فناوری SOAR یا “هماهنگسازی، خودکارسازی و پاسخگویی در امنیت” به هماهنگسازی، اجرا و خودکارسازی فرایندها بین افراد و ابزارهای متنوع کمک کرده و به شرکتها اجازه میدهد تا با پاسخدهی سریع به حملات سایبری، وضعیت کلی امنیت خود را بهبود بخشند. ابزارهای SOAR از “شیوهنامههای” امنیتی برای خودکارسازی و هماهنگسازی جریانهای کاری استفاده میکنند که ممکن است شامل هر تعدادی از ابزارهای امنیتی و همچنین فرایندهای انسانی متفاوت باشند.
یک محصول SOAR کامل به طرق مختلف، از جمله موارد زیر، به بهبود عملیاتهای امنیتی کمک میکند:
- ترکیب هماهنگسازی امنیتی، خودکارسازی هوشمند، مدیریت وقایع و تحقیقات تعاملی در یک راهکار واحد.
- کاهش حجم انبوه وظایف تحلیلگران امنیتی
- تسهیل همکاریهای تیمی
- فراهم کردن امکان خودکار سازی اقدامات بر روی مجموعه ابزارهای امنیتی.
- ارائه یک کنسول واحد و متمرکز به تیمهای امنیتی شرکتها برای مدیریت و هماهنگسازی تمام جنبه های امنیتی.
- بهینه سازی مدیریت فایلها،
- افزایش کارایی با باز و بسته کردن Ticketها و بررسی و رفع رویدادها.
شکل ۱. نمونهای از شیوهنامههای SOAR برای تحلیل بدافزار
چرا شرکتها به فناوری SOAR نیاز دارند
امروزه سازمانها با چالشهای زیادی روبرو هستند:
- افزایش حجم تهدیدات پیچیدهی امنیتی
- تعداد بسیار زیاد ابزارهای امنیتی که بین بسیاری از آنها هیچگونه تعاملی وجود ندارد. برای مثال، نتایج گزارش “خدمات اطلاعات جهانی” ارائه شده توسط بازار بورس نزدک نشان میدهد که مراکز عملیات امنیت (SOC)، به طور متوسط از بیش از ۱۵ محصول امنیتی استفاده میکنند. محصولاتی که اغلب آنها خدمات خودکارسازی SOC را ارائه نمیکنند.
- تعداد بسیار زیاد هشدارهای امنیتی و همچنین حجم زیاد دادههای هوش تهدید که باعث میشود تیمهای امنیتی قادر به مرتبسازی، اولویتبندی، بررسی و رسیدگی دستی به تمام هشدارهای امنیتی نباشند.
- دشواری تامین نیروی امنیتی کافی با مجموعه مهارتهای موردنیاز.
- فقدان یا محدودیت رویتپذیری بر روی ابزارها، مجموعه دادهها و محیطها.
دلایل استفاده از فناوری SOAR
فناوری SOAR به شرکتها در رسیدگی و غلبه بر چالشهای ذکر شده کمک کرده و انجام موارد زیر را ممکن میکند:
- تجمیع سیستمهای امنیتی موجود و متمرکزسازی مجموعه دادهها در راستای دستیابی به رویتپذیری کامل.
- خودکارسازی فرایندهای دستی تکراری و مدیریت تمام جنبههای وقایع امنیتی.
- تعریف رویههای تحلیل وقایع و پاسخگویی به آنها، همچنین استفاده از شیوهنامههای امنیتی برای اولویتبندی و استانداردسازی فرایندهای پاسخگویی.
- تشخیص و اختصاص سریع و دقیق سطح شدت به هشدارهای امنیتی؛ پشتیبانی از “کاهش هشدار”.
- شناسایی و مدیریت بهتر آسیب پذیری های بالقوه (هم به صورت پیشگیرانه و هم در واکنش به وقایع رخ داده).
- ارجاع هر رویداد امنیتی به مناسبترین تحلیلگر برای پاسخگویی به آن، ضمن فراهم سازی قابلیتهای برای پشتیبانی همکاری و پیگیری راحت بین تیمها و اعضای آنها.
موارد استفاده SOAR
در ادامه، چند نمونه از موارد استفاده معمول فناوری SOAR ارائه شده است:
| مورد استفاده | توصیفی سطح بالا از آنچه هماهنگسازی به آن کمک میکند |
| رسیدگی به هشدارهای امنیتی | توانمندسازی فیشینگ و پاسخگویی– کشف ایمیلهای فیشینگ بالقوه، راهاندازی یک Playbook، خودکارسازی و اجرای فرایندهای قابل تکرار مانند اولویتبندی و مشارکت دادن افراد تحت تاثیر قرار گرفته، استخراج و بررسی نشانهها، شناسایی موارد False positive و آمادهسازی اولیه SOC برای یک پاسخگویی استاندارد شده در مناسبترین اندازه.
آلودگی “نقاط پایانی” به بدافزار– دستیابی به دادههای تهدید از طریق ابزارهای نقطه پایانی، غنیسازی دادههای به دست آمده، بررسی به وسیله “ارجاع متقابل” فایلها/چکیدههای بازیابی شده با استفاده از یک راهکار SIEM، اطلاعرسانی به تحلیلگران، پاکسازی نقاط پایانی و بهرورسانی پایگاه دادهی ابزار نقطه پایانی. ورودهای ناموفق کاربر به سیستم– پس از وقوع تعدادی از پیش تعریف شده ورود ناموفق کاربر به سیستم، ارزیابی غیرعمدی یا شرورانه بودن یک ورود ناموفق با راهاندازی یک Playbook، مشارکت دادن کاربران، تحلیل پاسخهای آنها، منقضی کردن گذرواژهها و بستن Playbook. ورود به سیستم از مکانهای غیرمعمول- شناسایی تلاشهای دسترسی VPN احتمالا مخرب با بررسی وجود “VPN” و “CASB”، بررسی IPها با ارجاع متقابل، تعیین قطعی وقوع یک Breach با پرسش از کاربر و تایید او، صدور یک بلوک و بستن Playbook. |
| مدیریت عملیاتهای امنیت | مدیریت گواهینامههای SSL– بررسی نقاط پایانی با هدف شناسایی گواهینامههای SSL منقضی شده یا در حال انقضا، اطلاعرسانی به کاربران، بررسی مجدد وضعیت پس از چند روز، ارجاع مشکل به افراد مناسب و بستن Playbook.
مدیریت آسیبپذیری– به دست آوردن اطلاعات دارایی و آسیبپذیری، غنیسازی دادههای نقطه پایانی و “آسیبپذیریها و تهدیدات رایج” (CVE)، استعلام برای اطلاعات زمینهای در مورد آسیبپذیری، محاسبه شدت، تحویل کنترل به تحلیلگران امنیت برای بررسی و اصلاح، بستن Playbook |
| شکار تهدیدها و پاسخگویی به وقایع | شکار نشانههای نفوذ و به مخاطرهافتادگی (IoCها)-بررسی و استخراج IoCها از فایلهای ضمیمه شده، شکار IoCها از طریق ابزارهای هوش تهدید، بهروزرسانی پایگاههای داده بستن Playbook.
تحلیل بدافزار– دریافت اطلاعات از چند منبع، استخراج و آشکار نمودن فایلهای مخرب، تولید و ارائه یک گزارش، بررسی عمدی بودن، بهروزرسانی پایگاه داده و بستن Playbook. پاسخگویی به وقایع Cloud-aware– دریافت داده از ابزارهای ثبت رویداد و تشخیص تهدید متمرکز بر Cloud، یکپارچهسازی فرایندها در طول زیرساختهای امنیتی On-premise و Cloud، همبستهسازی توسط یک SIEM، استخراج و غنیسازی نشانهها، بررسی عمدی بودن، تحویل کنترل به تحلیلگران و درخواست از آنها برای بازبینی اطلاعات، بهروزرسانی پایگاه داده و بستن Playbook. |
| خودکارسازی امنیت | غنیسازی IoC– دریافت داده از چند منبع، استخراج هر نشانهای که نیازمند آشکارسازی است، غنیسازی URLها، IPS و چکیدهها؛ بررسی عمدی بودن، بهروزرسانی پایگاه داده، دعوت از تحلیلگران برای بازبینی و بررسی اطلاعات، و بستن Playbook.
تعیین شدت رویداد-بررسی دیگر محصولات برای جستجوی امتیاز آسیبپذیری و اینکه آیا به نشانههای موجود امتیازی اختصاص یافته یا خیر، تخصیص شدت، بررسی نامهای کاربری و نقاط پایانی برای دیدن اینکه آنها در یک لیست بحرانی وجود دارند، تخصیص شدت بحرانی بودن و بستن رویداد. |
مزایای فناوری SOAR
- SOAR وضعیت امنیتی و بهرهوری عملیاتی شرکتها را بسیار بهبود میدهد.
- SOAR سرعت شناسایی و پاسخگویی به رویدادهای امنیتی را افزایش داده و فرایند پاسخگویی را استانداردسازی میکند.
- SOAR از همکاریهای بلادرنگ و “تحقیقات ساختارنیافته” پشتیبانی میکند.
- SOAR کارآمدی تحلیلگران را افزایش داده و به تحلیلگران اجازه میدهد تا به جای انجام دستی فرایندها، به طور موثرتر به بهبود امنیت بپردازند.
- SOAR از ابزارهای فناوری امنیتی موجود استفاده میکند که شرکتها قبلا بر روی آنها سرمایهگذاری کردهاند.
فناوری SOAR هم به عنوان یک راهکار “با میزبانی Cloud” و هم به عنوان یک راهکار On-premise قابل دسترس است.