سلام دوستان! خیلی خوش اومدید. من محمد قنبری‌ام و شما دارید به اپیزود اول پادکست «الفبای SOAR» گوش می‌دید.می‌خوام صاف برم سر اصل مطلب، با یدونه سوال .“می‌خوام با یه سوال، یه تلنگر اساسی بهت بزنم. پایه‌ای؟”
یه سوال بپرسم که شاید خواب شب رو از چشمت بگیره. حاضری؟”
“می‌خوام یه لحظه ازت بخوام با خودت رو راست باشی، از اون روراستی‌ها. می‌تونی؟”
حاضری؟”

فرض کن همین الان، همین لحظه، مهم‌ترین سرور شرکت‌تون داره هک می‌شه. رُک و پوست‌کنده، چقدر طول می‌کشه تا بفهمین چی شده؟ بعد که فهمیدین، چقدر طول می‌کشه تا اولین حرکت رو برای جمع کردن ماجرا بزنین؟ یه ساعت؟ نیم ساعت؟ پنج دقیقه؟… داداش من، تو دنیای امروز پنج دقیقه یعنی یه عمر! هکره تو همون چند دقیقه می‌تونه کل بیزینس رو فلج کنه.
پس دعوا سر این نیست که “آیا” هک می‌شیم یا نه. دعوا سر اینه که “چقدر” آماده‌ایم که سریع و مثل آدم حسابی جواب حمله رو بدیم؟

اینجا، تو پادکست “الفبای SOAR”، می‌خوایم دقیقاً برای همین مشکل یه راه حل پیدا کنیم. راه حلی به اسم SOAR. که یعنی: هماهنگ‌سازی (Orchestration)، خودکارسازی (Automation) و پاسخ‌دهی (Response) امنیتی.

این قسمت اول مثل دست‌گرمیه. “اینجا صندلی برای همه هست؛ چه اونی که تازه اومده تو گود، چه اونی که خودش گرد و خاک این میدون رو خورده. قراره یه گپ خودمونی بزنیم. پس معطلش نکنیم، بریم ببینیم این SOAR اصلاً از کجا پیداش شده!”

قبل تعریف کتابی، بیا ببینیم چه بدبختی‌هایی داشتیم که این SOAR از توش در اومد. این مشکلات، مخصوصاً تو شرکت‌های ایرانی، خیلی آشناست. ببین کدومش برات آشناتره:
اولین مشکل رو مخ، سیل هشدارهای امنیتی: بابا تیم امنیت سازمان ها هر روز زیر آوار هزارتا هشدار دفن می‌شه! اینکه بفهمی کدومش واقعاً خطره و کدومش الکیه (False Positive)، خودش یه کار طاقت‌فرساست که آخرش هم کلی خطا توش داره. تو هم از این هشدارای الکی خسته شدی، نه؟
دومین مشکل مسخره، ابزارهای امنیتی‌مون با هم قهرن! کلی پول می‌دیم فایروال و آنتی‌ویروس و SIEM و EDR می‌خریم، ولی هر کدوم ساز خودشون رو می‌زنن. انگار جزیره‌های جدا از هم‌ان. اینجوری یه دید درست و حسابی از کل اوضاع نداریم. وضعیت شرکت شما چطوره؟ ابزاراتون با هم رفیقن؟
و سوم مشکل رایج، پیدا کردن نیروی کاربلد امنیت، شده مثل پیدا کردن سوزن تو انبار کاه! این مشکل همه جای دنیا هست، ولی تو ایران دیگه نور علی نوره!
خب، حالا که این دردسرا رو مرور کردیم، دوباره بپرسیم: این SOAR چی میگه؟
خیلی ساده و خودمونی بگم، SOAR یه جور مرامه، یه استراتژی و تکنولوژیه که کمک می‌کنه تیم‌های امنیت باهوش‌تر کار کنن، نه سخت‌تر.
برای اینکه قشنگ جا بیفته، بیا سه تا تیکه اصلی پازل SOAR رو باز کنیم. پایه‌ای؟

(رکن اول)
هماهنگ‌سازی یا ارکستریشن (Security Orchestration)

این کلمه، شاه‌بیت غزل SOAR هست. هماهنگ‌سازی یعنی بیایم این ابزارها و سیستم‌های مختلف رو با هم رفیق کنیم تا مثل یه تیم کار کنن. بهترین مثال براش، مثال رهبر ارکستره.

فکر کن شرکت شما یه ارکستره. فایروالت داره ویولن می‌زنه، SIEM پیانو، EDR هم ترومپت. هر کدوم غولین واسه خودشون. ولی اگه هماهنگ نباشن چی می‌شه؟ یه فاجعه صوتی!
Orchestration همون رهبر ارکستره که میاد وسط، به هر سازی میگه کِی بزنه، چجوری بزنه، با کی بزنه تا آخرش یه آهنگ خفن و شنیدنی در بیاد.
تو دنیای امنیت، این یعنی اون جزیره‌های جدا از هم رو به هم وصل کنیم تا یه تصویر کامل از اوضاع داشته باشیم. چطوره؟ مثالش خوب بود؟

(رکن دوم)
خودکارسازی (Security Automation)

خب، رکن دوم داستان ما، خودکارسازیه. اگه هماهنگ‌سازی این بود که ابزارا چطوری با هم کار کنن، خودکارسازی میگه چه کارایی رو بندازیم گردن کامپیوتر.
فکر کن یه بنده خدایی که کارشناس امنیته، نصف روزش رو داره برای کارهای تکراری و رو مخی وقتش رو تلف می‌کنه.
(افکت صوتی: صدای تایپ سریع و کلیک موس)
کارهایی مثل جمع کردن اطلاعات، چک کردن آی‌پی‌های مشکوک، اولویت‌بندی هشدارها… اینا کارای مهمیه، ولی خب خیلی تکراریه و آدم خطا می‌کنه.
خودکارسازی میاد این کارای رو مخ رو از روی دوش کارشناس برمیداره. اینجوری کارشناس ما نفس می‌کشه و می‌تونه انرژیش رو بذاره روی کارهای خلاقانه و مهم‌تر. مثلاً بره دنبال شکار تهدید (Threat Hunting) که کار هر کسی نیست. اینجوری خیلی بهتر نیست؟

(رکن سوم)
پاسخ‌دهی یا واکنش (Security Response)

خب، رسیدیم به قسمت هیجان‌انگیز ماجرا: واکنش!
ابزارامون رو با هم هماهنگ کردیم، کارهای تکراری رو هم خودکار کردیم. حالا وقتشه بزنیم تو دهن تهدید!
پاسخ‌دهی یعنی وقتی حمله‌ای شد، چه کارای مشخص و سریعی انجام بدیم تا گندش بیشتر از این در نیاد.
این کار با یه چیزی به اسم Playbook یا همون “دفترچه بازی” انجام می‌شه. Playbook یه جور دستورالعمل آماده‌ست. به جای اینکه موقع حمله همه هول بشن و ندونن چی کار کنن، این دفترچه بازی به صورت اتوماتیک اجرا می‌شه و قدم به قدم میگه چی کار باید کرد.
حالا یه سوال رفاقتی ازت دارم. تو شرکت خودتون، اگه خدایی نکرده یه باج‌افزار بیاد، یه سناریوی از قبل نوشته شده دارید که بگید دقیقه اول فلانی این کارو می‌کنه، ساعت اول اون یکی اون کارو؟ SOAR کمک می‌کنه جواب این سوالا رو از قبل آماده داشته باشیم.

(چرا SOAR انقدر مهمه؟)

حالا شاید بپرسی، این SOAR واقعاً اینقدر مهمه؟ جواب من یه “آره” گنده‌ست!
دیگه دوره کار دستی و سنتی تموم شده. باید از هکرها یه قدم جلوتر باشیم. SOAR ابزار همین کاره. یعنی به جای اینکه همیشه دنبال‌شون بدوییم و واکنش نشون بدیم، این دفعه ما پیش‌دستانه عمل می‌کنیم.
بیا یه سناریوی ایرانی رو با هم ببینیم:
فکر کن یه بانک یا یه سازمان مهم دولتی. هکرهاش هم از این بچه‌ هکرا نیستن، حرفه‌ای و کاردرستن. بی‌سروصدا و صبور کار می‌کنن.

یه سری اتفاقای ریز و مشکوک اینور اونور میفته: یه لاگ عجیب تو سرور، یه ترافیک غیرعادی تو فایروال، یه هشدار رو سیستم مدیرعامل.
بدون SOAR، این سه تا اتفاق شاید هیچ‌وقت به هم وصل نشن. ولی پلتفرم SOAR مثل یه کارآگاه حرفه‌ای، میاد این سه تا تیکه پازل رو میذاره کنار هم، عکس اصلی رو می‌بینه و می‌فهمه یه کاسه‌ای زیر نیم‌کاسه‌ست و قبل از اینکه فاجعه بشه، آژیر خطر رو می‌کشه و واکنش رو شروع می‌کنه.
این فرق بین خفه کردن خطر تو نطفه و جمع کردن یه گند بزرگه. حس کردی قدرتشو؟

(جمع‌بندی)
خب، رفقا! این بود قسمت اول سفرمون به دنیای SOAR. سعی کردم خودمونی بگم که این قضیه چیه و چرا اینقدر مهمه.
تو قسمت‌های بعدی خیلی جزئی‌تر می‌ریم تو دل ماجرا. در مورد Playbookها گپ می‌زنیم، می‌گیم چجوری یه پلتفرم خوب انتخاب کنیم و کلی مثال عملی می‌زنیم.
دمتون گرم که تا اینجا با من بودید. امیدوارم به دردتون خورده باشه.
تا گپ بعدی، امن و امان باشید. یا علی!