معرفی راهکار SOAR و محصولات پیشگام این حوزه

SOAR محصولات نرم‌افزاری هستند که به تیم‌های فناوری اطلاعات این امکان را می‌دهند تا فعالیت‌های سازمان در واکنش به حوادث را تعریف، استانداردسازی و خودکارسازی کنند. اکثر سازمان‌ها از این ابزار به منظور خودکارسازی عملیات و فرآیندهای امنیتی، پاسخ به حوادث و مدیریت آسیب‌پذیری‌ها و تهدیدات استفاده می‌کنند

1- معرفی راهکار SOAR

SOAR [1] محصولات نرم‌افزاری هستند که به تیم‌های فناوری اطلاعات این امکان را می‌دهند تا فعالیت‌های سازمان در واکنش به حوادث را تعریف، استانداردسازی و خودکارسازی کنند. اکثر سازمان‌ها از این ابزار به منظور خودکارسازی عملیات و فرآیندهای امنیتی، پاسخ به حوادث و مدیریت آسیب‌پذیری‌ها و تهدیدات استفاده می‌کنند. به طور کلی، راهکارهای SOAR، تیم‌ها را قادر می‌سازند تا با جمع‌آوری اطلاعات ارزشمند امنیتی، تهدیدات و آسیب‌پذیری‌های موجود و بالقوه را از منابع مختلف شناسایی، تحلیل و بررسی کنند. در نتیجه‌ی ارائه این قابلیت‌ها، سازمان، توانایی پاسخ پیوسته، کارآمد و سریع‌تری را به حوادث امنیتی پیدا می‌کند.

SOAR از هوش مصنوعی، یادگیری ماشین و سایر فناوری‌ها برای خودکارسازی کارهای تکراری مانند جمع‌آوری ‌اطلاعات، غنی‌سازی، همبستگی داده‌ها و موارد دیگر استفاده می‌کند. چنین رویکردی به تیم‌ها کمک می‌کند تا به طیف وسیعی از مسائل امنیتی، سریعتر پاسخ دهند. علاوه بر این، اکثر راهکارهای SOAR دارای Playbookهایی هستند که دستورالعمل‌هایی را بر اساس شیوه‌ها و روش‌های اثبات‌شده ارائه می‌دهند. استفاده از این Playbookها سازگاری، انطباق، شناسایی سریع‌تر و مطمئن‌تر و در نهایت رفع سریع‌تر حوادث را تضمین می‌کند.

2- ویژگی‌های SOAR ایده‌آل

بخشی از ویژگی‌های یک SOAR ایده‌آل، در ادامه آمده است:

  • دریافت و تجزیه و تحلیل اطلاعات و هشدارها از سیستم‌های امنیتی مختلف
  • توانایی تعریف، ایجاد و خودکارسازی جریان‌های کاری[2] که تیم‌ها به منظور شناسایی، اولویت‌‎بندی، بررسی و پاسخ به هشدارهای امنیتی نیاز دارند
  • امکان هماهنگ‌سازی و یکپارچه‌سازی با طیف گسترده‌ای از ابزارها به جهت بهبود عملیات
  • داشتن قابلیت‌های فارنزیکی به جهت انجام تجزیه و تحلیل پس از حادثه و قادر ساختن تیم‌ها به منظور بهبود فرآیندهای خود و جلوگیری از مسائل مشابه
  • قابلیت خودکارسازی اغلب عملیات امنیتی به منظور حذف وظایف تکراری و فراهم آوردن این امکان که تیم‌ها بتوانند در وقت خود صرفه‌جویی کرده و بر روی کارهای پیچیده‌تری که نیاز به حضور نیروی انسانی دارد، تمرکز کنند.

3- شرکت‌های ارائه‌دهنده راهکار SOAR

جدول زیر، شرکت‌های پیشرو ارائه‌دهنده راهکار SOAR و محصولات هرکدام را به تفکیک نشان می‌دهد. در ادامه سعی شده است تا معرفی اجمالی از این محصولات و شرکت‌ها ارائه گردد.

جدول 1- شرکت‌ها و محصولات حوزه SOAR

Product, Service or Solution NameVendor
ThreatStreamAnomali
Virtual Cyber Fusion CenterCyware
D3 SOARD3 Security
IncMan SOARDFLabs
EclecticIQ PlatformEclecticIQ
HelixFireEye
FortiSOARFortinet (CyberSponse)
SOCAutomationHoneycomb
ResilientIBM Security
SOAR+LogicHub
ArcSight SOARMicro Focus (ATAR Labs)
Cortex XSOARPalo Alto Networks
InsightConnectRapid7
Security OperationsServiceNow
Siemplify SOAR PlatformSiemplify
Splunk PhantomSplunk
Swimlane SOAR PlatformSwimlane
ThreatConnect Security Orchestration, Automation and Response (SOAR) PlatformThreatConnect
ThreatQThreatQuotient
TinesTines

در ادامه به تشریح و معرفی برخی از شرکت هایی که اسم آنها در جدول بالا آمده است می‌پردازیم

3-1 FireEye

Helix پلتفرم عملیات امنیتی FireEye است که فناوری‌ها و فرآیندهای رسیدگی به حوادث را در یک کنسول واحد تجمیع کرده است. Helix از طریق یکپارچه‌سازی TI و Orchestration، تشخیص خودکار، تریاژ، پاسخ و رفع تهدیدات را به عنوان بخشی از قابلیت‌های SOAR خود ارائه می‌دهد. علاوه بر این، Helix قابلیت یکپارچه‌سازی با 150 ابزار Third Party را داراست.

2-IBM Security 3

IBM Security که در سال 2010 با عنوان Co3 Systems تاسیس شد و در سال 2016 توسط IBM خریداری شد، خدماتی از قبیل فرآیندهای کاری، خودکارسازی و هماهنگ‌سازی را برای تیم‌های امنیتی و حفظ حریم خصوصی فراهم می‌کند. محصول  Resilient این شرکت بر Case Management، از جمله Playbookهای پویا، خودکارسازی، هماهنگ‌سازی و TI تمرکز دارد. این راهکار به صورت on-premises وSaaS ارائه می‌شود. همچنین به عنوان یک پیشنهاد MSSP برای ارائه‌دهندگان سرویس‌های مدیریت‌شده[3] موجود است و بخشی از خدمات مدیریت تهدید X-Force IBM است. علاوه بر این، قابلیت‌های SOAR IBM Cloud Pak for Security از Resilient پشتیبانی می‌کند. مدل قیمت‌گذاری بر اساس سرور مجازی مدیریت شده (MVS) است و هیچ‌گونه هزینه اضافی برای داده‌ها، گزارشات، جریان‌ها[4] ، اقدامات رخدادها یا کاربران ندارد. همچنین، مقررات جدید حریم خصوصی شامل CCPA، برزیل (LGDP)، Montana (ایالتی)، کنیا، بازار جهانی ابوظبی، واشنگتن (ایالتی)، کره جنوبی و مقدونیه شمالی، اخیراً به Resilient اضافه شده است.

3-3 Splunk

Phantom Cyber که در سال 2014 تأسیس شد، در سال 2018 توسط Splunk خریداری گردید. راهکار Splunk Phantom قابلیت های خودکارسازی، هماهنگ‌سازی، Case Management، Collaboration و گزارش‌گیری را فراهم می‌کند. Phantom قابلیت ادغام با بیش از 319 محصول مختلف را داراست و بیش از 2084 Action مختلف را می‌تواند به صورت خودکار انجام دهد. قابلیت‌های دیگر این راهکار شامل چت یکپارچه برای تسهیل امکان همکاری تحلیلگران و همچنین نسخه تلفن همراه Phantom برای تلفن هوشمند است. Phantom همچنین از ML به جهت ارائه پیشنهادات مفید در مورد نحوه انجام یک Task خاص در رابطه با نوع خاصی از رویداد امنیتی، استفاده می‌کند. علاوه بر این، Splunk Phantom به صورت on-premises قابل ارائه است. مدل لایسنسینگ این راهکار بر اساس تعداد تحلیلگران SOC است که از محصول استفاده می‌کنند.

3-4 Fortinet (CyberSponse)

CyberSponse در سال 2011 تأسیس شد و در دسامبر 2019 توسط Fortinet خریداری شد. هدف از این خرید، تکمیل Fortinet Security Fabric به منظور افزایش قابلیت‌های خودکارسازی و هماهنگ‌سازی از طریق ترکیب FortiAnalyzer ، FortiSIEM و FortiSOAR (که قبلاً با عنوان CyberSponse شناخته می‌شد) بود. در سال 2020 Fortinet، CyberSponse  را در اکوسیستم Fortinet ادغام کرد و FortiSOAR 6.0 و FortiSOAR 6.4 را منتشر کرد. FortiSOAR شامل 300 Connector و بیش از 3000 اکشن است. لایسنسینگ این محصول مبتنی بر کاربر است که می‌تواند دائمی و یا اشتراکی باشد.

نویسنده: معین ابویی

منبع: شرکت فناوری راه نو سورین


[1] Security Orchestration, Automation and Response

[2] Workflows

[3] Managed service providers

[4] Flows