چرا هر SOC به SOAR نیاز دارد؟

مرکز عملیات امنیت (SOC) مسئول دفاع از سازمان در برابر فعالیت‌های غیرمجاز در فضای دیجیتال است و فعالیت‌هایی مانند نظارت، شناسایی، تجزیه و تحلیل، پاسخ‌گویی و بازیابی حوادث امنیتی را بر عهده دارد. طبق مطالعات انجام شده در سال 2023[1]، تیم‌های SOC سطح متوسط روزانه تقریبا 5000 هشدار دریافت و سه ساعت از هر شیفت را تنها برای دسته‌بندی این هشدارها به طور دستی صرف می‌کنند. بنابراین، آنها قادر به مدیریت بیش 60% از هشدارهای روزانه دریافتی نیستند. این مطالعه نشان می‌دهد که این مشکل با افزایش منابع نیز تفاوتی نمی‌کند. از این‌رو تیم‌های SOC ناگزیر از به‌کارگیری ابزارهای اتوماسیون هستند.

تعریف SOAR

SOAR مخفف “Security Orchestration, Automation, and Response” و رویکردی در حوزه امنیت سایبری است تا با بهره‌گیری از ابزارهای مختلف، کارایی و اثربخشی فرآیندهای پاسخ به حوادث امنیتی را بهبود بخشد.

عناصر کلیدی SOAR عبارتند از:

• Orchestration: هماهنگ کردن فرآیندها و ابزارهای مختلف امنیتی.
• Automation: اجرای خودکار فرآیندها و وظایف تکراری و زمان‌بر به صورت خودکار و بدون نیاز به دخالت انسانی.
• Response: واکنش به تهدیدات امنیتی شامل اعمال تدابیر امنیتی فوری، اطلاع‌رسانی به تیم SOC یا به روزرسانی سیاست‌های امنیتی.

SOAR در یک نگاه

پلتفرم‌های SOAR به طور معمول با مجموعه گسترده‌ای از ابزارهای امنیتی ادغام می‌شوند، از جمله سیستم‌های مدیریت اطلاعات و رویدادهای امنیتی (SIEM)، سیستم‌های تشخیص و پیشگیری از نفوذ (IDPS) و سیستم‌های EDR. همان‌طور که در شکل زیر دیده می‌شود، SOAR به طور خودکار داده‌های هشدار از SIEM و سیستم‌های امنیتی دیگر را بررسی و پاسخی درخور تهدید شناسایی شده ارائه می‌دهد و تحلیلگران این تصمیم را تأیید یا اجرا می‌کنند. این خودکار سازی حتی با وجود منابع محدود، به شدت بهره‌وری SOC را افزایش می‌دهد.

پلتفرم‌های SOAR همچنین به طور گسترده از ابزارهای یادگیری ماشین و هوش مصنوعی برای شناسایی و پاسخ سریع‌تر و دقیق‌تر به تهدیدات امنیتی استفاده می‌کنند.

مزایای SOAR

SOAR به سرعت به یک عنصر اساسی در معماری SOCهای مدرن تبدیل شده است زیرا عملیات تکراری SOC را ساده کرده و سرعت می‌بخشد. به طور کلی مزایای SOAR به قرار زیر است:

• حفظ تمرکز روی تهدیدات اصلی با مدیریت حجم انبوه هشدارهای امنیتی و حذف موارد False – Positive.
• افزایش بهره‌وری SOC : SOAR امکان تشخیص، کاهش (Mitigation) و مهار سریع‌تر تهدیدات امنیتی را از طریق اتوماسیون فعالیت‌های تکراری در فرآیند مدیریت حوادث امنیتی همراه با افزایش آگاهی موقعیتی در منابع داده مختلف، فراهم می‌کند.
• کاهش فشار کاری روی اعضا تیم SOC و داشتن زمان بیشتر برای بالا بردن مهارت‌های موردنیاز.
• تسهیل در اندازه‌گیری کارایی عملیاتی SOC با نگهداری و پایش معیارهای متعدد مانند زمان پاسخ، زمان مهار و سایر موارد.
• بهبود وجه SOC: با دسته‌بندی و اولویت‌بندی بهتر هشدارها و در نتیجه افزایش کارایی عملیاتی مرکز عملیات امنیت، SOAR با کاهش زمان پاسخ و دوئل، مقاومت امنیتی (Resilience) را بهبود می‌بخشد. به علاوه، در حال حاضر، ابزارهایی از SOAR در بازار وجود دارند که که به عملیاتی کردن فریم‌ورک MITRE ATT&CK می‌پردازد و به تیم‌های SOC این امکان را می‌دهد که هشدارها را با ATT&CK TTPs هماهنگ و اعتبارسنجی کنند. بنابراین نه تنها در پاسخگویی به حوادث امنیتی موثر هستند، بلکه در شکار تهدیدات به صورت پیشگیرانه و نظارت بر IOCs و TTPs نیز به تیم SOC یاری می‌رسانند.

[1] https://www.securitymagazine.com/articles/99674-90-of-soc-analysts-believe-current-threat-detection-tools-are-effective