SecOps

SOAR: o que é, como funciona e quando adquirir?

Mais do que a capacidade de identificar incidentes em segurança, as empresas estão sendo desafiadas a repensar o modo como decidem o que fazer e o que de fato fazem quando incidentes ocorrem

Nesse ponto, não é de hoje que a automação em segurança (SA) e a automação e orquestração em segurança (SA&O) mostraram o seu valor dentro do SOC. 

Mas o conceito de SOAR – security orchestration, automation and response vai além de ambos. Cunhado pelo Gartner, ele descreve a convergência de automação e orquestração, que se encontram para oferecer a capacidade de lidar com ciclo completo de um incidente por meio de uma plataforma centralizada.

Não por acaso o conceito de SOAR tem transformado as operações em segurança, sobretudo em relação a gestão, análise e resposta a alertas e incidentes. Mais que isso: a solução vem se tornando peça-chave do SOC, acabando com a necessidade de tratamento manual em um crescente número de ciberataques.

Neste artigo, você encontra uma introdução geral sobre o SOAR. Partimos da compreensão de seus elementos constituintes – automação e orquestração – para chegar ao conceito geral da ferramenta. Veremos também seus casos de uso e, em particular, como ela se relaciona com o SIEM. Disso tiraremos os benefícios da solução. 

 

O que é orquestração em segurança?

A orquestração em segurança faz a coordenação de todas as diferentes ferramentas e ações em segurança tomadas em um ambiente. É ela que garante que todas as ferramentas trabalhem em conjunto em processos coesos e completos, desde a identificação, investigação, resposta e resolução de incidentes, eliminando silos e pontos cegos etc.

Com isso, o SOC garante:

  • Integração das defesas de um ambiente
  • Visualização da correlação das ações em um ambiente
  • Contextualização de incidentes
  • Investigações profundas sobre incidentes, facilitando a chegada à causa raiz
  • Colaboração maior entre os membros da equipe
  • Resposta a incidentes no nível do processo e não da ferramenta, mesmo quando a informação é distribuída em vários dispositivos ou sistemas.

Normalmente, é pela orquestração que o trabalho de elevar a capacidade de resposta a incidentes começa. Isso envolve automação e integrações que vão permitir a coleta e troca rápida de informação.

É quando as operações em segurança estão bem orquestradas que a base para a automação em segurança está pronta.

O que é automação em segurança?

Automação em segurança envolve toda a execução de ações em segurança sem a intervenção humana, como:

  • Detecção de ameaças ao ambientes
  • Triagem de ameaças de acordo com fluxos definidos pela equipe para investigar e decidir se há um incidente de fato
  • Determinar se e qual será a resposta ao incidente e
  • Conter e remediar incidentes.

A automação é viável em cenários conhecidos, com medidas bem definidas e prescritas. Em suma, em tarefas volumosas, mecânicas e repetitivas. Sendo um fluxo completo, ela precisa de uma base unificada, em que as diferentes ferramentas de segurança são capazes de conversar e trabalhar em conjunto.

Essa avaliação sobre onde a automação pode ser efetiva só é viável em operações de segurança bem orquestradas. Por isso, automação e orquestração trabalham bem em conjunto. Isso nos leva ao conceito de SOAR.

O que é SOAR?

SOAR é o acrônimo para soluções que combinam tecnologias para security orchestration, automation and response, dando para a organização um único ponto para a observação, compreensão, priorização, decisão e ação para gerenciar alertas e conter incidentes em segurança.

Tudo isso, dentro de um sistema user-friendly, mesmo para analistas menos experientes. Com pouquíssima programação, as soluções vêm com vários recursos pré-construídos, como playbooks e alertas de priorização automatizados.

Em seu aspecto de orquestração, o SOAR conecta e coordena todas as ferramentas de segurança, garantindo que elas trabalhem em conjunto. 

Em seu aspecto de automação, ele elimina boa parte do trabalho manual da equipe de segurança. Integrado com outras tecnologias, pode proporcionar a detecção de ameaças, notificações para a equipe, investigação e triagem de incidentes, resposta imediata, resolução e inteligência de ameaças.

Com isso, todas as operações em segurança, incluindo métricas, ficam agregadas em um lugar e dispostas em dashboards, que os stakeholders podem acompanhar de modo a identificar melhorias nos processos.

SIEM vs. SOAR: como essas soluções conversam entre si

É muito comum que o SOAR seja implementado ao lado do SIEM – assim como de outras ferramentas. Mas, normalmente, o SOAR é uma solução que vem depois, com a maturidade com SOC e com a necessidade de escalar a capacidade de operação.

Leia também: SOC as a service: como funciona esse modelo de serviço?

Isso porque o SIEM é, além de uma ferramenta que agrega dados sobre eventos de diferentes partes de uma rede para análises em tempo real (como o SOAR), um repositório com meios eficientes de buscar, correlacionar e analisar toda essa massa de dados disponível. 

Casos de uso para o SOAR

O Gartner prevê uma série de aplicações para a tecnologia, como:

  • Documentar e implementar processos
  • Apoiar a gestão de incidentes em segurança
  • Aplicar suporte baseado em máquina a analistas e operadores de segurança
  • Operacionalizar o uso de inteligência de ameaças
  • Combater ciberataques com respostas automáticas
  • Pentests.

 

Benefícios do SOAR

  • Minimizar efeitos negativos da complexidade do ambiente de TI: como uma solução centralizadora, ele diminui silos organizacionais, informacionais e operacionais.
  • Diminuir tarefas repetitivas: quem nunca teve uma equipe mergulhada em um mar de alertas, muitos dos quais falsos positivos e redundâncias? O SOAR ajuda a acabar com essas tarefas repetitivas.
  • Integração de ferramentas de segurança, ITOps e inteligência de ameaças: independentemente do fornecedor, você conecta seus recursos.
  • Visão geral do que está acontecendo na rede: recursos para o gerenciamento macro, mas também micro de problemas que precisam ser investigados.
  • Velocidade na resposta a incidentes: parte dos incidentes será tratada imediatamente, reduzindo tempo de detecção e de resposta.  
  • Centralização dos insumos para inteligência em segurança: o SOAR agrega e valida dados de plataforma de inteligência de ameaças, firewalls, SIEM etc.
  • Facilidade na comunicação: o SOAR unifica as diferentes línguas de cada solução, permitindo que todos trabalhem de maneira centralizada.
  • Melhora na tomada de decisão: organizando e limpando o volume de tarefas operacionais, o SOAR leva a equipe a a olhar para o que importa e, portanto, a tomar decisões melhores.

SOAR: suba mais um nível em suas operações de segurança

Boa parte das equipes de segurança sem um SOAR hoje vivem para acompanhar alertas que nunca param de chegar, perder tempo lidando com falsos positivos e apagar incêndios quando incidentes realmente relevantes acontecem.

O SOAR resolve isso. Chegou o momento de conhecer mais sobre essa ferramenta? Deixe que nós mostramos como funciona o SOAR da Splunk. Fale conosco.

Explore conteúdos relacionados:

SecOps

Como escolher um SIEM, de acordo com o Gartner

SecOps

RBA – risk based alerting: como funciona, por que usar e como implantar