SOAR یا Security Orchestration, Automation and Response یک راهکار نرم‌افزاری است که به تیم‌های امنیتی کمک می‌کند ابزارهای مختلف امنیتی را یکپارچه کرده، کارهای تکراری را خودکار کنند و روند تشخیص و واکنش به حوادث و تهدیدات سایبری را سرعت ببخشند.

سازمان‌های بزرگ معمولاً در مراکز عملیات امنیت (SOC) از ابزارهای گوناگونی برای ردیابی و مقابله با تهدیدات استفاده می‌کنند. بخش قابل‌توجهی از این فعالیت‌ها به صورت دستی انجام می‌شود و همین امر، سرعت واکنش به تهدیدات را کاهش می‌دهد.

پلتفرم‌های SOAR یک کنسول مرکزی در اختیار SOC قرار می‌دهند تا بتوانند تمامی این ابزارها را به شکلی هماهنگ در قالب گردش‌کارهای استاندارد مدیریت کنند. همچنین SOAR امکان خودکارسازی وظایف ساده و تکراری را فراهم می‌کند و به SOC اجازه می‌دهد همه هشدارهای امنیتی را در یک نقطه متمرکز مدیریت کند.

نتیجهٔ این یکپارچگی، کاهش زمان تشخیص (MTTD) و زمان واکنش (MTTR) و تقویت کلی سطح امنیت سازمان است. هرچه واکنش به تهدیدات سریع‌تر باشد، خسارت ناشی از حملات سایبری کمتر خواهد بود. طبق گزارش «هزینه نقض داده» شرکت IBM، سازمان‌هایی که چرخه عمر نقض داده را زیر ۲۰۰ روز نگه می‌دارند، به‌طور متوسط ۱.۰۲ میلیون دلار کمتر هزینه می‌کنند؛ یعنی ۲۳ درصد کاهش هزینه.

SOAR چگونه کار می‌کند؟

SOAR در واقع حاصل ادغام سه دسته ابزار امنیتی قدیمی‌تر است. گارتنر که نخستین بار در سال ۲۰۱۵ اصطلاح SOAR را مطرح کرد، توضیح می‌دهد که پلتفرم‌های SOAR ترکیبی از این سه دسته‌اند:

• پلتفرم‌های واکنش به حادثه (IR)
• پلتفرم‌های هماهنگ‌سازی و خودکارسازی امنیت
• پلتفرم‌های اطلاعات تهدید (Threat Intelligence)

برای درک سازوکار SOAR کافی است سه مؤلفه اصلی آن را بررسی کنیم:
۱) امنیت هماهنگ‌شده ۲) خودکارسازی امنیت ۳) واکنش به حادثه

۱. هماهنگ‌سازی امنیت (Security Orchestration)

هماهنگ‌سازی به نحوه اتصال و مدیریت ابزارهای سخت‌افزاری و نرم‌افزاری امنیتی اشاره دارد.

در بسیاری از سازمان‌ها، حتی یک فرآیند ساده مانند بررسی یک ایمیل فیشینگ نیازمند استفاده هم‌زمان از چند ابزار است: دروازه ایمیل امن، پلتفرم اطلاعات تهدید و آنتی‌ویروس. این ابزارها معمولاً از شرکت‌های مختلف‌اند و به‌طور طبیعی با هم سازگار نیستند؛ در نتیجه تحلیل‌گر باید زمان زیادی صرف جابه‌جایی میان آن‌ها کند.

SOAR با استفاده از APIها، افزونه‌های آماده و یکپارچه‌سازی‌های سفارشی، این ابزارها را در قالب یک گردش‌کار منسجم به هم متصل می‌کند. SOC سپس با استفاده از «پلی‌بوک‌ها» (Playbooks)، یعنی نقشه‌های گام‌به‌گام فرآیندهای امنیتی، فعالیت ابزارها را هماهنگ می‌کند. این پلی‌بوک‌ها می‌توانند کاملاً دستی، کاملاً خودکار یا ترکیبی باشند.

۲. خودکارسازی امنیت (Security Automation)

SOAR قادر است بسیاری از کارهای تکراری و زمان‌بر مانند باز و بسته کردن تیکت‌ها، غنی‌سازی داده‌های رویداد یا اولویت‌بندی هشدارها را خودکار کند. همچنین می‌تواند اجرای خودکار ابزارهای امنیتی دیگر را نیز فعال کند.

برای مثال، اگر یک راهکار EDR فعالیت مشکوکی را روی لپ‌تاپ یک کارمند شناسایی کند، SOAR:

1. هشدار را دریافت و پلی‌بوک مرتبط را فعال می‌کند
2. یک تیکت برای حادثه ایجاد می‌کند
3. داده‌های هشدار را با اطلاعات سرویس‌های اطلاعات تهدید غنی می‌کند
4. واکنش خودکار مناسب را اجرا می‌کند، مثلاً:
   • قرنطینه دستگاه توسط NDR
   • اسکن و حذف بدافزار توسط آنتی‌ویروس
5. در نهایت تیکت را به تحلیل‌گر ارجاع می‌دهد تا نتیجه نهایی را بررسی کند

برخی پلتفرم‌های SOAR از هوش مصنوعی نیز بهره می‌برند تا پیشنهادهای دقیق‌تری برای واکنش به تهدیدات ارائه کنند.

۳. واکنش به حادثه (Incident Response)

توانایی هماهنگ‌سازی و خودکارسازی باعث می‌شود SOAR به مرکز فرماندهی واکنش به حوادث تبدیل شود. طبق گزارش IBM، سازمان‌هایی که تیم واکنش به حادثه و تست منظم طرح IR دارند، ۵۴ روز زودتر از دیگر سازمان‌ها متوجه نقض امنیت می‌شوند.

SOAR همه هشدارها و شاخص‌های امنیتی را در یک داشبورد مرکزی جمع‌آوری می‌کند و تحلیل‌گران می‌توانند:

• داده‌ها را از منابع مختلف مقایسه و همبسته‌سازی کنند
• هشدارهای اشتباه (False Positives) را فیلتر کنند
• تهدیدات واقعی را اولویت‌بندی کنند
• پلی‌بوک مناسب را برای واکنش فعال کنند

SOAR همچنین ابزار مهمی برای بررسی‌های پس از حادثه و شکار تهدید (Threat Hunting) محسوب می‌شود.

مزایای SOAR

استفاده از SOAR می‌تواند بسیاری از فرآیندهای امنیتی مانند مدیریت رخداد، مدیریت آسیب‌پذیری و واکنش به حوادث را ساده‌تر و کارآمدتر کند. برخی مزایای کلیدی شامل:

پردازش سریع‌تر حجم بالای هشدارها

SOCها روزانه با تعداد زیادی هشدار مواجه‌اند. SOAR با متمرکز کردن داده‌ها و خودکارسازی وظایف کمک می‌کند حجم بیشتری از هشدارها در زمان کمتر بررسی شود.

یکپارچگی بیشتر در طرح‌های واکنش به حادثه

پلی‌بوک‌ها امکان تعریف روندهای استاندارد و مقیاس‌پذیر را فراهم می‌کنند و باعث می‌شوند تحلیل‌گران به‌جای تصمیم‌گیری موردی، از رویکردی ساختاریافته برای واکنش به تهدیدات استفاده کنند.

تصمیم‌گیری دقیق‌تر

داشبوردهای SOAR دید کامل‌تری از شبکه و تهدیدات ارائه می‌دهند و به SOC کمک می‌کنند اولویت‌بندی صحیح‌تری داشته باشند.

همکاری بهتر میان تیم‌ها

داده‌ها و جریان واکنش به حادثه در یک نقطه متمرکز می‌شود و این موضوع همکاری میان اعضای SOC و حتی واحدهای دیگر مانند منابع انسانی، حقوقی یا پلیس را تسهیل می‌کند.

تفاوت SOAR با SIEM و XDR

با اینکه SOAR، SIEM و XDR شباهت‌هایی دارند، اما کاربردهای متفاوتی را پوشش می‌دهند:

SIEM

ابزاری برای جمع‌آوری و ثبت رویدادهای امنیتی و شناسایی ناهنجاری‌ها است. در ابتدا برای گزارش‌دهی انطباق ساخته شد و بعدها SOCها متوجه ارزش آن در عملیات امنیتی شدند.

SOAR

برای تکمیل SIEM طراحی شد و ویژگی‌هایی مثل خودکارسازی، هماهنگ‌سازی و کنسول مرکزی را اضافه کرد.

XDR

راهکاری پیشرفته‌تر است که داده‌های امنیتی را از نقطه انتهایی، شبکه و فضای ابری جمع‌آوری و تحلیل می‌کند. XDR معمولاً توانایی‌های خودکارسازی عمیق‌تری نسبت به SOAR دارد و در بسیاری موارد ساده‌تر یکپارچه‌سازی می‌شود.

برخی کارشناسان امنیت معتقدند در آینده XDR ممکن است نقش SOAR و SIEM را یکجا بر عهده بگیرد، همان‌طور که SOAR پیش‌تر چند ابزار مجزا را در خود ادغام کرد.