/

1403-01-07

همه چیز درباره هماهنگ‌سازی، خودکارسازی و پاسخ‌گویی در امنیت یا SOAR

هماهنگ‌سازی، خودکارسازی و پاسخ‌گویی در امنیت (SOAR) به هماهنگی، اجرا و خودکارسازی وظایف بین افراد و ابزارهای مختلف در یک پلتفرم واحد کمک می‌کند.  این تکنولوژی  به سازمان‌ها اجازه می‌دهد تا نه‌تنها به حملات امنیت سایبری به‌سرعت واکنش نشان دهند، بلکه حوادث آینده را نیز مشاهده، درک و از آنها جلوگیری کنند، بنابراین وضعیت امنیتی کلی خود را بهبود می‌بخشند. همانطور که  گارتنر تعریف می‌کند یک محصول جامع SOAR برای کار با سه قابلیت نرم‌افزار اصلی طراحی‌شده است: مدیریت تهدید و آسیب‌پذیری، پاسخ به حوادث امنیتی، و خودکارسازی عملیات امنیت.

مدیریت تهدیدات و آسیب‌پذیری (هماهنگ‌سازی یا Orchestration) شامل فناوری هایی است که به اصلاح تهدیدات سایبری کمک می‌کند، درحالی‌که خودکارسازی عملیات امنیت (Automation) مربوط به فناوری هایی است که خودکارسازی و هماهنگ‌سازی را در عملیات ممکن می کند.

SOARها داده‌های هشدار را دریافت می‌کنند و این هشدارها سپس Playbookهایی را ایجاد می‌کنند که جریان‌های کاری یا وظایف پاسخ را خودکارسازی/ هماهنگ‌سازی می‌کنند. سپس، با استفاده از ترکیبی از یادگیری انسانی و ماشین، سازمان ها می‌توانند این داده‌های متنوع را تجزیه‌وتحلیل کنند تا بتوانند اقدامات پاسخ خودکار به حوادث را برای هرگونه از تهدیدات پیش رو درک و اولویت‌بندی کنند. ازاین‌رو رویکرد کارآمدتر و موثرتری برای مدیریت امنیت سایبری و بهبود عملیات امنیتی ایجاد می کنند.

SIEM چیست؟

SIEM مخفف مدیریت وقایع و امنیت اطلاعات است و شامل تلفیقی از خدمات و ابزارهایی است که به یک تیم امنیت یا مرکز عملیات امنیت (SOC) کمک می‌کند تا داده‌های امنیتی را جمع آوری، تجزیه و تحلیل کند و همچنین سیاست‌هایی ایجاد و اعلان‌ها را طراحی کنند.

  یک سامانه مدیریت وقایع و امنیت اطلاعات (SIEM) از موارد زیر برای مدیریت اطلاعات و حوادث امنیتی استفاده می‌کند: جمع‌آوری داده‌ها، تثبیت و همبستگی، و همچنین اعلان‌ها هنگامی که یک رویداد یا تلفیقی از حوادث یک قاعده SIEM را تحریک می‌کند. سازمان‌ها همچنین سیاست‌هایی مانند قوانین، گزارش‌ها، هشدارها و داشبوردهایی را تنظیم می‌کنند که با نگرانی‌های امنیتی خاص آن‌ها مطابقت دارد.

ابزارهای SIEM تیم‌های IT را قادر می‌سازد تا:

 SIEM مدیریت اطلاعات امنیتی و رویدادهای امنیتی را ترکیب می‌کند. این کار با استفاده از نظارت در Real time و اطلاع‌رسانی به مدیران سیستم انجام می شود.

SOAR در مقایسه با SIEM

اکثرا SOAR و SIEM را به‌عنوان محصولات مشابه در نظر می‌گیرند چراکه هر دو مشکلات امنیتی را تشخیص می‌دهند و داده‌هایی را درمورد ماهیت مشکل جمع‌آوری می‌کنند. بعلاوه هر دو این برنامه‌ها با اعلان‌هایی سروکار دارند که پرسنل امنیتی می‌توانند از آنها برای رفع نگرانی‌ها استفاده کنند. با این‌حال، تفاوت‌های قابل‌توجهی بین آنها وجود دارد.

SOAR داده‌ها را جمع‌آوری می‌کند و به تیم‌های امنیتی با استفاده از یک پلتفرم متمرکز مشابه SIEM هشدار می‌دهد، اما SIEM فقط هشدارها را برای تحلیلگران امنیتی ارسال می‌کند. با این‌ وجود، امنیت SOAR با استفاده از Playbookهای اتوماتیک یا گردش‌های کاری  و هوش مصنوعی (AI) به‌منظور یادگیری رفتارهای الگو، خودکارسازی و پاسخ را به مسیر تحقیقات اضافه می‌کند، بنابراین برنامه را قادر می‌سازد تا تهدیدات مشابه را قبل از وقوع آنها پیش‌بینی کند. ازآنجایی‌که SOARها، معمولاً هشدارها را از منابعی دریافت می‌کنند که SIEM آنها را پوشش نمی‌دهد- برای مثال یافته‌های اسکن آسیب‌پذیری، هشدارهای امنیتی Cloud و هشدارهای دستگاه اینترنت IoT – حذف هشدارها آسان‌تر است و در واقع، این‌یک مورداستفاده معمولی برای ادغام SOAR و SIEM. این امر مدت‌زمان موردنیاز برای کنترل دستی هشدارها را کاهش می‌دهد و شناسایی و رسیدگی به تهدیدات را برای کارکنان امنیت فناوری اطلاعات آسان‌تر می‌کند.

هماهنگ‌سازی و خودکارسازی چیست؟

خودکارسازی امنیت اجرای اقدامات امنیتی مبتنی بر ماشین است که قدرت شناسایی، بررسی و اصلاح تهدیدات سایبری، بدون نیاز به دخالت دستی انسان دارد. خودکارسازی امنیت بیشتر کارهای معمولی را برای تیم SOC انجام می‌دهد، بنابراین دیگر نیازی نیست هر هشداری را که وارد می‌شود به‌صورت دستی بررسی کنند. خودکارسازی امنیت می‌تواند:

تمام این اقدامات در چند ثانیه و بدون دخالت انسانی می‌تواند اتفاق بیفتد. تحلیلگران امنیتی مجبور نیستند مراحل، دستورالعمل‌ها و روند تصمیم‌گیری را برای بررسی رویداد و تعیین اینکه آیا این‌یک حادثه قانونی است، دنبال کنند. از این طریق قدامات تکراری و وقت‌گیر حذف می‌شود تا تحلیلگران بتوانند روی کار‌های مهمتر و ارزشمندی تمرکز کنند.

تنظیم امنیتی، هماهنگی مبتنی بر ماشین است که مجموعه‌ای از اقدامات امنیتی مثل بررسی حادثه، پاسخ و درنهایت حل مسئله را شامل می‌شود و تمام این اقدامات به بکدیگر وابسته هستند و در سراسر یک زیرساخت واحد و پیچیده قرار دارند. چنین چیزی تضمین می‌کند که همه ابزارهای امنیتی و غیرامنیتی شما، چه اموری که به‌صورت خودکار در محصولات مختلف و گردش کار باشد و چه هشدار دستی عوامل درمورد حوادث مهم که نیاز به توجه بیشتری دارند،به طور هماهنگ باهم کار می‌کنند.

هماهنگ‌سازی امنیت قادر است:

درنهایت، تنظیم امنیتی، یکپارچگی دفاع‌های شما را افزایش داده، به تیم امنیتی اجازه می‌دهد تا فرآیندهای پیچیده را بصورت خودکار انجام دهند و ارزش کار کارکنان، فرآیندها و ابزارهای امنیتی را به حداکثر برساند.

تفاوت بین خودکارسازی و هماهنگ‌سازی چیست؟

درحالی‌که خودکارسازی امنیت و هماهنگ‌سازی امنیت اصطلاحاتی هستند که اغلب به‌جای یکدیگر استفاده می‌شوند، این دو پلتفرم نقش‌های بسیار متفاوتی دارند:

خودکارسازی امنیت تماماً درمورد ساده‌سازی و اجرای کارآمدتر عملیات امنیت است، زیرا با مجموعه‌ای از وظایف واحد سروکار دارد، درحالی‌که هماهنگ‌سازی امنیتی همه ابزارهای امنیتی مختلف شما را به هم متصل می‌کند تا آنها از یکدیگر تغذیه کنند و از همان ابتدا یک فرآیند گردش کار سریع و کارآمد ایجاد کنند. آنها زمانی می‌توانند بهترین عملکرد را داشته باشند که باهم جفت شوند. در این شرایط گروه‌های امنیتی می‌توانند در صورت استفاده از هر دو، کارایی و بهره‌وری خود را به حداکثر برسانند.

چرا SOAR مهم است؟

در دنیای دیجیتالی روبه‌رشد، سازمان‌ها امروزه با چالش‌های متعددی درزمینه امنیت سایبری مواجه هستند. هرچه تهدیدات پیچیده‌تر و مخرب‌تری وجود داشته باشد، شرکت‌ها نیاز بیشتری به ایجاد رویکردی کارآمد و مؤثر برای آینده عملیات امنیتی خود دارند. به‌دلیل این نیاز، SOAR در حال ایجاد تحولی در زمنینه ی نحوه مدیریت، تجزیه‌وتحلیل و پاسخگویی به هشدارها و تهدیدها توسط تیم‌های عملیات امنیت است.

تیم‌های عملیات امنیت امروزه وظیفه دارند که روزانه هزاران هشدار را به‌صورت دستی مدیریت کنند، و این باعث می‌شود که خطاها و ناکارآمدی‌های عمده عملیاتی در کار بوجود بیاید، ناگفته نماند ابزارهای امنیتی ناکارآمد و منسوخ‌شده و همچنین کمبود شدید استعدادهای واجد شرایط در میزان سختی امنیت سایبری نیز بی تاثیر نیست. بسیاری از تیم‌های عملیات امنیت با اتصال نویز از سیستم‌های متفاوت دست و پنجه نرم می‌کنند، که منجر به بکارگیری بسیاری از فرآیند های دستی مستعد خطا و ناکار آمد برای حل همه این مسائل می شود. با حجم فزاینده تهدیدها و هشدارها و کمبود منابع برای رسیدگی به همه آنها، نه‌تنها تحلیلگران مجبورند تصمیم بگیرند که کدام هشدارها را جدی بگیرند و به آنها عمل کنند، و کدام هشدارها را می‌توان نادیده گرفت، بلکه اغلب آنقدر زیاد کار می‌کنند که خطر نادیده‌گرفتن تهدیدات جدی در کار وجود دارد و درنهایت در تلاش برای پاسخگویی به تهدیدات و عوامل خطرناک ممکن است اشتباهات زیادی مرتکب شوند.

به همین دلیل، بسیار مهم است که سازمان‌ها سیستم‌هایی مانند پلتفرم SOAR داشته باشند تا آنها را قادر ‌سازد به‌طور سیستماتیک فرآیند هشدار و پاسخ خود را هماهنگ و بطور خودکار انجام دهند.  هنگام رسیدگی و بررسی حوادث، با فیلترکردن کارهای پیش‌پاافتاده که بیشترین زمان، انرژی و منابع را می‌گیرند،تیم های عملیات امنیتی  می‌توانند موثرتر و کارآمدتر عمل کنندو درنتیجه وضعیت امنیتی کلی سازمان را به میزان قابل‌توجهی بهبود بخشند.

SOAR شما را قادر می سازد تا:

استفاده از SOAR چه ارزشی برای سازمان ایجاد می‌کند؟

نصب و استفاده از SOAR  برای شرکت‌ها و سازمان‌ها کارآمد است چراکه تأثیر حوادث امنیتی از همه نوع را به حداقل می‌رساند، بعلاوه ارزش سرمایه‌گذاری‌های امنیتی موجود را به حداکثر می‌رساند، و ریسک مسئولیت قانونی و خرابی کسب‌وکار را به‌طورکلی کاهش می‌دهد. SOAR به شرکت‌ها کمک می‌کند تا چالش‌های امنیتی خود را برطرف کرده و با این امکانات به آنها غلبه کنند:

چگونه یک محصول SOAR انتخاب کنیم؟

اکنون‌که شما قادر به تعریف SOAR و درک قابلیت‌های مختلف آن هستید، چگونه می‌دانید کدام محصول SOAR برای نیازهای سازمان شما مناسب است؟ در یک پلت فرم SOAR چه چیزی را باید جستجو کنید؟

هنگام مقایسه ارائه‌دهندگان مختلف SOAR، عوامل مختلفی وجود دارد که شما باید قبل از تصمیم‌گیری آنها را در نظر بگیرید. جدای از فناوری اصلی، فرآیند تصمیم‌گیری خریدار به‌شدت تحت تأثیر عوامل و خدماتی است که به‌طورکلی ارائه می‌شوند. برخی از عواملی که سازمان ها باید قبل از اجرای هر محصول SOAR در نظر بگیرند، شامل ارزیابی میزان رشد سازمان ، یکپارچه‌سازی فناوری و مجموعه ابزار موردنیاز، فرآیند‌های موجود و همچنین روش انتخاب‌شده آنها برای اجرا است. پس از اینکه یک سازمان یک بررسی داخلی از وضعیت امنیتی خود انجام داد، باید عوامل مربوط به خود محصول SOAR را در نظر بگیرد. عواملی مانند:

سهولت استفاده و اتصال به سایر ابزارها: یک ابزار تنظیم امنیت باید به‌عنوان یک فیبر پیوندی بین تشخیص، توسعه، پاسخ و ابزارهای مرتبط عمل کند.

سازمان‌ها باید به‌سمت یک سناریوی  End-state حرکت کنند. در این سناریو ابزار SOAR هشدارهایی را از طریق ابزارهای تشخیصی در حال اجرا دریافت  و Playbook  را بصورت خودکار اجرا می‌کند که اقدامات را در میان ابزارهای توسعه ، پاسخ و ابزارهای مرتبط با هم هماهنگ می‌کند.

چند دستور یا عمل را می‌توان از داخل پلتفرم اجرا کرد؟ آیا این یکپارچه‌سازی ها می‌توانند به حوزه‌های اصلی زیر توجه کنند؟ این حوزه‌های اصلی شامل:

یافتن بهترین راه‌حل SOAR برای هر عملیات امنیتی مستلزم هماهنگی پیشنهادات فروشندگان و نیاز سازمان SOC به بهبود کارایی و اثربخشی است. راه‌حل مناسب SOAR نه‌تنها باید مکمل و سازگار با محصولات، Playbook  و فرآیندهای از پیش تنظیم‌شده باشد ، بلکه باید همکاری را نیز بهینه‌سازی کند، انعطاف‌پذیری را در هر دو قابلیت‌ اجرا و میزبانی ارائه دهد و یک مدل قیمت‌گذاری متناسب با نیازهای سازمان داشته باشد.

نظر خود را با ما در میان بگذارید

0 0 رای ها
امتیاز دهید
اشتراک در
اطلاع از
guest

0 نظرات
قدیمی‌ترین
تازه‌ترین بیشترین رأی
بازخورد (Feedback) های اینلاین
مشاهده همه دیدگاه ها