A automação em segurança (SA) e a automação e orquestração em segurança (SA&O) têm ganhado a atenção dentro do SOC. Mas o conceito de SOAR – security orchestration, automation and response vai além de ambos. 

Isso, porque mais do que a capacidade de detectar incidentes em segurança, as empresas estão sendo desafiadas a repensar o modo como decidem o que fazer e o que de fato fazem quando incidentes ocorrem. Não é de hoje que os SOCs se viram nos trinta, com um volume imenso de alertas para lidar, equipes e dados fragmentados, sem a capacidade real de priorizar e de automatizar pelo menos o tier 1.

Cunhado pelo Gartner, o termo SOAR descreve a convergência de automação e orquestração, que se encontram para oferecer a capacidade de lidar com ciclo completo de resposta a um incidente por meio de uma plataforma centralizada.

Um SOAR pode transformar a competência de um SOC de lidar com alertas, sobretudo em relação a gestão, análise e resposta. Mais que isso: a solução tem sido vista como peça-chave do SOC, diminuindo a necessidade de tratamento manual em um crescente número de ciberataques.

Neste artigo, você encontra uma introdução geral sobre o SOAR. Partimos da compreensão de seus elementos constituintes – automação e orquestração – para chegar ao conceito geral da ferramenta. Veremos também seus casos de uso e, em particular, como ela se relaciona com o SIEM. Disso tiraremos os benefícios da solução. 

O que é orquestração em segurança?

A orquestração em segurança é a coordenação de todas as diferentes ferramentas e ações em segurança tomadas em um ambiente, mesmo que executadas separadamente. É ela que garante que todas as ferramentas trabalhem em conjunto em processos coesos e completos, desde a identificação, investigação, resposta e resolução de incidentes, eliminando silos e pontos cegos.

Com isso, o SOC garante:

• Integração das defesas de um ambiente
• Visualização da correlação das ações em um ambiente
• Contextualização de incidentes
• Investigações profundas sobre incidentes, facilitando a chegada à causa raiz
• Colaboração maior entre os membros da equipe
• Resposta a incidentes no nível do processo e não da ferramenta, mesmo quando a informação é distribuída em vários dispositivos ou sistemas.

Normalmente, é pela orquestração que o trabalho de elevar a capacidade de resposta a incidentes começa. Isso envolve integrações que vão permitir a coleta e troca rápida de informação.

É quando as operações em segurança estão bem orquestradas que a base para a automação em segurança está pronta.

O que é automação em segurança?

Automação em segurança envolve toda a execução de ações em segurança sem a intervenção humana, como:

• Detecção de ameaças ao ambientes
• Triagem de ameaças de acordo com fluxos definidos pela equipe para investigar e decidir se há um incidente de fato
• Determinação da necessidade de resposta e de qual será a resposta ao incidente e
• Contenção e remediação de incidentes.

A automação é viável em cenários conhecidos, com medidas bem definidas e prescritas. Em suma, em tarefas volumosas, mecânicas e repetitivas. Sendo um fluxo completo, ela precisa de uma base unificada, em que as diferentes ferramentas de segurança são capazes de conversar e trabalhar em conjunto.

Essa avaliação sobre onde a automação pode ser efetiva só é viável em operações de segurança bem orquestradas. Por isso, automação e orquestração trabalham bem em conjunto. Isso nos leva ao conceito de SOAR.

O que é SOAR?

SOAR é o acrônimo para a combinação de tecnologias, procedimentos e atividades em segurança em uma única base a fim de dar para a organização um único ponto para a observação, compreensão, priorização, decisão e ação para automatizar a tratativa de incidentes em segurança.

Em seu aspecto de orquestração, o SOAR é desenhado para integrar e conectar tantas ferramentas de segurança quanto possível, mesmo que separadas, garantindo que elas trabalhem em conjunto como em um concerto. O SOAR integra SIEM, firewall, IDS, IPS e outras ferramentas, de diferentes fornecedores, tornando-se uma base única.

Em seu aspecto de automação, ele executa ações de segurança como investigação e enriquecimento dos alertas, bem como respostas, sem intervenção humana. 

Para acelerar e democratizar as operações, mesmo para analistas menos experientes, as soluções vêm com vários recursos pré-construídos, como procedimentos e playbooks de resposta a alertas e priorização automatizados baseados em frameworks como MITREATT&CK e D3FEND. Para alto nível de sofisticação e personalização, elas contam com editor de playbooks para a construção de automações de segurança.

Em threat intelligence, por meio de um SOAR, você ganha conhecimento baseado em evidências, informação que ajuda o SOC a:

• Compreender os comportamentos e motivações de atores de ataque
• Prever novos alvos
• Planejar e melhorar a postura em segurança.

Com isso, todas as operações em segurança, incluindo métricas, ficam agregadas em um lugar e dispostas em dashboards, que os stakeholders podem acompanhar de modo a identificar melhorias nos processos.

SIEM vs. SOAR: como essas soluções conversam entre si

É muito comum que o SOAR seja implementado dentro do SIEM – assim como de outras ferramentas. Ferramentas como o Splunk SOAR, inclusive, já vêm conectadas ao SIEM (Splunk ES).

Mas, normalmente, o SOAR é uma solução que vem depois, com a maturidade com SOC e com a necessidade de escalar a capacidade de operação.

Leia também: SOC as a service: como funciona esse modelo de serviço?

Isso porque o SIEM é, além de uma ferramenta que agrega dados sobre eventos de diferentes partes de uma rede para análises em tempo real (como o SOAR), um repositório com meios eficientes de buscar, correlacionar e analisar toda essa massa de dados disponível.

SOAR vs. XDR 

O SOAR também costuma ser comparado ao XDR – extended detection and response. Assim como aquele, este também integra diferentes ferramentas de segurança a fim de coordenar e automatizar a resposta.

Qual a diferença, portanto?

No que diz respeito à automação, o SOAR tem maior enfoque na orquestração, usando playbooks para orquestrar procedimentos de resposta. Já o XDR usualmente automatiza ações únicas.

Disso decorre outra diferença: enquanto o SOAR se integra a diferentes vendors, o XDR costuma ser uma variedade de soluções de um único vendor implantadas juntas.

Casos de uso para o SOAR

Os casos de uso de um SOAR, segundo a Splunk, dependem da maturidade da empresa com a solução, de seu segmento e perfil. O sucesso com a ferramenta sempre dependerá do modo como ela for usada.

Casos comuns de uso são:

• Triagem e resposta a malware, phishing e outros ciberataques: 
• Triagem de alertas do SIEM
• Apoio à vulnerability management
• Hunting de ameaças mais sofisticadas.

O Gartner prevê uma série de aplicações para a tecnologia, como:

• Documentar e implementar processos
• Apoiar a gestão de incidentes em segurança
• Aplicar suporte baseado em máquina a analistas e operadores de segurança
• Operacionalizar o uso de inteligência de ameaças
• Combater ciberataques com respostas automáticas
• Pentests.

Boas práticas com SOAR

1. Integrar a suas ferramentas: adotar um SOAR que suporte todas as ferramentas que sua empresa usa, para garantir que a informação relevante em segurança possa ser acessada por ele.
2. Estabelecer prioridades: identificar onde a automação pode ajudar e gerar valor imediatamente, seja pela frequência da ação, seja pelo tempo de resolução, e priorizar essas necessidades. Começar pelo básico vai capacitar a equipe para aumentar a maturidade no uso da ferramenta.
3. Desenvolver playbooks customizados: documentar adequadamente os procedimentos e instruções para resolver um incidente, gerando um processo repetível, estável e escalável.
4. Aumentar o valor da inteligência humana: mais do que automatizar a resposta a um phishing, por exemplo, saber usar o tempo extra para responder por que a organização está sofrendo tantos ataques de phishing.

Benefícios do SOAR

• Minimizar efeitos negativos da complexidade do ambiente de TI: como uma solução centralizadora, ele diminui silos organizacionais, informacionais e operacionais.

• Diminuir tarefas repetitivas: quem nunca teve uma equipe mergulhada em um mar de alertas, muitos dos quais falsos positivos e redundâncias? O SOAR ajuda a minimizar essas tarefas repetitivas, automatizando-as, e ao mesmo tempo a tornar claro alertas que podem explorar mais o ambiente.

• Integração de ferramentas de segurança, ITOps e inteligência de ameaças: independentemente do fornecedor, você conecta seus recursos.
• Visão geral do que está acontecendo na rede: recursos para o gerenciamento macro, mas também micro de problemas que precisam ser investigados.
• Velocidade na resposta a incidentes: parte dos incidentes será tratada imediatamente, reduzindo tempo de detecção e de resposta.  
• Centralização dos insumos para inteligência em segurança: o SOAR agrega e valida dados de plataforma de inteligência de ameaças, firewalls, SIEM etc.
• Facilidade na comunicação: o SOAR unifica as diferentes línguas de cada solução, permitindo que todos trabalhem de maneira centralizada.
• Melhora na tomada de decisão: organizando e limpando o volume de tarefas operacionais, o SOAR leva a equipe a a olhar para o que importa e, portanto, a tomar decisões melhores.

SOAR: suba mais um nível em suas operações de segurança

Boa parte das equipes de segurança sem um SOAR hoje vivem para acompanhar alertas que nunca param de chegar, perder tempo lidando com falsos positivos e apagar incêndios quando incidentes realmente relevantes acontecem.

O SOAR resolve isso. Chegou o momento de conhecer mais sobre essa ferramenta? Deixe que nós mostramos como funciona o SOAR da Splunk. Fale conosco.