: :
ارسال شده توسط
پادکست

به نام خالق دانش… سلام می‌کنم به همه شما همراهان عزیز و جستجوگر پادکست “الفبای SOAR”. من محمد قنبری هستم و بی‌نهایت خوشحالم که در سومین اپیزود از این سفر آموزشی، میزبان گوش‌های شما هستم.

در اپیزود قبل، با هم مفهوم هماهنگ‌سازی امنیتی یا Orchestration رو شکافتیم. یادتون هست؟ گفتیم که چطور مثل یک رهبر ارکستر، ابزارها و فرآیندهای امنیتی رو کنار هم قرار می‌دیم تا یکپارچه و هماهنگ عمل کنن.
اما امروز… امروز می‌خوایم در مورد نوازنده‌های این ارکستر صحبت کنیم. نوازنده‌هایی که هرگز خسته نمیشن… هرگز اشتباه نمی‌کنن… و نت‌ها رو با سرعتی فرا انسانی اجرا می‌کنن. بله، می‌خوایم به قلب تپنده SOAR، یعنی حرف A یا خودکارسازی امنیتی (Security Automation) بپردازیم. این فصل، در واقع فصل غنی‌سازی و تکمیلِ اون هماهنگ‌سازی هست.
پس اگه آماده‌اید، بریم که می‌خوایم به دنیای شگفت‌انگیز خودکارسازی امنیتی وارد بشیم و ببینیم چطور می‌تونه قواعد بازی رو در امنیت سایبری… به کل تغییر بده.

اجازه بدید همین اول کار، با یک تصویرسازی شروع کنیم. مرکز عملیات امنیت یا SOC سازمان خودتون رو برای یک لحظه تصور کنید… ساعت ۳ بعد از ظهر یک روز کاری شلوغه. مانیتورها پر از هشدارهای ریز و درشت هستن… تیم شما داره با حجم زیادی از کار دست‌وپنجه نرم می‌کنه.
حالا… این سناریو رو مقایسه کنید با یک سناریوی دیگه: همون ساعت، همون روز، ولی بخش بزرگی از هشدارهای اولیه و کارهای تکراری به صورت خودکار مدیریت شدن و تیم شما…  با آرامش، داره روی یک تهدید پیچیده و هدفمند که نیاز به تحلیل عمیق داره، کار می‌کنه.

خب به نظرتون توی کدوم سناریو اون مرکز به دژ امنیتی مستحکم نزدیک‌تره؟… قطعاً دومی.

“و اینجاست که پارادایم خودکارسازی امنیتی به عنوان یک ضرورت استراتژیک وارد میدان می‌شه. تعریف دقیقی که در فصل سوم کتاب هم بهش اشاره شده، اینه: «خودکارسازی امنیتی، فرآیند به‌کارگیری فناوری برای اجرای وظایف تعریف‌شده امنیتی است، وظایفی که به طور سنتی نیازمند دخالت و اقدام دستی انسان بوده‌اند.»

اما پیامد این تعریف بسیار فراتر از خودِ کلماته. وقتی ما این فرآیند رو پیاده‌سازی می‌کنیم، در واقع در حال تزریق سه عنصر حیاتی به رگ‌های مرکز عملیات امنیت خودمون هستیم: سرعت در پاسخ، دقت در اجرا و کارایی در استفاده از منابع. این سه عنصر در کنار هم، تاب‌آوری سایبری سازمان رو به شکل بنیادین متحول می‌کنن.”

بیایید یک مثال کاملاً ایرانی و واقعی رو با هم مرور کنیم. فرض کنید گزارشی از مرکز ماهر یا آپا دریافت می‌کنید که لیستی از ۱۰۰ آدرس IP رو به عنوان بخشی از یک زیرساخت حمله فیشینگ معرفی کرده. خب، چه اتفاقی می‌افته؟
سناریوی دستی: تحلیلگر شما باید این ۱۰۰ تا IP رو دونه دونه کپی کنه، در فایروال اصلی سازمان یک Rule برای مسدود کردنشون بنویسه، بعد بره سراغ پراکسی سرور و اونجا هم واردشون کنه، شاید لازم باشه در سیستم IPS هم یک Signature براشون تعریف کنه… این کار چقدر زمان می‌بره؟ نیم ساعت؟ یک ساعت؟… و چقدر احتمال خطای انسانی توش وجود داره؟… ممکنه یک IP رو جا بندازه یا اشتباه تایپ کنه، درسته؟

حالا سناریوی خودکار: شما یک پلی‌بوک در پلتفرم SOAR خودتون دارید. به محض دریافت ایمیل از مرکز ماهر، پلی‌بوک به صورت خودکار:
۱. فایل ضمیمه رو باز می‌کنه و لیست IPها رو استخراج می‌کنه.
۲. از طریق API، به صورت همزمان به فایروال، پراکسی سرور و IPS دستور میده که این لیست رو در Blacklist خودشون وارد کنن.
۳. و در نهایت، یک تیکت ایجاد می‌کنه و به تیم شما اطلاع میده که: “لیست IPهای مخرب جدید با موفقیت در تجهیزات دفاعی اعمال شد.”

کل این فرآیند… در چند ثانیه و با دقت صد در صد انجام میشه. حالا یک مقایسه انجام بدید: (با شمارش روی انگشتان فرضی) یک ساعت کار یک تحلیلگر… در مقابل… چند ثانیه کار ماشین. این تفاوت، یعنی آزاد کردن منابع انسانی برای کارهای به مراتب مهم‌تر.

نکته بسیار مهمی که در کتاب هم بهش اشاره شده اینه که هدف خودکارسازی، جایگزینی کامل انسان نیست، بلکه تقویت توانمندی‌های انسانیه. این یک تصور اشتباه و رایجه که ماشین‌ها قراره جای ما رو بگیرن. ابداً! خودکارسازی برای وظایف روتین، تکراری و مبتنی بر قانون، عالیه. اما… وقتی به تصمیم‌گیری‌های پیچیده، خلاقیت، تحلیل یک حمله ناشناخته و مذاکره با مدیران می‌رسیم، اینجا جاییه که تخصص و قضاوت انسان می‌درخشه.

یک سوال مهم از شما می‌پرسم… در سازمان شما، خط قرمز بین تصمیمات ماشینی و تصمیمات انسانی کجاست؟ آیا تا به حال یک جلسه گذاشتید تا مشخص کنید چه نوع اقداماتی رو میشه به ماشین سپرد (مثلاً مسدود کردن یک IP) و چه تصمیماتی حتماً باید توسط یک انسان تایید بشه (مثلاً ایزوله کردن سرور اصلی شرکت)؟… به این موضوع فکر کنید.

بسیار خب،  حالا که با عمق مفهوم خودکارسازی آشناتر شدیم، بیاید به صورت دقیق و موردی، مزایا و دستاوردهای اون رو که در کتاب به تفصیل شرح داده شده، با هم بررسی کنیم.

یک. افزایش بهره‌وری عملیاتی: این شاید واضح‌ترین مزیت باشه. وظایف تکراری مثل مدیریت به‌روزرسانی‌ها و نصب Patchها رو در نظر بگیرید. این پروسه در یک سازمان بزرگ چقدر زمان و انرژی می‌گیره؟ با خودکارسازی، می‌تونیم سیستمی داشته باشیم که به محض انتشار یک پچ امنیتی حیاتی، به صورت خودکار سیستم‌های آسیب‌پذیر رو شناسایی کنه، در یک محیط آزمایشگاهی اون رو تست کنه و بعد از تایید مدیر سیستم، به صورت زمان‌بندی شده روی سرورها نصبش کنه. این یعنی بهینه‌سازی چشمگیر عملیات.
دو. کاهش خطای انسانی: بیاید یک داستان واقعی ولی تلخ رو تصور کنیم. یک ادمین شبکه خسته، در ساعت پایانی شب، می‌خواد دسترسی یک IP مخرب رو روی فایروال ببنده. اما به خاطر خستگی، یک رقم از IP رو اشتباه وارد می‌کنه… و به جای اون، رنج IP یکی از مشتریان بزرگ و استراتژیک شرکت رو مسدود می‌کنه! نتیجه؟ چند ساعت قطعی سرویس… خسارت مالی… نارضایتی مشتری… و از بین رفتن اعتبار. حالا این سناریو رو مقایسه کنید با یک اسکریپت خودکار که IP رو مستقیماً از پلتفرم هوش تهدید می‌گیره و بدون هیچ خطای انسانی در فایروال وارد می‌کنه. کدام سناریو به مدیرعامل شما آرامش بیشتری میده؟

سه. تسریع زمان پاسخ‌دهی: در امنیت سایبری، سرعت یعنی همه چیز. یک مهاجم فقط به چند دقیقه زمان نیاز داره تا از یک سیستم اولیه، به مهم‌ترین داده‌های شما برسه.

بیایید اون سناریوی باج‌افزار رو با جزئیات بیشتری تصور کنیم. ساعت ۲ صبح. یک کارمند بخش مالی، روی یک لینک فیشینگ که ادعا می‌کنه فیش حقوقی جدیدشه، کلیک می‌کنه. یک باج‌افزار پیشرفته شروع به رمزنگاری فایل‌های روی سیستمش می‌کنه.
• در سناریوی بدون خودکارسازی: این باج‌افزار تا صبح، یعنی حدود ۶ ساعت، فرصت داره تا از طریق شبکه به سرورهای مالی و منابع انسانی هم نفوذ کنه. صبح که تیم امنیت سر کار میاد، با یک فاجعه روبرو میشه: کل سازمان قفل شده.
• در سناریوی با خودکارسازی: پلتفرم EDR روی لپ‌تاپ، در ثانیه اول، فرآیند رمزنگاری غیرعادی رو تشخیص میده. بلافاصله پلی‌بوک پاسخ به باج‌افزار فعال میشه:
o ثانیه دوم: پورت شبکه لپ‌تاپ از طریق سیستم NAC مسدود و دستگاه از شبکه ایزوله میشه. ارتباطش با کل دنیا قطع شد.
o ثانیه سوم: اکانت کاربری اون شخص در Active Directory به صورت خودکار غیرفعال میشه تا مهاجم نتونه با اون اکانت به جای دیگه‌ای نفوذ کنه.
o ثانیه پنجم: یک اسنپ‌شات از حافظه (Memory Dump) سیستم برای تحلیل‌های بعدی گرفته میشه.
o ثانیه دهم: یک تیکت با اولویت بحرانی، با تمام این اطلاعات، برای تیم پاسخ به حوادث ایجاد میشه.

مقایسه کنید: یک فاجعه تمام‌عیار… در مقابل… یک حادثه مهار شده در ۱۰ ثانیه. این قدرت خودکارسازیه.

چهار. بهبود دقت: یک سازمان بزرگ مثل یک بانک یا یک اپراتور مخابراتی در ایران، روزانه چند ترابایت لاگ تولید می‌کنه. این یعنی میلیاردها رویداد. آیا واقعاً یک تیم انسانی، هرچقدر هم بزرگ و متخصص باشه، می‌تونه این حجم از داده رو با دقت بررسی کنه؟ یا ناچاره که فقط به هشدارهای با اولویت بالا نگاه کنه و بخش بزرگی از داده‌ها رو نادیده بگیره؟

حالا این رو مقایسه کنید با یک سیستم خودکار که از الگوریتم‌های یادگیری ماشین استفاده می‌کنه. این سیستم می‌تونه یک انحراف کوچک ولی بسیار مشکوک در رفتار یک کاربر رو از دل میلیاردها لاگ بیرون بکشه. چیزی که پیدا کردنش برای انسان مثل پیدا کردن سوزن در انبار کاهه. این تفاوت بین دیدن نوک کوه یخ و دیدن کل کوه یخ در زیر آبه.

پنج. استفاده راهبردی از منابع انسانی:  این مزیت، روی فرهنگ تیم شما تاثیر مستقیم داره.
• تحلیلگر قبل از خودکارسازی:  روزش با بررسی صدها هشدار تکراری، بستن پورت، چک کردن IP و ریست کردن پسورد شروع میشه و تموم میشه. یک کار فرسایشی که جلوی رشدش رو می‌گیره.
• تحلیلگر بعد از خودکارسازی: کارهای تکراری به ماشین سپرده شده. اون حالا وقت داره روی تحلیل عمیق یک بدافزار جدید کار کنه، یک پلی‌بوک جدید برای پاسخ به یک نوع حمله خاص طراحی کنه، یا به شکار تهدید (Threat Hunting) بپردازه. اون از یک اپراتور، به یک متخصص و استراتژیست امنیتی تبدیل میشه. این یعنی رضایت شغلی، خلاقیت و کاهش فرسودگی شغلی.

شش. مقیاس‌پذیری:  فرض کنید کسب‌وکار شما در شش ماه آینده دو برابر بزرگ میشه. در روش سنتی، برای حفظ سطح امنیت، باید تیم امنیت خودتون رو هم دو برابر کنید. یعنی هزینه استخدام، آموزش، حقوق، بیمه و تجهیزات برای چندین نیروی جدید. حالا این هزینه رو مقایسه کنید با هزینه ارتقای لایسنس پلتفرم SOAR شما برای پردازش حجم بیشتر رویداد. خودکارسازی، راهکاری به مراتب کارآمدتر و مقرون‌به‌صرفه‌تر برای رشد سازمانه.
هفت. صرفه‌جویی در هزینه:  بله، می‌دونم که خرید و پیاده‌سازی ابزارهای خودکارسازی، مخصوصاً در ایران، یک سرمایه‌گذاری اولیه قابل توجهی رو می‌طلبه. اما… این رو یک هزینه نبینید. این یک سرمایه‌گذاری برای جلوگیری از هزینه‌های به مراتب سنگین‌تره. هزینه‌های یک رخنه امنیتی موفق رو محاسبه کنید: هزینه بازیابی داده‌ها، هزینه پرداخت باج به باج‌افزار، جریمه‌های قانونی احتمالی، و از همه مهم‌تر، آسیب به اعتبار و برند شما که با پول قابل جبران نیست. خودکارسازی با کاهش ریسک این اتفاقات، در بلندمدت پول شرکت شما رو ذخیره می‌کنه.

اما… و این یک “اما”ی بزرگه، خودکارسازی یک راه حل جادویی و همه‌جانبه نیست. در کتاب هم به درستی اشاره شده که پیاده‌سازی اون چالش‌های خودش رو داره. از چالش‌های فنی مثل یکپارچه‌سازی با سیستم‌های قدیمی و مدیریت خطاهای مثبت و منفی کاذب گرفته، تا مسائل گسترده‌تر مرتبط با سیاست‌ها، حریم خصوصی و اخلاق.
خودکارسازی یک ابزار قدرتمنده. و کلید موفقیت، درک نقاط قوت، محدودیت‌ها و استفاده هوشمندانه و راهبردی از این ابزاره.

جمع‌بندی

خب، در این اپیزود مفصل، به قلب تپنده SOAR یعنی خودکارسازی امنیتی سفر کردیم. ما با هم دیدیم که خودکارسازی فقط یک فناوری لوکس نیست، بلکه یک ضرورت استراتژیک برای عملیات امنیتی مدرنه. با مثال‌های واقعی بررسی کردیم که چطور بهره‌وری رو افزایش میده، از خطاهای انسانی جلوگیری می‌کنه، سرعت پاسخ رو به چند ثانیه کاهش میده و به تیم‌های ما اجازه میده تا روی کاری که در اون بهترین هستن تمرکز کنن: یعنی تفکر و تحلیل استراتژیک.

“امیدوارم این بحث عمیق، جرقه‌هایی رو در ذهن شما برای بهبود فرآیندهای امنیتی در سازمانتون زده باشه. قطعاً مسیر پیاده‌سازی SOAR و خودکارسازی، مسیری پر از جزئیات فنی، چالش‌های فرهنگی و تصمیم‌گیری‌های استراتژیکه. این یک سفر هست، نه یک مقصد.
و دقیقاً به همین دلیله که ما در کنار شما هستیم. اگر احساس می‌کنید در این مسیر به یک راهنمای متخصص نیاز دارید، یا اگر سوالات شما فراتر از تئوری رفته و به مرحله اجرا رسیده، من و همکارانم در شرکت توسعه راه امن آماده‌ایم تا تجربیات خودمون رو با شما به اشتراک بذاریم. ما سال‌هاست که به صورت تخصصی در زمینه پیاده‌سازی راهکارهای امنیتی و به خصوص پلتفرم‌های SOAR در سازمان‌های ایرانی فعالیت می‌کنیم و با چالش‌های بومی این حوزه به خوبی آشناییم.
همچنین، برای دسترسی به محتوای آموزشی عمیق‌تر، مقالات تخصصی، وبینارها و دوره‌های آموزشی که می‌تونه دانش شما و تیمتون رو به سطح بالاتری برسونه، حتماً به وب‌سایت soclib.ir (اس-او-سی-لیب-دات-آی-آر) سر بزنید. SOCLIB یک کتابخانه تخصصی برای کارشناسان مرکز عملیات امنیت هست که با هدف توانمندسازی شما عزیزان ایجاد شده.
از اینکه در این قسمت هم با من همراه بودید سپاسگزارم. تا قسمت بعد و ادامه الفبای SOAR، شما رو به خدای بزرگ می‌سپارم. ایمن و استوار باشید.”

برچسب ها:

پست های مرتبط

15 اردیبهشت 1405

سیم باز فصل دوم قسمت اول: شکار تهدیدات پنهان با Splunk و لاگ‌های معمولی

ادامه مطلب

23 فروردین 1405

اتصال Threat Intelligence در Splunk ES به پورتال شاخص‌های آلودگی AFTA: راهنمای جامع و عملیاتی

ادامه مطلب

19 بهمن 1404

الفبای SOAR قسمت ششم – فقط ابزار نخرید، استراتژی بسازید!

ادامه مطلب

19 بهمن 1404

الفبای SOAR قسمت پنجم – کالبدشکافی SOAR: زیر کاپوت این ماشین امنیتی چه خبره؟

ادامه مطلب

19 بهمن 1404

الفبای SOAR قسمت چهارم – هنر پاسخ‌دهی (Response)

ادامه مطلب

دیدگاهتان را بنویسید