فناوری SOAR چیست و چرا شرکت‌ها به آن نیاز دارند

فناوری SOAR یا “هماهنگ‌سازی، خودکارسازی و پاسخ‌گویی در امنیت”[۱] به هماهنگ‌سازی، اجرا و خودکارسازی فرایندها بین افراد و ابزارهای متنوع کمک کرده و به شرکت‌ها اجازه می‌دهد تا با پاسخ‌دهی سریع به حملات سایبری، وضعیت کلی امنیت خود را بهبود بخشند. ابزارهای SOAR از “شیوه‌نامه‌های”[۲] امنیتی برای خودکارسازی و هماهنگ‌سازی جریان‌های کاری استفاده می‌کنند که ممکن است شامل هر تعدادی از ابزارهای امنیتی و همچنین فرایندهای انسانی متفاوت باشند.

فناوری SOAr چیست

یک محصول SOAR کامل به طرق مختلف، از جمله موارد زیر، به بهبود عملیات‌های امنیتی کمک می‌کند:

  • ترکیب هماهنگ‌سازی امنیتی، خودکارسازی هوشمند، مدیریت وقایع و تحقیقات تعاملی در یک راهکار واحد.
  • فائق آمدن بر حجم انبوه وظایف تحلیل‌گران امنیتی با تسهیل همکاری‌های تیمی و فراهم کردن امکان خودکارسازی اقدامات بر روی مجموعه ابزارهای امنیتی.
  • ارائه یک کنسول واحد و متمرکز به تیم‌های امنیتی شرکت‌ها برای مدیریت و هماهنگ‌سازی تمام جنبه‌های امنیتی.
  • بهینه‌سازی مدیریت پرونده[۳]، افزایش کارایی با باز و بسته کردن Ticketها و بررسی و رفع رویدادها.

 فناوری SOAR

 شکل ۱. نمونه‌ای از شیوه‌نامه‌های SOAR برای تحلیل بدافزار

چرا شرکت‌ها به فناوری SOAR  نیاز دارند

امروزه سازمان‌ها با چالش‌های زیادی روبرو هستند:

  • حجم روزافزون تهدیدات پیچیده امنیتی و تهدیدگران بداندیش.
  • تعداد بسیار زیاد ابزارهای امنیتی که بین بسیاری از آن‌ها هیچ‌گونه تعاملی وجود ندارد. برای مثال، نتایج گزارش “خدمات اطلاعات جهانی”[۴] ارائه شده توسط بازار بورس نزدک[۵] نشان می‌دهد که مراکز عملیات امنیت (SOC)، به طور متوسط از بیش از ۱۵ محصول امنیتی استفاده می‌کنند. محصولاتی که اغلب آن‌ها خدمات خودکارسازی SOC را ارائه نمی‌کنند.
  • تعداد بسیار زیاد هشدارهای امنیتی و همچنین حجم زیاد داده‌های هوش تهدید که باعث می‌شود تیم‌های امنیتی قادر به مرتب‌سازی، اولویت‌بندی، بررسی و رسیدگی دستی به تمام هشدارهای امنیتی نباشند.
  • دشواری تامین نیروی امنیتی کافی با مجموعه مهارت‌های موردنیاز.
  • فقدان یا محدودیت رویت‌پذیری[۶] بر روی ابزارها، مجموعه داده‌ها و محیط‌ها.

دلایل استفاده از فناوری SOAR

فناوری SOAR به شرکت‌ها در رسیدگی و غلبه بر چالش‌های ذکر شده کمک ‌کرده و انجام موارد زیر را ممکن می‌کند:

  • تجمیع سیستم‌های امنیتی موجود و متمرکزسازی مجموعه داده‌ها در راستای دستیابی به رویت‌پذیری کامل.
  • خودکارسازی فرایندهای دستی تکراری و مدیریت تمام جنبه‌های وقایع امنیتی.
  • تعریف رویه‌های تحلیل وقایع و پاسخ‌گویی به آن‌ها، همچنین استفاده از شیوه‌نامه‌های امنیتی برای اولویت‌بندی و استانداردسازی فرایندهای پاسخ‌گویی.
  • تشخیص و اختصاص سریع و دقیق سطح شدت به هشدارهای امنیتی؛ پشتیبانی از “کاهش هشدار”[۷].
  • شناسایی و مدیریت بهتر آسیب‌پذیری‌های بالقوه (هم به صورت پیشگیرانه و هم در واکنش به وقایع رخ داده).
  • ارجاع هر رویداد امنیتی به مناسب‌ترین تحلیل‌گر برای پاسخ‌گویی به آن، ضمن فراهم‌سازی قابلیت‌هایی برای پشتیبانی همکاری و پیگیری راحت بین تیم‌ها و اعضای آن‌ها.

موارد استفاده SOAR

در ادامه، چند نمونه از موارد استفاده معمول فناوری SOAR ارائه شده است:

مورد استفاده توصیفی سطح بالا از آنچه هماهنگ‌سازی به آن کمک می‌کند
رسیدگی به هشدارهای امنیتی توانمندسازی فیشینگ و پاسخ‌گویی– کشف ایمیل‌های فیشینگ بالقوه، راه‌اندازی یک Playbook، خودکارسازی و اجرای فرایندهای قابل تکرار مانند اولویت‌بندی و مشارکت دادن افراد تحت تاثیر قرار گرفته، استخراج و بررسی نشانه‌ها، شناسایی موارد False positive و آماده‌سازی اولیه SOC برای یک پاسخ‌گویی استاندارد شده در مناسب‌ترین اندازه.

آلودگی “نقاط پایانی”[۸] به بدافزار– دستیابی به داده‌های تهدید از طریق ابزارهای نقطه پایانی، غنی‌سازی داده‌های به دست آمده، بررسی به وسیله “ارجاع متقابل”[۹] فایل‌ها/چکیده‌های[۱۰] بازیابی شده با استفاده از یک راه‌کار SIEM، اطلاع‌رسانی به تحلیل‌گران، پاک‌سازی نقاط پایانی و به‌رورسانی پایگاه داده‌ی ابزار نقطه پایانی.

ورودهای ناموفق کاربر به سیستم– پس از وقوع تعدادی از پیش تعریف شده ورود ناموفق کاربر به سیستم، ارزیابی غیرعمدی یا شرورانه بودن یک ورود ناموفق با راه‌اندازی یک Playbook، مشارکت دادن کاربران، تحلیل پاسخ‌های آن‌ها، منقضی کردن گذرواژه‌ها و بستن Playbook.

ورود به سیستم از مکان‌های غیرمعمول- شناسایی تلاش‌های دسترسی VPN احتمالا مخرب با بررسی وجود “VPN”[۱۱] و “CASB”[۱۲]، بررسی IPها با ارجاع متقابل، تعیین قطعی وقوع یک Breach با پرسش از کاربر و تایید او، صدور یک بلوک و بستن Playbook.

مدیریت عملیات‌های امنیت مدیریت گواهینامه‌های SSL– بررسی نقاط پایانی با هدف شناسایی گواهینامه‌های SSL منقضی شده یا در حال انقضا، اطلاع‌رسانی به کاربران، بررسی مجدد وضعیت پس از چند روز، ارجاع مشکل به افراد مناسب و بستن Playbook.

مدیریت آسیب‌پذیری– به دست آوردن اطلاعات دارایی و آسیب‌پذیری، غنی‌سازی داده‌های نقطه پایانی و “آسیب‌پذیری‌ها و تهدیدات رایج”[۱۳] (CVE)، استعلام برای اطلاعات زمینه‌ای در مورد آسیب‌پذیری، محاسبه شدت، تحویل کنترل به تحلیل‌گران امنیت برای بررسی و اصلاح، بستن Playbook

شکار تهدیدها و پاسخ‌گویی به وقایع شکار نشانه‌های نفوذ و به مخاطره‌افتادگی (IoCها)-بررسی و استخراج IoCها از فایل‌های ضمیمه شده، شکار IoCها از طریق ابزارهای هوش تهدید، به‌روزرسانی پایگاه‌های داده بستن Playbook.

تحلیل بدافزار– دریافت اطلاعات از چند منبع، استخراج و آشکار نمودن فایل‌های مخرب، تولید و ارائه یک گزارش، بررسی عمدی بودن، به‌روز‌رسانی پایگاه داده و بستن Playbook.

پاسخ‌گویی به وقایع Cloud-aware– دریافت داده از ابزارهای ثبت رویداد و تشخیص تهدید متمرکز بر Cloud، یکپارچه‌سازی فرایندها در طول زیرساخت‌های امنیتی On-premise و Cloud، همبسته‌سازی توسط یک SIEM، استخراج و غنی‌سازی نشانه‌ها، بررسی عمدی بودن، تحویل کنترل به تحلیل‌گران و درخواست از آن‌ها برای بازبینی اطلاعات، به‌روزرسانی پایگاه داده و بستن Playbook.

خودکارسازی امنیت غنی‌سازی IoC– دریافت داده از چند منبع، استخراج هر نشانه‌ای که نیازمند آشکارسازی است، غنی‌سازی URLها، IPS و چکیده‌ها؛ بررسی عمدی بودن، به‌روزرسانی پایگاه داده، دعوت از تحلیل‌گران برای بازبینی و بررسی اطلاعات، و بستن Playbook.

تعیین شدت رویداد-بررسی دیگر محصولات برای جستجوی امتیاز آسیب‌پذیری و اینکه آیا به نشانه‌های موجود امتیازی اختصاص یافته یا خیر، تخصیص شدت، بررسی نام‌های کاربری و نقاط پایانی برای دیدن اینکه آن‌ها در یک لیست بحرانی وجود دارند، تخصیص شدت بحرانی بودن و بستن رویداد.

مزایای فناوری SOAR

  • SOAR وضعیت امنیتی و بهره‌وری عملیاتی شرکت‌ها را بسیار بهبود می‌دهد.
  • SOAR سرعت شناسایی و پاسخ‌گویی به رویدادهای امنیتی را افزایش داده و فرایند پاسخ‌گویی را استانداردسازی می‌کند.
  • SOAR از همکاری‌های بلادرنگ و “تحقیقات ساختارنیافته”[۱۴] پشتیبانی می‌کند.
  • SOAR کارآمدی تحلیلگران را افزایش داده و به تحلیلگران اجازه می‌دهد تا به جای انجام دستی فرایندها، به طور موثرتر به بهبود امنیت بپردازند.
  • SOAR از ابزارهای فناوری امنیتی موجود استفاده می‌کند که شرکت‌ها قبلا بر روی آن‌ها سرمایه‌گذاری کرده‌اند.

فناوری SOAR هم به عنوان یک راهکار “با میزبانی Cloud”[۱۵] و هم به عنوان یک راه‌کار On-premise قابل دسترس است.

سخن آخر

شرکت امن‌پردازان کویر (APK) از شرکت‌های پیشگام کشور در حوزه‌ی ارائه خدمات امنیت سایبری به سازمان‌ها و شرکت‌ها، با در اختیار داشتن مجموعه‌ای از حرفه‌ای‌ترین مهندسان امنیت سایبری، آماده ارائه خدمات مشاوره و پیاده‌سازی فناوری SOAR در شرکت‌ها و سازمان‌ها است. جهت کسب اطلاعات بیشتر در این زمینه می‌توانید با شماره ۰۲۱۴۲۲۳۸ تماس حاصل نمایید.

[۱] Security orchestration, automation and response

[۲] Playbook

[۳] Case management

[۴] Global information services

[۵] NASDAQ

[۶] Visibility

[۷] Alert reduction

[۸] Endpoint

[۹] Cross-referencing

[۱۰] Hash

[۱۱] Virtual private network

[۱۲] Cloud access security broker

[۱۳] Common vulnerabilities and exposure

[۱۴] Unstructured investigations

[۱۵] Cloud-hosted

ایمیل خود را وارد کنید و عضو خبرنامه شوید.

محصولات شرکت

سامانه مدیریت یکپارچه تهدیدات
سامانه مرورگر امن (RBI)
سامانه مدیریت وقایع و امنیت اطلاعات

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.