SOAR چیست؟ (Security Orchestration, Automation and Response)
ارکستراسیون امنیتی (Security Orchestration)، اتوماسیون (Automation) و پاسخگویی(Response) یا به اختصار SOAR، فناوری ها را قادر می سازد تحت مدیریت و کنترل یک رابط واحد به طور موثر رویدادهای امنیت سایبری را مشاهده، درک، تصمیم گیری و در مورد آنها اقدام کند.
گارتنر در ابتدا اصطلاحی برای توصیف ارکستراسیون امنیتی و اتوماسیون، سیستم عامل های پاسخ به حوادث امنیتی (SIRP) و سیستم عامل های اطلاعات تهدید (TIP) ارائه داد. این اختصارات ممکن است کمی گیج کننده باشد(ترجمه اونها به فارسی هم یکم سخته): همچنین ممکن است SOAR به عنوان SA&O نیز شناخته شود، اگرچه یک سیستم عامل SOAR واقعی فراتر از اتوماسیون امنیتی (SA) و اتوماسیون امنیتی است. SOAR قابلیت پاسخگویی کامل به حوادث را نیز دارد.
SOAR آماده انقلاب در عملیات های امنیتی است، به ویژه در روش تیم های امنیتی برای مدیریت، تجزیه و تحلیل و پاسخ به هشدارها و تهدیدها. بدون اتوماسیون امنیتی، در نهایت تحلیلگران امنیتی با تعداد فزاینده ای از حملات پیچیده سایبری از سوی بازیگران بد سروکار دارند.
تحلیلگران امنیتی مسئولیت رسیدگی به هزاران (حتی گاهی میلیون ها) هشدار را بر عهده دارند، بدین معنی که آنها باید تصمیم بگیرند کدام هشدارها را جدی بگیرند و بر اساس آن عمل کنند و کدام یک از آنها قابل چشم پوشی است. پاسخ به حوادث امنیت ممکن است در برخی موارد ممکن است چند روز یا بیشتر طول بکشد – و این در صورتی است که تعداد متخصصان کافی را در اختیار داشته باشید. در سطح جهانی، این صنعت با کمبود شدید متخصص امنیت سایبری روبرو است.
با توجه به این عوامل، ممکن است شما یک تیم امنیتی داشته باشید که از خستگی رسیدگی به هشدارها رنج می برد. در نتیجه ممکن است آنها تهدیدهای واقعی را از دست بدهند و هنگام تلاش برای حل سریع مشکلات، تعدادی اشتباه را نیز انجام دهند.
به این ترتیب SOAR وارد سیستم می شود. به طور خلاصه، سیستم های SOAR به شما کمک می کنند تا کارهای روزمره را متخصصان امنیت با استفاده از اتوماسیون در زمان کوتاه و خودکار انجام شود و در عین حال به پاسخ به تهدیدات زیرساخت های امنیتی خود، کارآمدتر باشند. SOAR باعث می شود که حوادث بیشتری را مدیریت کنید، مهمترین مسائل را عمیقاً بررسی کنند و وضعیت کلی امنیت سازمان شما را به طور گسترده بهبود دهند.
در این مقاله، ما اجزای مختلف SOAR ، از جمله اتوماسیون امنیتی و ارکستراسیون، همراه با تفاوت بین آنها را کشف خواهیم کرد. ما همچنین در مورد اینکه چرا SOAR برای شرکتها مهم است و اینکه چگونه می توانید بیشترین ارزش را از راه حل SOAR خود بدست آورید صحبت خواهیم کرد.
بررسی اجمالی SOAR
اتوماسیون امنیتی (Security Automation) چیست؟
اتوماسیون امنیتی عبارت است از انجام اقدامات امنیتی مبتنی بر ماشینی با قدرت شناسایی برنامه ای ، تحقیق و پاسخ به رخدادهای سایبری بدون نیاز به دخالت انسان.
SA بیشتر کارها را برای کارمندان امنیتی شما انجام می دهد، بنابراین آنها دیگر مجبور نیستند هر زمان که هشدار بوجود می آید آنرا بررسی و به صورت دستی آن را برطرف کنند. اتوماسیون امنیتی می تواند:
- تهدیدات را در محیط خود شناسایی کند.
- تهدیدات احتمالی را با دنبال کردن مراحل، دستورالعمل ها و گردش تصمیم گیری توسط تحلیلگران امنیتی برای بررسی این رویداد و تعیین اینکه آیا این یک حادثه واقعی است و نه مثبت کاذب است، بررسی می کند.
- تعیین اینکه آیا در مورد حادثه اقدامی انجام دهد.
- مسئله را مهار و حل کند.
همه اینها بدون دخالت کارکنان انسانی در عرض چند ثانیه اتفاق می افتد. اقدامات تکراری و وقت گیر از دست تحلیلگران امنیتی خارج می شود تا بتواند روی کارهای مهمتر و با ارزش تر تمرکز کنند.
ارکستراسیون امنیتی (Security Orchestration) چیست؟
ارکستراسیون امنیتی، هماهنگی مبتنی بر ماشین از مجموعه اقدامات امنیتی وابسته به یکدیگر در یک زیرساخت پیچیده است. این تضمین می کند که تمام ابزارهای امنیتی شما – و حتی ابزارهای غیر امنیتی – به صورت هماهنگ کار می کنند، در حالی که وظایف را در بین محصولات و گردش کار به طور خودکار انجام می دهید.
Security orchestration تحقیق، پاسخگویی و در نهایت حل و فصل اتفاقات را هماهنگ می کند. علاوه بر این، نیازی به تجزیه و تحلیلگران امنیتی برای پیمایش در چندین صفحه و سیستم نیست، همه چیز را در یک مکان جمع می کند و بر روی یک داشبورد نمایش می دهد.
ارکستراسیون امنیتی می تواند:
زمینه حوادث امنیتی را فراهم کند. یک ابزار ارکستراسیون امنیتی داده های منابع مختلف را جمع آوری می کند تا بینش عمیق تری داشته باشد. بدین ترتیب، شما نمای کاملی از کل محیط را بدست می آورید.
اجازه دهید تحقیقات عمیق تر و معنی دارتری انجام شود. تحلیلگران امنیتی می توانند مدیریت هشدارها را متوقف کرده و شروع به تحقیق در مورد وقوع آن حوادث کنند. علاوه بر این، ابزارهای ارکستراسیون امنیتی معمولاً داشبورد، نمودارها و جدول زمانی بسیار تعاملی و بصری را ارائه می دهند و این تصاویر می توانند در طی مراحل تحقیق بسیار مفید باشند.
بهبود همکاری گروه های سازمان، از جمله تحلیلگران در طبقات مختلف، مدیران، مدیران CTO و مجموعه های مختلف و حتی تیم های حقوقی و منابع انسانی، ممکن است لازم باشد با انواع خاصی از حوادث امنیتی درگیر شوند. ارکستراسیون امنیتی می تواند تمام داده های لازم را در دسترس همه قرار دهد و همکاری، حل مسئله و حل و فصل موثرتر باشد.
در نهایت، ارکستراسیون ادغام دفاع شما را افزایش می دهد، به تیم امنیتی شما اجازه می دهد تا فرآیندهای پیچیده را به طور خودکار انجام دهید و ارزشی را که از کارکنان امنیتی، فرایندها و ابزارهای خود دریافت می کنید، به حداکثر برسانید.
موارد استفاده SOAR کدامند؟
یکی از هوشمندانه ترین کارهایی که می توانید قبل از شروع صحبت با فروشندگان تکنولوژی امنیتی در مورد سیستم عامل SOAR انجام دهید، فکر کردن در مورد چگونگی استفاده سازمان شما از این راه حل است. موارد استفاده باید نشان دهنده بزرگترین نقاط ضعف سیستم شما باشد و تعیین کند که چگونه می توانید بیشترین بهره را از این فناوری ببرید.
موارد استفاده معمول به صنعت شما بستگی دارد. در اینجا چند مثال آورده شده است که شما را وادار می کند در مورد چگونگی استفاده از SOAR در سازمان خود فکر کنید.
مبارزه با حملات سایبری با پاسخگویی خودکار به حوادث: انواع و درجات حملات امنیتی ممکن است متفاوت باشد و برخی از صنایع خسارت بیشتری را متحمل می شوند. به عنوان مثال، در حالی که حملات فیشینگ در همه جا در حال افزایش است، به ویژه صنعت بانکداری آنلاین شاهد یک انفجار بوده که عمدتا با هدف سرقت اطلاعات حساب کاربران انجام می شود.
صنعت خرده فروشی در سطوح بی سابقه ای با حملات باج افزار مقابله می کند داده های کسب و کار تولید به طور فزاینده ای مورد سو استفاده هکرها قرار می گیرد.
سیستم های SOAR می توانند به طور خودکار منابع این نوع حملات را شناسایی و بررسی کنند. به عنوان مثال، آنها می توانند یک ایمیل فیشینگ مشکوک را شناسایی و بررسی کنند، به دنبال کپی در جای دیگر شبکه باشند، آنها را قرنطینه یا حذف کنند و آدرس IP و URL ها را مسدود کنند تا از ورود این ایمیلهای مخرب در صندوق ورودی شخص دیگری جلوگیری کنند.
علاوه بر این، سیستم عامل های SOAR همچنین می توانند تهدیدهایی را قبل از انتشار اطلاعات محرمانه برای مهاجمان، کاهش دهند و از این طریق زمان پاسخ را از ساعت به دقیقه کاهش دهند.
شکار تهدید: تیم های امنیتی هر روز ساعت ها وقت خود را صرف برخورد با هشدارها می کنند، که این کار باعث می شود که برای شکار تهدید، تحقیق و استراتژی و بهبودهای طولانی مدت وقت نگذارد. با استفاده از اتوماسیون، بسیاری از تهدیدات مخرب به صورت خودکار برطرف می شوند و تیم های امنیتی فرصت می دهند تا در پروژه هایی که امنیت شبکه را بهبود می بخشد، شرکت کنند.
به عنوان مثال در صنعت خدمات مالی، گزارش شده است كه شركت ها تقریباً ۲۰۰۰ حمله در دقیقه را تجربه می كنند، كه در پنج سال گذشته این میزان سه برابر افزایش یافته است. با استفاده از اتوماسیون، بسیاری از این حملات می توانند بلافاصله رسیدگی شوند و پهنای باند لازم را برای تحلیلگران امنیتی ایجاد کنند تا نقاط ضعف را اصلاح کنند و دسترسی به اطلاعات محرمانه را برای هکرها دشوارتر کنند.
تست نفوذ: طبق نظرسنجی امنیت فناوری اطلاعات eSecurity Planet در سال ۲۰۱۹ ، تقریبا ۴۰ درصد شرکت ها تست نفوذ را به طور مداوم یا به طور کامل انجام نمی دهند. سیستم عامل های SOAR می توانند فعالیت هایی مانند اسکن کشف دارایی ، فعالیت های طبقه بندی شده و اولویت بندی هدف را به صورت خودکار انجام دهند و این امکان را برای تیم های امنیتی فراهم می کند تا تلاش های خود برای تست نفوذ را عملیاتی کنند.
بهبود مدیریت آسیب پذیری: یک راه حل SOAR می تواند اطمینان حاصل کند که تیم امنیتی ریسک ایجاد شده توسط آسیب پذیری های جدید کشف شده در محیط شما را کنترل و مدیریت می کند. در نتیجه، آنها می توانند فعال باشند، به طور خودکار اطلاعات بیشتری را در مورد نقاط ضعف جمع آوری کنند و آنها را به طور کامل بررسی کنند، در حالی که برای جلوگیری از نقض یا حملات دیگر، محافظاتی را نیز در نظر می گیرند.
تفاوت اتوماسیون و ارکستراسیون چیست؟
اتوماسیون امنیتی به معنای ساده سازی و اجرای کارآمدتر عملیات امنیتی شما است، در حالی که ارکستراسیون امنیتی تمام ابزارهای امنیتی مختلف شما را به هم متصل می کند تا با یکدیگر به صورت هماهنگ کار کنند.
اتوماسیون امنیتی و ارکستراسیون امنیتی اصطلاحاتی هستند که اغلب به جای یکدیگر استفاده می شوند، اما این دو سیستم در واقع نقش های بسیار متفاوتی دارند. از جمله اینکه، اتوماسیون امنیتی مدت زمان لازم برای شناسایی و پاسخگویی به حوادث تکراری و موارد مثبت کاذب را کاهش می دهد. همچنین وقت تحلیلگران امنیتی را برای تمرکز بر وظایف استراتژیک، مانند موارد تحقیقات امنیتی، آزاد می کند. با این حال، اتوماسیون امنیتی از این نظر محدود است که هر یک از راهنماهای سناریوی شناخته شده را با یک عمل عملی مشخص توصیف می کند.
از طرف دیگر، ارکستراسیون امنیتی به شما امکان می دهد اطلاعات را به راحتی به اشتراک بگذارید و چندین ابزار را قادر می سازد تا به صورت گروهی به حوادث پاسخ دهند، حتی وقتی داده ها در یک شبکه بزرگ و چندین سیستم یا دستگاه پخش شده اند. ارکستراسیون امنیتی از چندین وظیفه خودکار برای اجرای یک روند کامل، پیچیده یا گردش کار استفاده می کند.
به طور خلاصه، اتوماسیون امنیتی با آرایه ای از تک وظایف سروکار دارد، در حالی که هماهنگی امنیتی روند اتصال را از ابتدا تا انتها متصل و تسریع می کند. آنها در ارکستراسیون بهترين كار را مي كنند – و گروه هاي امنيتي هنگام پذيرش هر دو مي توانند كارايي و بهره وري خود را به حداكثر برسانند.
SOAR و SIEM چه تفاوتی دارند؟
در حالی که اکثر راه حلهای SOAR در کنار اطلاعات امنیتی و مدیریت رویدادها (SIEM) به کار گرفته می شوند، اما اینها متفاوت هستند.
SIEM یک سیستم مدیریت امنیت است که به شما امکان می دهد فعالیت هایی را در محیط خود مشاهده کنید که به شما امکان می دهد تهدیدها را به صورت واقعی شناسایی کنید. این داده های مربوط به امنیت را از طیف گسترده ای از منابع – در چند ثانیه – جمع آوری، تجزیه و تحلیل می کند و سپس آنها را تجزیه و تحلیل می کند تا بینشی، به ویژه درباره رفتارهای غیرمعمول ارائه دهد، بنابراین می توانید مطابق آن رفتار کنید.
اما SOAR ، کارهایی را انجام می دهد که انجام دستی آن غیرممکن است. همچنین ، مانند SOAR ، SIEM داده های رویداد را در منابع مختلف در زیرساخت شبکه شما ، از جمله سرورها، سیستم ها، دستگاه ها و برنامه ها، از محیط تا کاربر نهایی جمع می کند. برخلاف سیستم عامل SOAR ، یک راه حل SIEM به عنوان مخزن داده های امنیتی شما عمل می کند و وسیله ای کارآمد برای جستجو ، همبستگی و تجزیه و تحلیل تمام داده های موجود فراهم می کند.
شایان ذکر است که از آنجا که SIEM و SOAR مکمل یکدیگر هستند، بسیاری از فروشندگان هر دو را ارائه می دهند و در نهایت ممکن است حتی در یک پلت فرم واحد نیز ادغام شوند.
چرا SOAR مهم است؟
تیم امنیتی شما احتمالاً در دریایی از هشدارها و اعلان ها شده است، که بسیاری از آنها مثبت کاذب و تکرار هشدارهای مشاهده شده قبلی است. تیم های امنیت به طور متوسط با ۱۷۵،۰۰۰ هشدار در هفته روبرو هستند.
اینجاست که SOAR می تواند تفاوت بزرگی ایجاد کند، بسیاری از اقدامات تکراری و پیش پا افتاده را کاهش می دهد تا تیم امنیتی شما بتواند روی کارهای مهمتر تمرکز کند.
SOAR شما را قادر می سازد:
ادغام امنیت را به درسی انجام دهید: عملیات IT و ابزارهای تهدید اطلاعات. برای دستیابی به سطح جامع تری از جمع آوری و تجزیه و تحلیل داده ها، می توانید تمام راه حل های امنیتی مختلف خود – حتی ابزارهای فروشندگان مختلف – را بهم متصل کنید. تیم های امنیتی می توانند دستکاری در انواع کنسول ها و ابزارهای مختلف را متوقف کنند.
همه چیز را در یک مکان مشاهده کنید: تیم امنیتی شما به یک کنسول دسترسی پیدا می کند که تمام اطلاعات مورد نیاز برای بررسی و اصلاح حوادث را فراهم می کند. تیم های امنیتی می توانند برای دسترسی به اطلاعات مورد نیاز خود فقط به یک مکان مراجعه کنند.
سرعت پاسخ به حوادث را افزایش دهید: ثابت شده است که SOAR باعث کاهش میانگین زمان شناسایی (MTTD) و میانگین زمان پاسخ دهی (MTTR) می شود. از آنجا که بسیاری از اقدامات به صورت خودکار انجام می شوند، می توان با درصد زیادی از حوادث بلافاصله و به صورت خودکار مقابله کرد.
از اقدامات وقت گیر جلوگیری کنید:. SOAR مثبت کاذب، کارهای تکراری و فرآیندهای دستی را که باعث کاهش وقت تحلیلگران امنیتی می شود را به شدت کاهش می دهد.
به هوش بهتر دسترسی پیدا کنید. راه حل های SOAR داده های مربوط به سیستم عامل های اطلاعات تهدیدها، فایروال ها ، سیستم های تشخیص نفوذ ، SIEM و سایر فناوری ها را جمع آوری و تأیید می کند و به تیم امنیتی شما بینش و زمینه بیشتری می دهد. این امر حل و فصل مشکلات و بهبود عملکردها را آسان می کند. در صورت بروز مشکلات، تحلیلگران بهتر می توانند تحقیقات عمیق و گسترده تری را انجام دهند.
گزارش و ارتباطات را بهبود ببخشید. با تمام فعالیتهای عملیاتی امنیتی که در یک مکان جمع شده و در داشبورد بصری نمایش داده می شوند ، ذینفعان می توانند کلیه اطلاعات مورد نیاز خود را دریافت کنند ، از جمله معیارهای مشخصی که به آنها کمک می کند تا نحوه ایجاد اصلاح در گردش کار و کاهش زمان پاسخ را شناسایی کنند.
توانایی تصمیم گیری را تقویت کنید. از آنجا که سیستم عامل های SOAR ممکن است ویژگی هایی مانند کتاب های راهنمای از پیش ساخته شده را ارائه دهند سیستم عامل های SOAR حتی برای تحلیلگران امنیتی باتجربه تر، کاربرپسند هستند. علاوه بر این، یک ابزار SOAR می تواند داده ها را جمع آوری کرده و بینش هایی را ارائه دهد که ارزیابی آن را برای تحلیلگران آسان تر کرده و اقدامات صحیحی را برای اصلاح آنها انجام می دهد.
SOAR می تواند عملیات امنیتی شما را بهینه کند
شما این فرصت را دارید که تیم امنیتی خود را قادر به انجام کارهای غیرممکن کنید: هشدارهای امنیتی بی پایان که یک محیط بسیار پیچیده فناوری اطلاعات را آزار می دهد را برای همیشه حذف کنید. SOAR شما را از برخورد با موارد مثبت کاذب، هشدارهای تکراری و هشدارهای کم خطر رها می کند، به شما امکان می دهد از رویکردی ارتجاعی به یک رویکرد فعال تر متمرکز شوید. تحلیلگران امنیتی می توانند استعدادها و آموزش های گسترده خود را برای موارد بهتر استفاده کنند و در نهایت این ابزار وضعیت کلی امنیت سازمان شما را بهبود می بخشند.
مطالب زیر را حتما بخوانید
-
اکتیو دایرکتوری (Active Directory) چیست و چگونه کار می کند؟
119 بازدید
-
بخش بندی شبکه (Network Segmentation) چیست؟
183 بازدید
-
۸ راه برای افزایش امنیت شبکه
2.66k بازدید
-
۲۰ اصطلاح مهم امنیت شبکه که باید بدانید
3.16k بازدید
-
SOC چیست؟ تکنولوژی، اهداف و ابزارهای مرکز عملیات امنیت
6.38k بازدید
-
فیشینگ (Phishing) چیست؟ بررسی و نحوه پیشگیری از آن چگونه است
2.55k بازدید
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.