Aprendizado e descoberta 3min de Leitura - 08 de outubro de 2021

O que é SOAR?

SOAR

This post is also available in: Português

Um estudo elaborado pela Agência EY mostra que oito em cada dez gestores afirmam que suas empresas sofreram algum ataque cibernético recentemente. Os problemas mais citados foram phishing, mencionado por 69% deles, malwares (54%) e ataques de negação de serviço (59%). A pesquisa abrangeu países como Estados Unidos, África do Sul, Suíça, Índia, Dinamarca e Brasil, mostrando que a estatística também representa a nossa realidade.

Pesquisas do tipo mostram que já está mais do que claro que os investimentos em segurança digital precisam de reforços constantes. E é o que tem acontecido na maioria das empresas. Nesse contexto, a arquitetura de segurança cibernética cresce organicamente toda vez que um novo servidor, ferramenta ou software é adicionado.

Assim, é comum ver diversas soluções de segurança de diferentes fornecedores e tecnologias operando em uma realidade onde cada uma criou seu próprio domínio de segurança. Essa falta de integração representa uma possível vulnerabilidade, que inclui ainda a ausência de ações automatizadas.

Situações como essa podem ser resolvidas com ferramentas baseadas em SOAR (Security Orchestration, Automation and Response). Traduzindo, significa orquestração, automação e resposta de segurança, com o objetivo de conectar ferramentas e sistemas para simplificar operações, oferecendo uma visão mais rápida e completa do ambiente de TI.

Assim, o SOAR é um conjunto de soluções de softwares compatíveis que permitem à empresa coletar dados sobre ameaças de segurança de várias fontes. Dessa maneira, ajuda a definir, priorizar, padronizar e automatizar as funções de resposta a incidentes.

Por isso, o SOAR permite a resolução de incidentes com maior fidelidade e menos tempo. É então eficaz para priorizar o risco e as atividades de operação de segurança, automatizando processos, reduzindo o desperdício de recursos e o tempo de resposta a ameaças.

Componentes de um SOAR

As palavras que formam a sigla SOAR expressam exatamente o propósito dessa metodologia. A orquestração, por exemplo, pode ser entendida como o gerenciamento de ameaças, abrangendo o ciclo de vida e de correção das vulnerabilidades. Além disso, oferece recursos de fluxo de trabalho, relatórios, processos e colaboração.

Em suma, a orquestração integra diferentes tecnologias e conecta ferramentas, fazendo com que trabalhem juntas e melhorem a resposta a incidentes. A orquestração então envolve diversas equipes de trabalho, pois os sistemas por si só podem não ser suficientes para detectar sinais sutis de um cibercrime em andamento.

Enquanto isso, o item Resposta lida com o planejamento, gerenciamento e rastreamento de atitudes a serem tomadas contra um incidente de segurança. Ou seja, uma resposta ao problema.

Estão incluídas nessa etapa grandes capacidades analíticas para oferecer relatórios com estratégias de priorização de riscos e ações de resposta. Porém, isso requer alguns procedimentos, como a triagem e processamento de alertas. Nesse ponto, o SOAR coleta dados de outras ferramentas de segurança – como o SIEM (saiba mais clicando aqui) – realizando análises sobre esses dados todos para verificar se existe alguma ameaça.

Em caso positivo, as defesas incluirão em seus parâmetros de investigação outras vulnerabilidades em potencial para evitar novos ataques. Assim, tem início o processo de remediação para solucionar o incidente.

Quanto ao Gerenciamento da Inteligência de Ameaças, o SOAR reúne todas as informações necessárias sobre uma ameaça para em seguida processar e transformar essas informações em inteligência com o intuito de realizar ações pró-ativas.

É aí que entra o conceito de automação do SOAR, que engloba tecnologias criadas para dar suporte à solução e a orquestração de fluxos de trabalho, processos, execuções e relatórios.

Nesse contexto, a automação se refere à execução de ações orientadas por máquinas como parte da resposta a incidentes. São tarefas que antes eram feitas por humanos, e que agora podem abranger com mais eficiência etapas padronizadas, fluxo de trabalho de tomada de decisão, ações de fiscalização, verificação de status e recursos de auditoria.

Customização

Na hora de escolher uma solução baseada em SOAR, deve-se analisar pontos como fluxos de trabalho pré-configurados, orientados a todos os usuários, e que permitam personalização e modificação segundo as necessidades. Afinal, as empresas possuem realidades diferentes umas das outras, o que demanda alto poder de adaptação da ferramenta.

Além disso, é preciso levar em conta requisitos como acessos e controles para ter um sistema eficiente, que facilite a colaboração, automação e execução de políticas de segurança – com acesso aos dados em tempo real.

Assim, com o SOAR, mesmo em empresas com menor estrutura e orçamento para TI, pode-se obter uma gestão de vulnerabilidades que age de forma integrada e eficiente, avaliando todos os ativos de tecnologia e oferecendo uma completa e atualizada visão do status da segurança digital.

This post is also available in: Português