SOAR چیست؟
SOAR (ارکستراسیون امنیتی، اتوماسیون و پاسخگویی) مجموعهای از برنامههای نرمافزاری می باشد که سازمانها را قادر به جمع آوری داده ها و اطلاعات در مورد تهدیدات امنیتی کرده و به رویدادهای امنیت سایبری بدون نیاز به ادمین پاسخ مناسب می دهد. هدف از استفاده از پلت فرم SOAR بهبود کارایی عملیات امنیتی فیزیکی و دیجیتالی است.
SOAR : Security Orchestration, Automation and Response
پلتفرم های SOAR :
پلتفرم های SOAR دارای سه جزء اصلی هستند: هماهنگی (ارکستراسیون) امنیتی، اتوماسیون امنیتی و پاسخگویی امنیتی.
-
ارکستراسیون امنیتی :
ارکستراسیون امنیتی ، ابزارهای داخلی و خارجی متفاوت را از طریق ادغام های داخلی یا سفارشی و رابط های برنامه نویسی کاربردی (API) متصل و ادغام می کند. سیستمهای متصل می تواند شامل اسکنرهای آسیبپذیری، محصولات محافظت از نقاط پایانی، تجزیه و تحلیل رفتار کاربر نهایی، فایروالها، سیستمهای تشخیص نفوذ و پیشگیری از نفوذ (IDSes/IPS) و پلتفرمهای اطلاعات امنیتی و مدیریت رویداد (SIEM) و همچنین فیدهای اطلاعات تهدیدات خارجی باشند.
- رایج ترین تکنیک های رمزگذاری چیست؟
-
در اختیار داشتن دادههای جمعآوریشده، شانس بیشتری برای شناسایی تهدیدها و همینطور مبادله هشدارها و داده های بیشتری برای دریافت و تجزیه و تحلیل فراهم می کند. در جایی که هماهنگی امنیتی داده ها را برای شروع عملکردهای پاسخ ادغام می کند، اتوماسیون امنیتی اقدام می کند.
-
اتوماسیون امنیتی :
اتوماسیون امنیتی که توسط داده ها و هشدارهای جمع آوری شده از ارکستراسیون امنیتی تغذیه می شود، داده ها را دریافت و تجزیه و تحلیل می کند و فرآیندهای مکرر و خودکار را برای جایگزینی فرآیندهای دستی ایجاد می کند. وظایفی که قبلاً توسط تحلیلگران انجام می شد، مانند اسکن آسیب پذیری، تجزیه و تحلیل گزارش، بررسی بلیط و قابلیت های ممیزی، می توانند استاندارد شده و به طور خودکار توسط سیستم عامل های SOAR اجرا شوند. اتوماسیون SOAR با استفاده از هوش مصنوعی (AI) و علم یادگیری ماشینی برای رمزگشایی و انطباق بینش های تحلیلگران، می تواند توصیه هایی ارائه دهد و پاسخ های آینده را خودکار کند. متناوبا، در صورت نیاز به مداخله انسانی، اتوماسیون میتواند تهدیدها را افزایش دهد.
-
پاسخگویی امنیتی :
پاسخگویی امنیتی یک دیدگاه واحد را برای برنامه ریزی، مدیریت، نظارت و گزارش اقدامات انجام شده پس از شناسایی تهدید ارائه می دهد. همچنین شامل فعالیتهای پاسخگویی پس از حادثه، مانند مدیریت پرونده، گزارشدهی و اشتراکگذاری اطلاعات تهدید میشود.
مزایای SOAR
پلتفرمهای SOAR مزایای بسیاری را برای تیمهای عملیات امنیت سازمانی (SecOps) ارائه میکنند، از جمله موارد زیر:
- تشخیص سریعتر حادثه و زمان پاسخگویی : حجم و سرعت تهدیدات و رویدادهای امنیتی پیوسته در حال افزایش است. داده های بهبودیافته از SOAR ، همراه با اتوماسیون، می تواند، میانگین زمان شناسایی (MTTD) و میانگین زمان پاسخگویی (MTTR) را به حداقل برساند. با شناسایی و پاسخ سریعتر به تهدیدات، می توان تأثیر آنها را کاهش داد.
- پلتفرم های SOAR می توانند زمینه بیشتر، تجزیه و تحلیل بهتر و اطلاعات به روز تهدیدات امنیتی را ارائه دهند.
- مدیریت ساده شده پلتفرم های SOAR داشبوردهای مختلف سیستم های امنیتی را در یک رابط واحد ادغام می کنند. این به SecOps و سایر تیم ها با متمرکز کردن اطلاعات و پردازش داده ها، ساده کردن مدیریت و صرفه جویی در زمان کمک می کند.
- مقیاس پذیری. مقیاسپذیری فرآیندهای دستی زمانبر میتواند برای کارمندان دردسرساز باشد و با افزایش حجم رویدادهای امنیتی، همگامی با آنها غیرممکن است. ارکستراسیون، اتوماسیون و گردش کار SOAR میتواند نیازهای مقیاسپذیری را آسانتر برآورده کند.
- افزایش بهره وری تحلیلگران خودکارسازی تهدیدات سطح پایینتر، مسئولیتهای تیمهای SecOps و مرکز عملیات امنیتی (SOC) را افزایش میدهد و آنها را قادر میسازد تا وظایف را به طور مؤثرتری اولویتبندی کنند و به تهدیدهایی که نیاز به مداخله انسانی دارند سریعتر پاسخ دهند.
- گزارشدهی و تحلیل پلتفرمهای SOAR اطلاعات را به سرعت یکپارچه میکند و فرآیندهای مدیریت دادههای بهتر و تلاشهای پاسخ بهتر برای بهروزرسانی سیاستها و برنامههای امنیتی موجود برای امنیت مؤثرتر را ممکن میسازد. داشبورد متمرکز پلتفرم SOAR همچنین میتواند اشتراکگذاری اطلاعات را در تیمهای سازمانی متفاوت بهبود بخشد و ارتباطات و همکاری را افزایش دهد.
- کاهش هزینه ها در بسیاری از موارد، تقویت تحلیلگران امنیتی با ابزارهای SOAR میتواند هزینهها را کاهش دهد.
قابلیت های مهم SOAR
این اصطلاح که توسط گارتنر در سال 2015 ابداع شد، در ابتدا مخفف عملیات امنیتی، تجزیه و تحلیل و گزارش بود. بعداً در سال 2017 به شکل فعلی خود به روز شد و گارتنر سه قابلیت اصلی SOAR را به شرح زیر تعریف کرد:
- فناوریهای مدیریت تهدید و آسیبپذیری که از اصلاح آسیبپذیریها، ارائه گردش کار رسمی، گزارشدهی و قابلیتهای همکاری پشتیبانی میکنند.
- فناوریهای پاسخ گویی به حوادث امنیتی که از نحوه برنامه ریزی، مدیریت، ردیابی و هماهنگی واکنش یک سازمان به یک حادثه امنیتی پشتیبانی می کند.
- فناوریهای اتوماسیون عملیات امنیتی که از اتوماسیون و هماهنگ سازی گردش کار، فرآیندها، اجرای خط مشی و گزارش پشتیبانی می کند.
بعدها گارتنر این تعریف را بیشتر گسترش داد و همگرایی فناوری SOAR را به شرح زیر اصلاح کرد:
- پلتفرمهای پاسخگویی به حوادث امنیتی، که شامل قابلیتهایی مانند مدیریت آسیبپذیری، مدیریت پرونده، مدیریت رویداد، گردش کار، پایگاه دانش رویداد، قابلیتهای حسابرسی و ثبت گزارش، گزارشگیری و موارد دیگر میشود.
- هماهنگسازی و اتوماسیون امنیتی، که شامل یکپارچهسازی، اتوماسیون گردش کار، کتابهای راهنما، مدیریت کتاب راهنما، جمعآوری دادهها، تجزیه و تحلیل گزارش و مدیریت چرخه عمر حساب میشود.
- پلتفرمهای اطلاعات تهدید، که شامل تجمیع اطلاعات تهدید، تجزیه و تحلیل و توزیع، غنیسازی زمینه هشدار و تجسم اطلاعات تهدید میشود.
مقایسه SOAR با SIEM
با اینکه پلتفرمهای SOAR و SIEM هر دو دادهها را از منابع متعدد جمعآوری میکنند، اما این دو قابلیت باهم قابل جایگزینی نیستند . سیستمهای SIEM دادهها را جمعآوری کرده و انحرافات را شناسایی میکنند، تهدیدها را رتبهبندی و سپس هشدار تولید میکنند. سیستم های SOAR ، علاوه بر انجام این وظایف ، قابلیت های اضافی دارند. اول، پلتفرمهای SOAR با طیف وسیعتری از برنامههای داخلی و خارجی، چه امنیتی و چه غیرامنیتی، ادغام میشوند. دوم، در حالی که سیستمهای SIEM تنها به تحلیلگران امنیتی درباره یک رویداد احتمالی هشدار میدهند، پلتفرمهای SOAR از اتوماسیون، هوش مصنوعی و یادگیری ماشینی برای ارائه فیلدهای گسترده تر و پاسخهای خودکار به این تهدیدها استفاده میکنند.
بسیاری از شرکت ها از خدمات SOAR برای تقویت نرم افزار SIEM داخلی استفاده می کنند. در آینده، انتظار میرود تولیدکنندگان SIEM قابلیتهای SOAR را به خدمات خود اضافه کنند، که به این معنی است که بازار این دو خط تولید ادغام خواهد شد.
بسیاری از تولیدکنندگان SIEM قابلیت SOAR را در محصولات SIEM خود ارائه می دهند. سایر محصولات مانند دروازههای امنیتی ایمیل، تشخیص و پاسخ نقطه پایانی (EDR)، تشخیص و پاسخ شبکه (NDR) و تشخیص و پاسخ گسترده (XDR) نیز از قابلیتهای SOAR استفاده میکنند.