مكافحة الهجمات الإلكترونية باستخدام SOAR

مع تسارع السباق بين المهاجمين السيبرانيين وحلول الدفاع السيبراني، تواجه العديد من المنظمات صعوبة في التكيف مع التهديد المتزايد من التهديدات المتقدمة. العديد من المنظمات تتجه الآن نحو الحلول الآلية مثل SOAR لمساعدتها في التعرف على التهديدات الأمنية والاستجابة لها. لكن ما هو SOAR؟ تابع القراءة لتتعرف على ما يعنيه SOAR، وما يمكن أن يفعله، وكيف يختلف عن SIEM، ولماذا يجب عليك استخدامهما معًا.

ما هو أمن SOAR؟

"تنسيق الأمن، والأتمتة، والاستجابة" (SOAR) هو مصطلح صاغته شركة غارتنر في عام 2017 لوصف فئة من حلول الأمن السيبراني. تم تصميم SOAR للسماح للمنظمات بجمع بيانات التهديدات الأمنية والتنبيهات من مصادر متعددة. يمكنه تحديد المخاطر الأمنية بشكل تلقائي وتحديد أولوياتها والاستجابة للأحداث الأمنية ذات المستوى المنخفض.

تستخدم العديد من المنظمات حلول SOAR ضمن مركز عمليات الأمن (SOC) لتعزيز أدوات الأمان الأخرى مثل إدارة معلومات الأمن والأحداث (SIEM). يمكن أن تستفيد مراكز العمليات الأمنية من استخدام وظائف SOAR الآلية للتعامل مع التهديدات بشكل أسرع وأكثر كفاءة، بينما تقلل أيضًا من الأعباء وتوحد عمليات الاستجابة للحوادث الأمنية.

كل من مكونات SOAR–تنسيق الأمان، والأتمتة، والاستجابة–يؤدي وظيفة مختلفة في مركز العمليات الأمنية (SOC). تشمل هذه الوظائف الحيوية:

التنسيق– يدمج تقنيات مختلفة ويربط بين أدوات الأمان لتحسين قدرات استجابة الحوادث. يساعد التنسيق الأمني المنظمات على التعامل مع الحوادث السيبرانية المعقدة والمتكررة. يمكّن SOAR حلول الأمن السيبراني وعمليات تكنولوجيا المعلومات من العمل معًا لتوفير رؤية كاملة لبيئة تكنولوجيا المعلومات في المنظمة.

الأتمتة– توفر أدوات التحقيق والاستجابة الآلية لتقليل الوقت الذي تستغرقه فرق الأمن لتحديد والتعامل مع الحوادث الأمنية وتقليل عبء العمل لديهم. يمكن لفرق استجابة الحوادث الأمنية (CSIRTs) استخدام SOAR لتوحيد وأتمتة خطوات مثل التحقق من الحالة، وسير العمل في اتخاذ القرار، والتدقيق، وإجراءات التنفيذ.

يمكن أن توفر الأتمتة تدابير أمنية تفاعلية واستباقية.

• تفاعلي– يستجيب للحوادث ويتتبع مقاييسها ويوفر إدارة للحالات.
• استباقي– يقوم بأتمتة المهام الأمنية لمساعدة محللي مركز العمليات الأمنية (SOC) في تحديد الثغرات والتهديدات السيبرانية لمنع الحوادث.

الاستجابة— يمكن لفرق الأمن استخدام الكتب التشغيلية لتشغيل سير العمل الآلي لأداء العديد من الإجراءات مثل بدء التحقيقات واحتواء التهديدات والتخفيف منها. تساعد SOAR المحللين الأمنيين في التعامل مع حوادث الأمن السيبراني وتحسين التعاون مع الفرق الأخرى لمشاركة بيانات الحوادث وتطبيق الإصلاحات بشكل أكثر كفاءة. توفر حلول SOAR لوحات معلومات تولد تقارير، مما يسمح لفرق الأمن بالحصول على رؤى حول الحوادث السابقة حتى يتمكنوا من التعامل بشكل أفضل مع التهديدات الجديدة.

قدرات وفوائد تكنولوجيا SOAR

تذكر غارتنر ثلاث قدرات رئيسية لتقنيات SOAR:

• إدارة التهديدات والثغرات– تدعم الفرق الأمنية في إصلاح الثغرات عبر دوراتها الحياتية. يوفر SOAR للأمن السيبراني قدرات التقارير والتعاون وعمليات العمل الرسمية.
• Security IR– يساعد المنظمات على التخطيط وإدارة وتتبع وتنسيق كيفية استجابتها لحوادث الأمن.
• أتمتة العمليات الأمنية– تدعم أتمتة وتنسيق العمليات، وسير العمل، وتنفيذ السياسات، والتقارير.

يمكن للمنظمات الاستفادة من استخدام حلول SOAR، التي يمكن أن تحول العمليات الأمنية الرئيسية لمساعدة مراكز العمليات الأمنية (SOCs) على زيادة الكفاءة وتقليل الأعباء. تشمل الفوائد الرئيسية لتكنولوجيا SOAR ما يلي:

• تقليل العمليات اليدوية– يمكن لنظام SOAR الاستجابة تلقائيًا للتهديدات المنخفضة المستوى ويقلل من وقت الاستجابة إلى ثوانٍ، مما يعني أن المهاجمين لديهم وقت أقل للوصول إلى النظام. كلما كان وقت الهجوم في النظام أقصر، كان من الصعب على فريق الاستجابة التعامل مع الأضرار الحرجة ومنع سرقة البيانات القيمة.
• المنصات المبسطة– يقوم بائعو SOAR بإنشاء كتيبات أمان مسبقة البناء توجه المستخدمين خلال سير العمل الخاص بالتحقيق. يمكن للمستخدمين الاعتماد على تعقيد حلول برمجيات SOAR ودمجها في الأطر الأمنية دون القلق بشأن الأجزاء التي يجب أن يتم أتمتتها. بعض برامج SOAR تعطي الأولوية للتهديدات تلقائيًا حتى تتمكن من مساعدة المحللين الأقل خبرة في اختيار الحوادث التي يجب عليهم التعامل معها أولاً.
• تقليل الأضرار الناتجة عن الهجمات– يقلل من عدد الخطوات الضرورية التي تتطلب تدخل الإنسان ويساعد المحللين على التحقيق والاستجابة بسرعة حتى يتمكنوا من البدء في التخفيف في وقت أقرب. يوفر SOAR للمحللين المعلومات الأكثر صلة بالهجمات حتى يتمكنوا من التعامل مع التهديدات بشكل أسرع.
• تكامل الأدوات المتعددة– تستخدم مراكز العمليات الأمنية مجموعة واسعة من أدوات الأمان من بائعين مختلفين لا تعمل دائمًا بشكل صحيح معًا. واحدة من الفوائد الرئيسية لنظام SOAR للمنظمات هي أنه يمكن أن يوفر هذا التكامل. يمكّن SOAR محللي الأمان من عرض أدوات تكنولوجيا المعلومات مثل مجموعات بيانات الأصول، وأنظمة إدارة التكوين، وأنظمة المساعدة. تقدم العديد من حلول SOAR حلاً مدمجًا لتكامل الأدوات المتعددة بحيث يمكن دمجها بسهولة في إطار الأمان.
• خفض التكاليف– يقوم نظام SOAR تلقائيًا بأداء العديد من المهام الأمنية المملة والتي تستغرق وقتًا طويلاً، مثل التعامل مع الإيجابيات الكاذبة والتنبيهات ذات المستوى المنخفض، مما يساعد المنظمات على تقليل التكاليف التشغيلية.

SOAR مقابل SIEM

إدارة معلومات وأحداث الأمان (SIEM) هي فئة من الحلول الأمنية التي تستخدم الارتباطات الإحصائية وقواعد أخرى لتزويد فرق الأمان بمعلومات قابلة للتنفيذ بناءً على الأحداث داخل نظام الأمان وسجلات الدخول. يمكن لمراكز العمليات الأمنية (SOCs) استخدام هذه المعلومات للكشف عن التهديدات في الوقت الحقيقي، وإدارة جهود استجابة الحوادث، وإعداد تدقيقات لأهداف الامتثال، والتحقيق في الحوادث الأمنية السابقة.

ما هو SOAR بالنسبة لـ SIEM؟

SOAR وSIEM هما أداتان للأمان مصممتان لتوفير حلول لتحسين جودة الحياة لفرق مركز العمليات الأمنية (SOC) من خلال الأتمتة، بينما تزيدان أيضًا من الكفاءة. يوفر SIEM حلولًا قيمة لجمع البيانات وتحليلها. ومع ذلك، تميل بعض حلول SIEM إلى إنتاج العديد من التنبيهات وزيادة عبء العمل على موظفي SOC.

تستخدم العديد من الشركات تقنية SOAR لتعزيز قدرات أنظمة SIEM. تقوم أنظمة SIEM بجمع وتخزين البيانات بطريقة مفيدة يمكن لـ SOAR استخدامها للتحقيق تلقائيًا والاستجابة للحوادث، مما يقلل الحاجة إلى العمليات اليدوية. تستفيد أنظمة SIEM من الجيل الجديد من الأتمتة والتعلم العميق، مما يوفر مجموعة شاملة من الميزات والقدرات.

تشمل حلول SIEM الرائدة، مثل Exabeam، تحليل سلوك المستخدم والكيانات (UEBA) وSOAR. من خلال دمج قدرات UEBA وSOAR، يمكنها التحذير والتفاعل بشكل استباقي مع الأحداث الأمنية المعقدة وأداء التوصيف السلوكي الآلي، بينما تتفاعل تلقائيًا مع أنظمة تكنولوجيا المعلومات والأمن للتخفيف من الحوادث.

حالات استخدام SOAR

دعونا نستعرض بإيجاز ثلاث حالات استخدام يمكن أن تكون فيها منصات أمان SOAR مفيدة للغاية.

التعامل مع تنبيهات الأمان

يمكن أن تساعد أدوات SOAR في التعرف على والاستجابة لأنواع التنبيهات الأمنية التالية، التي يتم اكتشافها بشكل متكرر في معظم المنظمات:

• رسائل البريد الإلكتروني الاحتيالية– يمكن لنظام SOAR فحص محتوى رسائل البريد الإلكتروني المحتملة الاحتيالية، وتحسينها بمعلومات التهديدات، وتنفيذ خطة أمنية، وأتمتة المهام المتكررة مثل تصنيف المستخدمين المتأثرين، واستخراج المقاييس، وتحديد الإيجابيات الكاذبة، والاستعداد لاستجابة موحدة للقضاء على التهديد.
• فشل تسجيل دخول المستخدم– عندما يفشل تسجيل دخول المستخدم لعدد محدد مسبقًا من المرات، يمكن لنظام SOAR تشغيل خطة عمل لتحدي المستخدمين، وتقييم ردودهم، وانتهاء صلاحية كلمات مرور المستخدمين الذين لا يستجيبون بشكل مناسب.
• تسجيلات الدخول غير العادية– يمكن لنظام SOAR اكتشاف محاولات الوصول المشبوه عبر VPN، والتحقق من وجود وسيط أمان الوصول السحابي (CASB)، والتحقق من مصدر عناوين IP، والتواصل مع حساب المستخدم الحقيقي، وحظر الاتصال.
• إصابة البرمجيات الخبيثة في النقاط النهائية– يمكن لنظام SOAR الحصول على بيانات التهديد المستمرة من أدوات أمان النقاط النهائية، وتعزيزها ببيانات من أجزاء أخرى من بيئة الأمان، ومقارنة الملفات مع البيانات من نظام SIEM، وتنبيه فريق الأمان، وإعادة تصوير النقطة النهائية وتحديث حل أمان النقاط النهائية.

إدارة العمليات الأمنية

يمكن أن تساعد أداة SOAR في أتمتة المهام الروتينية التي يقوم بها محللو الأمن.

• إدارة شهادات SSL– التحقق من أي شهادات SSL ستنتهي قريبًا، وإخطار المستخدم، والتحقق من الحالة بشكل دوري، وتصعيد الأمور إذا لزم الأمر.
• تشخيص مشكلات وكيل نقطة النهاية– تحقق من مشكلات الاتصال مع وكيل أمان نقطة النهاية، فتح تذكرة، إعادة تشغيل الوكلاء ونقاط النهاية إذا لزم الأمر.
• إدارة الثغرات– تحليل البيانات حول الثغرات البرمجية، وإضافة سياق من بيانات CVE، وتحديد شدة الثغرات، وتسليم القضايا ذات الأولوية إلى فريق الأمان.

يمكن أن تساعد أداة SOAR في أتمتة المهام الروتينية التي يقوم بها محللو الأمن.

• إدارة شهادات SSL– التحقق من أي شهادات SSL ستنتهي قريبًا، وإخطار المستخدم، والتحقق من الحالة بشكل دوري، وتصعيد الأمور إذا لزم الأمر.
• تشخيص مشكلات وكيل نقطة النهاية– تحقق من مشكلات الاتصال مع وكيل أمان نقطة النهاية، فتح تذكرة، إعادة تشغيل الوكلاء ونقاط النهاية إذا لزم الأمر.
• إدارة الثغرات– تحليل البيانات حول الثغرات البرمجية، وإضافة سياق من بيانات CVE، وتحديد شدة الثغرات، وتسليم القضايا ذات الأولوية إلى فريق الأمان.

منصات SOAR ودمجها مع أنظمة SIEM

وفقًا لشركة غارتنر، فإن SOAR في مجال الأمن السيبراني ليست فئة مستقلة. يجب أن تكون حلول SOAR الحديثة مدمجة مع منصات SIEM لتوفير أقصى قيمة.

تجمع منصة عمليات الأمن من Exabeam بين تقنيات SIEM وUEBA وSOAR لتوفير سير عمل شامل لكشف التهديدات والتحقيق والاستجابة (TDIR). إنها حل SIEM يضيف تحليلات متقدمة، وتحليلات سلوك المستخدم والكيانات (UEBA)، وأتمتة الأمن فوق حل إدارة السجلات لمساعدة المؤسسات على اكتشاف التهديدات المتقدمة مثل بيانات الاعتماد المخترقة.

تقدم شركة Exabeam مكونات SOAR كجزء من منصتها الرائدة في مجال SIEM.

Exabeam Incident Responder –إدارة حالات الأمان، التكامل مع أدوات الطرف الثالث، تنظيم الأمان، وكتيبات الأمان للاستجابة التلقائية الكاملة للحوادث.

كتب اللعب الجاهزة من Exabeam –سير عمل آلي مسبق البناء يمكن تكراره للتحقيق في بيانات الاعتماد المخترقة أو البرمجيات الخبيثة أو المتسللين الخبيثين، بحيث يمكن للمحللين الاستجابة لسيناريوهات الأمان الشائعة مثل التصيد الاحتيالي باستخدام منتج واحد.

مدير حالات Exabeam– يتيح للمحللين تنظيم التنبيهات من Exabeam وأدوات الأمان الأخرى في حوادث تتطلب مزيدًا من التحقيق أو الاستجابة، مما يساعد المحلل على فرز الأحداث الواردة بكميات كبيرة.

Exabeam Threat Hunter– يساعد المحللين الأمنيين على إجراء عمليات البحث بسرعة باستخدام واجهة مستخدم مريحة لتحديد الأنماط في بيانات الأمان التاريخية، المجمعة من مصادر بيانات متعددة. يقوم تلقائيًا بإنشاء جداول زمنية كاملة للحوادث لأي حادث أمني، مما يقلل بشكل كبير من الوقت المطلوب للتحقيق.