Security Operations Center and Analytics Platform: (SOAPA or SOAR)

In Articles, Big Data, cyber security, Zero-Day Attacks by Blog Writer

Post Sharing

ما هي منهجية عمل “العمليات الأمنية وهيكلة منصة التحليلات”؟

SOAPA

وكيفية عمل هذه المنهجية

تعتمد الكثير من الشركات على معلومات الأمان وإدارة الأحداث السيم لتقييم أمنهم. يجمع السيم بين ملفات السجل والمعلومات الأخرى من مجموعة متنوعة من المصادر، مما يسهل رؤية الاتجاهات والأنماط المتعلقة بالنظم والأمان

يمكن لمسؤول النظام استخدام ملفات السجل المجمعة والوثائق للتوصل إلى تعريف عام لهيكلية عمل النظام لديهم، واستخدامه كخط أساسي لتحديد واكتشاف الحالات الشاذة في المستقبل

بينما أثبت السيم فائدته على مر السنين، لكنه أصبح قديماً أكثر فأكثر. الأمن السيبراني مجال سريع النمو ومتطور باستمرار، ولن يكون ارتباط الأحداث وإدارة السجل ببساطة كافيا لمواكبة ذلك. وهكذا فإن المؤسسات تحت ضغوطات حقيقية للبحث عن تقنيات جديدة والتي يمكن أن تساعدها في تعزيز الأمن السيبراني الخاص بكل منها، وهو ما تدور حوله فكرة عمليات الأمن وبنية نظام التحليلات “سوبا”

لا يوجد بعد بنية واحدة موحدة ومقبولة عالميًا للعمليات الأمنية ومنصات التحليل. ومع ذلك ، فإن تكامل الاي بي آي

API

هو منهجية مقبولة معترف بها من قبل معظم رواد المجال في الوقت الحالي. بينما لم يتم تحديد معيار عام، منهجية “سوبا” لديها بعض الخصائص البارزة:

ا. تجمع بيانات الأمان من مصادر مختلفة

ب. تستخدم مجموعات مختلفة من التقنيات وتوحدها في منصة واحدة. يتضمن ذلك بيانات أمان يمكن قراءتها بشكل الي والتي يتم تحليلها وإدارتها والإبلاغ عنها بواسطة التقنيات المختلفة التي تعمل معًا

SOAPA vs traditional SIEM
SOAPA to replace traditional SIEM

إلى جانب البرامج الوسيطة، تستخدم “سوبا” العديد من معايير الأمن السيبراني لتوصل وتشبك المصادر المختلفة للبيانات والأدوات التي تحتاجها او تعمل عليها بعض مؤسسات الأعمال اليوم ، بما في ذلك:

وصلة سايبر اكسبرس (CybOX)

وصلة التبادل الآلي الموثوق لمعلومات المؤشر (TAXII)

منظم التعبير عن معلومات التهديدات (STIX)

من خلال الجمع بين مصادر البيانات والأدوات والتقنيات المتباينة، تعمل منهجية “سوبا” على تبسيط العمليات وجعل عمليات الأمان الشاملة أكثر كفاءة، مع إعطاء سياق معزول لبيانات أكثر، حتى تتمكن الشركات من الحصول على رؤى أفضل من مصادر البيانات الخاصة بها.

سوبا أم سيم

قد يبدو وصف “سوبا” مشابهًا للسيم, إذ ان السيم يركز بشكل أكبر على معلومات الأحداث وسجلاتها، فإن عمليات الأمن وبنية النظام الأساسي للتحليلات ستنظر في مجموعة واسعة من الأدوات والمعلومات. في الواقع ، يعد السيم جزءًا من السوبا، كونه أحد أدوات الأمان والتحليلات العديدة المستخدمة في هذه المنظومة.

Evolution of Cyber Security Operations
Evolution of Security Operations

كما أسلفنا سابقاً تبدو سوبا بمثابة سيم من الجيل المقبل اي انها أكثر شمولًا وتتضمن المزيد من مصادر بيانات الأمان، للوصول إلى رؤى أفضل وأكثر جدوى, وذلك لاشتمال السوبا على تقنيات خدمات أخرى الى جانب السيم مثل:

1. منصات الاستجابة للحوادث التي تمكن مسؤولي النظام من تصنيف التهديدات التي اكتشفتها والحصول على تنبيهات الأولوية، واتخاذ إجراءات بشأن المشكلات المكتشفة على الفور

Incident Response Platform such the one CarbonBlack, and Cybereason provide with

2. أدوات الكشف عن المخاطر في الاند بوينت والاستجابة لها، مما يسمح لموظفي الأمن بالتحقق من سلوك اجهزة المستخدمين

Endpoint Detection and Response “EDR” such as the one CarbonBlack, CroudStrike, and Cybereason provide with

3. خوارزميات التعلم الآلي، مثل الحلول التي توفرها

Sqrrl و Exabeam و Splunk.

4. الصناديق الرملية ساند بوكس للحماية من المالوير والملفات الضارة، مما يسمح لموظفي الأمن بفهم هجمات المالوير، خاصة تلك التي تستغل نقاط الضعف التي لم بتم التعرف عليها من قبل المزود.

5. استخبارات تهديدات المعلومات، والتي تتيح لأفراد الأمن السيبراني بمقاربة ومقارنة الحالات الشاذة التي تحدث داخل شبكتهم مع تلك التي تحدث في العالم السيبراني.

6. منصات ادارى الأصول الأمنية, وومنصات المسح الامني للثغرات

إجمالًا، تعد عمليات الأمن وهندسة الأنظمة الأساسية للتحليلات “سوبا” نموذجًا جديدًا يجمع بين أدوات الأمن السيبراني المختلفة في نظام واحد، مما يساعدك على أن تصبح أكثر فاعلية وعملية في مجال الأمن السيبراني

تساعد أنظمة “سوبا” في معالجة العديد من المشكلات الشائعة التي يواجهها محترفي الأمن السيبراني اليوم، بما في ذلك:

– قلة الكوادر الخبيرة (من الصعب جدًا العثور على الخبراء والاحتفاظ بهم)

– الاستجابة والرد على المخاطر يأخد الكثير من الوقت

– الكثير من الأدوات التي تعمل بشكل منفصل وعشوائي

– محاولة مواكبة العديد من التهديدات التي تتغير دائمًا

تهدف “سوبا” الى معالجة هذه المشكلات عن طريق تقليل الحاجة لكل مشكلة منها. بحيث تساعد المؤسسات على التركيز على عدد قليل من الأدوات، وأتمتة هذه الأدوات، بحيث تقل الحاجة الى الخبراء, وتساعد من خلال ميزات الرد والاستجابة على الاستجابة للتهديدات بالوقت الفعلي