Você conhece o SOAR (Security Orchestration Automation and Response) ?

Texto traduzido e adaptado de “Security Orchestration, Automation and Response (SOAR)“.

O que é o SOAR ?

O Gartner descreve o SOAR como a coleção de tecnologias diferentes que permitem às empresas coletar dados e alertas de segurança de diferentes fontes. A empresa pode então, conduzir processos de análise e correção de ameaças utilizando máquinas e recursos humanos em conjunto para auxiliar na definição, priorização e condução de atividades padronizadas de resposta a incidentes de acordo com um fluxo de trabalho padrão.

Utilizando ferramentas de SOAR, as empresas definem procedimentos de resposta e análise de ameaças, também conhecidas como Plays no Manual de Operações de Segurança, em um formato de fluxo de trabalho digital, para que uma variedade de atividades controladas por máquinas possam ser automatizadas.

No mundo da guerra cibernética, as ameaças estão crescendo e  proteger a infraestrutura de TI das empresas é uma tarefa difícil. Para lidar com esse problema, as organizações procuram a equipe de segurança e as ferramentas de segurança como último recurso. Treinar e reter esses profissionais de TI também é uma tarefa desafiadora. De acordo com o relatório The Demisto State of SOAR Report, 2018: “ é preciso uma média de 8 meses para treinar novos analistas de segurança; apesar disso, um quarto dos empregados acabaria por sair daqui a dois anos. “

O problema de contratar e treinar novos funcionários pode ser resolvido com a ajuda das ferramentas SOAR, pois eles podem ajudar a preencher a lacuna de pessoal e tornar a força de trabalho existente mais produtiva. Além disso, o SOAR tornou-se uma parte vital do Security Operation Center (SOC) e permite a resolução de incidentes com a documentação mais robusta, maior fidelidade e menos tempo morto.

Quais são os componentes funcionais do SOAR?

Os componentes funcionais do SOAR são: orquestração de segurança, automação, gerenciamento e colaboração de incidentes, painel e relatórios. Esses componentes executam diferentes atividades e funções dentro de um SOC. Nas seções a seguir, você obterá insights sobre cada componente funcional do SOAR em maiores detalhes.

Orquestração

A orquestração de segurança é o ato de integrar tecnologias diferentes e conectar ferramentas de segurança, sejam específicas ou não para torná-las capazes de trabalhar juntas e melhorar a resposta a incidentes.

Envolver mão de obra é indispensável na orquestração de segurança. Sistemas automatizados, por si só, não são suficientes para identificar os sinais sutis de uma invasão. Por exemplo, o sistema de alerta do seu SOAR não pode determinar se um email é malicioso ou não. Em vez disso, os analistas têm que colocar seus chapéus de detetive e procurar muitas outras pistas, incluindo:

  • O que a inteligência das ameaças nos diz?
  • Esse email foi recebido por algum outro sistema?
  • De que endereço IP veio?

E inúmeras outras possíveis perguntas.

Como funciona a orquestração de segurança? Responderemos a essa questão discutindo o exemplo de um email mal-intencionado. Suponha que um de seus funcionários relate um email para o SOC. Os analistas do SOC verificarão a validade do remetente através da inteligência de ameaças e a origem do e-mail por meio de uma ferramenta de DNS. Depois disso, os hiperlinks são extraídos do email para verificar sua validade por meio da reputação do URL. Os analistas executam todos os anexos de email em um sandbox ou destroem um link em um ambiente seguro. Este processo é feito para todos os emails reportados.

Automação

A automação é a execução de ações orientadas por máquinas em sistemas de TI e ferramentas de segurança, como parte da resposta a incidentes. Essas tarefas foram realizadas anteriormente por humanos. Com o recurso de automação das ferramentas SOAR, uma equipe de CSIRT pode descrever etapas de automação padronizadas, fluxo de trabalho de tomada de decisão, ações de fiscalização, verificação de status e recursos de auditoria.

Resposta

Como o nome indica, a resposta ajuda os analistas a gerenciar incidentes de segurança, colaborar e compartilhar dados para a resolução de incidentes.

  • Triagem e Processamento de Alerta : O SOAR coleta dados de outras ferramentas de segurança como o SIEM. Depois disso, as equipes de segurança realizam análises sobre esses dados para verificar se existe alguma ameaça ou não. Se uma ameaça for encontrada, as equipes de segurança estenderão seus parâmetros de investigação a outras vulnerabilidades em potencial para evitar novos ataques. Finalmente, o processo de remediação é iniciado para resolver o incidente
  • Módulos de Gerenciamento de Casos : Este recurso suporta colaboração, comunicação e gerenciamento de tarefas com o SOC e possivelmente além
  • O Gerenciamento da Inteligência de Ameaças : Usando essa propriedade, as ferramentas SOAR reúnem todas as informações necessárias sobre uma ameaça. Posteriormente, as equipes de segurança processam e transformam essas informações em inteligência para realizar ações proativas.

Como o SOAR pode ser útil em 2019

Como as ameaças à segurança cibernética estão crescendo constantemente em número e sofisticação, reduzi-las com soluções eficazes de segurança é a necessidade do momento. Além disso, a precisão e a velocidade são dois requisitos importantes na mente de todos os especialistas em segurança em 2019. Como você pode fornecer o máximo de resultados com recursos mínimos? Parece impossível. No entanto, é possível com um SOAR.

Segundo relatos, 2019 testemunhará uma escassez de profissionais de segurança. Um relatório recente publicado pela Frost & Sullivan descobriu que haverá uma escassez de 1,8 milhão de pessoal de segurança até 2022. Como o SOAR preenche essa lacuna, as organizações provavelmente buscarão essa solução em 2019.

Conclusão

Como resultado, percebeu-se que a solução SOAR é útil para todo tipo de organização – especialmente para aqueles com menos pessoal de segurança e um orçamento menor para a segurança de TI. A tecnologia SOAR pode ajudar os analistas em um SOC a economizar tempo, dinheiro e recursos.