکارسازی امنیت با مجموعهای از وظایف واحد سروکار دارد، در حالی که تنظیم امنیت، اتصال فرایند را از ابتدا تا انتها برقرار ساخته و آن را سرعت میبخشد. این دو وقتی هماهنگ با یکدیگر کار کنند، بهترین عملکرد را دارند، و گروههای امنیتی میتوانند با بهکارگیری همزمان این دو، کارایی و بهرهوری خود را به حداکثر برسانند.
بیشتر بخوانید: سرعتبخشی به عملیات امنیتی با استفاده از ترکیب فناوری SOAR و Fortinet’s Security Fabric
SOAR چیست و با SIEM چه تفاوتی دارد
با این که اکثر راهکارهای SOAR به همراه Security Information and Event Management یا به اختصار SIEM پیاده میشوند، این دو یک چیز نیستند.
SIEM یک سیستم مدیریت امنیت است که قابلیت دید کامل نسبت به فعالیت در حال انجام در محیط را فراهم میکند وکاربر را قادر میساز تا تهدیدات را بصورت Real Time تشخیص دهد. این سیستم دادههای مرتبط با امنیت را در عرض چند ثانیه از طیف گستردهای از منابع جمعآوری، تجزیه و دستهبندی کرده و سپس این دادهها را تجزیه و تحلیل میکند تا Insightهایی، به ویژه نسبت به رفتار نامعمول، فراهم آورد تا کاربر بتواند بر اساس این Insightها عمل کند.
این سیستم مانند SOAR، کاری را انجام میدهد که انجام دادن آن به صورت دستی غیرممکن است. همچنین مانند SOAR، دادههای رویداد را در میان منابع مختلف، درون زیرساخت شبکه، از جمله سرورها، سیستمها، دستگاهها و برنامههای کاربردی، از محیط به کاربر نهایی، جمعآوری میکند. بر خلاف راهکار SOAR، یک راهحل SIEM به عنوان Repository دادههای امنیتی عمل میکند و ابزار موثری برای جستجو، مرتبط کردن و تجزیه و تحلیل تمام دادههای موجود فراهم میکند.
شایان ذکر است که چون SIEM و SOAR مکمل یکدیگر هستند، بسیاری از عرضهکنندگان هر دو را پیشنهاد میکنند، و در نهایت ممکن است این دو تلفیق شوند و به صورت یک پلتفرم واحد درآیند.
