چرا هر SOC به SOAR نیاز دارد؟
مرکز عملیات امنیت (SOC) مسئول دفاع از سازمان در برابر فعالیتهای غیرمجاز در فضای دیجیتال است و فعالیتهایی مانند نظارت، شناسایی، تجزیه و تحلیل، پاسخگویی و بازیابی حوادث امنیتی را بر عهده دارد. طبق مطالعات انجام شده در سال 2023[1]، تیمهای SOC سطح متوسط روزانه تقریبا 5000 هشدار دریافت و سه ساعت از هر شیفت را تنها برای دستهبندی این هشدارها به طور دستی صرف میکنند. بنابراین، آنها قادر به مدیریت بیش 60% از هشدارهای روزانه دریافتی نیستند. این مطالعه نشان میدهد که این مشکل با افزایش منابع نیز تفاوتی نمیکند. از اینرو تیمهای SOC ناگزیر از بهکارگیری ابزارهای اتوماسیون هستند.
تعریف SOAR
SOAR مخفف “Security Orchestration, Automation, and Response” و رویکردی در حوزه امنیت سایبری است تا با بهرهگیری از ابزارهای مختلف، کارایی و اثربخشی فرآیندهای پاسخ به حوادث امنیتی را بهبود بخشد.
عناصر کلیدی SOAR عبارتند از:
- Orchestration: هماهنگ کردن فرآیندها و ابزارهای مختلف امنیتی.
- Automation: اجرای خودکار فرآیندها و وظایف تکراری و زمانبر به صورت خودکار و بدون نیاز به دخالت انسانی.
- Response: واکنش به تهدیدات امنیتی شامل اعمال تدابیر امنیتی فوری، اطلاعرسانی به تیم SOC یا به روزرسانی سیاستهای امنیتی.
SOAR در یک نگاه
پلتفرمهای SOAR به طور معمول با مجموعه گستردهای از ابزارهای امنیتی ادغام میشوند، از جمله سیستمهای مدیریت اطلاعات و رویدادهای امنیتی (SIEM)، سیستمهای تشخیص و پیشگیری از نفوذ (IDPS) و سیستمهای EDR. همانطور که در شکل زیر دیده میشود، SOAR به طور خودکار دادههای هشدار از SIEM و سیستمهای امنیتی دیگر را بررسی و پاسخی درخور تهدید شناسایی شده ارائه میدهد و تحلیلگران این تصمیم را تأیید یا اجرا میکنند. این خودکار سازی حتی با وجود منابع محدود، به شدت بهرهوری SOC را افزایش میدهد.
پلتفرمهای SOAR همچنین به طور گسترده از ابزارهای یادگیری ماشین و هوش مصنوعی برای شناسایی و پاسخ سریعتر و دقیقتر به تهدیدات امنیتی استفاده میکنند.
مزایای SOAR
SOAR به سرعت به یک عنصر اساسی در معماری SOCهای مدرن تبدیل شده است زیرا عملیات تکراری SOC را ساده کرده و سرعت میبخشد. به طور کلی مزایای SOAR به قرار زیر است:
- حفظ تمرکز روی تهدیدات اصلی با مدیریت حجم انبوه هشدارهای امنیتی و حذف موارد False – Positive.
- افزایش بهرهوری SOC : SOAR امکان تشخیص، کاهش (Mitigation) و مهار سریعتر تهدیدات امنیتی را از طریق اتوماسیون فعالیتهای تکراری در فرآیند مدیریت حوادث امنیتی همراه با افزایش آگاهی موقعیتی در منابع داده مختلف، فراهم میکند.
- کاهش فشار کاری روی اعضا تیم SOC و داشتن زمان بیشتر برای بالا بردن مهارتهای موردنیاز.
- تسهیل در اندازهگیری کارایی عملیاتی SOC با نگهداری و پایش معیارهای متعدد مانند زمان پاسخ، زمان مهار و سایر موارد.
- بهبود وجه SOC: با دستهبندی و اولویتبندی بهتر هشدارها و در نتیجه افزایش کارایی عملیاتی مرکز عملیات امنیت، SOAR با کاهش زمان پاسخ و دوئل، مقاومت امنیتی (Resilience) را بهبود میبخشد. به علاوه، در حال حاضر، ابزارهایی از SOAR در بازار وجود دارند که که به عملیاتی کردن فریمورک MITRE ATT&CK میپردازد و به تیمهای SOC این امکان را میدهد که هشدارها را با ATT&CK TTPs هماهنگ و اعتبارسنجی کنند. بنابراین نه تنها در پاسخگویی به حوادث امنیتی موثر هستند، بلکه در شکار تهدیدات به صورت پیشگیرانه و نظارت بر IOCs و TTPs نیز به تیم SOC یاری میرسانند.
[1] https://www.securitymagazine.com/articles/99674-90-of-soc-analysts-believe-current-threat-detection-tools-are-effective
