سلام رفقا! خیلی خوش اومدید به یه اپیزود دیگه از الفبای SOAR. من محمد قنبری‌ام و واقعاً خوشحالم که دوباره فرصت شد با هم گپ بزنیم.
تا الان، بیشتر در مورد «چیستی» SOAR حرف زدیم. آجرهای لگو رو شناختیم. اما از امروز می‌خوایم با هم آستین‌ها رو بالا بزنیم و شروع کنیم به ساختن. می‌خوایم از تئوری بیایم بیرون و ببینیم توی دنیای واقعی، توی سازمان شما، چطور می‌شه یه استراتژی SOAR موفق پیاده کرد.
ببینید، خریدن یه پلتفرم SOAR مثل خریدن گرون‌ترین پارچه از بهترین مغازه‌ست. اگه اون پارچه رو به یه خیاط ماهر ندید که دقیقاً اندازه‌ی تن شما براتون یه کت و شلوار شیک بدوزه، اون پارچه به هیچ دردی نمی‌خوره. استراتژی SOAR همون هنر اون خیاط ماهره. یه چیز کاملاً شخصی‌سازی شده برای سازمان شما.
پس توی این اپیزود و چند اپیزود آینده، می‌خوایم با هم نقش اون خیاط رو بازی کنیم. هدفمون این نیست که فقط یه ابزار جدید به سازمان اضافه کنیم. نه! هدف یه چیز خیلی بزرگتره… یه تحول! می‌خوایم تیم امنیتمون رو از یه تیم همیشه خسته و در حال دویدن دنبال حوادث، به یه تیم هوشمند، فعال و داده‌محور تبدیل کنیم. آماده‌اید؟ بزن بریم!

بزرگترین اشتباهی که یه سازمان می‌تونه بکنه اینه که بره و گرون‌ترین پلتفرم SOAR رو بخره، به امید اینکه همه مشکلاتش جادویی حل بشه. این مثل اینه که شما بهترین و کامل‌ترین جعبه ابزار دنیا رو بخرید، ولی هیچ نقشه‌ای برای ساختن خونه نداشته باشید. نتیجه‌اش می‌شه یه عالمه ابزار گرون‌قیمت که گوشه انبار خاک می‌خوره.
خب رفقا، به نظرتون نقطه شروع کجاست؟

نقطه شروع – GPS رو روشن کن!

رای شروع کافیه GPS روشن کنید، اولین کاری که هر GPS انجام می‌ده چیه؟ دقیقاً! پیدا کردن نقطه «شما اینجا هستید». قبل از اینکه بتونیم مقصدی تعیین کنیم، باید با تمام وجود بدونیم الان دقیقاً کجاییم. این بخش، یه جور خودشناسی صادقانه برای تیم امنیته.

اول از همه، بیایید یه نگاه به عملیات های امنیتی فعلی‌مون بندازیم. می‌خوام این سوالا رو از خودتون بپرسید، خیلی بی‌تعارف:
• الان، همین الان، اگه یه هشدار امنیتی بیاد، فرآیند دقیقش چیه؟ از کجا شروع می‌شه، به کجا ختم می‌شه؟ اصلاً فرآیندی هست یا هر کسی یه کاری می‌کنه؟
• چقدر طول می‌کشه تا یه حادثه رو جواب بدید؟ اصلاً این زمان رو اندازه می‌گیرید؟
• بزرگترین نقطه درد یا Pain Point تیم شما چیه؟ اون کار تکراری و رو اعصابی که همه ازش فراری‌ان چیه؟ این سوال کلیدیه! چون SOAR دقیقاً برای تسکین همین دردها ساخته شده.
دومین بخش این خودشناسی، محیط ریسک شماست
• از داخل: با ارزش‌ترین دارایی سازمان شما چیه؟ اطلاعات مشتری‌ها؟ کد منبع محصولتون؟ اعتبار برندتون؟ اینا می‌شن «جواهرات سلطنتی» که باید ازشون محافظت کنیم.
• از بیرون: توی صنعت شما چه تهدیدهایی بیشتر شایعه؟ آیا رگولاتوری و قانونی هست که مجبور به رعایتش باشید؟
و سومین بخش، توانایی‌های فنی شماست
• الان چه ابزارهایی دارید؟ SIEM, EDR, Firewall… یه لیست ازشون دارید؟ این ابزارها چقدر با هم رفیقن؟ با هم حرف می‌زنن یا هر کدوم ساز خودش رو می‌زنه؟
و اما نکته طلایی این بخش…  این کار رو تنهایی انجام ندید! . این یه اشتباه مرگباره. از همون روز اول بچه‌های IT، تیم حقوقی، مدیرای کسب‌وکار رو بیارید پای کار. این کار دو تا فایده داره: اول اینکه دید کامل‌تری پیدا می‌کنید، دوم اینکه از همون اول برای پروژه بزرگتون، متحد و حامی پیدا می‌کنید.

تعیین مقصد- می‌خوایم به کجا برسیم؟

خب، دمتون گرم. حالا که نقطه شروعمون رو روی نقشه پیدا کردیم، وقتشه که مقصد رو مشخص کنیم. می‌خوایم با پیاده‌سازی SOAR، دقیقاً به چی برسیم؟
و اینجا منظورم جمله‌های کلی و مبهم مثل «می‌خوایم امن‌تر بشیم» نیست. حرف من از اهداف مشخص، شفاف و بی‌رحمانه قابل اندازه‌گیریه.
دو جور هدف داریم:
اول، اهداف راهبردی . اینا اهدافی هستن که مدیرعامل شما هم می‌فهمشون! به جای اینکه بگید «می‌خوایم TTR رو کم کنیم»، بگید:
• «قصد داریم با کاهش ۳۰ درصدی زمان پاسخ به حوادث، خسارت‌های مالی احتمالی رو به شکل ملموسی کم کنیم.»
• «می‌خوایم با خودکارسازی، به ازای هر تحلیلگر، هفته‌ای ۱۰ ساعت وقت آزاد کنیم تا روی تهدیدهای پیچیده‌تر و شکار تهدید تمرکز کنن.»
این زبون، زبون بیزینسه!

دوم، اهداف عملیاتی. اینا معیارهای فنی و دقیق خودمون هستن.
• کاهش TTD (Time to Detect): یعنی مدت زمانی که طول می‌کشه تا اصلاً بفهمیم یه اتفاقی افتاده. هدف ما اینه که این زمان رو از چند ساعت به چند دقیقه برسونیم.
• کاهش TTR (Time to Respond): خب، فهمیدیم اتفاقی افتاده. چقدر طول می‌کشه تا مهارش کنیم؟ این همون سرعت عمل ماست.
• کاهش False Positives: یادتونه داستان چوپان دروغگو رو؟ هشدارهای اشتباه، تیم شما رو خسته و بی‌تفاوت می‌کنن. یکی از بزرگترین خدمات SOAR، فیلتر کردن این هشدارهای بی‌خوده.

اما چطور بفهمیم که در مسیر این اهداف موفقیم؟ اینجا می‌رسیم به بخش فوق‌العاده مهم اهداف قابل سنجش .
رفقا، این رو از من به یادگار داشته باشید: «چیزی رو که نشه اندازه گرفت، نمیشه بهبود داد.»
این هدف من که بتونم یه راه و روش رو درست جا بندازم
گفتنِ «می‌خوام سریع‌تر بشم» یه آرزوئه. اما گفتنِ «می‌خوام میانگین زمان پاسخ به حوادث رو توی شش ماه آینده ۳۰ درصد کم کنم» یک هدف است.
این همون چیزیه که بهش میگن اهداف SMART. مشخص، قابل اندازه‌گیری، دست‌یافتنی، مرتبط و زمان‌بندی شده. به جای اینکه بگید «می‌خوایم هشدارهای الکی رو کم کنیم»، بگید: «می‌خواهیم تعداد هشدارهای فیشینگ که به اشتباه به تحلیلگر ارجاع داده میشن رو تا پایان این فصل، ۴۰ درصد کاهش بدیم.» ببینید چقدر دقیق شد؟ حالا یه متر و معیار دستمونه. می‌تونیم آخر فصل بیایم بگیم آقا ما موفق شدیم یا نه. اینجوریه که ارزش کارتون رو به مدیران نشون می‌دید.
و حالا که یه لیست بلندبالا از این اهداف خفن و قابل اندازه‌گیری داریم،

می‌رسیم به تله‌ی بزرگ بعدی: اولویت‌بندی

هیجان‌زده نشید! قرار نیست همون روز اول کل فرآیندهای امنیتی سازمان رو خودکار کنیم. این کار مثل اینه که بخواید یه خونه رو بسازید و همزمان گچ‌کاری کنید، لوله‌کشی کنید و برق‌کشی کنید! نتیجه‌اش یه فاجعه‌ست.
استراتژی درست چیه؟ دنبال پیروزی‌های سریع یا Quick Wins بگردید. روی یه ماتریس ذهنی، کارهایی رو پیدا کنید که بیشترین تأثیر رو با کمترین تلاش دارن.
مثلاً چی؟ خودکار کردن تحلیل اولیه ایمیل‌های فیشینگ! این کار هر روز ساعت‌ها وقت تیم شما رو می‌گیره. خودکار کردنش شاید چند روز بیشتر طول نکشه، ولی تأثیرش فوق‌العاده‌ست. این یه پیروزی سریع و شیرینه. با همین کار، هم به تیم روحیه می‌دید، هم به مدیران ثابت می‌کنید که این پروژه ارزشش رو داره. بعد از اینکه یکی دو تا از این پیروزی‌های کلیدی رو به دست آوردید، با اعتماد به نفس و حمایت کامل می‌رید سراغ پروژه‌های بزرگ‌تر و پیچیده‌تر.
پس قدم به قدم. اول فونداسیون، بعد اسکلت، بعد دیوارها. عجله، کار رو خراب می‌کنه.
خب، حالا که مقصدمون رو دقیق و اولویت‌بندی شده مشخص کردیم، آماده‌ایم که بریم سراغ بخش بعدی…

انتخاب وسیله نقلیه – با چی بریم؟

بسیار خب. نقطه شروع رو داریم، مقصد رو هم داریم. حالا سوال اینه: با چه وسیله‌ای این مسیر رو بریم؟ با یه ماشین اسپرت سریع؟ با یه شاسی‌بلند همه‌کاره؟ یا یه ماشین که خودمون از صفر ساختیم؟ این دقیقاً تمثیل انتخاب ابزار SOAR شماست.
سه تا گزینه اصلی داریم :
1. راهکارهای تجاری (Proprietary): اینا مثل خریدن یه ماشین لوکس از یه برند معتبرن. امکانات زیاد، پشتیبانی قوی، ولی خب، گرونن.
2. راهکارهای متن‌باز (Open-Source): اینا مثل یه کیت‌کار قدرتمند می‌مونن. انعطاف‌پذیری فوق‌العاده‌ای دارن، هزینه اولیه‌شون کمه، ولی برای س ر هم کردن و نگهداری‌شون به یه تیم فنی ماهر نیاز دارید.
3. راهکارهای سفارشی (Custom-Built): این دیگه مثل ساختن بت‌موبایله! دقیقاً برای شما ساخته می‌شه، ولی بسیار زمان‌بر و پرهزینه‌ست.
حالا وقتی دارید این «ماشین‌ها» رو بررسی می‌کنید، این چک‌لیست رو تو ذهنتون داشته باشید (بخش ۶-۳-۲):
• [ادیتور: افکت صوتی کشیدن تیک روی کاغذ.] یکپارچگی: آیا این ماشین به راحتی به گاراژ ما (یعنی ابزارهای امنیتی فعلی‌مون مثل SIEM و EDR) وصل می‌شه؟
• خودکارسازی: چقدر می‌تونیم فرآیندها رو باهاش اتوماتیک کنیم؟ آیا دستمون برای تعریف قوانین بازه؟
• هماهنگ‌سازی: آیا داشبورد خوبی برای مدیریت کارها و کیس‌ها بهمون می‌ده؟
• همکاری تیمی: آیا ابزارهایی برای به اشتراک گذاشتن اطلاعات بین اعضای تیم داره؟
و دو تا نکته آخر: پشتیبانی فروشنده و هزینه‌ها رو فراموش نکنید . هزینه فقط قیمت روی برچسب نیست؛ هزینه‌های نگهداری، آموزش و پیاده‌سازی رو هم در نظر بگیرید.

جمع‌بندی و چالش این هفته!

خب رفقای گل، اینم از نقشه راه امروز ما. سه تا گام حیاتی رو با هم مرور کردیم: اول، بفهمیم کجاییم. دوم، مشخص کنیم به کجا می‌خوایم بریم. و سوم، انتخاب کنیم با چه ابزاری می‌خوایم این مسیر رو طی کنیم.
حالا نوبت شماست. چالش این هفته اینه: کاغذ و قلم بردارید و فقط به یکی از اون سوال‌های بخش خودشناسی جواب بدید. مثلاً: «بزرگترین نقطه درد (Pain Point) در فرآیند پاسخ به حوادث در تیم ما چیست؟» هرچی به ذهنتون میرسه بنویسید. این نوشته، اولین خط از بلوپرینت تحول امنیتی شما خواهد بود.
مثل همیشه، برای دسترسی به متن کامل کتاب «الفبای SOAR» و مطالب بیشتر، می‌تونید به وب‌سایت soclib.ir سر بزنید.
خیلی مراقب خودتون باشید. من محمد قنبری بودم و شما به پادکست الفبای SOAR گوش کردید. تا اپیزود بعدی، با ذهنی استراتژیک و نقشه به دست، به دنیای امنیت نگاه کنید!