يُعَد التنسيق الأمني والأتمتة والاستجابة (SOAR) حلًا برمجيًا يمكِّن فرق الأمن من دمج وتنسيق الأدوات الأمنية المنفصلة، وأتمتة المهام المتكررة، وتبسيط سير العمل للاستجابة للحوادث والتهديدات.
في المؤسسات الكبيرة، تعتمد مراكز العمليات الأمنية (SOCs) على العديد من الأدوات لمراقبة التهديدات الإلكترونية والاستجابة لها، وغالبًا بشكل يدوي. تؤدي هذه التحقيقات اليدوية للتهديدات إلى بطء أوقات الاستجابة العامة للتهديدات.
توفِّر منصات SOAR لمراكز العمليات الأمنية (SOCs) وحدة تحكُّم مركزية يمكن من خلالها دمج هذه الأدوات ضمن سير عمل محسَّن للاستجابة للتهديدات وأتمتة المهام المتكررة منخفضة المستوى في هذه العمليات. تُتيح هذه الوحدة لمراكز العمليات الأمنية (SOCs) إدارة جميع التنبيهات الأمنية الصادرة عن هذه الأدوات في مكان مركزي واحد.
من خلال تبسيط تصنيف التنبيهات وضمان تكامل الأدوات الأمنية المختلفة، تساعد منصات SOAR مراكز العمليات الأمنية (SOCs) على تقليل متوسط زمن الاكتشاف (MTTD) ومتوسط زمن الاستجابة (MTTR)، ما يعزز الوضع الأمني العام. يمكن لاكتشاف التهديدات الأمنية والاستجابة لها بسرعة تقليل تأثير الهجمات الإلكترونية. وفقًا لأحدث تقرير لشركة IBM حول تكلفة خرق البيانات، يرتبط تقصير دورة حياة اختراق أمن البيانات بانخفاض تكاليف الخرق. الاختراقات التي يتم حلها في أقل من 200 يوم تكلِّف الشركات أقل بمقدار 1.02 مليون دولار أمريكي في المتوسط، ما يعكس فرقًا بنسبة 23%.
ظهرت تقنية SOAR كدمج لثلاث أدوات أمنية سابقة. وفقًا لشركة Gartner، التي صاغت مصطلح "SOAR" لأول مرة في عام 2015، تجمع منصات SOAR بين وظائف منصات الاستجابة للحوادث الأمنية، ومنصات تنسيق وأتمتة الأمن، ومنصات استعلامات التهديدات في حل واحد.
لفهم كيفية عمل حلول SOAR الحديثة، يمكن تبسيطها عبر تقسيمها إلى ميزاتها الأساسية: تنسيق الأمن، وأتمتة الأمن، والاستجابة للحوادث.
يُشير "تنسيق الأمن" إلى كيفية قيام منصات SOAR بتوصيل وتنسيق أدوات الأجهزة والبرامج في نظام أمن الشركة.
تستخدم مراكز العمليات الأمنية حلولًا متنوعة لمراقبة التهديدات والاستجابة لها، مثل جدران الحماية، واستعلامات التهديدات، وأدوات حماية نقاط النهاية. حتى عمليات الأمان البسيطة يمكن أن تتضمن أدوات متعددة. على سبيل المثال، قد يحتاج محلل أمني يتحقق من رسالة بريد إلكتروني تصيّدية إلى بوابة بريد إلكتروني آمنة، ومنصة استعلامات تهديدات، وبرمجيات مضادة للفيروسات لتحديد التهديد وفهمه ومعالجته. تأتي هذه الأدوات غالبًا من بائعين مختلفين وقد لا تتكامل بسهولة، لذا يجب على المحللين التنقل يدويًا بين الأدوات أثناء عملهم.
باستخدام SOAR، يمكن لمراكز SOC توحيد هذه الأدوات في مهام سير عمل العمليات الأمنية المتماسكة والقابلة للتكرار (SecOps). تستخدم منصات SOAR واجهات برمجة التطبيقات (APIs)، والإضافات الجاهزة، والتكاملات المخصصة لربط الأدوات الأمنية وبعض الأدوات غير الأمنية. بمجرد دمج هذه الأدوات، يمكن لمراكز العمليات الأمنية تنسيق أنشطتها باستخدام الأدلة.
تُعَد الأدلة (Playbooks) خرائط عملية يمكن للمحللين الأمنيين استخدامها لتوضيح خطوات العمليات الأمنية القياسية مثل اكتشاف التهديدات والتحقيق فيها والاستجابة لها. يمكن أن يحتوي الدليل على أدوات وتطبيقات متعددة. يمكن أن تكون مؤتمتة بالكامل أو يدوية بالكامل أو مزيجًا من المهام الآلية واليدوية.
يمكن لحلول SOAR الأمنية أتمتة المهام الروتينية منخفضة المستوى والمستهلكة للوقت، مثل فتح وإغلاق تذاكر الدعم، وإثراء الأحداث، وتحديد أولويات التنبيهات. يمكن أن تؤدي عمليات SOARs أيضًا إلى تشغيل الإجراءات التلقائية لأدوات الأمان المتكاملة. وهذا يعني أنه يمكن للمحللين الأمنيين استخدام مهام سير عمل الدليل لربط أدوات متعددة معًا وتنفيذ عمليات أمنية أكثر تعقيدًا.
على سبيل المثال، ضع في اعتبارك كيف يمكن لمنصة SOAR أتمتة التحقيق في جهاز كمبيوتر محمول مخترق. أول مؤشر على وجود مشكلة يأتي من حل اكتشاف نقاط النهاية والاستجابة لها (EDR)، الذي يرصد النشاطات المشبوهة على الكمبيوتر المحمول. يرسل نظام EDR تنبيهًا إلى منصة SOAR، ما يؤدي إلى تشغيل SOAR لتنفيذ دليل محدد مسبقًا. أولًا، يفتح SOAR تذكرة للحادث. يعمل على إثراء التنبيه بالبيانات المستمدة من موجزات استعلامات التهديدات المتكاملة والأدوات الأمنية الأخرى. بعد ذلك، يعمل SOAR على تنفيذ استجابات مؤتمتة، مثل تشغيل أداة الكشف عن الشبكة والاستجابة لها (NDR) لعزل جهاز نقطة النهاية أو توجيه برنامج مضاد للفيروسات للعثور على البرامج الضارة وإبطالها. أخيرًا، يعمل SOAR على تمرير التذكرة إلى محلل أمني، الذي يحدد ما إذا تم حل الحادث أم أن التدخل البشري مطلوب.
تتضمن بعض برامج SOAR تقنيات الذكاء الاصطناعي والتعلم الآلي التي تحلل البيانات من الأدوات الأمنية وتوصي بطرق للتعامل مع التهديدات في المستقبل.
تُتيح قدرات SOAR في التنسيق والأتمتة أن تعمل كوحدة تحكُّم مركزية للاستجابة للحوادث الأمنية (IR). وجد تقرير IBM حول تكلفة خرق البيانات أن المؤسسات التي تمتلك فريق استجابة للحوادث وخططًا لاختبار الاستجابة اكتشفت الاختراقات أسرع بمقدار 54 يومًا مقارنةً بالمؤسسات التي لا تمتلك أيًا منهما.
يمكن لمحللي الأمان استخدام أنظمة SOAR للتحقيق في الحوادث وحلها دون التنقل بين أدوات متعددة. مثل منصات استعلامات التهديدات، تعمل أنظمة SOAR على تجميع المقاييس والتنبيهات من مصادر خارجية وأدوات أمنية متكاملة في لوحة معلومات مركزية. يمكن للمحللين ربط البيانات من مصادر مختلفة، وتصفية الإيجابيات الزائفة، وتحديد أولويات التنبيهات، وتحديد التهديدات المحددة التي يتعاملون معها. ثم، يمكن للمحللين الاستجابة من خلال تفعيل الدليل المناسب.
يمكن أن تستخدم مراكز SOC أيضًا أدوات SOAR لإجراء عمليات تدقيق ما بعد الحادث وعمليات أمنية أكثر استباقية. يمكن للوحات معلومات SOAR أن تساعد فرق الأمن على فهم كيفية اختراق تهديد معين للشبكة وكيفية منع التهديدات المماثلة في المستقبل. وعلى نحو مماثل، تستطيع فرق الأمن استخدام بيانات SOAR لتحديد التهديدات المستمرة غير الملحوظة وتركيز جهود صيد التهديدات في الأماكن الصحيحة.
النشرة الإخبارية الخاصة بالمجال
ابقَ على اطلاع دومًا بأهم—اتجاهات المجال وأكثرها إثارة للفضول—بشأن الذكاء الاصطناعي والأتمتة والبيانات وغيرها الكثير مع نشرة Think الإخبارية. راجع بيان الخصوصية لشركة IBM.
سيتم تسليم اشتراكك باللغة الإنجليزية. ستجد رابط إلغاء الاشتراك في كل رسالة إخبارية. يمكنك إدارة اشتراكاتك أو إلغاء اشتراكك هنا. راجع بيان خصوصية IBM لمزيد من المعلومات.
من خلال دمج أدوات الأمان وأتمتة المهام، يمكن لمنصات SOAR تبسيط مهام سير العمل الأمنية المشتركة مثل إدارة الحالات وإدارة الثغرات الأمنية والاستجابة للحوادث. وتتضمن فوائد هذا التبسيط ما يلي:
قد تضطر مراكز العمليات الأمنية الخاصة إلى التعامل مع المئات أو الآلاف من التنبيهات الأمنية يوميًا. يمكن أن يؤدي هذا إلى إجهاد التنبيهات، وقد لا ينتبه المحللون إلى علامات مهمة لنشاط التهديد. يمكن أن تجعل أنظمة SOAR التنبيهات أكثر قابلية للإدارة من خلال توحيد بيانات الأمان وإثراء الأحداث وأتمتة الاستجابات. ونتيجةً لذلك، تستطيع مراكز العمليات الأمنية معالجة المزيد من التنبيهات مع تقليل أوقات الاستجابة.
يمكن لمراكز العمليات الأمنية (SOCs) استخدام أدلة أنظمة SOAR لتحديد مهام سير عمل قياسية وقابلة للتوسع للاستجابة للحوادث المرتبطة بالتهديدات الشائعة. فبدلًا من التعامل مع التهديدات على أساس كل حالة على حدة، يمكن لمحللي الأمن تفعيل الدليل المناسب للمعالجة الفعَّالة.
يمكن لمراكز العمليات الأمنية (SOCs) استخدام لوحات معلومات SOAR للحصول على رؤية واضحة حول شبكاتها والتهديدات التي تواجهها. يمكن أن تساعد هذه المعلومات مراكز العمليات الأمنية على اكتشاف الإيجابيات الزائفة، وتحديد أولويات التنبيهات بشكل أفضل، وتحديد عمليات الاستجابة الصحيحة.
تعمل أنظمة SOAR على توحيد بيانات الأمان وعمليات الاستجابة للحوادث حتى يتمكن المحللون من العمل معًا في التحقيقات. يمكن لأنظمة SOAR أيضًا تمكين مراكز العمليات الأمنية (SOCs) من مشاركة مؤشرات الأداء الأمنية مع جهات خارجية، مثل الموارد البشرية، والشؤون القانونية، وأجهزة إنفاذ القانون.
تشترك أدوات SOAR وSIEM وXDR في بعض الوظائف الأساسية، ولكن لكل منها ميزات وحالات استخدام فريدة.
تعمل حلول إدارة المعلومات والأحداث الأمنية (SIEM) على جمع المعلومات من الأدوات الأمنية الداخلية، وتجميعها في سجل مركزي، وإبراز الأنماط الشاذة. يتم استخدام أنشطة SIEM بشكل رئيسي لتسجيل وإدارة كميات كبيرة من بيانات الأحداث الأمنية.
ظهرت تقنية SIEM لأول مرة كأداة لإعداد تقارير الامتثال. تبنّت مراكز العمليات الأمنية (SOCs) حلول SIEM عندما أدركت أن بيانات SIEM يمكن أن تدعم عمليات الأمن الإلكتروني. نشأت حلول SOAR لإضافة الميزات التي تركِّز على الأمان التي تفتقر إليها معظم حلول SIEM القياسية، مثل التنسيق والأتمتة ووظائف وحدة التحكم.
تعمل حلول الكشف والاستجابة الموسَّعة (XDR) على جمع وتحليل بيانات الأمن من نقاط النهاية والشبكات والسحابة. مثل أنظمة SOAR، يمكنها الاستجابة تلقائيًا للحوادث الأمنية. ومع ذلك، فإن أنظمة XDR قادرة على تنفيذ عمليات أتمتة للاستجابة للحوادث أكثر تعقيدًا وشمولية مقارنةً بأنظمة SOAR. يمكن لأنظمة XDR أيضًا تبسيط عمليات التكامل الأمنية، غالبًا مع الحاجة إلى خبرة أو تكلفة أقل مقارنةً بعمليات تكامل SOAR. بعض أنظمة XDR هي حلول من بائع واحد مدمجة مسبقًا، في حين يمكن للبعض الآخر ربط أدوات أمنية من عدة بائعين. غالبًا ما يتم استخدام أنظمة XDR للكشف عن التهديدات، وفرز الحوادث، وصيد التهديدات المؤتمت.
غالبًا ما تستخدم فرق العمليات الأمنية (SecOps) في الشركات الكبيرة جميع هذه الأدوات معًا. ومع ذلك، يعمل المزوِّدون على دمج خصائص هذه الأنظمة، من خلال طرح حلول SIEM قادرة على الاستجابة للتهديدات وأنظمة XDR تتميز بتسجيل البيانات المشابه لأنظمة SIEM. يعتقد بعض خبراء الأمن أن XDR قد تدمج يومًا ما الأدوات الأخرى، على نحو مماثل للطريقة التي جمعت بها SOAR أدواتها السابقة.