SOAR چیست؟

SOAR (ارکستراسیون امنیتی، اتوماسیون و پاسخگویی) مجموعه‌ای از برنامه‌های نرم‌افزاری می باشد که سازمانها را قادر به جمع آوری داده ها و اطلاعات در مورد تهدیدات امنیتی کرده و به رویدادهای امنیت سایبری بدون نیاز به ادمین پاسخ مناسب می دهد. هدف از استفاده از پلت فرم SOAR بهبود کارایی عملیات امنیتی فیزیکی و دیجیتالی است.

SOAR : Security Orchestration, Automation and Response

پلتفرم های SOAR :

پلتفرم های SOAR دارای سه جزء اصلی هستند: هماهنگی (ارکستراسیون) امنیتی، اتوماسیون امنیتی و پاسخگویی امنیتی.

• ارکستراسیون امنیتی :

ارکستراسیون امنیتی ، ابزارهای داخلی و خارجی متفاوت را از طریق ادغام های داخلی یا سفارشی و رابط های برنامه نویسی کاربردی (API) متصل و ادغام می کند. سیستم‌های متصل می تواند شامل اسکنرهای آسیب‌پذیری، محصولات محافظت از نقاط پایانی، تجزیه و تحلیل رفتار کاربر نهایی، فایروال‌ها، سیستم‌های تشخیص نفوذ و پیشگیری از نفوذ (IDSes/IPS) و پلت‌فرم‌های اطلاعات امنیتی و مدیریت رویداد (SIEM) و همچنین فیدهای اطلاعات تهدیدات خارجی باشند.

• رایج ترین تکنیک های رمزگذاری چیست؟

• رمزگشایی SSL چیست؟

  ---

  در اختیار داشتن داده‌های جمع‌آوری‌شده، شانس بیشتری برای شناسایی تهدیدها و همینطور مبادله هشدارها و داده های بیشتری برای دریافت و تجزیه و تحلیل فراهم می کند. در جایی که هماهنگی امنیتی داده ها را برای شروع عملکردهای پاسخ ادغام می کند، اتوماسیون امنیتی اقدام می کند.

• اتوماسیون امنیتی :

اتوماسیون امنیتی که توسط داده ها و هشدارهای جمع آوری شده از ارکستراسیون امنیتی تغذیه می شود، داده ها را دریافت و تجزیه و تحلیل می کند و فرآیندهای مکرر و خودکار را برای جایگزینی فرآیندهای دستی ایجاد می کند. وظایفی که قبلاً توسط تحلیلگران انجام می شد، مانند اسکن آسیب پذیری، تجزیه و تحلیل گزارش، بررسی بلیط و قابلیت های ممیزی، می توانند استاندارد شده و به طور خودکار توسط سیستم عامل های SOAR اجرا شوند. اتوماسیون SOAR با استفاده از هوش مصنوعی (AI) و علم یادگیری ماشینی برای رمزگشایی و انطباق بینش های تحلیلگران، می تواند توصیه هایی ارائه دهد و پاسخ های آینده را خودکار کند. متناوبا، در صورت نیاز به مداخله انسانی، اتوماسیون می‌تواند تهدیدها را افزایش دهد.

• پاسخگویی امنیتی :

پاسخگویی امنیتی یک دیدگاه واحد را برای برنامه ریزی، مدیریت، نظارت و گزارش اقدامات انجام شده پس از شناسایی تهدید ارائه می دهد. همچنین شامل فعالیت‌های پاسخگویی پس از حادثه، مانند مدیریت پرونده، گزارش‌دهی و اشتراک‌گذاری اطلاعات تهدید می‌شود.

پلتفرم‌های SOAR مزایای بسیاری را برای تیم‌های عملیات امنیت سازمانی (SecOps) ارائه می‌کنند، از جمله موارد زیر:

• تشخیص سریعتر حادثه و زمان پاسخگویی : حجم و سرعت تهدیدات و رویدادهای امنیتی پیوسته در حال افزایش است. داده های بهبودیافته از  SOAR ، همراه با اتوماسیون، می تواند، میانگین زمان شناسایی (MTTD) و میانگین زمان پاسخگویی (MTTR) را به حداقل برساند. با شناسایی و پاسخ سریعتر به تهدیدات، می توان تأثیر آنها را کاهش داد.
• پلتفرم های SOAR می توانند زمینه بیشتر، تجزیه و تحلیل بهتر و اطلاعات به روز تهدیدات امنیتی را ارائه دهند.
• مدیریت ساده شده پلتفرم های SOAR داشبوردهای مختلف سیستم های امنیتی را در یک رابط واحد ادغام می کنند. این به SecOps و سایر تیم ها با متمرکز کردن اطلاعات و پردازش داده ها، ساده کردن مدیریت و صرفه جویی در زمان کمک می کند.
• مقیاس پذیری. مقیاس‌پذیری فرآیندهای دستی زمان‌بر می‌تواند برای کارمندان دردسرساز باشد و با افزایش حجم رویدادهای امنیتی، همگامی با آنها غیرممکن است. ارکستراسیون، اتوماسیون و گردش کار SOAR می‌تواند نیازهای مقیاس‌پذیری را آسان‌تر برآورده کند.
• افزایش بهره وری تحلیلگران خودکارسازی تهدیدات سطح پایین‌تر، مسئولیت‌های تیم‌های SecOps و مرکز عملیات امنیتی (SOC) را افزایش می‌دهد و آنها را قادر می‌سازد تا وظایف را به طور مؤثرتری اولویت‌بندی کنند و به تهدیدهایی که نیاز به مداخله انسانی دارند سریع‌تر پاسخ دهند.
• گزارش‌دهی و تحلیل پلت‌فرم‌های SOAR اطلاعات را به سرعت یکپارچه می‌کند و فرآیندهای مدیریت داده‌های بهتر و تلاش‌های پاسخ بهتر برای به‌روزرسانی سیاست‌ها و برنامه‌های امنیتی موجود برای امنیت مؤثرتر را ممکن می‌سازد. داشبورد متمرکز پلتفرم SOAR همچنین می‌تواند اشتراک‌گذاری اطلاعات را در تیم‌های سازمانی متفاوت بهبود بخشد و ارتباطات و همکاری را افزایش دهد.
• کاهش هزینه ها در بسیاری از موارد، تقویت تحلیل‌گران امنیتی با ابزارهای SOAR می‌تواند هزینه‌ها را کاهش دهد.

این اصطلاح که توسط گارتنر در سال 2015 ابداع شد، در ابتدا مخفف عملیات امنیتی، تجزیه و تحلیل و گزارش بود. بعداً در سال 2017 به شکل فعلی خود به روز شد و گارتنر سه قابلیت اصلی SOAR را به شرح زیر تعریف کرد:

• فناوریهای مدیریت تهدید و آسیب‌پذیری که از اصلاح آسیب‌پذیری‌ها، ارائه گردش کار رسمی، گزارش‌دهی و قابلیت‌های همکاری پشتیبانی می‌کنند.
• فناوریهای پاسخ گویی به حوادث امنیتی که از نحوه برنامه ریزی، مدیریت، ردیابی و هماهنگی واکنش یک سازمان به یک حادثه امنیتی پشتیبانی می کند.
• فناوریهای اتوماسیون عملیات امنیتی که از اتوماسیون و هماهنگ سازی گردش کار، فرآیندها، اجرای خط مشی و گزارش پشتیبانی می کند.

بعدها گارتنر این تعریف را بیشتر گسترش داد و همگرایی فناوری SOAR را به شرح زیر اصلاح کرد:

• پلتفرم‌های پاسخگویی به حوادث امنیتی، که شامل قابلیت‌هایی مانند مدیریت آسیب‌پذیری، مدیریت پرونده، مدیریت رویداد، گردش کار، پایگاه دانش رویداد، قابلیت‌های حسابرسی و ثبت گزارش، گزارش‌گیری و موارد دیگر می‌شود.
• هماهنگ‌سازی و اتوماسیون امنیتی، که شامل یکپارچه‌سازی، اتوماسیون گردش کار، کتاب‌های راهنما، مدیریت کتاب راهنما، جمع‌آوری داده‌ها، تجزیه و تحلیل گزارش و مدیریت چرخه عمر حساب می‌شود.
• پلتفرم‌های اطلاعات تهدید، که شامل تجمیع اطلاعات تهدید، تجزیه و تحلیل و توزیع، غنی‌سازی زمینه هشدار و تجسم اطلاعات تهدید می‌شود.

با اینکه پلتفرم‌های SOAR و SIEM هر دو داده‌ها را از منابع متعدد جمع‌آوری می‌کنند، اما این دو قابلیت باهم قابل جایگزینی نیستند . سیستم‌های SIEM داده‌ها را جمع‌آوری کرده و انحرافات را شناسایی می‌کنند، تهدیدها را رتبه‌بندی و سپس هشدار تولید می‌کنند. سیستم های SOAR ، علاوه بر انجام این وظایف ، قابلیت های اضافی دارند. اول، پلتفرم‌های SOAR با طیف وسیع‌تری از برنامه‌های داخلی و خارجی، چه امنیتی و چه غیرامنیتی، ادغام می‌شوند. دوم، در حالی که سیستم‌های SIEM تنها به تحلیلگران امنیتی درباره یک رویداد احتمالی هشدار می‌دهند، پلتفرم‌های SOAR از اتوماسیون، هوش مصنوعی و یادگیری ماشینی برای ارائه فیلدهای گسترده تر و پاسخ‌های خودکار به این تهدیدها استفاده می‌کنند.

بسیاری از شرکت ها از خدمات SOAR برای تقویت نرم افزار SIEM داخلی استفاده می کنند. در آینده، انتظار می‌رود تولیدکنندگان SIEM قابلیت‌های SOAR را به خدمات خود اضافه کنند، که به این معنی است که بازار این دو خط تولید ادغام خواهد شد.

بسیاری از تولیدکنندگان SIEM قابلیت SOAR را در محصولات SIEM خود ارائه می دهند. سایر محصولات مانند دروازه‌های امنیتی ایمیل، تشخیص و پاسخ نقطه پایانی (EDR)، تشخیص و پاسخ شبکه (NDR) و تشخیص و پاسخ گسترده (XDR) نیز از قابلیت‌های SOAR استفاده می‌کنند.