5 باور غلط درباره ارکستراسیون امنیتی

ابزارهای هماهنگ سازی، اتوماسیون و واکنش امنیتی  یا SOAR (به انگلیسی: Security Orchestration, Automation and Response) همچنان در حال توسعه هستند. از این رو تصورات غلطی درباره محدوده کارایی و اثربخشی آنها برای تیم‌های مرکز عملیات امنیتی یا SOC (به انگلیسی: Security Operation System) وجود دارد.

در این مطلب از فراست یکسری از دیدگاه‌های اشتباهی که در رابطه با این حوزه وجود دارند را مورد بررسی قرار می‌دهیم.

اشتباه اول: ابزارهای اتوماسیون امنیتی وظیفه ما را انجام می‌دهند.

پیش از فکر کردن به این موضوع که در آینده ربات‌ها و سیستم‌های خودکار جایگزین عملیات مرکز SOC می‌شوند از اصل نابرابری همه تهدیدات سایبری غافل نشوید. ممکن است یکسری از مخاطرات امنیتی چندان پیچیده نباشند ولی با توجه به حجم گسترده‌ و محدوده‌ای که اشغال می‌کنند، قابلیت درگیری کامل یک سازمان را دارند.

برای مثال چون مسیر حمله در تهدیدات فیشینگ بدون تغییر مانده و فرایند تریاژ و مقابله با آن تکراری است. اتوماسیون می‌تواند به ارتباطات کاربران نهایی، تریاژ، تشخیص نیات مخرب یا هشدارهای کاذب، قرنطینه و حذف ایمیل‌های مشکوک کمک کند. به این ترتیب نیاز به مداخله انسان به صورت چشمگیری کاهش یافته و بسیاری از اقداماتی که باید توسط یک تحلیلگر انسانی انجام شوند، حذف می‌گردند. با توجه به کمبود کارشناس ماهر در حوزه امنیت سایبری، فعالیت‌های بسیار زیادی برای این افراد وجود دارد.

همچنین ایجاد امکان جهت‌دهی مجدد تحلیلگران امنیت سایبری در حوزه‌های تخصصی‌شان مثل شکار تهدید عمل کرده و منجر به پیشگیری از خستگی سایر نیروها و گردش کار می‌شود.

اشتباه دوم: امکان خودکارسازی هر فرایند امنیتی وجود دارد.

توجه کنید که قابلیت اتوماسیون برای همه فعالیت‌ها و فرایندهای امنیتی وجود ندارد. یکسری از عملیات امنیتی نیازمند نظارت‌های پیوسته و تأیید دستی هستند. حتی درباره حملات فیشینگ هم سازمان باید یک توازن در بین اتوماسیون ماشین‌محور و تصمیم‌گیری انسانی برقرار کند. تصمیم‌گیری درباره تأیید مخرب بودن یک ایمیل فقط توسط انسان قابل انجام است اما امکان خودکارسازی اقدامات ابتدایی و قرنطینه‌های نهایی وجود دارد.

براساس یک اصل اثبات شده در زمینه خودکارسازی، ماشین‌ها عملکرد بهتری در زمینه انجام عملیات تکراری و روتین دارند. در رابطه با هشدارها، تشخیص‌های مثبت کاذب و تکراری بخش قابل توجهی از زمان تیم‌های مرکز عملیات امنیتی را اتلاف می‌کنند. اتوماسیون می‌تواند این زمان تلف شده را جبران کند. تحلیلگران معمولاً وقتشان را صرف کپی و پیست اطلاعات در بین ابزارهای شناسایی مختلف می‌کنند. بکارگیری اتوماسیون برای انجام هشدار و به روزسانی‌ها که جزو کارهای تکراری محسوب می‌شود و نیاز چندان زیادی به تفکر ندارد بسیار مفید است.

اشتباه سوم: هماهنگ‌سازی امنیتی همان SIEM است.

ممکن است تصور کنید که عملکرد یک ابزار مدیریت رویداد و اطلاعات امنیتی یا SIEM (به انگلیسی: security information and event management tool) مشابه ابزارهای اتوماسیون است در حالی که چنین نیست. اگرچه ابزارهای هماهنگ‌سازی امنیتی و SIEM از نظر امکانات سطحی از جمله اتوماسیون کارها، ادغام محصولات و ارتباط‌ دهی داده‌ها به یکدیگر شباهت دارند اما هیچ کدام از این ابزارها توانایی انجام همه قابلیت‌های ابزار دیگر را ندارد.

دو شیوه تفکر متفاوت در این زمینه وجود دارد:

1. ابزارهای هماهنگ‌سازی امنیتی و ابزارهای SIEM یکسان هستند. اگرچه SIEM به جمع‌آوری داده‌های ماشینی، ارتباط دهی و تجمیع داده‌ها می‌پردازد اما ابزارهای SIEM کنونی قابلیت هماهنگ‌سازی واکنش به هشدار و غنی‌سازی هشدارها (با استفاده از اطلاعات) را ندارند. از این رو ابزارهای هماهنگ‌سازی امنیتی می‌توانند واکنش چندین محصول به هشدارها را هماهنگ‌سازی و اتوماسیون کنند اما امکان تشخیص هشدارها در همان وهله اول را ندارند. در این حالت خاص SIEM داده‌های پراکنده را جمع‌آوری نموده و در قالب هشدار تجمیع می‌کند. ابزارهای هماهنگ‌سازی امنیتی هشدارها را دریافت و برای واکنش جهت‌دهی می‌کنند.
2. در نهایت SIEM همه امکانات ابزارهای هماهنگ‌سازی امنیتی را خواهد داشت. حتی اگر ابزارهای SIEM در آینده قابلیت اتوماسیون واکنش و انجام کارهای دستی را به صورت متقابل پیدا کنند همچنان با توجه به تمرکز پایین‌شان در زمینه تشخیص با ابزارهای هماهنگ‌سازی امنیتی برابری نخواهند کرد. ابزارهای هماهنگ‌سازی امنیتی به گونه‌ای طراحی شده‌اند که قابلیت واکنش و پردازش عمومی و کلی برای تیم‌های فناوری اطلاعات و امنیت را داشته باشند. این ابزارها هشدارهایی را دریافت و تحلیل می‌کنند که ممکن است توسط ابزارهای SIEM تولید شده یا ناشی از آسیب پذیری‌ها، ایمیل‌ها و داده‌های ابر باشند و همه این داده‌ها را به هم ارتباط می‌دهند تا به یک راهکار خودکار برسند.

اشتباه چهارم: ابزارهای هماهنگ‌سازی امنیت و اتوماسیون امنیت یکسان هستند.

این اصطلاحات برای اشخاصی که در صنعت امنیت سایبری فعالیت دارند متفاوت هستند.

اتوماسیون امنیت معادل انجام فعالیت‌های انسانی توسط ماشین‌ها است. هماهنگ‌سازی امنیت نیز به معنای ارتباط‌ دهی محصولات مختلف و اتوماسیون کارها در این محصولات از طریق ایجاد جریانات کاری و همچنین فراهم کردن امکان نظارت و تعامل توسط کاربر نهایی است.

اتوماسیون امنیت یک زیرمجموعه از ابزارهای هماهنگ‌ سازی امنیت است. هماهنگ سازی امنیت شامل ترکیب افراد، فرایندها و فناوری برای بهبود وضعیت امنیتی می‌باشد. اتوماسیون امنیت معمولاً برروی جنبه فناوری تمرکز دارد.

اشتباه پنجم: هماهنگ‌سازی امنیت فقط مختص سازمان‌های بزرگ است.

شاید تصور کنید که قابلیت استفاده از ارزش هماهنگ سازی فقط برای شرکت‌های بزرگ که دارای مرکز عملیات امنیتی تخصصی و مجموعه محصولات گسترده هستند وجود دارد. براساس گزارش شرکت Verizon درباره مطالعه رخنه‌های امنیتی در سال 2021: «تعداد قربانیان نفوذهای اطلاعاتی در کسب‌وکارهای کوچک و سازمان‌های بزرگ به یکدیگر نزدیک است. بنابراین نیاز به واکنش خودکار و تکرار شونده به حادثه صرف نظر از میزان بزرگی یک کسب‌وکار وجود دارد».

معیار دقیق برای تشخیص این مسئله این است که آیا سازمان‌تان باید به حجم انبوهی از هشدارها و حوادث رسیدگی کند و محیطی پویا با تغییرات پیوسته دارد یا خیر. در چنین شرایطی حتی اگر یک تیم عملیات امنیتی کوچک با سه الی پنج تحلیلگر امنیتی و تعدادی ابزار داشته باشید همچنان هماهنگ‌سازی امنیتی از طریق ایجاد فرایندهای خوش تعریف، افزایش بهره‌وری کارمندان و تنظیم مقیاس SOC به شما کمک می‌کند.

منبع: bankinfosecurity