أتمتة الاستجابة للحوادث وتنسيق الأمان باستخدام SOAR

في هذا الشرح، نشرح أساسيات استجابة الحوادث، ونقدم فئة جديدة من الأدوات - تنسيق الأمن، الأتمتة والاستجابة (SOAR) - التي تجعل استجابة الحوادث أكثر كفاءة وفعالية وقابلة للإدارة على نطاق واسع.

ما هي استجابة الحوادث؟

استجابة الحوادث التفاعلية– استجابة الحوادث هي عملية تنظيمية تسمح للفرق الأمنية باحتواء الحوادث الأمنية أو الهجمات السيبرانية، ومنع أو التحكم في الأضرار. كما تسمح استجابة الحوادث للفرق بالتعامل مع عواقب الهجوم—الاسترداد، وإصلاح الثغرات الأمنية التي كشفتها الهجمة، والتحقيقات، والتواصل، والتدقيق. يُعرف هذا باستجابة الحوادث التفاعلية.

استجابة استباقية للحوادث– يتم اكتشاف العديد من الحوادث الأمنية فقط بعد أسابيع أو أشهر من حدوثها—بينما لا يتم اكتشاف بعضها أبداً. العديد من المنظمات تعمل على تطوير قدرات استجابة استباقية للحوادث. وهذا يتضمن البحث النشط في الأنظمة المؤسسية عن علامات الهجوم السيبراني.

صيد التهديدات– صيد التهديدات هو النشاط الأساسي للاستجابة الاستباقية للحوادث، والذي يتم بواسطة محللي الأمن المهرة. وعادة ما يتضمن استعلام بيانات الأمان باستخدام نظام معلومات الأمن والأحداث (SIEM)، وإجراء فحوصات للثغرات أو اختبارات الاختراق ضد أنظمة المؤسسة. الهدف هو اكتشاف الأنشطة المشبوهة أو الشذوذات التي تمثل حادثًا أمنيًا.

نصائح من الخبير

ستيف مور هو نائب الرئيس ورئيس استراتيجيات الأمن في إكزبيم، يساعد في تقديم الحلول لاكتشاف التهديدات وتقديم المشورة للعملاء بشأن برامج الأمن والاستجابة للاختراقات. وهو مضيف بودكاست "The New CISO Podcast"، و عضو في Forbes Tech Council، ومؤسس مشارك لـ TEN18 at Exabeam.

في تجربتي، إليك نصائح لزيادة قيمة أدوات SOAR ودمجها بشكل فعال في عمليات الأمان الخاصة بك:

تعزيز البحث عن التهديدات باستخدام استعلامات متقدمة
استخدم تكامل SOAR مع SIEM لاستعلام البيانات التاريخية والبيانات في الوقت الحقيقي بشكل فعال. يساعد ذلك في الكشف عن الاتجاهات أو الشذوذ التي قد تشير إلى تهديدات مستمرة متقدمة (APTs) أو برامج ضارة نائمة.

حدد حالات استخدام واضحة للأتمتة
حدد المهام المتكررة وعالية الحجم (مثل، فرز رسائل البريد الإلكتروني الاحتيالية، احتواء البرمجيات الضارة) وأعطِ الأولوية لهذه المهام للأتمتة. ركز على المجالات التي يمكن أن تقلل فيها الأتمتة من أوقات الاستجابة وتحرر المحللين للعمل الاستراتيجي.

تطوير كتيبات لعب قابلة للتعديل
إنشاء كتيبات لعب تكون قابلة للتعديل والتكيف، بحيث يمكن إعادة استخدامها عبر سيناريوهات متعددة. على سبيل المثال، يمكن توسيع كتيب الكشف عن التصيد للتعامل مع مرفقات البرمجيات الخبيثة أو الروابط الضارة دون إعادة التصميم من الصفر.

أعطِ الأولوية للتكامل مع أدواتك الحالية
تأكد من أن حل SOAR الخاص بك يتكامل بسلاسة مع نظام SIEM الخاص بك، والجدران النارية، وأنظمة الكشف والاستجابة (EDR)، ومنصات استخبارات التهديدات. هذا يسمح برؤية شاملة وإدارة موحدة للحوادث.

أتمتة جمع الأدلة
استخدم SOAR لجمع وت centralized الأدلة تلقائيًا أثناء الحادث. إن أتمتة هذه العملية تقلل من الإشراف وتضمن توفر جميع البيانات ذات الصلة للتحقيق وإدارة القضايا.

قياس وتحسين MTTD/MTTR
تتبع بانتظام متوسط الوقت لاكتشاف (MTTD) ومتوسط الوقت للاستجابة (MTTR). استخدم أدوات تقارير SOAR لتحديد نقاط الاختناق وضبط سير العمل لتحسين الكفاءة.

ما هي إدارة الحالات؟

تشمل إدارة الحالات جمع وتوزيع وتحليل البيانات المرتبطة بحوادث أمنية محددة، لتمكين الفرق من الاستجابة بشكل فعال.

تساعد حلول إدارة الحالات موظفي الأمن:

• فتح قضية لحادث أمني مؤكد.
• قم بتجميع جميع البيانات ذات الصلة بسرعة في تمثيل رقمي للقضية.
• تمكين تسريع تحديد أولويات الحالات للاستجابة.
• تحقيق وإضافة معلومات إلى القضية
• سجل النشاطات في أعقاب الهجوم وأغلق القضية.

3 قدرات رئيسية في نظام SOAR

توفر أدوات SOAR القدرات الأربع التالية التي تساعد مراكز العمليات الأمنية (SOC) على الاستجابة للحوادث بشكل أكثر فعالية.

تنسيق

التنسيق هو القدرة على تنسيق اتخاذ القرارات، وأتمتة الإجراءات الاستجابة بناءً على تقييم المخاطر وحالات البيئة.

يمكن لأدوات SOAR القيام بذلك من خلال التكامل مع حلول الأمان الأخرى بطريقة تتيح لها "سحب" البيانات وأيضًا "دفع" الإجراءات الاستباقية. توفر SOAR واجهة عامة، مما يسمح للمحللين بتعريف الإجراءات على أدوات الأمان وأنظمة تكنولوجيا المعلومات دون الحاجة لأن يكونوا خبراء في تلك الأنظمة أو واجهات برمجة التطبيقات الخاصة بها.

مثال على التنسيق: معالجة بريد إلكتروني مشبوه.

1. يمكن لأداة SOAR التحقيق فيما إذا كان للمرسل سمعة سيئة، من خلال معلومات التهديد، واستخدام أدوات DNS لتأكيد المصدر.
2. يمكن للأداة استخراج الروابط التفاعلية تلقائيًا والتحقق منها عبر سمعة URL، وتفجير الروابط في بيئة آمنة، أو تشغيل المرفقات في بيئة معزولة.
3. ثم، إذا تم تأكيد حدوث حادث، يتم تنفيذ دليل الإجراءات. يبحث دليل الإجراءات في نظام البريد الإلكتروني للعثور على جميع الرسائل من نفس المرسل أو التي تحتوي على نفس الروابط أو المرفقات ويقوم بعزلها.

الأتمتة

الأتمتة مرتبطة بالتنسيق - فهي تنفيذ مدفوع بالآلة للإجراءات على أدوات الأمان وأنظمة تكنولوجيا المعلومات، كجزء من الاستجابة لحادث. تتيح أدوات SOAR للفرق الأمنية تحديد خطوات الأتمتة القياسية وتدفق اتخاذ القرار، مع القدرة على التنفيذ وتتبع الحالة والتدقيق.

تعتمد الأتمتة على كتيبات الأمان، التي يمكن للمحللين برمجتها باستخدام واجهة مستخدم بصرية أو لغة برمجة مثل بايثون.

مثال على دليل تشغيل الأتمتة: دليل تشغيل البرمجيات الضارة الخاص بشركة Exabeam.

1. أداة SOAR تفحص ملف البرمجيات الخبيثة وتفجر الملف في بيئة آمنة باستخدام خدمات خارجية.
2. أداة SOAR تتحقق من الملف مقابل خدمات السمعة مثل VirusTotal للتأكد من دقتها.
3. تحدد أداة SOAR الموقع الجغرافي لعنوان IP المصدر أو الأصلي.
4. يقوم النظام بإخطار المستخدم بوجود البرمجيات الخبيثة ويتم إجراء تنظيف بعد التحليل.

إدارة الحوادث والتعاون

تساعد هذه القدرة المعروفة بـ SOAR فرق الأمن في إدارة الحوادث الأمنية، والتعاون ومشاركة البيانات لحل الحادث بكفاءة.

معالجة التنبيهات والتصنيف– أداة SOAR تجمع وتحلل بيانات الأمان، عادةً ما تؤخذ من SIEM، تربط البيانات لتحديد الأولوية والأهمية، وتولد تلقائيًا حوادث للتحقيق. يتضمن الحادث بالفعل معلومات سياقية ذات صلة، مما يسمح للمحللين بالتحقيق بشكل أعمق. هذا يزيل الحاجة إلى تدخل بشري لملاحظة بيانات الأمان ذات الصلة، وتحديدها كحادث أمني وإعداد حادث يدويًا في النظام.

تدوين الملاحظات والدعم الإثباتي– توفر أداة SOAR جدولاً زمنياً للتحقيق لجمع وتخزين الأدلة المتعلقة بالحادث الأمني، من أجل التحليل الحالي والمستقبلي. قد تتعلق الأدلة بأنشطة المهاجمين المعروفة، والتي قد تُنفذ على مدى فترة طويلة. يمكن سحب أدلة إضافية للتحقيق إذا كانت مرتبطة بالحادث الجاري.

إدارة الحالات– يمكن للأداة تسجيل الإجراءات والقرارات التي اتخذها فريق الأمن، مما يجعلها مرئية لكامل المنظمة، بالإضافة إلى المراجعين الخارجيين. مع مرور الوقت، تقوم أداة SOAR بإنشاء قاعدة معرفية تنظيمية من المعرفة القبلية - التهديدات، الحوادث، الاستجابات التاريخية والقرارات ونتائجها.

إدارة استخبارات التهديد– أدوات SOAR تجمع بيانات التهديد من قواعد البيانات مفتوحة المصدر، وقادة الصناعة، ومنظمات الاستجابة المنسقة، ومزودي استخبارات التهديد التجارية. تقوم أداة SOAR بإرفاق المعلومات المتعلقة بالتهديدات بالحوادث المحددة، وتجعل استخبارات التهديد متاحة بسهولة للمحللين أثناء تحقيقهم في حادث.

لوحات المعلومات والتقارير

أدوات SOAR ليست مسؤولة فقط عن تنسيق وأتمتة استجابة الحوادث، ولكن أيضًا عن تمكين القياس المركزي لنشاط مركز العمليات الأمنية (SOC).

SOAR tools تولد تقارير ولوحات معلومات تشمل:

• تقارير على مستوى المحلل عن النشاط لكل محلل، مثل عدد وأنواع الحوادث، ومتوسط الوقت للكشف والاستجابة لكل محلل، وما إلى ذلك.
• تقارير مدير SOC– الإبلاغ عن عدد المحللين، والحوادث التي تم التعامل معها لكل محلل، ومتوسط الوقت لمراحل معينة من عملية الاستجابة للحوادث، لتحديد نقاط الاختناق.
• تقارير على مستوى CISO– مواءمة المخاطر مع مقاييس تكنولوجيا المعلومات لرؤية تأثير الحوادث على أداء الأعمال واللوائح؛ قياس الكفاءة من خلال النظر في MTTD و MTTR عبر المنظمة بأكملها، وتقليل العمل من خلال الأتمتة.

كيف يتناسب نظام SOAR مع نظام SIEM؟

تعمل أدوات SOAR بشكل وثيق مع نظام SIEM، وهو النظام المركزي للمعلومات في مركز العمليات الأمنية (SOC). تستفيد أدوات SOAR من التكامل مع SIEM لـ:

• استقبل التنبيهات وبيانات الأمان الإضافية لتحديد الحوادث الأمنية.
• اجمع البيانات المطلوبة للباحثين لمزيد من التحقيق في حادثة.
• مساعدة المحللين في الاستجابة الاستباقية للحوادث وصيد التهديدات، والتي تعتمد على استعلام واستكشاف البيانات عبر المنظمات.

SOAR كجزء من حلول SIEM الجيل التالي

وفقًا لتقرير غارتنر القدرات الحرجة لإدارة أحداث الأمان 2017، يجب أن يتضمن حل SIEM من الجيل التالي مكونًا أصليًا يمكّن من التعامل مع الحوادث المكتشفة والاستجابة لها عبر إدارة الحالات الآلية واليدوية، وسير العمل والتنظيم، بالإضافة إلى القدرات للدفاع عن التهديدات المتقدمة.

لذا بينما تتطور أدوات SOAR كفئة منفصلة، في رؤية غارتنر، يجب أن تكون SOAR جزءًا متكاملاً من SIEM.

منصة Exbeam للأمن الذكي هي مثال على هذا الهجين الجديد. Exabeam هو حل SIEM يعتمد على تقنية بحيرة البيانات الحديثة، مما يمكّن من التحليلات المتقدمة و التحليلات السلوكية للكيانات والمستخدمين. بالإضافة إلى ذلك، تأتي Exabeam مع مكونين يوفران وظيفة SOAR كاملة:

• Exabeam Incident Responder– يوفر إدارة حالات الأمان، والتكامل مع أدوات الطرف الثالث، وتنظيم الأمان المركزي، والاستجابة التلقائية للحوادث عبر كتيبات استجابة الأمان.
• Exabeam Threat Hunter–واجهة نقطة ونقر تتيح لمحللي مركز العمليات الأمنية (SOC) إجراء عمليات بحث بسرعة لتحديد الأنماط في كميات هائلة من بيانات الأمان التاريخية. كما يوفر الوصول إلى جداول زمنية كاملة للحوادث الأمنية السابقة والحالية.