خودکار سازی عملیات رسیدگی به رخدادهای امنیتی با استفاده از راهکارهای SOAR

تعریف SOAR

این اصطلاح در اصل توسط گارتنر (Gartner) معرفی گردیده که برای توصیف سه قابلیت نرم‌افزاری- مدیریت تهدید و آسیب‌پذیری، خودکارسازی عملیات رسیدگی به رخداد و نیز خودکارسازی فعالیت‌های عملیات امنیت مورد استفاده قرار می‌گیرد. این تکنولوژی برای سازمان‌ها این امکان را فراهم می­‌سازد تا داده‌های مربوط به تهدید را از منابع گسترده جمع‌آوری نموده و به تهدیدات سطح پایین به صورت خودکار پاسخ دهند.

SOAR مخفف Security Orchestration, Automation, and Response می­‌باشد. قابلیت مدیریت تهدید و آسیب­ پذیری (Orchestration)، فناوری­‌هایی که به اصلاح و رفع تهدیدات سایبری کمک می­‌نماید، را تحت پوشش قرار می­‌دهد. در حالی که خودکارسازی عملیات امنیت (Automation)، مرتبط با فناوری­‌هایی است که امکان خودکارسازی و هماهنگی و سازماندهی[۱] در عملیات را در سازمان فراهم می‌­نماید. از آنجایی‌که بسیاری از تهدیدات سایبری سازمان‌­ها به فناوری‌­های متعدد برای مقابله با آنها و نیز تعدادی نیروی انسانی برای انجام کارهای دستی و ایجاد ارتباط بین اطلاعات نیاز دارند، از اینرو می­بایست سازماندهی عملیات اصلاح و بهبود[۲] ، یکپارچه و صحیح باشد. هماهنگی و سازماندهی هنگام اجرای عملیات اصلاح و رفع تهدیدات، کارآیی را هدف قرار می­‌دهد، حال آنکه هدف از خودکارسازی[۳]، کاهش زمان این اقدامات با استفاده از قابلیت یادگیری ماشین می‌­باشد که همین امر خود نیز، منجر به کارآمد شدن فرآیند هماهنگی و سازماندهی می­‌گردد. واکنش به رخدادهای امنیتی (Response) به توصیف نحوه برنامه­‌ریزی، مدیریت، هماهنگی و پایش واکنش به یک تهدید می­‌پردازد. شایان ذکر است که ابزارهای SOAR امکان تشخیص و رفع خودکار رخدادهای امنیت سایبری را برای مراکز SOC و CSIRT فراهم می­‌نمایند.

گارتنر SOAR را به عنوان ابزاری معرفی می­­‌نماید که قادر است:

  • داده­‌ها و اعلام­‌خطرهای مرتبط با تهدیدات امنیتی را از منابع مختلف جمع‌آوری نماید.
  • تریاژ، اولویت‌­بندی و تحلیل رخداد را هم به صورت خودکار و هم دستی با کمک ماشین انجام دهد.
  • برای فعالیت‌های پاسخگویی به رخدادهای امنیتی، یک گردش‌کار استاندارد را تعریف و اجرا نماید.
  • روال‌­های پاسخگویی و تحلیل رخداد را در قالب گردش­کار دیجیتال، قالب‌گذاری نموده بطوری که امکان خودکارسازی بخشی یا تمام عملیات رسیدگی به رخداد را فراهم ­نماید.

مزایای SOAR

در این بخش به بیان برخی از مزایای اصلی راهکار SOAR پرداخته شده است:

  • سامانه‌های SOAR می­‌توانند به تعریف، اولویت‌بندی و استانداردسازی کارکردهایی[۴] که به رخدادهای امنیت سایبری واکنش می­‌دهند، کمک نماید.
  • این فناوری غالباً توسط سازمان‌ها به منظور بهبود كارآیی و خودکارسازی امنیت به كار گرفته می‌شود.
  • با حذف نیاز به کمک عامل انسانی­، می‌توان سریعتر به تهدیدها و آسیب‌پذیری‌ها واکنش نشان داده لذا کارکنان بهتر می‌توانند زمان خود را اولویت‌بندی و مدیریت نمایند.
  • این تکنولوژی به تیم­‌های امنیتی اجازه می‌­دهد تا براساس شناسایی و فهم تاکتیک‌­ها، تکنیک­‌ها و روال­‌های (TTPs[5]) مورد استفاده توسط مهاجم و نیز IOC‌های شناخته شده، به بینش و طرز تفکر مهاجم دست یابند. به همین منظور لازم است از چندین فید هوش تهدید (اطلاعات سازمان یافته و تحلیل شده در خصوص تهدیدات جاری و بالقوه) استفاده گردد که مکمل تشخیص تهدید می‌­باشد.
  • از این ابزار می‌­توان به منظور مقابله با برخی چالش‌­های مرتبط با امنیت سایبری از قبیل محدودیت بودجه استفاده نمود. با پیشرفت روزافزون تهدیدات، همواره برای مقابله با آنها نیاز به فناوری‌­ها و تجهیزات جدید می­باشد که تامین و مدیریت آنها، مستلزم در اختیار داشتن بودجه زیادی است. تکنولوژی SOAR این فرآیندها را ساده نموده و باعث کاهش میزان هزینه مورد نیاز و مدیریت کارآمد زمان می­‌گردد.
  • این فناوری، مدیریت زمان و بهره‌­وری را بهبود می­‌بخشد. با استفاده از پاسخ­گویی خودکار به تهدیدها، کارکنان بهتر می‌توانند وقت خود را بر روی فعالیت­‌هایی که امکان انجام خودکار آنها وجود ندارد، اولویت‌بندی نمایند.
  • استفاده از ابزارهای SOAR منجر به مدیریت اثربخش رخدادهای امنیتی می­‌گردد. چرا که استفاده از این فناوری باعث سریعتر و دقیق‌تر شدن پاسخگویی به رخداد، کاهش مدت زمان لازم برای این کار و نیز به حداقل رساندن ریسک تهدیدات می­‌گردد. فرآیند خودکار، خطاهای انسانی را نیز از بین می­‌برد.
  • این ابزار انعطاف‌پذیری بالایی با نیازهای مشتریان دارد. SOAR برای انطباق با هر سیستم امنیتی طراحی شده و قابل سفارشی‌­سازی برای محیط‌­های مختلف می­‌باشد. می­بایست چندین تیم بتوانند با سهولت از این ابزار استفاده نموده و از دسترسی لازم به منظور وارد کردن و خواندن داده­‌ها برخوردار باشند.
  • راهکار SOAR قابلیت توسعه و میزان همکاری و مشارکت را افزایش می­‌دهد.

برخی از شرکت‌­های فعال در حوزه توانمندی­‌های SOAR به شرح ذیل می­‌باشد:

  • LogRhythm
  • Rapid7
  •  FireEye
  •   Cybersponse
  • Demisto
  •   Cyberbit
  •  IBM SOAR
  • D3Security

نحوه انتخاب راهکار SOAR مناسب

در انتها، به بیان نکات مهمی که می­‌بایست تیم‌های امنیتی (از جمله مدیران CERT، SOC و CISO) هنگام انتخاب راهکار مناسب SOAR مدنظر قرار دهند، می‌­پردازیم. چهار نکته اساسی که در فرآیند ارزیابی راهکارهای SOAR باید مورد بررسی قرار گیرد، عبارت است از:

  • می­‌بایست یک راه حل SOAR با قابلیت “دو عملکردی[۶] انتخاب گردد تا به تیم امنیت اجازه خودکارسازی کارهای سخت و تکراری، بدون پیچیده­ و غیر ممکن سازی دخالت عامل انسانی (در شرایطی که نیاز به دخالت عامل انسانی وجود دارد) داده شود.
  • فناوری SOARای انتخاب گردد که به راحتی قابل یکپارچه‌­سازی با سایر فناوری­‌های مورد استفاده توسط تیم‌­های IT و امنیت، مرکز عملیات امنیت و مرکز واکنش به رخدادهای امنیت رایانه‌­ای باشد.
  • لیستی از کلیه مقررات، استانداردها و بهین­‌تجربیاتی[۷] که سازمان از آنها پیروی می­‌کند­، تهیه نموده و براساس آن، راهکار SOAR­ای انتخاب گردد که قادر به رفع این نیازها باشد.
  • برای راهکار انتخابی، نسبت ویژگی عملکردی به قیمت راهکار به عنوان یکی از پارامترهای انتخاب مورد بررسی قرار گیرد. برای همین منظور تنها می­‌بایست ویژگی‌های عملکردی مورد نیاز سازمان ملاک محاسبه این نسبت قرار گیرد.

نتیجه‌گیری

همانطور که پیشتر نیز عنوان شد، راهکار SOAR یک رویکرد واکنش به رخداد خودکار ارائه می­‌نماید که منجر به کاهش میزان دخالت عامل انسانی گردیده و منابع مالی را برای سایر عملیات مهم تجاری سازمان ذخیره می­‌نماید. همچنین قابلیت واکنش خودکار به رخداد موجود در راهکار SOAR، تداوم کسب‌و‌کار سازمان را تضمین نموده و بازگشت به حالت نرمال را پس از وقوع رخداد در سریع‌ترین زمان برای سازمان، امکان‌پذیر می­‌سازد. از این‌رو انتخاب ابزار SOAR مناسب از بین مجموعه‌ای از ابزارهای امنیتی موجود در این حوزه، بسیار مهم و حیاتی است. در یک محیط فناوری اطلاعات مشارکتی و خودکار، واکنش به رخدادهای امنیتی همواره به موقع و با مداخله موثر بالا انجام می­‌پذیرد.

واحد مرکز عملیات امنیت و مدیریت رخدادهای امنیت سایبری شرکت مهندسی اوژن تدبیر پارس به پشتوانه بهره­ گیری از نیروهای متخصص و خبره و نیز با داشتن تجربه‌های کاری موفق در این حوزه می­‌تواند اقدام به ارائه خدمات مشاوره و همچنین ارائه راهکارهای مرتبط با حوزه SOAR بر اساس به­‌روزترین بهین‌تجربیات بین‌المللی، برای سازمان­‌ها و ارگان‌­های دولتی و خصوصی نماید.

[۱] Orchestration

[۲] Remediation

[۳] Automation

[۴] Functions

[۵] Tactics, Techniques and Procedures

[۶] Dual Action

[۷] Best Practices

تگ­ها:

#CSIRT

#SOC

#CERT

#SOAR

#Response

#Incident_Response

#Cyber_Incident_Response

#Security_Incident_Response

#Security_Orchestration_Automation_and_Response

#مدیریت_رخداد

#رخدادهای_امنیت_سایبری

#رخدادهای_امنیت_رایانه‌ای

#رسیدگی_به_رخدادهای_امنیت_رایانه‌ای

#رسیدگی_به_رخدادهای_امنیت_سایبری

#اوژن_تدبیر_پارس