SOAR و SIEM چه نقش و کاربردی در مراکز داده دارند؟

دسته‌ها

امنیت

چارچوب‌های امنیتی؛ ستون فقرات طراحی مراکز داده ایمن و انعطاف‌پذیر

فورتی‌نت، معماری امنیت اعتماد صفر را چگونه تعریف می‌کند؟

بلوغ امنیت سایبری چیست، چرا به آن نیاز داریم و چگونه به آن دست پیدا کنیم؟

سیستم مدیریت امنیت اطلاعات یا ISMS چیست؟

سیستم مدیریت امنیت اطلاعات (ISMS) چیست؟

انواع حملات سایبری که شرکت‌ها در سال 2024 با آن روبرو شدند

FortiEDR چیست و چگونه از شبکه‌های سازمانی محافظت می‌کند؟

بهترین فایروال‌های رده میانی فورتی‌گیت برای محافظت از شبکه‌های سازمانی

نشت داده‌ها (Data Leak) چیست و چگونه به مقابله با آن بپردازیم؟

هنگامی که صحبت از طراحی مرکز داده به میان می‌آید، الزامات و ملزومات مهمی وجود دارند که باید به دقت مورد بررسی قرار گیرند. مدیریت رویداد و اطلاعات امنیتی (SIEM) و ارکستراسیون، خودکارسازی و پاسخ امنیتی (SOAR) از مفاهیم عجین شده با مراکز داده و مرکز عملیات امنیت (SOC) هستند. مرکز داده، قلب زیرساخت فناوری اطلاعات سازمان، منبع اصلی تولید لاگ‌ها و رویدادهای امنیتی از هزاران دارایی حیاتی همچون سرورها، فایروال‌ها و برنامه‌های کاربردی است. SIEM با جمع‌آوری، نرمال‌سازی و یکپارچه‌سازی این داده‌های عظیم، به عنوان چشم‌های امنیتی عمل کرده و تهدیدات پنهان در ترافیک مرکز داده را تشخیص می‌دهد. به محض اینکه SIEM یک هشدار معتبر و حیاتی مربوط به دارایی‌های مرکز داده مانند حمله موفقیت‌آمیز به یک سرور داخلی را تایید می‌کند، آن را به SOAR منتقل می‌کند. SOAR به عنوان دست‌های اجرایی وارد عمل شده و یک دستورالعمل خودکار را اجرا می‌کند. این دستورالعمل شامل اقداماتی مانند مسدودسازی آدرس آی‌پی مهاجم در فایروال‌های مرزی مرکز داده مانند FortiGate، قرنطینه کردن سرور مشکوک به حمله و جمع‌آوری شواهد است. این فرآیند خودکار، زمان پاسخ به تهدیدات را از ساعت‌ها به دقیقه یا حتی ثانیه کاهش داده و از گسترش حملات جانبی در محیط حیاتی مرکز داده جلوگیری می‌کند و پایداری عملیاتی را تضمین می‌کند.

SOAR چیست و چه کاربردی دارد؟

SOAR سرنام (Security Orchestration, Automation, and Response) به مجموعه‌ای از فناوری‌های امنیتی اشاره دارد که به سازمان‌ها کمک می‌کند تهدیدات امنیتی را به‌صورت خودکار و با کمترین دخالت انسانی شناسایی، تحلیل و مدیریت کنند. هدف اصلی SOAR بهبود کارایی عملیات امنیتی دیجیتال و فیزیکی است، به‌ویژه در محیط‌هایی است که حجم تهدیدات سایبری به‌سرعت در حال افزایش است. این فناوری با ادغام ابزارهای امنیتی مختلف، اتوماسیون وظایف تکراری و پاسخگویی سریع به حوادث، به تیم‌های عملیات امنیتی اجازه می‌دهد زمان تشخیص و پاسخگویی را کاهش دهند. SOAR از سه مولفه اصلی تشکیل شده است:

ارکستراسیون امنیتی: ابزارهای داخلی و خارجی را از طریق واسط‌های برنامه‌نویسی کاربردی و افزونه‌ها یکپارچه می‌کند

اتوماسیون امنیتی: وظایف دستی مانند اسکن آسیب‌پذیری‌ها و تحلیل لاگ‌ها را خودکار می‌سازد

پاسخگویی امنیتی: با استفاده از خط‌مشی‌های از پیش تعریف‌شده، واکنش‌های استاندارد به تهدیدات را اجرا می‌کند.

برای مثال، در صورت شناسایی یک آدرس اینترنتی مخرب در ایمیل، SOAR می‌تواند به‌طور خودکار ایمیل را مسدود کند، کارمند را آگاه سازد و آدرس آی‌پی فرستنده را در لیست سیاه قرار دهد. این قابلیت‌ها به سازمان‌ها کمک می‌کند با تهدیدات پیچیده‌تر مقابله کرده و بار کاری تحلیلگران امنیتی را کاهش دهند، در حالی که دید بهتری از وضعیت امنیتی خود به دست می‌آورند. شایان ذکر است SOAR با ابزارهای دیگری مانند SIEM و XDR تفاوت دارد، اما اغلب به‌صورت مکمل با آن‌ها استفاده می‌شود.

به طور مثال، SIEM بر تحلیل لاگ‌ها و تشخیص تهدیدات تمرکز دارد، در حالی که SOAR با خودکارسازی پاسخ‌ها و هماهنگی بین ابزارها، فرآیند واکنش را بهبود می‌بخشد. همچنین، SOAR با استفاده از هوش مصنوعی و یادگیری ماشین، تهدیدات را اولویت‌بندی کرده و توصیه‌هایی برای پاسخ‌های آینده ارائه می‌دهد. مزایای آن شامل واکنش سریع‌تر به حوادث، کاهش خطاهای انسانی، و ساده‌سازی مدیریت با ارائه یک داشبورد متمرکز برای نظارت بر تمام ابزارهای امنیتی است. با این حال، SOAR بدون چالش نیست؛ نیاز به منابع محاسباتی بالا، پیچیدگی در ادغام با سیستم‌های موجود، و وابستگی به playbookهای دقیق می‌تواند پیاده‌سازی آن را دشوار کند.

معماری SOAR به چه صورتی است؟

معماری SOAR بر پایه یک پلتفرم متمرکز طراحی شده که به‌عنوان یک هاب مرکزی عمل می‌کند و داده‌ها را از منابع مختلف امنیتی مانند فایروال‌ها، سیستم‌های تشخیص نفوذ، ابزارهای حفاظت از نقاط پایانی، و فیدهای اطلاعات تهدید جمع‌آوری می‌کند. این پلتفرم از یک معماری ماژولار تشکیل شده که شامل لایه‌های ارکستراسیون، اتوماسیون، و پاسخگویی است. لایه ارکستراسیون از طریق APIها و افزونه‌های از پیش ساخته‌شده یا سفارشی، ابزارهای امنیتی را یکپارچه می‌کند. برای مثال، SOAR می‌تواند با یک سیستم SIEM ادغام شود تا هشدارها را دریافت کند، سپس با یک ابزار EDR برای قرنطینه دستگاه آلوده هماهنگ شود. این یکپارچگی از طریق پروتکل‌های استاندارد مانند REST API یا SOAP انجام می‌شود، که امکان ارتباط سریع و امن بین سیستم‌ها را فراهم می‌کند. داده‌های جمع‌آوری‌شده در یک پایگاه داده مرکزی ذخیره می‌شوند که معمولا از فناوری‌های NoSQL یا پایگاه‌های داده رابطه‌ای برای مدیریت حجم بالای داده‌ها استفاده می‌کند.

لایه اتوماسیون SOAR با استفاده از playbookها و اسکریپت‌های قابل تنظیم، وظایف تکراری را خودکار می‌کند. این playbookها که می‌توانند به‌صورت No-Code/Low-Code طراحی شوند، شامل توالی‌هایی از اقدامات هستند که بر اساس شرایط خاص اجرا می‌شوند. به طور مثال، اگر یک تهدید خاص شناسایی شد، فلان اقدام را انجام بده. این لایه از الگوریتم‌های یادگیری ماشین برای تحلیل داده‌ها و اولویت‌بندی تهدیدات استفاده می‌کند، به‌طوری که تهدیدات کم اهمیت به‌صورت خودکار مدیریت شده و موارد پیچیده‌تر به تحلیلگران ارجاع داده می‌شوند. برای مدیریت حافظه و بهینه‌سازی عملکرد، SOAR از تکنیک‌هایی مانند کش کردن داده‌ها و پردازش موازی بهره می‌برد. همچنین، برای مقیاس‌پذیری، این پلتفرم معمولا روی زیرساخت‌های ابری یا معماری‌های هیبریدی پیاده‌سازی می‌شود، که امکان پردازش داده‌ها در مقیاس بزرگ را فراهم می‌کند.

سیستم مدیریت اطلاعات و رویدادهای امنیتی چیست؟

سیستم مدیریت اطلاعات و رویدادهای امنیتی SIEM سرنام (Security Information and Event Management)، یک راهکار جامع امنیت سایبری است که برای جمع‌آوری، تحلیل و مدیریت داده‌های امنیتی از منابع مختلف در یک سازمان طراحی شده است. هدف اصلی SIEM، ارائه دید متمرکز و بلادرنگ از وضعیت امنیتی سازمان است تا تیم‌های امنیتی بتوانند تهدیدات را به‌سرعت شناسایی، تحلیل و به آن‌ها پاسخ دهند. این فناوری با ترکیب دو مولفه اصلی، یعنی مدیریت اطلاعات امنیتی (SIM) و مدیریت رویدادهای امنیتی (SEM) کار می‌کند. SEM بر جمع‌آوری و ذخیره‌سازی داده‌ها مانند لاگ‌ها و رویدادها از سیستم‌ها، برنامه‌ها و دستگاه‌های شبکه تمرکز دارد، در حالی که SEM روی تحلیل بلادرنگ این داده‌ها برای تشخیص تهدیدات و ایجاد هشدارها متمرکز است. برای مثال، SIEM می‌تواند فعالیت غیرعادی مانند تلاش‌های مکرر برای ورود به سیستم یا ترافیک شبکه مشکوک را شناسایی کرده و به تیم امنیتی هشدار دهد. این فناوری به سازمان‌ها کمک می‌کند زمان تشخیص تهدید و زمان پاسخگویی را کاهش دهند.

به طور معمول، SIEM به‌عنوان یک پلتفرم مرکزی عمل می‌کند که داده‌ها را از منابع مختلف مانند فایروال‌ها، سرورها، نقاط انتهایی، سیستم‌های تشخیص نفوذ و حتی ابزارهای ابری جمع‌آوری می‌کند. این سیستم با استفاده از تحلیل‌های مبتنی بر قوانین و الگوریتم‌های یادگیری ماشین، الگوهای غیرعادی را شناسایی کرده و تهدیدات را اولویت‌بندی می‌کند. همچنین، SIEM قابلیت‌هایی مانند داشبوردهای بصری، گزارش‌دهی پیشرفته و جست‌وجوی لاگ‌ها را ارائه می‌دهد که به تیم‌های امنیتی امکان می‌دهد تحقیقات عمیق‌تری انجام دهند. این فناوری به‌ویژه برای سازمان‌های بزرگ که با حجم عظیمی از داده‌های امنیتی مواجه هستند، حیاتی است، زیرا می‌تواند هشدارهای پراکنده را متمرکز کرده و از غرق شدن تحلیلگران در داده‌ها جلوگیری کند. با این حال، پیاده‌سازی SIEM می‌تواند چالش‌برانگیز باشد؛ نیاز به منابع محاسباتی بالا، پیچیدگی در تنظیم قوانین تشخیص، و هزینه‌های بالا از جمله موانع آن هستند. SIEM اغلب با فناوری‌های دیگر مانند SOAR ترکیب می‌شود تا پاسخگویی به تهدیدات را خودکارسازی کند.

معماری SIEM به چه صورتی است؟

معماری SIEM بر پایه یک پلتفرم متمرکز طراحی شده که شامل چندین مولفه اصلی است: جمع‌آوری داده‌ها، ذخیره‌سازی، تحلیل، و گزارش‌دهی. لایه جمع‌آوری داده‌ها از طریق کانکتورها و عامل‌ها عمل می‌کند که داده‌ها را از منابع مختلف مانند سرورها، دستگاه‌های شبکه، برنامه‌ها و سیستم‌های ابری جمع‌آوری می‌کنند. این داده‌ها معمولا به‌صورت لاگ‌ها یا جریان‌های داده مثل NetFlow دریافت می‌شوند. برای جمع‌آوری داده‌ها، SIEM از پروتکل‌هایی مانند SNMP، syslog، یا APIهای سفارشی استفاده می‌کند. داده‌های جمع‌آوری‌شده ابتدا نرمال‌سازی می‌شوند تا فرمت‌های مختلف به یک ساختار استاندارد تبدیل شوند، که تحلیل را آسان‌تر می‌کند. این داده‌ها سپس در یک پایگاه داده مرکزی ذخیره می‌شوند که معمولا از فناوری‌های مقیاس‌پذیر مانند Elasticsearch یا پایگاه‌های داده NoSQL برای مدیریت حجم بالای داده‌ها بهره می‌برد.

لایه تحلیل SIEM از دو روش اصلی برای تشخیص تهدیدات استفاده می‌کند: تحلیل مبتنی بر قوانین و تحلیل مبتنی بر رفتار. در روش مبتنی بر قوانین، SIEM از قوانین از پیش تعریف‌شده (مانند “اگر بیش از 10 تلاش ناموفق برای ورود در 5 دقیقه رخ داد، هشدار بده”) برای شناسایی تهدیدات استفاده می‌کند. در روش مبتنی بر رفتار، الگوریتم‌های یادگیری ماشین و تحلیل آماری برای شناسایی الگوهای غیرعادی (مانند افزایش ناگهانی ترافیک شبکه) به کار می‌روند. این تحلیل‌ها معمولا با استفاده از موتورهای پردازشی اختصاصی انجام می‌شوند که رویدادهای مختلف را با هم مرتبط کرده و تهدیدات پیچیده را شناسایی می‌کنند. برای مثال، SIEM می‌تواند تشخیص دهد که یک تلاش ناموفق برای ورود به سیستم، با یک فعالیت مشکوک در فایروال و دانلود یک فایل مخرب مرتبط است. از نظر مقیاس‌پذیری، SIEM اغلب روی زیرساخت‌های ابری یا توزیع‌شده پیاده‌سازی می‌شود تا بتواند حجم بالای داده‌ها را پردازش کند. داشبوردهای SIEM با استفاده از فناوری‌های بصری‌سازی مانند Kibana یا Grafana طراحی می‌شوند و امکان جست‌وجوی پیشرفته (مانند استفاده از زبان‌های کوئری مانند Lucene) را فراهم می‌کنند. با این حال، چالش‌هایی مانند تاخیر در پردازش داده‌ها، نیاز به تنظیم دقیق قوانین، و مدیریت ذخیره‌سازی طولانی‌مدت داده‌ها ممکن است عملکرد را تحت تاثیر قرار دهد، به‌ویژه در محیط‌هایی با منابع محدود.

مثالی از نحوه مقابله با باج‌افزار در مرکز داده با SOAR و SIEM

فرض کنید یک حمله باج‌افزاری از طریق یک پیوست آلوده ایمیل، به کامپیوتر یکی از کارمندان در شبکه داخلی مرکز داده نفوذ کرده و شروع به تلاش برای رمزگذاری فایل‌های سرورهای داخلی می‌کند. در این لحظه، SIEM وارد عمل می‌شود: SIEM لاگ‌های متعددی را از منابع مختلف مرکز داده دریافت و یکپارچه می‌کند؛ از جمله لاگ‌های سیستم تشخیص نفوذ که افزایش ناگهانی ترافیک SMB (اشتراک فایل) به سمت سرورهای حیاتی را نشان می‌دهد، لاگ‌های فورتی‌گیت داخلی که نشان‌دهنده دسترسی غیرمجاز یک کاربر خاص به چندین ناحیه حساس شبکه است، و هشدارهای سیستم‌های Endpoints مانند FortiClient که از تلاش برای تغییر حجم انبوه فایل‌ها خبر می‌دهند.

SIEM با تحلیل این داده‌ها در کمتر از یک دقیقه، یک هشدار با بالاترین سطح اهمیت تولید می‌کند و آدرس آی‌پی مبدا آلوده و نام سرورهای هدف را تایید می‌کند. این هشدار بلافاصله به پلتفرم SOAR ارسال می‌شود. SOAR به صورت خودکار یک خط‌مشی قرنطینه بدافزار را آغاز می‌کند که چندین اقدام هماهنگ را به صورت متوالی و بدون دخالت انسان انجام می‌دهد:

1. SOAR از طریق واسط‌های برنامه‌نویسی کاربردی به فورتی‌گیت دستور می‌دهد تا یک پالیسی فایروال جدید و موقت اضافه کند که دسترسی آدرس آی‌پی آلوده را به صورت کامل به تمام نقاط دیگر شبکه مرکز داده مسدود کند.

2. SOAR به سیستم فورتی‌کلاینت دستور می‌دهد دستگاه آلوده را فورا به طور کامل از شبکه اصلی جدا و آن را در یک بخش ایزوله قرار دهد.

3. SOAR به سیستم پشتیبان‌گیری دستور می‌دهد تا یک نسخه پشتیبان لحظه‌ای از سرورهای هدف گرفته شود تا از عدم رمزگذاری جدیدترین داده‌ها اطمینان حاصل شود.

4. در نهایت، SOAR یک تیکت حادثه در سیستم مدیریت تیکت ایجاد کرده و تمام شواهد و اقدامات انجام شده را مستند می‌کند. این چرخه همکاری، نفوذ باج‌افزار را در چند ثانیه مهار می‌کند و از گسترش آن به کل زیرساخت مرکز داده جلوگیری می‌نماید.

کلام آخر

همان‌گونه که مشاهده کردید، ترکیب دو فناوری قدرتمند SOAR و SIEM تا چه اندازه در پیشبرد اهداف امنیتی و مقابله با تهدیدات موثر هستند و به سازمان‌ها اجازه می‌دهند در کمتر از یک دقیقه یک تهدید بالقوه و خطرناک را شناسایی کرده و مهار کنند. بنابراین، هنگامی که قصد طراحی و استقرار مراکز داده یا اتاق سرور را دارید، پیاده‌سازی این دو مولفه مهم را نباید نادیده بگیرید. مفتاح رایانه‌افزار به پشتوانه سال‌ها تجربه در حوزه زیرساخت و مراکز داده، آماده است به سازمان‌ها در زمینه پیاده‌سازی یا استقرار این الزامات مشاوره‌های فنی و تخصصی را ارائه دهد.

اشتراک‌گذاری

نویسنده

حمیدرضا تائبی

مطالب مشابه

۸ استراتژی ضروری تامین امنیت مراکز داده (Data Center)

۹ آذر ۱۴۰۴

اسپلانک ابزار کلیدی برای مدیریت و پایش عملکرد، امنیت و سلامت مراکز داده

۸ آذر ۱۴۰۴