ما هو تنسيق الأمان والأتمتة والاستجابة SOAR

اقرأ في هذا المقال


ما هو SOAR؟

(SOAR) هو تنسيق الأمان والأتمتة والاستجابة عبارة عن مجموعة من البرامج المتوافقة التي تمكن المؤسسة من جمع البيانات حول التهديدات الأمنية والاستجابة للأحداث الأمنية دون مساعدة بشرية، الهدف من استخدام منصة (SOAR) هو تحسين كفاءة عمليات الأمن المادي والرقمي.

وسعت شركة (Gartner) وهي شركة أبحاث واستشارات عالمية تقدم المعلومات والمشورة والأدوات للقادة في مجال تكنولوجيا المعلومات والتمويل والموارد البشرية التعريف بشكل أكبر، حيث صقلت هذة الشركة التقارب التكنولوجي لـ (SOAR) إلى ما يلي:
  • منصات الاستجابة للحوادث الأمنية، والتي تشمل قدرات مثل إدارة نقاط الضعف وإدارة الحالات وإدارة الحوادث وتدفقات العمل وقاعدة المعرفة بالحوادث وقدرات التدقيق والتسجيل والإبلاغ وغيرها.
  • تنسيق الأمان والأتمتة، والتي تشمل عمليات الدمج وأتمتة سير العمل وكتيبات التشغيل وإدارة قواعد اللعبة وجمع البيانات وتحليل السجل وإدارة دورة حياة الحساب.
  • منصات استخبارات التهديدات، والتي تشمل تجميع معلومات التهديد وتحليلها وتوزيعها وإثراء سياق التنبيه وتصور استخبارات التهديد.

ملاحظة:

  • “SOAR” اختصار ل “security orchestration, automation and response”.

على ماذا تحتوي منصات تنسيق الأمان والأتمتة؟

تنسيق الأمن

يربط تنسيق الأمان الأدوات الداخلية والخارجية المتباينة ويدمجها عبر تكاملات مدمجة أو مخصصة وواجهات برمجة التطبيقات، قد تشتمل الأنظمة المتصلة على ماسحات للثغرات الأمنية ومنتجات حماية نقطة النهاية وتحليلات سلوك المستخدم النهائي وجدران الحماية وأنظمة كشف التسلل ومنع التطفل وأنظمة معلومات الأمان وإدارة الأحداث (SIEM)، وذلك بدلا عن موجز معلومات التهديدات الخارجية.

مع كل البيانات التي تم جمعها، تأتي فرصة أفضل لاكتشاف التهديدات إلى جانب سياق أكثر شمولاً وتعاونًا محسّنًا، ومع ذلك فإن المفاضلة هي المزيد من التنبيهات والمزيد من البيانات لاستيعابها وتحليلها، عندما يقوم تنسيق الأمان بدمج البيانات لبدء وظائف الاستجابة تتخذ أتمتة الأمان إجراءات مناسبة لذلك.

  • “SIEM” اختصار ل”Security Information and Event Management”

أتمتة الأمن

تعمل أتمتة الأمان، التي تغذيها البيانات والتنبيهات التي تم جمعها من تنسيق الأمان، على استيعاب البيانات وتحليلها وإنشاء عمليات متكررة ومؤتمتة لتحل محل العمليات اليدوية، حيث ان المهام التي كان يؤديها المحللون سابقًا، مثل فحص الثغرات الأمنية وتحليل السجل والتحقق من التذاكر وإمكانيات التدقيق، يمكن توحيدها وتنفيذها تلقائيًا بواسطة منصات (SOAR)، كما انه وباستخدام الذكاء الاصطناعي (AI) والتعلم الآلي لفك وتكييف الرؤى من المحللين، يمكن لأتمتة (SOAR) تقديم توصيات وأتمتة الاستجابات المستقبلية، بالتناوب، يمكن للأتمتة رفع مستوى التهديدات إذا كان التدخل البشري مطلوبًا.

تعتبر كتيبات التشغيل ضرورية لنجاح (SOAR)، تعد دفاتر التشغيل التي تم إنشاؤها مسبقًا أو المخصصة إجراءات آلية محددة مسبقًا، حيث يمكن توصيل دفاتر (SOAR) المتعددة لإكمال الإجراءات المعقدة، على سبيل المثال، إذا تم العثور على محدد موقع معلومات خبيث (URL) في البريد الإلكتروني للموظف وتم التعرف عليه أثناء الفحص، فيمكن إنشاء دليل يحظر البريد الإلكتروني وينبه الموظف إلى محاولة التصيد المحتملة ويقوم بحظر بروتوكول الإنترنت (IP) عنوان المرسل، كما يمكن لأدوات (SOAR) أيضًا إطلاق إجراءات تحقيق متابعة من قبل فرق الأمن إذا لزم الأمر، فيما يتعلق بمثال التصيد الاحتيالي، يمكن أن تشمل المتابعة البحث في صناديق البريد الوارد للموظفين الآخرين عن رسائل بريد إلكتروني مماثلة وحظرهم وعناوين (IP) الخاصة بهم، إذا وجدت.

  • “URL” اختصار ل”Uniform Resource Locator”.
  • “IP” اختصار ل”Internet Protocol”.
  • “AI” اختصار ل ” Artificial Intelligence“.

استجابة أمنية

تقدم الاستجابة الأمنية وجهة نظر واحدة للمحللين في التخطيط والإدارة والمراقبة والإبلاغ عن الإجراءات التي يتم تنفيذها بمجرد اكتشاف تهديد، ويشمل أيضًا أنشطة الاستجابة لما بعد الحادث، مثل إدارة الحالة وإعداد التقارير ومشاركة معلومات التهديد.

تحديات SOAR تنسيق الأمان والأتمتة والاستجابة

(SOAR) ليست تقنية حل سحري، ولا هي نظام مستقل، حيث يجب أن تكون منصات (SOAR) جزءًا من استراتيجية أمنية متعمقة للدفاع، خاصةً لأنها تتطلب مدخلات من أنظمة الأمان الأخرى لاكتشاف التهديدات بنجاح، (SOAR) ليست بديلاً لأدوات الأمان الأخرى، بل هي تقنية تكميلية، لا تعد منصات تنسيق الأمان والأتمتة (SOAR) أيضًا بديلاً للمحللين البشريين، ولكنها بدلاً من ذلك تزيد من مهاراتهم وسير العمل من أجل اكتشاف الحوادث والاستجابة لها بشكل أكثر فعالية، تتضمن بعض العيوب المحتملة الأخرى لـ (SOAR) ما يلي:

  • الفشل في معالجة استراتيجية أمنية أوسع.
  • توقعات مختلطة.
  • تعقيد النشر والإدارة.
  • نقص أو محدودية المقاييس.

قدرات مهمة SOAR

  • تقنيات إدارة التهديدات والضعف التي تدعم معالجة نقاط الضعف  وتوفر سير العمل الرسمي  وإعداد التقارير وقدرات التعاون.
  • تقنيات الاستجابة للحوادث الأمنية التي تدعم كيفية تخطيط المنظمة وإدارتها وتتبعها وتنسيقها للاستجابة لحادث أمني.
  • تقنيات أتمتة عمليات الأمان التي تدعم أتمتة وتنسيق مهام سير العمل والعمليات وتنفيذ السياسة وإعداد التقارير.

ما هو الفرق بين الأتمتة والتزامن؟

في حين أن أتمتة الأمان وتنظيم الأمان عبارة عن مصطلحات يتم استخدامها غالبًا بالتبادل، فإن النظامين الأساسيين يؤديان أدوارًا مختلفة جدًا:

  • أتمتة الأمان: تعمل أتمتة الأمان على تقليل الوقت الذي يستغرقه اكتشاف الحوادث المتكررة والإيجابيات الخاطئة والاستجابة لها، لذلك لا تستمر التنبيهات بدون معالجة لفترات طويلة من الوقت، يحرر وقت محللي الأمن للتركيز على المهام الإستراتيجية، مثل البحث الاستقصائي ويتناول كل دليل مؤتمت سيناريو معروف بمسار عمل محدد.
  • تنسيق الأمان: حيث يسمح تنسيق الأمان بمشاركة المعلومات بسهولة، مما يمكّن أدوات متعددة من الاستجابة للحوادث كمجموعة، حتى عندما تنتشر البيانات عبر شبكة كبيرة وأنظمة أو أجهزة متعددة، يستخدم تنسيق الأمان مهام آلية متعددة لتنفيذ عملية أو سير عمل كاملة ومعقدة وتكمن قوة حل (SOAR) في اتساع نطاق عمليات التكامل سابقة الإنشاء التي تسرع وتسهل نشر حالات استخدام عمليات الأمان.

حيث تتمحور أتمتة الأمان حول تبسيط عمليات الأمان وجعلها تعمل بكفاءة أكبر لأنها تتعامل مع مجموعة من المهام الفردية، في حين أن تنظيم الأمان يربط جميع أدوات الأمان المختلفة الخاصة بالمستخدم، بحيث تتغذى مع بعضها البعض، مما يؤدي إلى إنشاء عملية سير عمل سريعة وفعالة من البداية إنها تعمل بشكل أفضل عند الاقتران معًا ويمكن لمجموعات الأمان زيادة كفاءتها وإنتاجيتها إلى أقصى حد عند اعتمادهما معًا.

حالات استخدام SOAR

تشمل حالات الاستخدام الشائعة لأمن (SOAR) ما يلي:

  • حجم كبير من عمليات الأمان اليدوية، مما يخلق الحاجة إلى الأتمتة.
  • دعم إضافي للاستجابة للحوادث التي يتطلبها فريق الأمن الداخلي.
  • أدوات وحلول أمنية إلكترونية متعددة قيد الاستخدام.

شارك المقالة: