6 principais casos de uso de automação a resposta de incidentes para implementação em SOC corporativo

4 Min. de leitura

Os ataques cibernéticos estão em primeiro lugar entre os riscos globais causados por humanos, de acordo com o “Relatório de Riscos Globais 2020” do Fórum Econômico Mundial. Dado o valor de seus ativos e a ampliação da topologia da infraestrutura digital e novas tecnologias, a exemplo do Big Data e IA, as empresas enfrentam uma questão urgente: como devem responder ao crescente volume e variedade de ameaças?

Em resposta aos desafios da segurança e proteção de dados, muitas empresas estão automatizando as tarefas básicas do centro de operações de segurança (SOC). Orquestração, automação e resposta de segurança (SOAR) é uma classe de tecnologias projetada para automatizar esses fluxos de trabalho de segurança básicos.

O que é SOAR?

SOAR (Security Orchestration, Automation and Response) é uma pilha de programas de software compatíveis que permite a uma organização coletar dados sobre ameaças à segurança e responder a eventos de segurança com pouca ou nenhuma assistência humana. O objetivo de usar uma plataforma SOAR é melhorar a eficiência das operações de segurança física e digital.

SOAR basicamente engloba as seguintes funções em um contexto SOC:

  • A orquestração de segurança conecta e coordena conjuntos de ferramentas heterogêneas no SOC para ingestão, enriquecimento, monitoramento e identificação de incidentes mais eficientes.
  • A automação ajuda os SOCs a assumir uma postura de segurança mais proativa, acionando automaticamente fluxos de trabalho, tarefas e triagens com base em parâmetros predefinidos.
  • A resposta acelera as reações gerais e direcionadas do SOC a incidentes de baixo risco e oferece suporte à resposta do analista ao permitir uma única visualização para acessar, consultar e compartilhar inteligência sobre ameaças.

Dentro dessas três categorias, há dezenas de maneiras pelas quais a automação acelera as tarefas manuais. O principal valor das ferramentas SOAR é oferecer suporte a analistas humanos para dimensionar e automatizar tarefas repetitivas e tediosas para que a equipe do SOC possa se concentrar nas ameaças de alto nível.

Separamos seis casos de uso aplicados ao uso de SOAR que mostra como a automação à resposta de incidentes amplia a eficiência dos resultados aos desafios da segurança e proteção de dados em SOCs corporativos.

1. Coordenação de inteligência contra ameaças

Todos os dias, as plataformas SOAR processam centenas de milhares de indicadores de comprometimento (IOC).

Os IOCs são coletados de feeds de inteligência contra ameaças internas e externas, ferramentas de análise de malware, plataformas de detecção e resposta de endpoint , sistemas SIEM, ferramentas de detecção e resposta de rede, caixas de entrada de email, feeds RSS, órgãos reguladores e outros bancos de dados.

As plataformas SOAR podem coordenar, agregar e detectar alertas dessas ferramentas, bem como detectar IOCs suspeitos que surgem entre elas.

2. Gestão de incidentes

Ameaças potenciais podem ser detectadas por várias ferramentas. Portanto, pode consumir uma quantidade considerável de tempo para que os analistas analisem dados díspares associados à mesma ameaça.

SOAR no SOC reúne todos os dados em uma única história. Isso permite que os casos sejam tratados mais rapidamente e acelera os tempos médios gerais para detectar e responder, seja por meio de automação ou intervenção humana e análise.

3. Gerenciamento de vulnerabilidade

No passado, os analistas do SOC confiavam no gerenciamento manual e no inventário de vulnerabilidades de segurança. Mas, ao implementar o SOAR, várias tarefas SOC podem ser automatizadas para lidar com o volume, monitoramento e respostas simples.

Especificamente, o SOAR correlaciona dados sobre ameaças em várias ferramentas de segurança para calcular o risco e priorizar a ameaça de acordo com seu impacto.

4. Melhoria contínua no controle de ameaças

As plataformas SOAR ampliam a eficiência no controle de ameaças ao acelerar o processamento dos indicadores de comprometimento – IOC, acessando vários bancos de dados de referência e consultando diferentes ferramentas de inteligência para diferentes tipos de risco e ameaças.

Isso permite que os analistas do SOC analisem, verifiquem, façam a triagem e respondam de maneira mais precisa e eficiente. Este caso de uso SOAR economiza um tempo significativo dos analistas ao enriquecer rapidamente grandes volumes de IPs, URLs e hashes para verificar se há risco – sem comprometer a profundidade da investigação necessária.

5. Controle de ameaças

Além de servir como base de conhecimento usando como referência os IOCs, as plataformas SOAR servem efetivamente como uma forma de controle proativo de ameaças.

A “caça de ameaças” é uma tarefa crucial para analistas do SOC – mas demorada, dado o escopo cada vez maior dos riscos. O SOAR ajuda com agilidade e escala, adicionando conjuntos de dados para análise contínua.

Além disso, o SOAR auxilia no escopo da busca por ameaças, investigando malware ou domínios suspeitos e incorporando decisões humanas no loop em pontos estratégicos.

6. Resposta aos incidentes

A automatização dos processos de prevenção e resposta a incidentes tem o objetivo de direcionar as ações contra as atuais ameaças para evitar custos posteriores e prejuízos de maior impacto.

O uso do SOAR no SOC lida com a prevenção e resposta para várias ameaças de segurança, como phishing, malware, negação de serviço, desfiguração da web, ransomware e outros.

As respostas automatizadas assumem inúmeras formas, dependendo da natureza da ameaça, incluindo o seguinte:

  • Adicionar indicadores automaticamente às listas IOCs;
  • Indicadores maliciosos para auto-bloqueio;
  • Indicadores de quarentena automática ou endpoints comprometidos;
  • Tíquetes de geração automática;
  • Bloquear automaticamente um e-mail ou endereço IP suspeito;
  • Exclusão automática de e-mails suspeitos de outras caixas de correio;
  • Encerramento automático de contas de usuário;
  • Disparar automaticamente uma varredura antivírus ou verificação de conformidade de segurança; e
  • Alertar automaticamente analistas, funcionários, fornecedores, parceiros ou clientes específicos.

Entre os benefícios do SOAR está a coordenação de informações de ameaças em vastas topologias de segurança, liberando o corpo técnico para se concentrar em ameaças mais relevantes e dando suporte a todo o ciclo de vida da inteligência de ameaças. Da detecção, triagem, resposta e contenção, o SOAR no SOC é fundamental para obter maior supervisão, contexto e resposta.

SOAR é útil não apenas para automatizar processos de segurança, mas também para otimizá-los; não apenas melhora a experiência dos analistas, mas também a capacidade da equipe SOC de se comunicar com a organização.

Com a implementação adequada, além de considerações culturais e do setor, a implementação de casos de uso SOAR pode fortalecer a base da postura de segurança de uma empresa.

Compartilhar
Compartilhar no twitter
Compartilhar no linkedin
Compartilhar no facebook
Compartilhar no whatsapp
Compartilhar no email