SOAR: O que é, como funciona e por que é importante?

by Douglas Bernardini

O que é o SOAR?

A tecnologia de orquestração, automação e resposta de segurança (SOAR) ajuda a coordenar, executar e automatizar tarefas entre várias pessoas e ferramentas, tudo em uma única plataforma. Isso permite que as organizações não apenas respondam rapidamente a ataques de segurança cibernética, mas também observem, compreendam e evitem futuros incidentes, melhorando assim sua postura geral de segurança.

Um produto SOAR abrangente, conforme definido pelo Gartner, foi projetado para operar com três recursos principais de software: gerenciamento de ameaças e vulnerabilidades, resposta a incidentes de segurança e automação de operações de segurança.
O gerenciamento de ameaças e vulnerabilidades (orquestração) abrange as tecnologias que ajudam a corrigir as ameaças cibernéticas, enquanto a automação das operações de segurança (automação) está relacionada às tecnologias que permitem a automação e a orquestração nas operações.

Os SOARs ingerem dados de alerta, e esses alertas acionam manuais que automatizam/orquestram fluxos de trabalho ou tarefas de resposta. Em seguida, usando uma combinação de aprendizado humano e de máquina, as organizações podem analisar esses diversos dados para compreender e priorizar ações automatizadas de resposta a incidentes para quaisquer ameaças futuras, criando assim uma abordagem mais eficiente e eficaz para lidar com a segurança cibernética e melhorar as operações de segurança.

O que é SIEM?

SIEM significa gerenciamento de eventos e informações de segurança. É um conjunto de serviços e ferramentas que ajudam uma equipe de segurança ou um centro de operações de segurança (SOC) a coletar e analisar dados de segurança, além de criar políticas e projetar notificações. Um sistema SIEM usa o seguinte para gerenciar informações e eventos de segurança: coleta, consolidação e correlação de dados, bem como notificações quando um único evento ou um conjunto de eventos aciona uma regra SIEM. As organizações também definem políticas como regras, relatórios, alertas e painéis que se alinham com suas preocupações específicas de segurança.

As ferramentas SIEM permitem que as equipes de TI:

Usem o gerenciamento de registros de eventos para consolidar dados de várias fontes
Obter visibilidade de toda a organização em tempo real
Correlacionar eventos de segurança coletados de logs usando regras “se-então” para adicionar efetivamente inteligência acionável aos dados
Usar notificações automáticas de eventos que podem ser gerenciadas por meio de painéis de controle

O SIEM combina o gerenciamento de informações de segurança e eventos de segurança. Isso é feito por meio do monitoramento em tempo real e da notificação dos administradores do sistema.

SOAR vs. SIEM

Muitos definem SOAR e SIEM como produtos semelhantes, pois ambos detectam problemas de segurança e coletam dados sobre a natureza do problema. Eles também lidam com notificações que a equipe de segurança pode usar para resolver problemas. Entretanto, há diferenças significativas entre eles.

O SOAR coleta dados e alerta as equipes de segurança usando uma plataforma centralizada semelhante ao SIEM, mas o SIEM só envia alertas para os analistas de segurança. A segurança do SOAR, no entanto, acrescenta automação e resposta ao caminho da investigação usando manuais ou fluxos de trabalho automatizados e inteligência artificial (IA) para aprender comportamentos padrão, permitindo assim prever ameaças semelhantes antes que elas aconteçam.

Como os SOARs, como o Cortex XSOAR, normalmente ingerem alertas de fontes que os SIEMs não cobrem (por exemplo, descobertas de varreduras de vulnerabilidades, alertas de segurança na nuvem e alertas de dispositivos IoT), é mais fácil deduplicar os alertas e, de fato, esse é um caso de uso típico para integrações de SOAR e SIEM. Isso reduz o tempo necessário para lidar manualmente com os alertas, facilitando a detecção e o tratamento das ameaças pela equipe de segurança de TI.

O que são orquestração e automação de segurança?

A automação da segurança é a execução baseada em máquina de ações de segurança com o poder de detectar, investigar e corrigir ameaças cibernéticas, sem a necessidade de intervenção humana manual. Ela faz grande parte do trabalho rotineiro para a equipe do SOC, de modo que ela não precisa mais examinar e tratar manualmente cada alerta que chega. A automação da segurança pode:

Detectar ameaças em seu ambiente.
Fazer a triagem das possíveis ameaças.
Determinar se devem ser tomadas medidas com relação ao incidente.
Conter e resolver o problema.

Tudo isso pode acontecer em segundos, sem qualquer envolvimento da equipe humana. Os analistas de segurança não precisam seguir as etapas, as instruções e o fluxo de trabalho de tomada de decisões para investigar o evento e determinar se é um incidente legítimo. Ações repetitivas e demoradas são retiradas de suas mãos para que eles possam se concentrar em trabalhos mais importantes e que agregam valor.

A orquestração de segurança é a coordenação baseada em máquina de uma série de ações de segurança interdependentes, incluindo investigação de incidentes, resposta e, por fim, resolução, tudo em uma única e complexa infraestrutura. Ela garante que todas as suas ferramentas de segurança e não relacionadas à segurança estejam trabalhando juntas em uníssono, seja automatizando tarefas entre produtos e fluxos de trabalho ou alertando manualmente os agentes sobre incidentes importantes que precisam de mais atenção.

A orquestração de segurança pode:

Fornecer melhor contexto sobre incidentes de segurança: Uma ferramenta de orquestração de segurança agrega dados de diferentes fontes para oferecer uma visão mais profunda. Dessa forma, você obtém uma visão abrangente de todo o ambiente.
Permitir investigações mais profundas e significativas. Os analistas de segurança podem parar de gerenciar alertas e começar a investigar por que esses incidentes estão ocorrendo. Além disso, as ferramentas de orquestração de segurança geralmente oferecem painéis, gráficos e linhas do tempo altamente interativos e intuitivos, e esses recursos visuais podem ser muito úteis durante o processo de investigação.

Melhorar a colaboração: Outras partes, inclusive analistas de diferentes níveis, gerentes, o CTO e executivos da diretoria, equipes jurídicas e RH, também podem precisar se envolver em determinados tipos de incidentes de segurança. A orquestração da segurança pode colocar todos os dados necessários ao alcance de todos, tornando a colaboração, a solução de problemas e a resolução mais eficazes.

Em última análise, a orquestração da segurança aumenta a integração das suas defesas, permitindo que a sua equipe de segurança automatize processos complexos e maximize o valor que você recebe da sua equipe, dos seus processos e das suas ferramentas de segurança.

Por que o SOAR é importante?

Em um mundo cada vez maior e mais digital, as organizações enfrentam hoje inúmeros desafios quando se trata de segurança cibernética. Quanto mais complexas e maliciosas são as ameaças, mais as empresas precisam desenvolver uma abordagem eficiente e eficaz para o futuro de suas operações de segurança. Devido a essa necessidade, o SOAR está revolucionando a maneira como as equipes de operações de segurança gerenciam, analisam e respondem a alertas e ameaças.

Atualmente, as equipes de operações de segurança têm a responsabilidade de lidar manualmente com milhares de alertas diariamente, o que deixa margem para erros e grandes ineficiências operacionais, além de ferramentas de segurança ineficientes, em silos e desatualizadas, bem como uma grave falta de talentos qualificados em segurança cibernética.

Muitas equipes de operações de segurança estão lutando para conectar o ruído de sistemas diferentes, o que resulta em muitos processos manuais propensos a erros e na falta de talentos altamente qualificados para resolver tudo isso.

Com o crescente volume de ameaças e alertas e a falta de recursos para lidar com todos eles, os analistas não só são forçados a decidir quais alertas devem ser levados a sério e agir, e quais podem ser ignorados, como também, muitas vezes, ficam tão sobrecarregados que correm o risco de não perceber ameaças reais e acabam cometendo um número flagrante de erros ao tentar responder às ameaças e aos agentes mal-intencionados.

Por isso, é fundamental que as organizações tenham sistemas, como uma plataforma SOAR, que lhes permitam orquestrar e automatizar sistematicamente o processo de alerta e resposta. Ao filtrar as tarefas rotineiras que consomem mais tempo, energia e recursos, as equipes de operações de segurança são mais eficazes e produtivas ao lidar com incidentes e investigá-los e, assim, podem melhorar muito a postura geral de segurança da organização.

O SOAR permite que você:

Integre ferramentas de segurança, operações de TI e inteligência contra ameaças:
Você pode conectar todas as suas diferentes soluções de segurança – até mesmo ferramentas de diferentes fornecedores – para obter um nível mais abrangente de coleta e análise de dados. As equipes de segurança podem parar de fazer malabarismos com uma variedade de consoles e ferramentas diferentes.

Visualize tudo em um só lugar:
Sua equipe de segurança obtém acesso a um único console que fornece todas as informações necessárias para investigar e corrigir incidentes. As equipes de segurança podem ir a um único lugar para acessar as informações de que precisam.

Acelere a resposta a incidentes:
Está comprovado que os SOARs reduzem o tempo médio de detecção (MTTD) e o tempo médio de resposta (MTTR). Como muitas ações são automatizadas, uma grande porcentagem dos incidentes pode ser tratada imediata e automaticamente.

Evite ações demoradas:
O SOAR reduz drasticamente os falsos positivos, as tarefas repetitivas e os processos manuais que consomem o tempo dos analistas de segurança.

Acesse uma inteligência melhor:
As soluções SOAR agregam e validam dados de plataformas de inteligência contra ameaças, firewalls, sistemas de detecção de intrusão, SIEMs e outras tecnologias, oferecendo à sua equipe de segurança mais insights e contexto. Isso facilita a resolução de problemas e o aprimoramento das práticas. Os analistas têm mais condições de conduzir investigações mais profundas e mais amplas quando surgem problemas.

Aprimore os relatórios e a comunicação:
Com todas as atividades de operações de segurança agregadas em um único local e exibidas em painéis intuitivos, as partes interessadas podem receber todas as informações de que precisam, inclusive métricas claras que as ajudam a identificar como fazer melhorias nos fluxos de trabalho e reduzir os tempos de resposta.

Aumente a capacidade de tomada de decisões:
As plataformas SOAR buscam ser fáceis de usar, mesmo para analistas de segurança menos experientes, oferecendo recursos como manuais pré-criados, funções de arrastar e soltar para criar manuais do zero e priorização automatizada de alertas. Além disso, uma ferramenta SOAR pode reunir dados e oferecer percepções que facilitam aos analistas avaliar incidentes e tomar as medidas corretas para corrigi-los.

O benefício do SOAR para empresas e organizações

As empresas e organizações encontram valor no SOAR porque ele minimiza o impacto de incidentes de segurança de todos os tipos, ao mesmo tempo em que maximiza o valor dos investimentos em segurança existentes e reduz o risco de responsabilidade legal e o tempo de inatividade dos negócios em geral. O SOAR ajuda as empresas a enfrentar e superar seus desafios de segurança, permitindo que elas:

Unifiquem os sistemas de segurança existentes e centralizem a coleta de dados para obter visibilidade total, melhorando consideravelmente a postura de segurança, a eficiência operacional e a produtividade da empresa.

Automatizem tarefas manuais repetitivas e gerenciem todos os aspectos do ciclo de vida dos incidentes de segurança, aumentando, assim, a produtividade dos analistas e liberando-os para se concentrarem no aprimoramento da segurança, em vez de executarem tarefas manuais.

Definam procedimentos de análise e resposta a incidentes, bem como utilizem manuais de segurança para priorizar, padronizar e dimensionar os processos de resposta de forma consistente, transparente e documentada.

Envolvam-se em uma resposta mais rápida a incidentes, pois os analistas podem identificar e atribuir com rapidez e precisão níveis de gravidade de incidentes a alertas de segurança, reduzindo os alertas e aliviando a fadiga dos alertas.

Simplifiquem processos e operações para identificar e gerenciem melhor as possíveis vulnerabilidades, tanto de forma proativa quanto reativa.

Apoiem a colaboração em tempo real e as investigações não estruturadas, encaminhando cada incidente de segurança para o analista mais adequado para respondê-lo, além de oferecer funções que facilitam a comunicação e o rastreamento entre as equipes e os membros da equipe.

Fonte:

https://www.paloaltonetworks.com/cyberpedia/what-is-soar

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.