مروری بر مفهوم (SOAR) راهکار راهبری، خودکار سازی امنیت سایبری و مدیریت حوادث امنیت؛

SOAR مخفف عبارت Security Orchestration, Automation and Response به معنای هماهنگسازی، خودکارسازی و واکنشگرایی در امنیت سایبری است. SOAR به سازمان ها کمک میکند که بتوانند از منابع مختلف، دادههایی را در رابطه با تهدیدات امنیتی جمعآوری کند و بدون نیاز به دخالت نیروی انسانی، در برابر تهدیدات امنیتی سطح پایین واکنش مناسب نشان دهد. هدف استفاده از SOAR پیادهسازی امنیت اطلاعات به شکلی بهینه میباشد. شاید مهمترین هدف سازمان ها برای پیاده سازی عملیات امنیت، پاسخدهی به حادثه (Incident Response) باشد. راهکارهای SOAR باعث بهبود عملکرد در عملیاتهای امنیت سایبری و فیزیکی میگردد.

این اصطلاح که توسط Gartner ابداع شد، سه حوزه از فنآوری را پوشش میدهد: هماهنگسازی و خودکارسازی(اتوماسیون) امنیت ، پلتفرمهای واکنش به رویدادهای امنیتی (SIRP) و پلتفرمهای هوش تهدید (TIP).

در این مقاله میخواهیم توضیح دهیم که SOAR چگونه به سازمانها کمک میکند تا با تهدیدات امنیتی مقابله کنند. با ما همراه باشید.

SOAR چگونه به سازمانها کمک میکند با تهدیدات امنیتی مقابله کنند؟

در دنیای پیچیده امروز که چهره تهدیدها و فرصتها همواره در حال تغییر است، گاهی ممکن است این دو حتی با هم اشتباه گرفته شوند. در چنین وضعیتی داشتن تیم امنیتی باتجربه و کاردان برای نظارت بر وضعیت فنآوری اطلاعات یک سازمان، حیاتی به نظر میرسد.

یکی از راهحلهایی که اخیرا برای مقابله با چنین وضعیتی توسط سازمان تحقیقاتی گارتنر ارائه شد، همان SOAR است که در زمینههای زیر از امنیت سایبری محافظت میکند:

۱- بهبود کیفیت هوش سازمانی

برای مقابله با انواع پیچیده تهدیدات سایبری که این روزها شاهدشان هستیم، نیاز است که حتما درکی عمیق از تاکتیکها، تکنیکها و فرآیندهای (TTP) مورد استفاده مهاجمان به دست آوریم. SOAR با فراهم کردن طیف وسیعی از دادهها از منابع مختلف و قابل اطمینان، دستیابی به این درک عمیق را برای سازمان آسان میکند.

۲- بهبود بهرهوری و اثربخشی عملیات

مدیریت فنآوریهای امنیتی غیرکارآمد انرژی کارکنان یک سازمان را هدر میدهد. نظارت مداوم بر سلامت و کارایی سیستمهای امنیتی و بررسی هزاران هشدار و اعلان بیموردی که این سیستمهای امنیتی غیر کارآمد تولید میکنند، میتواند واقعا خستهکننده باشد.

در عوض SOAR کاری میکند که بخش اعظمی از نظارتها به صورت خودکار انجام شوند و هشدارها و اعلانهای بیمورد سیستمهای امنیتی حذف شوند. به این ترتیب، انرژی سازمان هدر نمیرود و بهبود بهرهوری و اثربخشی عملیات میسر خواهد شد.

۳- بهبود سرعت واکنش به تهدیدات

یکی دیگر از مزایایی که SOAR برای سازمانها به ارمغان آورده است، کاهش زمان شناسایی (MTTD) تهدید و کاهش زمان واکنش (MTTR) به آن تهدید است. به علاوه، با استفاده از SOAR، تیم امنیت میتواند فرآیندهای واکنش به تهدیدات را خودکارسازی کند.

۴- افزایش سرعت در جمعآوری دادهها و ارائه گزارشات

در بخش امنیت سایبری، بخش اعظم زمان و انرژی کارکنان صرف جمعآوری دادهها و تهیه گزارشات در مورد تهدیدات و وضعیت امنیت سایبری سازمان میشود. در حالی که با بهرهگیری از SOAR این کار به صورت خودکار و با تکیه بر دادههای جمعآوری شده از طیف وسیعی از منابع معتبر و قابل اعتماد انجام خواهد شد.

این چهار مورد، یعنی «بهبود کیفیت هوش سازمانی»، «بهبود بهرهوری و اثربخشی عملیات»، «بهبود سرعت واکنش به تهدیدات» و «افزایش سرعت در جمعآوری دادهها و ارائه گزارشات» از جمله مهمترین مزایایی هستند که SOAR برای سازمانها به ارمغان میآورد.

حالا که یک آشنایی عمومی با SOAR پیدا کردید، ممکن است سوال کنید که چطور میتوانید SOAR را در سازمان خود پیادهسازی کنید. برونسپاری کنیم یا به صورت درون سازمانی آن را انجام دهیم؟ در ادامه به این موضوع میپردازیم.

برونسپاری یا درونسپاری؟ کدام برای SOAR بهتر است؟

به طور قطع نمیتوان گفت کدام برای SOAR بهتر است. زیرا نیازهای هر سازمان با سازمان دیگر متفاوت است و راهحلی که یک سازمان را به اوج میرساند، ممکن است باعث سقوط و ورشکستگی یک سازمان دیگر شود. با این حال، ما در این قسمت مزایا و موانع هر کدام از این رویکردها را بازگو میکنیم. در نهایت تصمیمگیرنده شما هستید و بهتر از هر کس دیگری میتوانید برای سازمانتان تصمیم بگیرید.

درونسپاری SOAR

مزایا:

– دسترسی کامل به تمامی تنظیمات و امکانات SOAR و امکان یکپارچهسازی کامل آن با دیگر سیستمهای سازمانی.

– محرمانهماندن اطلاعات و دادههای امنیتی که در طی هر عملیات جمعآوری میشوند.

– حذف خطر عدم دسترسی به سرویس SOAR ارائه شده توسط تامینکننده در صورتی که تامینکننده نتواند خواستههای سازمان را برآورده کند یا به طور کل تامینکننده منحل شود.

موانع:

– نیاز به آموزشهای حرفهای کارکنان بخش امنیت سایبری برای انطباق با سیستم SOAR. این آموزش میتواند بسیار زمانبر و پرهزینه باشد. در ضمن آموزش و بهروز کردن اطلاعات کارکنان بخش امنیت سایبری باید به صورت مداوم انجام شود.

– به طور معمول، در سازمانهای کوچک و کمبازده، هزینههای پیادهسازی SOAR به صورت درونسپاریشده و آموزش مداوم کارکنان، بیش از بازده و سود سازمان خواهد شد و در نهایت به ضرر مالی میانجامد.

برونسپاری SOAR

مزایا:

– عدم نیاز به آموزش مداوم کارکنان بخش امنیت سایبری. به این ترتیب هزینه آموزش از میان برداشته میشود.

– عدم نیاز به تامین منابع اضافی برای پیاده سازی SOAR در داخل سازمان. در برونسپاری SOAR، خدمات در یک فضای ابری به سازمان ارائه میشود و امنیت این خدمات تضمین خواهد شد.

موانع:

– پیدا کردن یک تامینکننده SOAR مورد اعتماد که بتواند تمام نیازهای امنیتی سازمان را برطرف کند. در کشور ما در حال حاضر چنین قابلیتی، اساسا مقدور نمی باشد.

– محدودیت در مدتزمان استفاده از SOAR برونسپاری شده. زیرا سازمان ناچار است با تامین کنندگان قرارداد مدتدار ببندد و بعد از اتمام مدت قرارداد آن را تمدید کند.

– هزینههای اضافی. اگر سازمان از تامین کننده بخواهد خدماتی بیش از آنچه در قرارداد ذکر شده است ارائه دهد، سازمان ناچار به پرداخت هزینههای اضافی خواهد شد. در ضمن، نیاز به خدمات اضافی همیشه جزئی از هر کسبوکاری است و جلوگیری از آن ممکن نیست.

اگرچه امکان برون سپاری راهکار SOAR در حال حاضر در کشور مقدور نمی باشد، ولی بررسی آن با مدل پیاده سازی درون سازمانی به طور کلی خالی از لطف نیست. ضمن مرور نکاتی اجمالی و بررسی دو روش بهره مند شدن از راهکار SOAR، باز هم تاکید میکنم که این شما هستید که با توجه به نیاز سازمانتان اقدام به انتخاب راهکار مناسب می کنید. راهکار SOAR می تواند در آینده ای نزدیک تحت عنوان SOAR as a Service توسط برخی از شرکت ها در داخل کشور ارائه شود.

سخن آخر

در این نوشتار کوتاه سعی کردیم کلیات SOAR را مرور کنیم و مزایای استفاده از آن را در سازمانها و کسبوکارها را شاهد باشیم و در نهایت مزایا و موانع انجام برونسپاری و درونسپاری SOAR را با هم بررسی کردیم.

با توجه به آنچه مرور کردیم و نیازمندی های سازمان ها به برنامه های پیشرفته برای محافظت از دارایی های خود و برقراری مبانی امنیت سایبری در سازمان، همچنین انجام بهینه ی فرایند مدیریت و پاسخدهی به حوادث نیازمند بهره برداری و پیاده سازی راهکارهای SOAR می باشیم. با توجه به اینکه SOAR را می توان نسل جدیدی از راهکارهای SOC و CSIRT دانست و با در نظر داشتن نیازمندی ها و پیش نیازهای هر سامان برای پیاده سازی آن، توصیه می شود تا سازمان ها برای پیاده سازی آن اقدامات لازم را انجام دهند و در راستای آن گام بردارند.

حداقل نیازمندی‌های پایه ای برای شکار تهدیدات...