عملیات امنیت

فناوری SOAR چیست و چرا شرکت‌ها به آن نیاز دارند

فناوری SOAR

فناوری SOAR چیست و چرا شرکت‌ها به آن نیاز دارند

فناوری SOAR یا "هماهنگ‌سازی، خودکارسازی و پاسخ‌گویی در امنیت"[1] به هماهنگ‌سازی، اجرا و خودکارسازی فرایندها بین افراد و ابزارهای متنوع کمک کرده و به شرکت‌ها اجازه می‌دهد تا با پاسخ‌دهی سریع به حملات سایبری، وضعیت کلی امنیت خود را بهبود بخشند. ابزارهای SOAR از "شیوه‌نامه‌های"[2] امنیتی برای خودکارسازی و هماهنگ‌سازی جریان‌های کاری استفاده می‌کنند که ممکن است شامل هر تعدادی از ابزارهای امنیتی و همچنین فرایندهای انسانی متفاوت باشند.

فناوری SOAr چیست

یک محصول SOAR کامل به طرق مختلف، از جمله موارد زیر، به بهبود عملیات‌های امنیتی کمک می‌کند:

  • ترکیب هماهنگ‌سازی امنیتی، خودکارسازی هوشمند، مدیریت وقایع و تحقیقات تعاملی در یک راهکار واحد.
  • فائق آمدن بر حجم انبوه وظایف تحلیل‌گران امنیتی با تسهیل همکاری‌های تیمی و فراهم کردن امکان خودکارسازی اقدامات بر روی مجموعه ابزارهای امنیتی.
  • ارائه یک کنسول واحد و متمرکز به تیم‌های امنیتی شرکت‌ها برای مدیریت و هماهنگ‌سازی تمام جنبه‌های امنیتی.
  • بهینه‌سازی مدیریت پرونده[3]، افزایش کارایی با باز و بسته کردن Ticketها و بررسی و رفع رویدادها.

 فناوری SOAR

 شکل 1. نمونه‌ای از شیوه‌نامه‌های SOAR برای تحلیل بدافزار

چرا شرکت‌ها به فناوری SOAR  نیاز دارند

امروزه سازمان‌ها با چالش‌های زیادی روبرو هستند:

  • حجم روزافزون تهدیدات پیچیده امنیتی و تهدیدگران بداندیش.
  • تعداد بسیار زیاد ابزارهای امنیتی که بین بسیاری از آن‌ها هیچ‌گونه تعاملی وجود ندارد. برای مثال، نتایج گزارش "خدمات اطلاعات جهانی"[4] ارائه شده توسط بازار بورس نزدک[5] نشان می‌دهد که مراکز عملیات امنیت (SOC)، به طور متوسط از بیش از 15 محصول امنیتی استفاده می‌کنند. محصولاتی که اغلب آن‌ها خدمات خودکارسازی SOC را ارائه نمی‌کنند.
  • تعداد بسیار زیاد هشدارهای امنیتی و همچنین حجم زیاد داده‌های هوش تهدید که باعث می‌شود تیم‌های امنیتی قادر به مرتب‌سازی، اولویت‌بندی، بررسی و رسیدگی دستی به تمام هشدارهای امنیتی نباشند.
  • دشواری تامین نیروی امنیتی کافی با مجموعه مهارت‌های موردنیاز.
  • فقدان یا محدودیت رویت‌پذیری[6] بر روی ابزارها، مجموعه داده‌ها و محیط‌ها.

دلایل استفاده از فناوری SOAR

فناوری SOAR به شرکت‌ها در رسیدگی و غلبه بر چالش‌های ذکر شده کمک ‌کرده و انجام موارد زیر را ممکن می‌کند:

  • تجمیع سیستم‌های امنیتی موجود و متمرکزسازی مجموعه داده‌ها در راستای دستیابی به رویت‌پذیری کامل.
  • خودکارسازی فرایندهای دستی تکراری و مدیریت تمام جنبه‌های وقایع امنیتی.
  • تعریف رویه‌های تحلیل وقایع و پاسخ‌گویی به آن‌ها، همچنین استفاده از شیوه‌نامه‌های امنیتی برای اولویت‌بندی و استانداردسازی فرایندهای پاسخ‌گویی.
  • تشخیص و اختصاص سریع و دقیق سطح شدت به هشدارهای امنیتی؛ پشتیبانی از "کاهش هشدار"[7].
  • شناسایی و مدیریت بهتر آسیب‌پذیری‌های بالقوه (هم به صورت پیشگیرانه و هم در واکنش به وقایع رخ داده).
  • ارجاع هر رویداد امنیتی به مناسب‌ترین تحلیل‌گر برای پاسخ‌گویی به آن، ضمن فراهم‌سازی قابلیت‌هایی برای پشتیبانی همکاری و پیگیری راحت بین تیم‌ها و اعضای آن‌ها.

موارد استفاده SOAR

در ادامه، چند نمونه از موارد استفاده معمول فناوری SOAR ارائه شده است:

مورد استفاده

توصیفی سطح بالا از آنچه هماهنگ‌سازی به آن کمک می‌کند

رسیدگی به هشدارهای امنیتی

توانمندسازی فیشینگ و پاسخ‌گویی- کشف ایمیل‌های فیشینگ بالقوه، راه‌اندازی یک Playbook، خودکارسازی و اجرای فرایندهای قابل تکرار مانند اولویت‌بندی و مشارکت دادن افراد تحت تاثیر قرار گرفته، استخراج و بررسی نشانه‌ها، شناسایی موارد False positive و آماده‌سازی اولیه SOC برای یک پاسخ‌گویی استاندارد شده در مناسب‌ترین اندازه.

آلودگی "نقاط پایانی"[8] به بدافزار- دستیابی به داده‌های تهدید از طریق ابزارهای نقطه پایانی، غنی‌سازی داده‌های به دست آمده، بررسی به وسیله "ارجاع متقابل"[9] فایل‌ها/چکیده‌های[10] بازیابی شده با استفاده از یک راه‌کار SIEM، اطلاع‌رسانی به تحلیل‌گران، پاک‌سازی نقاط پایانی و به‌رورسانی پایگاه داده‌ی ابزار نقطه پایانی.

ورودهای ناموفق کاربر به سیستم- پس از وقوع تعدادی از پیش تعریف شده ورود ناموفق کاربر به سیستم، ارزیابی غیرعمدی یا شرورانه بودن یک ورود ناموفق با راه‌اندازی یک Playbook، مشارکت دادن کاربران، تحلیل پاسخ‌های آن‌ها، منقضی کردن گذرواژه‌ها و بستن Playbook.

ورود به سیستم از مکان‌های غیرمعمول- شناسایی تلاش‌های دسترسی VPN احتمالا مخرب با بررسی وجود "VPN"[11] و "CASB"[12]، بررسی IPها با ارجاع متقابل، تعیین قطعی وقوع یک Breach با پرسش از کاربر و تایید او، صدور یک بلوک و بستن Playbook.

مدیریت عملیات‌های امنیت

مدیریت گواهینامه‌های SSL- بررسی نقاط پایانی با هدف شناسایی گواهینامه‌های SSL منقضی شده یا در حال انقضا، اطلاع‌رسانی به کاربران، بررسی مجدد وضعیت پس از چند روز، ارجاع مشکل به افراد مناسب و بستن Playbook.

مدیریت آسیب‌پذیری- به دست آوردن اطلاعات دارایی و آسیب‌پذیری، غنی‌سازی داده‌های نقطه پایانی و "آسیب‌پذیری‌ها و تهدیدات رایج"[13] (CVE)، استعلام برای اطلاعات زمینه‌ای در مورد آسیب‌پذیری، محاسبه شدت، تحویل کنترل به تحلیل‌گران امنیت برای بررسی و اصلاح، بستن Playbook

شکار تهدیدها و پاسخ‌گویی به وقایع

شکار نشانه‌های نفوذ و به مخاطره‌افتادگی (IoCها)-بررسی و استخراج IoCها از فایل‌های ضمیمه شده، شکار IoCها از طریق ابزارهای هوش تهدید، به‌روزرسانی پایگاه‌های داده بستن Playbook.

تحلیل بدافزار- دریافت اطلاعات از چند منبع، استخراج و آشکار نمودن فایل‌های مخرب، تولید و ارائه یک گزارش، بررسی عمدی بودن، به‌روز‌رسانی پایگاه داده و بستن Playbook.

پاسخ‌گویی به وقایع Cloud-aware- دریافت داده از ابزارهای ثبت رویداد و تشخیص تهدید متمرکز بر Cloud، یکپارچه‌سازی فرایندها در طول زیرساخت‌های امنیتی On-premise و Cloud، همبسته‌سازی توسط یک SIEM، استخراج و غنی‌سازی نشانه‌ها، بررسی عمدی بودن، تحویل کنترل به تحلیل‌گران و درخواست از آن‌ها برای بازبینی اطلاعات، به‌روزرسانی پایگاه داده و بستن Playbook.

خودکارسازی امنیت

غنی‌سازی IoC- دریافت داده از چند منبع، استخراج هر نشانه‌ای که نیازمند آشکارسازی است، غنی‌سازی URLها، IPS و چکیده‌ها؛ بررسی عمدی بودن، به‌روزرسانی پایگاه داده، دعوت از تحلیل‌گران برای بازبینی و بررسی اطلاعات، و بستن Playbook.

تعیین شدت رویداد-بررسی دیگر محصولات برای جستجوی امتیاز آسیب‌پذیری و اینکه آیا به نشانه‌های موجود امتیازی اختصاص یافته یا خیر، تخصیص شدت، بررسی نام‌های کاربری و نقاط پایانی برای دیدن اینکه آن‌ها در یک لیست بحرانی وجود دارند، تخصیص شدت بحرانی بودن و بستن رویداد.

مزایای فناوری SOAR

  • SOAR وضعیت امنیتی و بهره‌وری عملیاتی شرکت‌ها را بسیار بهبود می‌دهد.
  • SOAR سرعت شناسایی و پاسخ‌گویی به رویدادهای امنیتی را افزایش داده و فرایند پاسخ‌گویی را استانداردسازی می‌کند.
  • SOAR از همکاری‌های بلادرنگ و "تحقیقات ساختارنیافته"[14] پشتیبانی می‌کند.
  • SOAR کارآمدی تحلیلگران را افزایش داده و به تحلیلگران اجازه می‌دهد تا به جای انجام دستی فرایندها، به طور موثرتر به بهبود امنیت بپردازند.
  • SOAR از ابزارهای فناوری امنیتی موجود استفاده می‌کند که شرکت‌ها قبلا بر روی آن‌ها سرمایه‌گذاری کرده‌اند.

فناوری SOAR هم به عنوان یک راهکار "با میزبانی Cloud"[15] و هم به عنوان یک راه‌کار On-premise قابل دسترس است.

سخن آخر

شرکت امن‌پردازان کویر (APK) از شرکت‌های پیشگام کشور در حوزه‌ی ارائه خدمات امنیت سایبری به سازمان‌ها و شرکت‌ها، با در اختیار داشتن مجموعه‌ای از حرفه‌ای‌ترین مهندسان امنیت سایبری، آماده ارائه خدمات مشاوره و پیاده‌سازی فناوری SOAR در شرکت‌ها و سازمان‌ها است. جهت کسب اطلاعات بیشتر در این زمینه می‌توانید با شماره 02142238 تماس حاصل نمایید.

 

[1] Security orchestration, automation and response

[2] Playbook

[3] Case management

[4] Global information services

[5] NASDAQ

[6] Visibility

[7] Alert reduction

[8] Endpoint

[9] Cross-referencing

[10] Hash

[11] Virtual private network

[12] Cloud access security broker

[13] Common vulnerabilities and exposure

[14] Unstructured investigations

[15] Cloud-hosted

محصولات و خدمات حوزه امنیت اطلاعات و امنیت شبکه

دارای تاییدیه از مراجع معتبر داخلی و خارجی | نصب در مراکز معتبر | با افتخار تولید ایران


مشاوره با کارشناسان امنیت اطلاعات و امنیت شبکه

شرکت APK (امن پردازان کویر) در راستای اهداف خود آماده است تا به سازمانها ، شرکتها و واحدهای صنعتی مشاوره تخصصی در حوزه امنیت اطلاعات و امنیت شبکه را بصورت رایگان ارایه نماید

نظرات (0)

هیچ نظری در اینجا وجود ندارد

نظر خود را اضافه کنید.

  1. ارسال نظر بعنوان یک مهمان ثبت نام یا ورود به حساب کاربری خود.
0 کاراکتر ها
پیوست ها (0 / 3)
مکان خود را به اشتراک بگذارید

شبکه‌های اجتماعی

عضویت در خبرنامه

مطالب شگفت انگیز ، در صندوق ورودی شما

بروزترین مقالات در زمینه های :امنیت اطلاعاتامنیت شبکهعملیات امنیت
تهران - بلوار كشاورز، خيابان شهيد نادري پائين تر از خيابان ايتاليا، پلاك ۲ واحد ۵۰۵
۷۳ ۴۲۲ (۰۲۱)
۴۲۲۳۸۰۰۰ (۰۲۱)
۱۴۱۶۶۱۳۶۶۹
info{at}apk-group.net
یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان
۳۶۲۹۰۹۹۰ (۰۳۵)
۸۹۱۶۷۱۵۹۵۷

 امن پردازان کویر

Search