Os ataques cibernéticos estão em primeiro lugar entre os riscos globais causados por humanos, de acordo com o “Relatório de Riscos Globais 2020” do Fórum Econômico Mundial. Dado o valor de seus ativos e a ampliação da topologia da infraestrutura digital e novas tecnologias, a exemplo do Big Data e IA, as empresas enfrentam uma questão urgente: como devem responder ao crescente volume e variedade de ameaças?
Contar com uma equipe de um Centro de Operações de Segurança (SOC) em pleno funcionamento muda o cenário de riscos para todas as organizações, grandes ou pequenas. E com a sofisticação das ameaças em evolução exponencial, garantir que o SOC use todo o seu potencial é de extrema importância. Tecnologias como Orquestração, Automação e Resposta de Segurança (SOAR) possibilitam isso, fortalecendo, e muito, a postura de segurança cibernética da empresa monitorada.
Primeiro, entenda o que é SOAR
SOAR (Security Orchestration, Automation and Response) é uma pilha de programas de software compatíveis que permite a uma organização coletar dados sobre ameaças à segurança e responder a eventos de segurança com pouca ou nenhuma assistência humana. O objetivo de usar uma plataforma SOAR é melhorar a eficiência das operações de segurança física e digital.
SOAR basicamente engloba as seguintes funções em um contexto SOC:
- A orquestração de segurança conecta e coordena conjuntos de ferramentas heterogêneas no SOC para ingestão, enriquecimento, monitoramento e identificação de incidentes mais eficientes.
- A automação ajuda os SOCs a assumir uma postura de segurança mais proativa, acionando automaticamente fluxos de trabalho, tarefas e triagens com base em parâmetros predefinidos.
- A resposta acelera as reações gerais e direcionadas do SOC a incidentes de baixo risco e oferece suporte à resposta do analista ao permitir uma única visualização para acessar, consultar e compartilhar inteligência sobre ameaças.
Dentro dessas três categorias, há dezenas de maneiras pelas quais a automação acelera as tarefas manuais. O principal valor das ferramentas SOAR é oferecer suporte a analistas humanos para dimensionar e automatizar tarefas repetitivas e tediosas para que a equipe do SOC possa se concentrar nas ameaças de alto nível.
Separamos 6 exemplos de como essa tecnologia reduz o tempo de contenção de ameaças e, assim, eleva o nível de proteção das empresas.
1. Coordenação de inteligência contra ameaças
Todos os dias, as plataformas SOAR processam centenas de milhares de indicadores de comprometimento (IOC).
Os IOCs são coletados de feeds de inteligência contra ameaças internas e externas, ferramentas de análise de malware, plataformas de detecção e resposta de endpoint , sistemas SIEM, ferramentas de detecção e resposta de rede, caixas de entrada de email, feeds RSS, órgãos reguladores e outros bancos de dados.
As plataformas SOAR podem coordenar, agregar e detectar alertas dessas ferramentas, bem como detectar IOCs suspeitos que surgem entre elas.
2. Gestão de incidentes
Ameaças potenciais podem ser detectadas por várias ferramentas. Portanto, pode consumir uma quantidade considerável de tempo para que os analistas analisem dados díspares associados à mesma ameaça.
SOAR no SOC reúne todos os dados em uma única história. Isso permite que os casos sejam tratados mais rapidamente e acelera os tempos médios gerais para detectar e responder, seja por meio de automação ou intervenção humana e análise.
3. Gerenciamento de vulnerabilidade
No passado, os analistas do SOC confiavam no gerenciamento manual e no inventário de vulnerabilidades de segurança. Mas, ao implementar o SOAR, várias tarefas SOC podem ser automatizadas para lidar com o volume, monitoramento e respostas simples.
Especificamente, o SOAR correlaciona dados sobre ameaças em várias ferramentas de segurança para calcular o risco e priorizar a ameaça de acordo com seu impacto.
4. Melhoria contínua no controle de ameaças
As plataformas SOAR ampliam a eficiência no controle de ameaças ao acelerar o processamento dos indicadores de comprometimento – IOC, acessando vários bancos de dados de referência e consultando diferentes ferramentas de inteligência para diferentes tipos de risco e ameaças.
Isso permite que os analistas do SOC analisem, verifiquem, façam a triagem e respondam de maneira mais precisa e eficiente. Este caso de uso SOAR economiza um tempo significativo dos analistas ao enriquecer rapidamente grandes volumes de IPs, URLs e hashes para verificar se há risco – sem comprometer a profundidade da investigação necessária.
5. Controle de ameaças
Além de servir como base de conhecimento usando como referência os IOCs, as plataformas SOAR servem efetivamente como uma forma de controle proativo de ameaças.
A “caça de ameaças” é uma tarefa crucial para analistas do SOC – mas demorada, dado o escopo cada vez maior dos riscos. O SOAR ajuda com agilidade e escala, adicionando conjuntos de dados para análise contínua.
Além disso, o SOAR auxilia no escopo da busca por ameaças, investigando malware ou domínios suspeitos e incorporando decisões humanas no loop em pontos estratégicos.
6. Resposta aos incidentes
A automatização dos processos de prevenção e resposta a incidentes tem o objetivo de direcionar as ações contra as atuais ameaças para evitar custos posteriores e prejuízos de maior impacto.
O uso do SOAR no SOC lida com a prevenção e resposta para várias ameaças de segurança, como phishing, malware, negação de serviço, desfiguração da web, ransomware e outros.
As respostas automatizadas assumem inúmeras formas, dependendo da natureza da ameaça, incluindo o seguinte:
- Adicionar indicadores automaticamente às listas IOCs;
- Indicadores maliciosos para auto-bloqueio;
- Indicadores de quarentena automática ou endpoints comprometidos;
- Tíquetes de geração automática;
- Bloquear automaticamente um e-mail ou endereço IP suspeito;
- Exclusão automática de e-mails suspeitos de outras caixas de correio;
- Encerramento automático de contas de usuário;
- Disparar automaticamente uma varredura antivírus ou verificação de conformidade de segurança; e
- Alertar automaticamente analistas, funcionários, fornecedores, parceiros ou clientes específicos.
Entre os benefícios do SOAR está a coordenação de informações de ameaças em vastas topologias de segurança, liberando o corpo técnico para se concentrar em ameaças mais relevantes e dando suporte a todo o ciclo de vida da inteligência de ameaças. Da detecção, triagem, resposta e contenção, o SOAR no SOC é fundamental para obter maior supervisão, contexto e resposta.
SOAR é útil não apenas para automatizar processos de segurança, mas também para otimizá-los; não apenas melhora a experiência dos analistas, mas também a capacidade da equipe SOC de se comunicar com a organização.
Com a implementação adequada, além de considerações culturais e do setor, a implementação de casos de uso SOAR pode fortalecer a base da postura de segurança de uma empresa.