Skip to content
SOAR
Cyber Security

O que é SOAR? Um guia completo para plataformas de SOAR

Publicado

Tudo que você precisa saber sobre as soluções de Orquestração de segurança, Automação e Resposta (SOAR).

Visão geral das plataformas de SOAR

Uma plataforma de SOAR é feita para ajudar as equipes de operações de segurança (SecOps) a executar de forma automática tarefas repetitivas como responder a alertas de phishing, SIEM ou triagem de alertas de EDR e são tipicamente usada no contexto de Centro de Operações de Segurança (SOC).

A Gartner define a tecnologia SOAR como “soluções que combinam resposta a incidentes, orquestração e automação, além de capacidades de gerenciamento de ameaças inteligentes a partir de uma única solução”. A nível básico, há três formas primárias que o SOAR trabalha para melhorar o desempenho do SecOps:

  1. Automação de resposta a incidentes: O Software de segurança SOAR, especificamente automação de segurança, executa uma sequência de tarefas sem intervenção humana. As equipes de segurança que automatizam as respostas a incidentes com as plataformas de SOAR agilizam o tempo necessário para resolução dos casos (MTTR). A automação também dá aos analistas mais tempo para trabalhos estratégicos, aumentando a satisfação da equipe e as taxas de retenção.
  2. Dá contexto aos dados do incidente: A orquestração de segurança integra sistemas ou plataformas distintas. Isso leva a consolidação e contextualização inteligente para que os analistas possam analisar os dados do incidente em uma única visualização de gerenciamento de caso de forma completa com relatórios e dashboards customizadas. Esse processo de enriquecimento oferece às equipes de segurança inteligência acionável para que eles possam melhorar a eficiência e amadurecer a postura de segurança.
  3. Unifique as pessoas, processos e tecnologias: As integrações são responsáveis pela mágica por trás do SOAR, unindo pessoas, processos e tecnologias. As tecnologias de SOAR que entregam ecossistemas  bem orquestrados de segurança garante que as equipes de segurança acelerem os tempos de resposta a incidentes.

O que é Orquestração de segurança e automação?

A orquestração de segurança integra e coordena várias ferramentas e processos envolvidos com a segurança da operação. O objetivo da orquestração é aperfeiçoar e aprimorar a eficiência das operações de segurança ao automatizar tarefas manuais e integrar diferentes ferramentas e processos.

A automação de segurança se refere especificamente ao uso de ferramentas automatizadas e processos para realizar tarefas de segurança. Isso pode incluir coisas como automatizar a implementação de patches de segurança, automatizar a investigação de incidentes de segurança e automatizar a implementação de controles de segurança.

A diferença entre automação e orquestração

A principal diferença entre orquestração de segurança e automação de segurança é que a orquestração de segurança envolve coordenar uma gama de tarefas simultaneamente entre esses stacks de tecnologia, enquanto a automação de segurança específica no uso de ferramentas automatizadas e processos para realizar essas tarefas.

Ambos os métodos ajudam a melhorar a eficiência e efetividade das operações de segurança, mas a orquestração de segurança utiliza uma visão mais ampla do panorama de segurança enquanto a automação de segurança é mais focada em uso de ferramentas e processos específicos.

O que é Gerenciamento inteligente de ameaça?

O gerenciamento inteligente de ameça ingere, analisa e enriquece os dados sobre potenciais ameaças de segurança. Isso pode incluir informação sobre ameaças cibernéticas como malwares, phishings, e tentativas de hacking assim como ameaças de segurança física como terrorismo ou outras formas de violência.

O gerenciamento de ameaça inteligente é uma parte importante de uma estratégia compreensiva de segurança já que ajuda as organizações a se manterem informadas sobre potenciais ameaças e a tomarem medidas proativas para se protegerem.

O objetivo do gerenciamento inteligente de ameça é oferecer às organizações informações sobre como elas precisam se proteger contra potenciais ameaças. Isso pode ser feito coletando informações de várias fontes como inteligências de código aberto, data sources proprietárias e até mesmo redes sociais. Uma vez que essa informação é coletada, ela é analisada para determinar a relevância e potencial impacto da organização.

Por fim, a informação é disseminada para as partes interessadas dentro da organização como a equipe de segurança e os principais executivos para que eles possam tomar as ações apropriadas para mitigar potenciais ameaças.

O que é a resposta ao incidente?

A resposta ao incidente responde e gerencia o incidente de segurança após a ocorrência.  Um incidente de segurança é qualquer evento que possa oferecer potencial ameaça aos sistemas, redes ou a informação da organização. Isso pode incluir ataques cibernéticos, vazamento de dados, intrusão na rede e outros tipos de ameaças.

O objetivo da automação de resposta ao incidente é minimizar o impacto de um incidente de segurança e restaurar as operações normais o mais rápido possível. Para isso, as organizações normalmente têm um plano de resposta ao incidente para ser posto em ação com passos que devem ser tomados no caso de um incidente de segurança.

Leia também:  O que é a orquestração de segurança?

Respostas a incidentes efetivos requer um esforço coordenado entre diferentes times e departamentos dentro de uma organização. Isso pode incluir a equipe de segurança, equipe de TI, departamento jurídico e outras partes interessadas. Algumas plataformas de SOAR oferecem gerenciamento de caso e relatórios para tornar essa comunicação mais fácil.

Por que o SOAR é importante?

As plataformas de SOAR ajudam as organizações a aperfeiçoar e aprimorar a eficiência das operações de segurança ao automatizar tarefas e integrar diferentes ferramentas e processos de segurança. Há diversas razões do porque uma plataforma de SOAR pode ser importante para a sua organização.

Você pode aumentar a eficiência do seu SOC: As tecnologias de SOAR podem automatizar diversas tarefas rotineiras, liberando os analistas de segurança para focarem mais em tarefas mais complexas e de alta prioridade. Isso pode ajudar a melhorar a eficiência das operações de segurança e reduzir a carga de trabalho da equipe de segurança.

Você pode melhorar a resposta a incidentes: Uma plataforma de SOAR robusta pode oferecer uma plataforma centralizada para gerenciar respostas a incidentes, incluindo automatizar a investigação e resposta a incidentes de segurança. Isso ajuda as organizações a responder incidentes de forma mais rápida e efetiva.

Você pode se integrar com diversos stacks de tecnologia: Certas soluções de SOAR podem se integrar com uma variedade de ferramentas de seguranças e processos permitindo que as organizações gerenciem melhor sua infraestrutura de segurança e tenham uma visão mais compreensiva da sua postura de segurança.

Você pode melhorar a sua postura em relação ao risco de segurança: Ao automatizar tarefas e integrar diferentes ferramentas de segurança e processos, as plataformas de SOAR podem ajudar as organizações a identificar e mitigar potenciais riscos de segurança de forma mais efetiva. Isso pode ajudar a reduzir o perfil de risco geral da organização.

Os benefícios do SOAR

As tecnologias de SOAR tem vários benefícios para as equipes de SOC. Prevenção contra vazamentos, Indicadores de performance de SecOps aprimorados, redução de burnout dos analistas e melhor retorno de investimento no geral são os principais benefícios que os clientes notam.

  • Reduz a chance de vazamento: Com o SOAR, as equipes de segurança da empresa são capazes de responder prontamente a 80% mais dados de telemetria de segurança. Eles são capazes de parar ataques mais cedo nos ciclos de vida e prevenir que eles se tornem vazamentos. A inteligência acionável que é coletada através das plataformas ajudam a mensurar a melhora na postura de risco ao longo do tempo.
  • Melhora das métricas do SecOps: Uma equipe de segurança reduziu as intervenções manuais em um terço nos primeiros seis meses de implementação do SOAR. Isso permitiu que eles cortassem seu MTTR em 50%. O resultado foi eficiência e efetividade melhorada nas operações de segurança do dia-a-dia.
  • Reduza o burnout da equipe: Ao usar um SOAR low-code, os analistas levam menos tempo para filtrar e visualizar os dados. Isso libera os analistas de tarefas manuais suscetíveis a erros para que eles possam usar seu tempo em iniciativas estratégicas. Por conta disso, os clientes estão conseguindo reter o talento e o conhecimento institucional, o que leva a uma melhor segurança.
  • Melhora no retorno de investimento para todos os investimentos de segurança:  Uma equipe de segurança da Fortune 100 economizou US$160.000 dólares por mês em custos de trabalho. Esse benefício financeiro resultou em um SOAR low-code, economizando 3.700 horas de trabalho por semana. O retorno de investimento foi calculado medindo a porcentagem de alertas de detecção que requerem processos manuais versus processos automatizados. Dashboards automatizados e relatórios tornaram fácil a medição dessas estatísticas para que os líderes de segurança pudessem avaliar sua eficácia nos seus investimentos.

O benefício do SOAR para as equipes de SOC são expansivas. 

Casos de uso comuns de SOAR

Os casos mais comuns de uso de SOAR tender a ser casos de uso orientados a SOC como:

  • Investigação e triagem de Phishing
  • Gerenciamento de alertas/eventos de SIEM e EDR
  • Enriquecimento de inteligência e processos de ameaça
  • Forense digital
  • Resposta a incidente
  • Gerenciamento de vulnerabilidade
  • Threat Hunting
  • Ameaças internas

Casos de uso de SOAR fora do SOC

As equipes de segurança sempre estão procurando por formas de realizar automações fora dos usos tradicionais. As equipes de SecOps podem usar as plataformas de SOAR modernas para ajudar a automação em:

  • Assegurar contra fraudes e personificação de marca
  • Gerenciamento de casos de fraude
  • Assegurar a ingressão e desativação de funcionários
  • Triagem de phishing de dispositivos móveis

SOAR x SIEM x XDR

Como o SOAR e o SIEM são diferentes?

Segurança da informação e gerenciamento de eventos (SIEM, na sigla em inglês) é similar ao SOAR no sentido em que ambas as tecnologias ingerem dados de múltiplos produtos de segurança como firewalls, appliances de rede e ferramentas de detecção. Ambas as tecnologias fazem parte das principais tecnologias adotadas pelas equipes de SOC. Esses dois fatores são onde as similaridades se encerram.

Leia também:  As 6 principais responsabilidades e funções da equipe de SOC

Uma solução de SIEM trabalha coletando, agregando, identificando e categorizando incidentes e eventos. O SOAR ingere e enriquece dados em uma forma similar, incluindo dados do SIEM, mas então ele dá alguns passos a mais para automatizar fluxos de resposta a incidentes complexos através de integrações e playbooks.

Os clientes de SIEM normalmente veem benefícios em assegurar o monitoramento, a detecção de incidentes, alertas e a criação de dashboards. Essas informações são úteis para relatórios de informações necessárias para casos de uso de conformidade como LGPD/GDPR, CCPA e HIPAA.

Entretanto, SIEMs costumam ser caros. É normal eles serem precificados com base na quantidade de dados que eles consomem, o que normalmente não é escalado ou orientado ao valor. Os SIEMs também podem ser difíceis de se gerenciar ou operar sozinhos. Por essa razão, o SOAR é o complemento perfeito para uma solução de SIEM pois ela traduz a inteligência do SIEM em ações que previnem vazamentos e melhoram as métricas de SOC.

Como o SOAR e o XDR são diferentes?

Resposta e detecção estendida (XDR na sigla em inglês) emergiu em 2018, então a tecnologia e as soluções oferecidas ainda estão sendo definidas. Essencialmente, as plataformas de XDR tem como objetivo correlacionar todos os alertas e dados de segurança em um sistema de detecção e resposta centralizado. O XDR preza por uma detecção mais ampla, enquanto o SOAR oferece orquestração e várias integrações.

O XDR como um todo, no entanto, ainda não tem as capacidades de orquestração do SOAR e a visibilidade associada com o SIEM. A orquestração de uma plataforma de SOAR é a chave para operações simplificadas e respostas mais rápidas. Por essa razão, as soluções de XDR são mais poderosas quando integradas com o SOAR e o SIEM, não como um substituto.

Melhores práticas: O que procurar em uma plataforma de SOAR?

Ao considerar uma plataforma de SOAR, há diversos pontos que devem ser levados em conta:

Capacidade de integração: Procure por uma plataforma de SOAR que possa se integrar facilmente com uma variedade de diferentes ferramentas e processos de segurança. Isso permite que você gerencie sua infraestrutura de segurança e tenha uma visão mais compreensiva da sua postura de segurança.

Capacidades de automação: Considere os tipos de tarefas que a plataforma de SOAR pode automatizar e se elas se alinham com as necessidades da sua organização. Procure por uma plataforma que possa automatizar uma variedade de tarefas, incluindo resposta a incidentes, gerenciamento de vulnerabilidade e coleta de inteligência de ameaças.

Customização e flexibilidade: Procure por uma plataforma de SOAR que pode ser customizada e configurada para cumprir suas necessidades específicas da sua organização. Isso permite que você guie a plataforma para seus fluxos e requisitos únicos de segurança.

Facilidade de uso: Considere a usabilidade da plataforma de SOAR, incluindo sua interface e a curva de aprendizado para a sua equipe. Uma plataforma que é fácil de usar tornará mais fácil para a sua equipe a configuração inicial para que ela comece a agir o mais rápido possível, reduzindo o tempo necessário para gerenciar e manter a plataforma.

Suporte e treinamento: Procure por uma plataforma de SOAR que ofereça suporte e recursos de treinamento. Isso garante que você tem os recursos necessários para usar e manter a plataforma de forma efetiva.

Ao considerar esses fatores, você pode escolher a melhor ferramenta de automação de segurança que cumpra as necessidades específicas da sua organização e ajude a melhorar a eficiência e efetividade da sua operação de segurança.

Quais métricas de SOC eu deveria olhar?

O sucesso e as métricas do SOAR serão única para cada companhia e cada objetivo da organização, mas alguns indicadores de performance (KPI na sigla em inglês) e métricas de respostas a incidentes que todas as equipes de segurança precisam medir incluem:

  • Tempo médio para detecção (MTTD)
  • Tempo médio para investigação (MTTI)
  • Tempo médio para responder (MTTR)
  • Relatório granular de retorno de investimento
  • Carga de trabalho dos analistas

Quais métricas de SOAR eu deveria olhar?

Tradicionalmente, o valor do SOAR se limita ao SOC, mas olhando para o futuro da automação de segurança, podemos esperar ver mais noções de métricas de SOC sendo expandidas para incluir métricas de segurança mais compreensivas.

A Gartner começou a se referir a isso como “Cuidados padrões para a cyber segurança”. Esse framework oferece uma sugestão de quais os padrões da indústria para métricas de segurança ou KPIs deveriam ser. Esse framework é reforçado pelo acrônimo CARE: Consistente, Adequado, razoável e efetivo. Alguns KPIs que se alinham com esses grupos incluem métricas como:

  • Consistente: Treinamento de conscientização de segurança completado pelos funcionários no último mês.
  • Adequado: Porcentagem de endpoints que foram atualizados com proteções anti-malware
  • Razoável: Tempo médio de atrasos causados por protocolos de segurança
  • Efetivo: Número de incidentes no ano passado relacionado a problemas de configuração

Enquanto essas métricas não são associadas com casos de uso de SOAR, algumas plataformas são capazes de oferecer essas percepções detalhadas. É por isso que é importante avaliar os fabricantes de SOAR em detalhes antes de investigar essas soluções de automação de segurança

SOAR - Swimlane Turbine

Posts Relacionados

Ransomware: Previsões para 2022 2020: Lições de segurança de TI para se aprender

Comente o que achou do artigo