معرفی Splunk SOAR

.Splunk Phantom، که به تازگی به نام Splunk SOAR تغییر نام داده است، یک راهکار امنیتی SOAR (Security Orchestration, Automation, and Response) است. SOAR به معنای هماهنگ‌سازی، اتوماسیون، و پاسخ در حوزه امنیت استفاده می‌شود. این ابزار به سازمان‌ها این امکان را می‌دهد تا فرآیندهای امنیتی را به صورت خودکار و برنامه‌ریزی شده اجرا کنند. از جمله قابلیت‌های آن می‌توان به شناسایی تهدیدات، ارائه پاسخ‌های فوری، اصلاح تهدیدات، و اجرای اقدامات امنیتی به صورت خودکار اشاره کرد. Splunk SOAR به افزایش کارآیی تیم‌های امنیتی کمک می‌کند و در مقابل تهدیدات امنیتی سازمان‌ها توانمندی بهبود یافته‌ای ارائه می‌دهد.

Splunk SOAR چیست؟

فناوری‌های هماهنگ‌سازی امنیتی، اتوماسیون و پاسخ یا Splunk SOAR به سازمان‌ها منبع واحدی برای مشاهده، درک، تصمیم‌گیری و اقدام در مورد حوادث امنیتی می‌دهند. گارتنر در اصل این اصطلاح را برای توصیف همگرایی هماهنگ سازی و اتوماسیون امنیتی، پلتفرم‌های پاسخ به حوادث امنیتی (SIRP) و پلتفرم‌های اطلاعاتی تهدید (TIP) ابداع کرد. همچنین ممکن است SOAR را به عنوان SA&O ببینید، اگرچه یک پلتفرم واقعی SOAR با ادغام یک قابلیت پاسخگویی کامل به حادثه نیز فراتر از اتوماسیون امنیتی (SA) و اتوماسیون امنیتی و هماهنگ‌سازی (SA&O) خواهد بود.

SOAR (Security Orchestration, Automation, and Response) انقلابی در عملیات امنیتی ایجاد کرده است. بدون نوعی اتوماسیون امنیتی، تحلیلگران امنیتی به صورت دستی با تعداد فزاینده‌ای از حملات سایبری برخورد می‌کنند. از آن جایی که آن‌ها مسئول رسیدگی به هزاران (گاهی اوقات حتی میلیون‌ها) هشدار هستند. پاسخ به حادثه، اصلاح و بازیابی ممکن است روزها یا حتی هفته‌ها طول بکشد. این در صورتی است که کارکنان کافی از افراد واجد شرایط داشته باشند. در سطح جهانی، این صنعت با کمبود شدید استعدادهای امنیت سایبری مواجه است. لایسنس اسپلانک نیز در این سیاق به عنوان یکی از ابزارهای اساسی برای تقویت امنیت سایبری و مدیریت بهبود واکنش به تهدیدها و حوادث امنیتی از اهمیت بسیاری برخوردار است.

SOAR و افزایش کارایی در عملیات امنیت سایبری

بر اساس گزارش Cybersecurity Ventures، تعداد مشاغل تکمیل نشده در زمینه امنیت سایبری بین سال‌های 2013 و  2021،  350 درصد افزایش یافته است. (از 1 میلیون به 3.5 میلیون نفر) با توجه به این موضوع، این امکان وجود دارد که تیم امنیتی شما تهدیدات واقعی را از دست داده باشد، زیرا آنها سعی می‌کنند به سرعت و در حال برخورد با مسائل باشند.

اینجاست که SOAR وارد می‌شود. راه‌حل‌های Splunk SOAR کمک می‌کنند تا وظایف امنیت سایبری را تکمیل  کنند و زمان مدیران امنیتی شما را با استفاده از یادگیری ماشین و اتوماسیون محدود می‌کنند، در حالی که به آن‌ها هماهنگی در زیرساخت‌های امنیتی‌شان ارائه می‌دهند تا کارآمدتر باشند. این راهکار  کمک می کند تا برای رسیدگی به حوادث بیشتر ادمین‌ها، مهم‌ترین مسائل را عمیق‌تر بررسی کنند و وضعیت امنیتی کلی سازمان شما را به طور گسترده بهبود بخشند.

اتوماسیون امنیتی چگونه کار می کند؟

اتوماسیون امنیتی اجرای اقدامات امنیتی مبتنی بر ماشین با قدرت شناسایی، بررسی و اصلاح تهدیدات سایبری بدون نیاز به دخالت انسان است. SA (اتوماسیون امنیتی) بسیاری از کارها را برای کارکنان امنیتی شما انجام می دهد، بنابراین آنها دیگر مجبور نیستند هر هشداری را که وارد می شود بررسی کنند و به صورت دستی آن را بررسی کنند. با کمک اتوماسیون امنیتی سازمان ها می توانند:

1. تهدیدات موجود در محیط سازمان را شناسایی کنند.
2. تهدیدات بالقوه را با پیروی از مراحل، دستورالعمل‌ها و گردش کار تصمیم‌گیری که توسط تحلیلگران امنیتی برای بررسی رویداد و تعیین اینکه آیا یک حادثه قانونی است یا نه، تریاژ کنند.
3. تصمیم بگیرند که آیا در مورد حادثه اقدام کنند یا خیر.
4. موضوعات را در نظر گرفته و حل کنند.

همه اینها می تواند در چند ثانیه و بدون دخالت کارکنان انسانی اتفاق بیفتد. اقدامات تکراری و وقت گیر از دست تحلیلگران امنیتی خارج می شود تا آنها بتوانند بر کارهای مهم‌تر و ارزش افزوده تمرکز کنند.

 

ارکستراسیون(هماهنگ کننده) امنیتی چیست؟

ارکستراسیون امنیتی (SO) هماهنگی مبتنی بر ماشین مجموعه‌ای از اقدامات امنیتی وابسته به هم در یک زیرساخت پیچیده است. این تضمین می‌کند که همه ابزارهای امنیتی سازمان  و حتی ابزارهای غیرامنیتی – با هم کار می‌کنند، در حالی که وظایف را در محصولات و گردش‌های کاری خودکار می‌کنند. SO بررسی حادثه، واکنش و در نهایت حل و فصل را هماهنگ می کند. علاوه بر این، نیازی به تحلیلگران امنیتی برای پیمایش چندین صفحه و سیستم، جمع‌آوری همه چیز در یک مکان و نمایش آن در یک داشبورد را از بین می‌برد.

هماهنگی امنیتی می تواند:

1. زمینه را در مورد حوادث امنیتی فراهم کنید: یک ابزار هماهنگ‌سازی امنیتی داده‌ها را از منابع مختلف جمع‌آوری می‌کند تا بینش عمیق‌تری ارائه دهد. به این ترتیب، ادمین ها دید جامع از کل محیط به دست می آورند.
2. امکان بررسی های عمیق تر و معنادارتر را فراهم کنید: تحلیلگران امنیتی می توانند مدیریت هشدارها را متوقف کنند و شروع به بررسی علت وقوع آن حوادث کنند. به‌علاوه، ابزارهای هماهنگ‌سازی امنیتی معمولاً داشبوردها، نمودارها و جدول‌های زمانی بسیار تعاملی و بصری را ارائه می‌دهند که می‌توانند در طول فرآیند تحقیق و پاسخ مفید باشند.
3. بهبود همکاری: ممکن است احزاب دیگر، از جمله تحلیلگران در سطوح مختلف، مدیران، مدیران ارشد فناوری اطلاعات و C-suite، تیم های حقوقی و منابع انسانی نیز نیاز به درگیر شدن با انواع خاصی از حوادث امنیتی داشته باشند.

در نهایت، ارکستراسیون یکپارچگی دفاع سازمان را افزایش می‌دهد و به تیم امنیتی اجازه می‌دهد فرآیندهای پیچیده را خودکار کند و ارزشی را که از کارکنان امنیتی، فرآیندها و ابزار دریافت می‌کنید، به حداکثر برساند.

مزایای SOAR چیست؟

فناوری‌های SOAR می‌توانند بسیاری از اقدامات تکراری و پیش‌پاافتاده را در کل چرخه حیات تهدیدات امنیتی کاهش دهند تا تیم امنیتی بتواند روی کارهای مهم‌تر تمرکز کند. از جمله این فناوری‌ها، لایسنس Splunk Phantom (اکنون به نام Splunk SOAR شناخته می‌شود.) نیز می‌تواند در بهبود مدیریت و پاسخ به تهدیدات امنیتی کمک کند. Splunk Phantom به تیم‌های امنیتی این امکان را می‌دهد که اقدامات امنیتی را به صورت اتوماتیک انجام داده و تهدیدات را به صورت سریعتر و بهره‌ورتر شناسایی و مدیریت کنند. مزایای کلی Splunk SOAR به شرح زیر است:

1. ادغام امنیت، عملیات فناوری اطلاعات و ابزارهای اطلاعاتی تهدید
2. مشاهده همه اطلاعات لازم برای بررسی حوادث در کنسول
3. واکنش سریع به حوادث
4. جلوگیری از اقدامات وقت گیر
5. دسترسی به اطلاعات بهتر از طریق دسترسی SOAR به داده های پلتفرم‌های اطلاعاتی تهدید، فایروال، سیستم های تشخیص نفوذ،SIEM  و سایر فناوری ها
6. بهبود گزارش‌دهی و ارتباطات
7. تقویت توانایی تصمیم‌گیری با راهنمای جامع

موارد استفاده از Splunk SOAR

برخی از نمونه ها عبارتند از:

1. مبارزه با حملات سایبری با واکنش خودکار حوادث
2. شکار تهدید
3. تست نفوذ
4. بهبود مدیریت کلی آسیب پذیری