SOAR چیست؟ معرفی ویژگی های Splunk SOAR

امروزه تیم‌های امنیت سایبری تحت فشار زیادی قرار دارند و نه فقط در ایران بلکه در سراسر جهان، کمبود متخصصان امنیت سایبری، با دانش و تخصص لازم برای تأمین نیروی انسانی کافی در مراکز عملیات امنیتی (SOCs) به شدت احساس می شود. این کمبود نیرو باعث می‌شود که تیم‌های امنیتی کار سختی در پاسخ سریع به هزاران هشدار دریافتی روزانه داشته باشند. شاید اغراق نباشد اگر اینگونه بگوییم که تحلیل‌گران امنیتی در انبوهی از هشدارهای امنیتی غرق شده‌اند؛ چون تعداد هشدارهایی که باید بررسی و حل شوند، بسیار بیشتر از توانایی آن هاست. SOAR پاسخی به این نیازمندی است. با ما در ادامه این مقاله همراه باشید تا بیشتر درباره SOAR و فواید استفاده از آن صحبت کنیم.

 

چرا SOAR ؟

همان طور که گفتیم، کمبود متخصصان در کنار افزایش هشدارهای ناشی از وقوع تهدیدات امنیتی موجب افزایش فشار به تیم امنیتی شده و خستگی ناشی از رسیدگی به هشدارها منجر به نادیده گرفتن هشدارها می شود. طبق برخی آمار، ۴۱ درصد از هشدارهای مفید، به دلیل محدودیت منابع SOC نادیده گرفته می‌شوند. اگر حتی یکی از این هشدارها نمایانگر یک تهدید واقعی باشد و تیم امنیتی به آن رسیدگی نکند، ممکن است منجر به نقض امنیتی شود. علاوه بر این، کارهای مربوط به عملیات امنیتی پر از فرآیندها و وظایف یکنواخت، تکراری و زمان‌بر است. تلاش برای مدیریت همه این فرآیندها به صورت دستی یا بدون رویه‌های مؤثر می‌تواند منجر به اتلاف زمان زیادی شود. زمانی که می‌توانست به فعالیت‌هایی مانند برنامه‌ریزی استراتژیک، تصمیم‌گیری‌های حیاتی و نوآوری اختصاص یابد.

چالش مهم دیگر وجود ابزارهای امنیتی مختلف در مراکز SOC است که هماهنگی خاصی بین آن ها وجود ندارد و مدیریت دشوار آن ها منجر به ایجاد شکاف های امنیتی در سازمان ها می شود. در بعضی موارد همین شکاف ها موجب بهره برداری مهاجمان قرار می گیرد. بنابراین، سازمان‌ها به راه‌حلی نیاز دارند تا این چالش ها را برطرف کرده و SOC خود را تقویت کنند. اینجاست که ابزار  Orchestration, Automation and Response  یا به اختصار SOAR وارد عمل می‌شود! راه‌حل‌های SOAR می‌توانند به تحلیل‌گران کمک کنند تا از طریق خودکارسازی، وظایف تکراری را سریع‌تر و کارآمدتر انجام دهند و جریان‌های کاری پیچیده را بین اعضای تیم و ابزارهای خود هماهنگ کنند. در ادامه در مورد اینکه SOAR چیست و چه کاری انجام می دهد صحبت می کنیم.

 

SOAR چیست؟

SOAR مانند یک رهبر ارکستر برای یک ارکستر سمفونیک است. همان طور که برای نواختن یک موسیقی گوش نواز به مجموعه‌ای از انواع مختلف سازها نیاز است، SOCها نیز اغلب به مجموعه‌ای از محصولات و ابزارهای امنیتی نیاز دارند تا اطلاعات لازم برای مقابله با تهدیدات بالقوه را به دست آورند. با این حال، همه این ابزارها به خوبی با یکدیگر کار نمی‌کنند و بدون سازمان‌دهی مناسب، اطلاعات زیادی در قالب انواع هشدارها تولید می‌کنند که در بسیاری از موارد درک آن ها واقعا دشوار می‌شود. SOAR به هماهنگ‌سازی این ابزارها کمک می‌کند و اطمینان حاصل می‌کند که از ابتدا تا انتها، تمام داده‌ها به یک سمفونی زیبا از اطلاعات تبدیل ‌شوند که تیم امنیتی شما می‌تواند آن را درک کرده و بر اساس آن عمل کند.

موسسه گارتنر SOAR را به عنوان “ترکیب قابلیت‌های پاسخ به حوادث، هماهنگ سازی و اتوماسیون و مدیریت تهدید در یک پلتفرم واحد” تعریف می‌کند. SOAR باید به تحلیل‌گران SOC کمک کند تا وظایف خسته‌کننده و تکراری را از طریق اتوماسیون خودکار کنند. بدون اتوماسیون و هماهنگ سازی امنیتی، تیم‌های امنیتی مجبورند هر هشدار و تهدید را به صورت دستی بررسی کنند. در دنیای امروز، این امر به سادگی امکان‌پذیر نیست و نتیجه آن چیزی جز حملات سایبری پرهزینه و نقض‌های داده‌ای نخواهد بود.

 

پنج قابلیت ضروری هر راه حل مبتنی بر SOAR

  1. هماهنگ سازی

هنگام ارزیابی یک راه‌حل SOAR، عملکرد هماهنگ سازی باید تمام فعالیت‌های مربوط به یک سناریوی امنیتی خاص را از ابتدا تا انتها هدایت و نظارت کند. این عملکرد باید قادر به دریافت داده‌های امنیتی از هر منبع داده و در هر فرمت باشد. همچنین باید بتواند داده‌هایی که به پلتفرم ارسال می‌شوند را دریافت کند و باید توانایی جستجوی منابع داده و وارد کردن داده‌ها به پلتفرم را داشته باشد. علاوه بر این، یک ارکستراتور باید اطمینان حاصل کند که داده‌های خروجی از یک عمل به درستی تجزیه، نرمال‌سازی و ساختاربندی شده‌اند تا اقدامات آینده بتوانند از آن استفاده کنند.

  1. اتوماسیون

اتوماسیون از طریق عملکردهایی مانند playbook ها باید به تیم امنیتی این امکان را بدهد که مجموعه‌ای از اقدامات پایه اما ضروری را در چند ثانیه انجام دهند، در حالی که انجام دستی آن ها، ممکن است چندین دقیقه یا ساعت‌ها طول بکشد. به عنوان مثال، تحقیقات فیشینگ که نیاز به استفاده از چندین عمل در چندین ابزار امنیتی دارد و ۴۰ دقیقه طول می‌کشد، اکنون باید با استفاده از یک playbook خودکار در کمتر از یک دقیقه انجام شود. به این ترتیب، ابزارهای SOAR می‌توانند به طور چشمگیری زمان متوسط تشخیص (MTTD) و زمان متوسط پاسخ (MTTR) را کاهش دهند. playbook ها همچنین باید به راحتی قابل ایجاد و ویرایش باشند. این امر به تمام اعضای تیم امنیتی صرف نظر از اینکه تخصص کدنویسی داشته باشند یا خیر این امکان را می‌دهد که playbook ها جامع و پیچیده‌ای بسازند.

 

  1. قابلیت همکاری

یک راه‌حل SOAR باید به گونه‌ای طراحی شود که باز و قابل گسترش باشد. این راه‌حل باید به راحتی از سناریوهای امنیتی جدید، محصولات جدید، اقدامات جدید و playbook های جدید پشتیبانی کند. در غیر این صورت، ممکن است با گذشت زمان ارزش خود را از دست بدهد. با داشتن یک سیستم یکپارچه‌ باز که از یک استاندارد و مدل برنامه‌نویسی مشترک پیروی می‌کند، فناوری‌های جدید می‌توانند به سرعت با پلتفرم یکپارچه شوند بدون اینکه نیاز به تغییر در پلتفرم اصلی باشد یا بر playbook های خودکار تأثیر منفی بگذارد.

 

  1. مدیریت و اولویت‌بندی رویدادها و هشدارها

یک راه‌حل SOAR باید رویدادها و هشدارهای ورودی را در صف قرار داده و اولویت‌بندی کند. با چنین قابلیتی به هشدارها این امکان را می‌دهد که به سرعت مصرف شده و به طور کارآمد به آن‌ها عمل شود، بدون نیاز به جستجوی گسترده یا تغییر بین زمینه‌ها. رویدادها و هشدارها باید شامل یک نشانگر وضعیت (به عنوان مثال، جدید، باز یا بسته)، یک نشانگر شدت و یک نشانگر حساسیت کدگذاری شده با رنگ باشند تا نمایی از اطلاعات کلیدی را تسهیل کنند. ویژگی‌های فنی یک رویداد یا هشدار امنیتی باید به گونه‌ای سازماندهی شود که فهم سریع سناریوی امنیتی را ممکن سازد. این شامل یک نمای سازمان‌یافته از داده‌هایی مانند آدرس‌های IP، دامنه‌ها، هش‌های فایل، نام‌های کاربری و آدرس‌های ایمیل است. یک تحلیل‌گر امنیتی باید بتواند به راحتی اقداماتی مانند تحقیق، مهار یا پاسخ (یا مجموعه‌ای از اقدامات — به عنوان مثال، playbook ها) را در برابر این داده‌ها صادر کند.

 

  1. معیارها و گزارش‌دهی

درک افزایش عملکرد کمی و صرفه‌جویی در منابعی که اتوماسیون فراهم می‌کند، بسیار حیاتی است و این اطلاعات باید به راحتی از طریق یک داشبورد درون راه‌حل SOAR در دسترس باشد. نمونه‌هایی از معیارهای کلیدی عملکرد که باید در راه‌حل SOAR موجود باشد شامل موارد زیر است: MTTR (زمان متوسط پاسخ)، MDT (زمان متوسط تشخیص)، ساعات تحلیل‌گر صرفه‌جویی شده از طریق اجرای خودکار، تعداد معادل‌های تمام‌وقت (FTEs) به دست آمده از طریق اجرای خودکار، میانگین زمان صرفه‌جویی شده در هر اجرای playbook، تعداد کل هشدارهای باز و … . تمام این اطلاعات باید به راحتی سازماندهی و در گزارش‌ها برای مدیران ارشد تجمیع شود تا آن‌ها بتوانند به سرعت وضعیت کلی عملیات امنیتی خود و همچنین بهبودهایی که راه‌حل SOAR ایجاد می‌کند را درک کنند.

 

پنج مورد از استفاده های Splunk SOAR

  1. ترکیب و غنی سازی هشدارها

هنگام بررسی هشدارهای امنیتی، اولین اقدام تحلیل‌گر، بررسی شاخص‌های نفوذ مانند آدرس IP، URL، نام کاربری، دامنه و … است. این کار به تعیین شدت هشدار کمک می‌کند. سپس تحلیل‌گران به صورت دستی به داده‌ها می‌پردازند و بین پلتفرم‌های مختلف جابجا می‌شوند تا اطلاعات بیشتری جمع‌آوری کنند. یک ابزار SOAR می‌تواند به راحتی و به طور خودکار، اطلاعات را از چندین ابزار ترکیب کند و اطلاعات داده‌های هشدار را غنی‌سازی کرده و آن را در یک رابط کاربری واحد نمایش دهد. در Splunk SOAR یک Playbook به نام Identifier Reputation Analysis Dispatch  وجود دارد که این کار را انجام می دهد.

  1. تحقیقات و پاسخ به فیشینگ

امروزه حملات فیشینگ همچنان یکی از تهدیدات گسترده‌ای هستند که سازمان‌ها با آن مواجه‌اند. یک تحقیق معمولی درباره ایمیل فیشینگ با تحلیل داده‌های اولیه و جستجوی نشانه‌ها آغاز می‌شود. برخی از نشانه‌هایی که باید بررسی شوند شامل پیوست‌های درون ایمیل، لینک‌های فیشینگ که به عنوان URLهای معتبر پنهان شده‌اند، هدرهای ایمیل، آدرس ایمیل فرستنده و حتی محتوای کامل ایمیل است. پس از شناسایی ایمیل به عنوان ایمیل مخرب، تحلیل‌گر امنیتی باید به مرحله مهار (containment) برود و از افتادن اعضای سازمان به دام این حمله جلوگیری کند. تحلیل‌گر امنیتی می‌تواند ایمیل را از صندوق ورودی کاربر حذف کند و امیدوار باشد که قبل از اینکه کاربر فرصتی برای باز کردن آن داشته باشد، این کار انجام شود. طبق برخی آمارها، به طور متوسط ۹۰ دقیقه برای تحقیق و مهار دستی یک هشدار فیشینگ صرف می‌شود که در سازمان های بزرگی که روزانه ممکن است صدها ایمیل فیشینگ دریافت کنند پردازش دستی هر یک از آن‌ها نیز زمان زیادی می‌برد. Splunk SOAR یک playbook برای بررسی ایمیل‌های فیشینگ ورودی دارد که به طور خودکار آن‌ها را مهار می‌کند. این playbook که VirusTotal V3 Dynamic Analysis نام دارد به محض اینکه Splunk SOAR هشدار ایمیل فیشینگ را دریافت کند، به طور خودکار آغاز به کار کرده و به تحلیل فایل‌ها، URLها، آدرس‌های IP و دامنه‌ها می پردازد. اگر در مرحله تحقیق، هر یک از این موارد مشکوک به نظر برسد، playbook از پارامترهای از پیش تعیین‌شده برای تصمیم‌گیری در مورد مهار تهدید استفاده کرده و ایمیل را از صندوق ورودی کاربر حذف می‌کند.

 

  1. غربالگری بدافزار در نقاط پایانی (End Point)

ابزارهای تشخیص و پاسخ در نقاط پایانی (EDR) برای نظارت و جمع‌آوری داده‌های فعالیت از نقاط پایانی در سراسر یک شبکه بسیار مفید هستند. اگرچه ابزارهای EDR یا پلتفرم‌های حفاظت از نقاط پایانی (EPP) می‌توانند به نظارت بر هرگونه فعالیت مشکوک در نقاط پایانی سیستم‌های سازمان شما کمک کنند، اما این ابزارها می‌توانند حجم زیادی از هشدارها را تولید کنند. برخی از این هشدارها ممکن است مثبت کاذب باشند و برخی دیگر تهدیدات واقعی. خبر خوب این است که، یک ابزار SOAR می‌تواند تصمیمات و اقداماتی را برای بررسی، غربالگری و پاسخ سریع به این حجم بالا از هشدارها سازماندهی کند، علاوه بر این که مثبت‌های کاذب را فیلتر کرده، سطح ریسک را تعیین کرده و به طور مناسب پاسخ دهد. در Splunk SOAR یک playbook به نام Crowdstrike Malware Triage  دقیقاً همین کار را انجام می‌دهد.

  1. حملات فرمان و کنترل: تحقیق و مهار

حمله فرمان و کنترل (C&C یا C2) زمانی رخ می‌دهد که یک مهاجم یک کامپیوتر را آلوده کرده و توانایی ارسال دستورات به ماشین آلوده را دارد. مهاجم از طریق آسیب‌پذیری‌ها در یک برنامه نرم‌افزاری یا از طریق یک ایمیل فیشینگ که شامل یک URL مخرب یا پیوستی است که با باز کردن آن، کد مخرب اجرا می‌شود، به ماشین دسترسی پیدا می‌کند. پس از اینکه مهاجم ارتباطی بین سرور خود و ماشین آلوده برقرار کرد، قادر است با ارسال دستورات از سرور، ماشین آلوده را کنترل کند. سپس ممکن است اقداماتی را برای کنترل سایر ماشین‌ها در شبکه، استخراج داده‌های حساس یا حتی خاموش کردن سیستم‌ها انجام دهد.

Splunk SOAR می‌تواند به شما کمک کند تا سناریوهای فرمان و کنترل را در عرض چند دقیقه بررسی و مهار کنید، به جای اینکه ساعت‌ها زمان ببرد. به محض اینکه یک هشدار برای حمله فرمان و کنترل ظاهر می‌شود، Splunk SOAR می‌تواند playbook شکار و مهار بدافزار (Malware Hunt and Contain) را آغاز کند. این playbook به گونه‌ای طراحی شده است که مراحل تحقیقاتی و مهار بالقوه لازم برای مدیریت صحیح یک سناریوی حمله فرمان و کنترل را به طور خودکار انجام دهد.

 

  1. اطلاعات تهدیدها

اطلاعات تهدید کلید اصلی کمک به تحلیل‌گران برای درک اقدامات بازیگران تهدید و کاهش هرگونه آسیب بیشتر به سازمان است. چند نوع اطلاعات وجود دارد: استراتژیک، فنی و عملیاتی که از منابع داخلی و خارجی جمع‌آوری و تجمیع می‌شوند. داده ها پس از تجمیع، ارزیابی شده و تحلیل می‌شوند تا تعیین شود کدام بخش‌های داده برای اتخاذ تصمیمات سریع و مؤثر مهم هستند. پلتفرم‌هایی در این زمینه وجود دارد که به تحلیل‌گران کمک می‌کند تهدید را سریع‌تر درک کنند. با این حال، برای کار با آن‌ها، تحلیل گران اغلب مجبورند بین چندین رابط محصول مختلف جابجا ‌شوند تا بفهمند چگونه بخش‌های مختلف اطلاعات به هم متصل هستند. با استفاده از SOAR، تیم‌های امنیتی می‌توانند به سرعت قطعات تجمیع‌شده اطلاعات را در یک پلتفرم واحد مشاهده کرده و تصمیمات سریع و آگاهانه‌ای اتخاذ کنند. Splunk SOAR یک playbook به نام Threat Intel Investigate  برای این منظور دارد که داده‌ها را جمع‌آوری کرده و playbook های فرعی مناسب را راه‌اندازی می‌کند تا هرکدام از آن ها اطلاعات تهدید را درباره شاخص‌ها جمع‌آوری کند.

 

جمع بندی

اسپلانک SOAR برای یکچارچه سازی و بهبود عملیات امنیتی سازمان شما طراحی شده است. این ابزار با اتصال به بیش از ۳۰۰ ابزار شخص ثالث و پشتیبانی از بیش از ۲۸۰۰ اقدام خودکار، به شما این امکان را می‌دهد که جریان‌های کاری پیچیده را در تیم‌ها و ابزارهای مختلف بدون نیاز به تغییرات عمده در زیرساخت امنیتی موجود خود ساده‌سازی کنید. اسپلانک SOAR همچنین به شما این امکان را می‌دهد که برنامه‌های سفارشی متناسب با موارد استفاده خاص خود را با یک ویرایشگر برنامه کاربرپسند توسعه دهید. داشبورد اصلی قابل تنظیم اسپلانک SOAR نمای جامعی از کارایی SOC شما ارائه می‌دهد تا معیارهای حیاتی را پیگیری کرده و فرآیند تصمیم‌گیری خود را بهینه‌سازی کنید. اسپلانک SOAR می‌تواند با تجمیع هشدارها و داده‌ها در تمام ابزارهای موجود در محیط شما، حجم هشدارها را کاهش دهد و می‌تواند به‌طور فوری تمام اقدامات تحقیق و پاسخ را که توسط آن ابزارها انجام می‌شود، به‌صورت خودکار انجام دهد. اسپلانک SOAR شامل مجموعه‌ای از playbook ها از پیش ساخته است و به کاربران این امکان را می‌دهد که به‌راحتی وظایف امنیتی را با استفاده از این playbook ها که می‌توانند متناسب با نیازهای شما سفارشی‌سازی شوند، خودکار کنند.

Share:

administrator
با سال‌ها تجربه در طراحی، پیاده‌سازی و مدیریت مراکز عملیات امنیتی (SOC) و Splunk، تخصص من بر توسعه و بهینه‌سازی زیرساخت‌های امنیتی متمرکز است تا سازمان‌ها را در برابر تهدیدات سایبری مقاوم‌تر سازم. تسلط بر طیف گسترده‌ای از ابزارها و فناوری‌های امنیتی، همراه با توانایی تحلیل و مدیریت تهدیدات، به من این امکان را داده است که در محیط‌های پویا و چالش‌برانگیز، راهکارهای مؤثر و عملی ارائه دهم. علاوه بر فعالیت‌های اجرایی، به‌عنوان مدرس در حوزه امنیت سایبری و فناوری اطلاعات، دانش و تجربیات خود را به دیگران انتقال داده و در تربیت متخصصان آینده این حوزه نقش مؤثری ایفا می‌کنم. مهارت‌های ارتباطی قوی و توانایی کار تیمی، به من کمک می‌کند تا به‌طور مؤثر با تیم‌های فنی و مدیریتی همکاری کرده و در پیشبرد اهداف سازمانی نقشی کلیدی داشته باشم. تعهد به یادگیری مستمر، ارائه راهکارهای نوآورانه و ارتقای سطح امنیت سایبری، همواره از اولویت‌های حرفه‌ای من بوده است.

You May Also Like

بایگانی

SIEM چیست و چه کاربردهایی دارد؟

بایگانی

Splunk ES یا Splunk SIEM چیست؟

بایگانی

UBA چیست؟

بایگانی

سوالات اسپلانک

بایگانی

بررسی جزییات فنی انواع مختلف Splunk License

نظرات

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Telegram