لكي تعمل أنظمة SOAR بشكل صحيح، فإنها تحتاج إلى مجموعة من كتيبات اللعب المحددة مسبقًا والتي تم إنشاؤها لتوصيف التهديدات وكيفية الاستجابة لها باستخدام تدفقات عمل الأمان الآلية القابلة للتكرار. ومع ذلك، فإن كتب اللعب هذه معقدة ومفيدة فقط مثل المعلومات المستخدمة في إنشائها. تواجه فرق الأمن المشكلات التالية مع تقنية SOAR الخاصة بها في غياب بيانات قابلة للتنفيذ في الوقت الفعلي حول المخاطر الحالية والناشئة: زيادة المعلومات وعدم وجود سياق من الأنظمة الداخلية عرض محدود للتهديدات الخارجية للتغلب على هذه التحديات وأداء إدارة الحوادث وإدارة نقاط الضعف بشكل فعال، تحتاج فرق الأمن إلى معلومات قابلة للتنفيذ في الوقت الفعلي حول التهديدات النشطة والناشئة المدمجة مباشرة في حلول SOAR الخاصة بهم.
حالة استخدام إدارة الحوادث مع SOAR!
خلال الربع الثاني من عام 2022 نفسه، شهد مستخدمو الإنترنت في جميع أنحاء العالم ما يقرب من 52 مليون اختراق للبيانات وهجمات إلكترونية وحوادث في جميع أنحاء العالم. الفكرة هنا ليست الترويج للخوف ولكن لفك شفرة سبب عدم قدرة المؤسسات التي لديها مراكز عمليات أمنية فائقة مع حلول مثل SOAR و SIEM و XDR على اتباع نهج وقائي تجاه هذه الهجمات الإلكترونية والحوادث وانتهاكات البيانات. تعد كتب اللعب في SOAR جيدة مثل الذكاء الذي يتم تغذيته فيها. غالبًا ما ترى فرق الأمان العقبات التالية أثناء الاستفادة من SOAR إلى أقصى إمكاناتها:
- التحميل الزائد للمعلومات: يتم إرسال الآلاف من التنبيهات والمشغلات الأمنية إلى SOAR يوميًا من خلال العديد من تقنيات الأمان. على الرغم من أن هذه المعلومات ضرورية لصنع القرار وأتمتة المهام، إلا أنها لا يتم تقديمها عادةً في سياق أو بطريقة يمكن استخدامها. ونتيجة لذلك، تظل العديد من الخروقات الأمنية غير مكتشفة لعدة أشهر، مما يمنح المتسللين حرية التصرف والوقت لإحداث الفوضى.
- عدم وجود سياق من الأنظمة الداخلية: غالبًا ما تكون السجلات والأحداث التي تغذي SOAR مليئة بالإيجابيات الكاذبة أو تفتقد المعلومات الحيوية الضرورية لاتخاذ القرار الأفضل. للعمل بفعالية على هذه التنبيهات وفرزها بشكل صحيح، يحتاج المحللون غالبًا إلى قضاء ساعات في إجراء البحث والتحليل. يجب اختيار القرار بشأن كيفية الاستجابة وفك التشفير بحيث يعمل مع هذا الحدث أو الحادث، ولكن أيضًا يأخذ في الاعتبار السياق التاريخي للتهديد وقدرته على الصمود أمام اختبار الزمن.
- عرض محدود للتهديدات الخارجية: تحتاج SOAR إلى رؤية كاملة ومتكاملة للتهديدات الخارجية والاستخبارات السرية من أجل توفير بيانات مفيدة للتحليل واتخاذ القرار الآلي. لن يكون لدى فريق IR وكتيبات SOAR صورة كاملة لما يحدث بدون مجموعة كبيرة من البيانات السياقية وذات الصلة، والتي ستمنع المنظمات من إدراك التهديدات الخارجية المحتملة لها.
كيف يمكن أن تساعد منصة CloudDesk في زيادة قدرات إدارة الحوادث في SOAR؟
- مراقبة تعرض الأصول: وهذا يعطي نظرة شاملة لتعرض أصول الشركة في وحدات مختلفة. من خلال الاستفادة من ذلك، يمكن للمحلل فهم أنماط التعرض وموجهات الهجوم المحتملة والتنبؤات بالهجمات وتحديد الأولويات المقابلة لعمليات الأوراق المالية. يمكن لـ SOAR الاستفادة من مراقبة تعرض الأصول التالية بالإضافة إلى معلومات الثغرات الأمنية في منع الحوادث التي كانت ستحدث لولا ذلك بسبب نقاط الضعف الحرجة المفتوحة.
- الاستخبارات السرية ذات السياق: تتطلب معظم الحوادث معلومات استخباراتية ذات صلة للتخفيف من حدتها، سواء كانت ذكاء الثغرات الأمنية أو ذكاء البرامج الضارة أو استخبارات الخصم أو TTPs. يمكن لوحدة الذكاء تحت الأرض في منصة CloudSek تجهيز كتيبات SOAR بنفس الشيء. على سبيل المثال، عندما يتم تشغيل دليل التشغيل في SOAR من تنبيه تتلقاه SIEM، يمكن للمحلل إضافة عقد تعريف TTP أو Sublybook الذي سيستفسر عن وحدة المعلومات السرية في منصة CloudSek لجلب المعلومات ذات الصلة والسياقية.
حالة استخدام إدارة نقاط الضعف الأمنية مع SOAR
على مدى السنوات القليلة الماضية، شق الأمن السيبراني طريقه إلى رادار كل مؤسسة. لا يكاد يمر أسبوع دون خرق آخر رفيع المستوى. توفر نقاط الضعف في البرامج للجهات الفاعلة في مجال التهديد أفضل الفرص للوصول إلى الأنظمة المكشوفة. وفي الوقت نفسه، تعمل فرق الأمن على تحديد نقاط الضعف التي تمثل أكبر المخاطر وتحتاج إلى تصحيحها حسب الأولوية. انتشار الأصول: مع انتشار الأجهزة المحمولة والخوادم ومجموعة متنوعة من الأجهزة التي تمثل إنترنت الأشياء، هناك سبب وجيه للمراهنة على أن استهداف نقاط الضعف سيستمر بل وينمو. لن يتمكن دليل SOAR الأساسي بدون التكامل مع معلومات الثغرات الأمنية ورؤية الأصول أبدًا من قياس المخاطر والتهديدات التي تواجهها المؤسسة.
- المراقبة داخليًا: تسمح وحدة إدارة مخاطر البنية التحتية للمحلل بإضافة جميع جواهر التاج للمؤسسة في مكان واحد. كما تقوم المنصة بتجهيز المحلل لإجراء عمليات مسح مخصصة لهذه الأصول الداخلية لتحديد نقاط الضعف.
- المراقبة خارجيًا: سيساعد حل الذكاء الذي يستقطب مصادر مثل الدردشة في منتديات الويب المظلمة أو يراقب مستودعات التعليمات البرمجية للحصول على أمثلة على التعليمات البرمجية التي تستهدف ثغرة أمنية معينة في تنبيهك إلى ثغرة أمنية تركتها دون حل.
- قم بتحليل: تسمح لك منصة CloudSek بتعيين القواعد والتنبيهات المخصصة. تقوم خوارزمية ML بربط وربط النقاط بين نقاط الضعف الجديدة ونقاط الضعف في يوم الصفر والأصول الداخلية.
- التنبؤ والوقاية: يمكن نشر هذه المعلومات إلى SOAR عبر واجهات برمجة التطبيقات لتشغيل دليل إدارة الثغرات الأمنية دون تدخل بشري وأيضًا إنشاء تذكرة في أداة ITSM لفريق إدارة الثغرات الأمنية لسد الصوامع.
