: :
ارسال شده توسط
پادکست

سلام رفقا! خیلی خوش اومدید. من محمد قنبری‌ام و شما دارید به اپیزود دوم پادکست «الفبای SOAR» گوش می‌دید.
تو اپیزود قبل، راجع به پایه‌های SOAR و اینکه چقدر تو دنیای امنیت امروز مهمه حرف زدیم. حالا وقتشه یه قدم عمیق‌تر بریم و شیرجه بزنیم تو یکی از بخش‌های اصلی و خیلی مهم SOAR.

معمولاً “هماهنگ‌سازی امنیتی” رو به رهبر ارکستر تشبیه می‌کنن. این تشبیه…حرف نداره! و ما امروز می‌خوایم این تشبیه رو با گوشت و پوستمون حس کنیم. فکر کنین تو یه سالن کنسرت خفن نشستین و منتظرین یه آهنگ حماسی شروع بشه. کلی نوازنده با سازهای جورواجور رو صحنه نشستن، ولی کی قراره این همه انرژی رو تبدیل به یه شاهکار هماهنگ کنه؟

رهبر ارکستر! همون کاندیداکتور! این آدم، فرمونِ کل اجرا دستشه! با هر حرکت دستش، با هر اشاره و نگاهش، ضربان موسیقی رو کنترل می‌کنه.
حالا این عکس رو تو ذهنتون نگه دارید. چون مفهوم “هماهنگ‌سازی امنیتی” دقیقاً یعنی اینکه ابزارها، سیستم‌ها و روش‌های امنیتی مختلف رو یه جوری به هم وصل کنیم که یه محیط هماهنگ و کارآمد درست بشه. ولی خب… این هماهنگ‌سازی تو عمل یعنی چی؟ چجوری کار می‌کنه؟ چه فایده‌هایی داره و چه چالش‌هایی سر راهشه؟ تو این فصل می‌خوایم به همین سوالا جواب بدیم.

اول از همه، میریم تو دل مفهوم هماهنگ‌سازی و عمیق بررسیش می‌کنیم. بعد می‌بینیم جاش تو پازل بزرگ SOAR کجاست و رابطه‌ش با خودکارسازی و پاسخ به حوادث چیه. و یه نکته خیلی مهم: فرق بین هماهنگ‌سازی و خودکارسازی رو براتون روشن می‌کنم تا ببینیم این دوتا چجوری کنار هم می‌تونن یه راه حل امنیتی کامل و توپ برامون بسازن.
البته جاده همیشه صاف نیست. با همه خوبی‌هاش، هماهنگ‌سازی چالش‌های خودشم داره که آخر این فصل، راجع به اونا و اینکه چجوری از پسشون بربیایم هم حرف می‌زنیم.
یادتون نره، همونجوری که قبلاً هم گفتم، خفن شدن تو SOAR مثل دوی سرعت نیست، یه ماراتن فکریه. با هر قدمی که برمی‌داریم، فهممون عمیق‌تر می‌شه و دیدمون دقیق‌تر. پس بزن بریم قدم بعدی رو برداریم و وارد دنیای باحال هماهنگ‌سازی امنیتی بشیم.

تعریف و مفاهیم کلیدی هماهنگ‌سازی

خب، بزن بریم سراغ اصل مطلب. تو دلِ هماهنگ‌سازی امنیتی، ایده “یکپارچه‌سازی” یا همون Integration خوابیده.
فکر کنین یه شرکت معمولی تو ایران، حالا دولتی یا خصوصی فرقی نداره. برای اینکه از خودش محافظت کنه، یه عالمه ابزار امنیتی مختلف داره:
• فایروال‌ها
• سیستم‌های تشخیص نفوذ یا همون IDS
• آنتی‌ویروس‌ها
• و اسکنرهای آسیب‌پذیری
سوال اول برای شما: یه لحظه فکر کنین… به شرکت خودتون یا شرکتی که می‌شناسین. می‌تونین حداقل سه تا ابزار امنیتی که اونجا استفاده می‌شه رو اسم ببرین؟ حالا از خودتون بپرسین، این ابزارها اصلاً با هم حرف می‌زنن؟ اطلاعاتشون رو به هم پاس می‌دن؟

قدیما، این ابزارها تو “سیلو” (Silo) کار می‌کردن. این کلمه رو یادتون بمونه: سیلو. یعنی هرکدوم ساز خودشونو می‌زدن و کاری به بقیه نداشتن یا خیلی کم با هم در ارتباط بودن. نتیجه‌ش چی بود؟ یه وضعیت شلخته و تیکه پاره از امنیت شرکت. دیدمون کلی نبود و هکرها خیلی راحت از بین درزهای این ابزارها رد می‌شدن.
حالا هماهنگ‌سازی امنیتی میاد که این آشفتگی رو جمع کنه. چجوری؟ با وصل کردن این ابزارهای مختلف به یه سیستم واحد. این کار با کمک API ها و یه سری روش‌های دیگه انجام می‌شه که ابزارها بتونن با هم تعامل کنن.
بعد از اینکه اینا به هم وصل شدن، دیگه می‌تونن دیتاها رو با هم شیر کنن، با توجه به خروجی همدیگه یه سری کارا رو استارت بزنن و کلاً مثل یه تیم هماهنگ عمل کنن. اینجاست که ما به یه دید کامل از وضعیت امنیت می‌رسیم و می‌تونیم خیلی کارآمدتر و موثرتر به تهدیدها جواب بدیم.
دومین مفهوم کلیدی، تناسب یا همون هماهنگی (Coordination) هستش. برگردیم سراغ رهبر ارکستر خودمون. کار اصلیش چیه؟
• اول، هدایت و هماهنگی طوفانی: رهبر ارکستر با اون چوبش و حرکات بدنش، به نوازنده‌ها سیگنال می‌ده. سرعت، ریتم و شدت صدا رو اون تنظیم می‌کنه.
• دوم، تفسیر هنرمندانه موسیقی: اون فقط نت‌ها رو اجرا نمی‌کنه؛ آهنگ رو تفسیر می‌کنه! حس و حال خودش رو به نوازنده‌ها منتقل می‌کنه تا یه اجرای خشک و خالی تبدیل به یه تجربه فراموش‌نشدنی بشه.
حالا ببینین هماهنگ‌سازی امنیتی چقدر شبیه اینه: اونم دقیقاً مطمئن می‌شه که همه ابزارها و فرآیندها کاملاً هماهنگ با هم کار کنن. این کار با تعریف یه سری قانون و جریان‌کاری یا همون Workflows انجام می‌شه.

مثلاً، فرض کنین سیستم IDS یه تهدید احتمالی پیدا می‌کنه. توی یه سیستم هماهنگ، می‌تونه اتوماتیک یه سری کار رو تو بقیه ابزارها راه بندازه. مثلاً:
• فوراً به سوئیچ‌ها دستور بده اون تیکه از شبکه رو که آلوده شده ایزوله کنن.
• یا روی اون سیستم مشکوک، یه اسکن عمیق برای پیدا کردن بدافزار راه بندازه.
یه همچین واکنش هماهنگی، زمان جواب دادن به تهدید رو وحشتناک میاره پایین و خسارت رو به حداقل می‌رسونه.
سومین مفهوم کلیدی، “خودکارسازی” یا Automation هست. با اینکه هماهنگ‌سازی و خودکارسازی دوتا چیز جدا هستن، ولی خیلی به هم ربط دارن. راستش، هماهنگ‌سازی اون زیرساخت و بستری رو آماده می‌کنه که خودکارسازی بتونه روش اجرا بشه.
و یه نکته خیلی خیلی مهم که باید روش تاکید کنم: خودکارسازی توی یه بستر هماهنگ، معنی‌ش این نیست که تحلیل‌گرهای انسانی رو بندازیم بیرون. هدف اینه که اونارو قوی‌تر کنیم.
سوال دوم برای شما: فرض کنین شما یه تحلیل‌گر امنیتین و از کارای تکراری هر روزه کلافه شدین. اگه قرار بود فقط یه کار رو توی شغلتون خودکار کنین تا وقتتون برای کارای مهم‌تر آزاد بشه، اون کار چی بود؟

دیدین؟ هدف دقیقاً همینه. اینکه از شر کارای تکراری و رو مخ خلاص بشیم و تمرکزمون رو بذاریم رو مسائل پیچیده و استراتژیکی که واقعاً مغز و قضاوت آدمیزاد رو لازم داره.
و آخرین مفهوم کلیدی، “قابلیت دیدپذیری” یا Visibility هست. وقتی ابزارها رو با هم یکپارچه می‌کنیم، هماهنگ‌سازی یه دید کامل و یه تیکه از وضعیت امنیتی شرکت بهمون می‌ده. این سطح از دید، برای تصمیم‌گیری درست، پیدا کردن الگوها تو اتفاقات امنیتی، و آپدیت کردن استراتژی امنیتیمون حیاتیه.

چرا واقعاً به این ارکستر نیاز داریم؟

خب، حالا که با مفهومای اصلی آشنا شدیم، برگردیم به اون سواله: با این همه پیچیدگی و تغییر تهدیدای سایبری، اصلاً چرا این هماهنگ‌سازی اینقدر مهمه و یه جورایی ضروریه؟
اولین و مهم‌ترین دلیل، حجم و پیچیدگی خودِ تهدیدهاست. از باج‌افزارها (Ransomware) بگیر تا حمله‌های فیشینگ، لو رفتن داده‌ها (Data Breaches) و حتی تهدیدایی که از داخل خود شرکت میان.
دلیل دوم، کارایی بچه‌های تیم عملیات امنیت یا همون SecOps هست. کارای امنیتی خیلی پیچیده شده و پر از وظیفه‌های تکراری و دستی. این یه بار سنگینی رو دوش بچه‌های فنی امنیته و باعث اشتباه و تاخیر می‌شه.
و سوم، بالا بردن دید و کنترل. وقتی یه عالمه ابزار امنیتی داری، اینکه بفهمی اوضاع کلی امنیت چجوریه، مثل اینه که به یه پازل هزار تیکه‌ی ریخته رو زمین نگاه کنی. هماهنگ‌سازی میاد این پازل رو برامون می‌چینه.
سوال سوم برای شما: فرض کنین یه حمله سایبری تو شرکتتون اتفاق افتاده. بدون یه سیستم هماهنگ، چقدر طول می‌کشه تا تیم امنیت بتونه اطلاعات رو از فایروال، IDS، آنتی‌ویروس و لاگ‌های سیستم‌عاملا جمع کنه و بذاره کنار هم تا بفهمه دقیقاً چی شده؟ چند ساعت؟ چند روز؟ این دیر کردن چه گندی می‌تونه به بار بیاره؟

دقیقاً همین لفت دادنه که هکر ازش سوءاستفاده می‌کنه. حالا چندتا فایده دیگه رو هم سریع با هم ببینیم:
• راحت کردن پاسخ به حوادث: هماهنگ‌سازی زمان پاسخ رو از چند ساعت میاره پایین به چند دقیقه یا حتی چند ثانیه.
• راحت‌تر کردن کارای مربوط به قوانین و مقررات: تو ایران هم که بحث قانونای حفاظت از داده‌های شخصی روز به روز داره جدی‌تر می‌شه. هماهنگ‌سازی، گزارش دادن برای اینکه ثابت کنی این قانونا رو رعایت کردی، خیلی راحت‌تر می‌کنه.
• نقش کلیدی تو هوش تهدید (Threat Intelligence): بهمون کمک می‌کنه حمله‌های احتمالی رو پیش‌بینی کنیم.
• و آخرش هم، صرفه‌جویی تو هزینه‌ها.
پس تهش اینه که نیاز به هماهنگ‌سازی امنیتی، یه جواب مستقیم به پیچیدگی دنیای سایبری امروزه.

دو روی یک سکه؛ فرق هماهنگ‌سازی و خودکارسازی

یکی از سوالای پرتکرار و جاهایی که معمولاً ملت قاطی می‌کنن، فرق بین هماهنگ‌سازی و خودکارسازیه. این دوتا کلمه رو خیلی وقتا جای هم به کار می‌برن، ولی مفهومشون فرق داره.
هماهنگ‌سازی (Orchestration): فرض کنین می‌خوایم یه اتوبان بین چندتا شهر بسازیم. هماهنگ‌سازی یعنی ساختن اون زیرساخت، پل‌ها و جاده‌های ارتباطی بین ابزارهای امنیتی مختلف تا بتونن با هم «حرف بزنن». فوکوس هماهنگ‌سازی رو اینه که سیستم‌ها رو به هم وصل کنه.
خودکارسازی (Automation): حالا که اتوبان ساخته شده، خودکارسازی یعنی اینکه ماشینای خودران رو بندازیم تو این اتوبان تا یه سری کارای خاص رو بدون دخالت آدم انجام بدن. فوکوس خودکارسازی روی انجام یه کار مشخص و تکراریه.
رابطه بین این دوتا رو می‌شه با همون تشبیه خفن خودمون توضیح داد: رابطه بین رهبر ارکستر و نوازنده‌هاش.
رهبر ارکستر (یعنی هماهنگ‌سازی امنیتی): اون کسیه که حواسش هست همه نوازنده‌ها (یعنی ابزارهای امنیتی شما) با هم هماهنگ باشن. اون نقشه کلی موسیقی رو دستشه و می‌دونه هر سازی کی باید صداش در بیاد، کی ساکت باشه و با چه شدتی بزنه. اون زیرساخت ارتباطی رو می‌سازه.
نوازنده‌ها (یعنی خودکارسازی امنیتی): وقتی این هماهنگی برقرار شد، حالا هر نوازنده‌ای می‌تونه تیکه مربوط به خودشو اتوماتیک و بدون دستور لحظه‌ای اجرا کنه. ویولونیست نت خودشو می‌زنه، نوازنده ترومپت سر وقتش میاد تو. این یعنی اجرای کارای مشخص و تکراری طبق دستور رهبر.
پس هماهنگ‌سازی، اون بستر و استراتژی کلی رو آماده می‌کنه و خودکارسازی، اجرای دقیق و سریع اون استراتژی تو سطح کارهای مختلفه.
حالا سوال نهایی از شما: با این تعریف‌ها، به نظرتون برای یه شرکت، اولویت با پیاده‌سازی هماهنگ‌سازیه یا خودکارسازی؟ می‌شه یکیشو بدون اون یکی به شکل درست و حسابی داشت؟ چرا؟

این یه سوال خیلی مهمه. آره، شما می‌تونین یه کار خاص رو توی یه ابزار خاص خودکار کنین. این می‌شه خودکارسازی. ولی این یه خودکارسازی تنها و محدوده. از اون طرف هم می‌تونین یه محیط کاملاً هماهنگ داشته باشین، ولی هیچی رو خودکار نکرده باشین.
اما اگه بخوایم از SOAR تهِ استفاده رو ببریم، به جفتش نیاز داریم: یه محیط با هماهنگ‌سازی خوب و همزمان، یه عالمه خودکارسازی. هماهنگ‌سازی فونداسیونه و خودکارسازی، ساختمون روی اون فونداسیونه.
پس نتیجه اینه که با اینکه هماهنگ‌سازی و خودکارسازی دوتا مفهوم جدا هستن، ولی خیلی بهم گره خوردن و همدیگه رو قوی‌تر می‌کنن.

تو این اپیزود، با هم فهمیدیم این هماهنگ‌سازی امنیتی چی هست. دیدیم که چجوری مثل یه رهبر ارکستر به ابزارهای ما نظم می‌ده، چرا بهش نیاز داریم و چه فرقی با خودکارسازی داره. امیدوارم سوالایی که پرسیدم، ذهنتون رو درگیر کرده باشه تا این چیزا رو تو محیط کار خودتون عمیق‌تر تحلیل کنین.
تو بخش بعدی، قراره به صورت تخصصی و عمیق بریم تو دنیای خودکارسازی امنیتی (Security Automation).
دمتون گرم که تو این اپیزود از پادکست «الفبای SOAR» با من همراه بودید. منتظر کامنت‌ها و جواباتون به سوالای این اپیزود هستم. تا اپیزود بعدی، مراقب خودتون باشین و همیشه آپدیت بمونین.
محمد قنبری.

دانلود مستقیم

دانلود مستقیم
برچسب ها:

پست های مرتبط

15 اردیبهشت 1405

سیم باز فصل دوم قسمت اول: شکار تهدیدات پنهان با Splunk و لاگ‌های معمولی

ادامه مطلب

23 فروردین 1405

اتصال Threat Intelligence در Splunk ES به پورتال شاخص‌های آلودگی AFTA: راهنمای جامع و عملیاتی

ادامه مطلب

19 بهمن 1404

الفبای SOAR قسمت ششم – فقط ابزار نخرید، استراتژی بسازید!

ادامه مطلب

19 بهمن 1404

الفبای SOAR قسمت پنجم – کالبدشکافی SOAR: زیر کاپوت این ماشین امنیتی چه خبره؟

ادامه مطلب

19 بهمن 1404

الفبای SOAR قسمت چهارم – هنر پاسخ‌دهی (Response)

ادامه مطلب

دیدگاهتان را بنویسید