O SOAR (orquestração, automação e resposta de segurança), é uma solução de software que permite que as equipes de segurança integrem e coordenem ferramentas de segurança separadas, automatizem tarefas repetitivas e otimizem os fluxos de trabalho de resposta a incidentes e ameaças.
Em grandes organizações, os centros de operações de segurança (SOCs) contam com inúmeras ferramentas para rastrear e responder a ciberameaças, muitas vezes de forma manual. Essa investigação manual de ameaças resulta em tempos gerais de resposta mais lentos.
As plataformas SOAR oferecem aos SoCs um console central em que é possível integrar essas ferramentas em fluxos de trabalho otimizados de resposta a ameaças e automatizar tarefas repetitivas de baixo nível. Esse console também permite que os SoCs gerenciem todos os alertas de segurança gerados por essas ferramentas em uma central.
Ao agilizar a triagem de alertas e garantir que diferentes ferramentas de segurança trabalhem juntas, os SOARs ajudam os SOCs a reduzir o tempo médio de detecção (MTTD) e o tempo médio de resposta (MTTR), melhorando a postura geral de segurança. A detecção e a resposta mais rápida às ameaças de segurança podem amenizar o impacto dos ciberataques. De acordo com o mais recente relatório do custo das violações de dados da IBM, um ciclo de vida mais curto de violação de dados está associado a custos mais baixos. As violações resolvidas em menos de 200 dias custaram às empresas, em média, US$ 1,02 milhão a menos, o que significa uma diferença de 23%.
A tecnologia SOAR surgiu como uma consolidação de três ferramentas de segurança anteriores. De acordo com a Gartner, que usou pela primeira vez o termo "SOAR" em 2015, as plataformas SOAR combinam as funções de plataformas de resposta a incidentes de segurança, plataformas de orquestração e automação de segurança e plataformas de inteligência de ameaças em uma única solução.
Para entender como as soluções atuais de SOAR funcionam, dividi-las entre seus principais recursos pode ajudar: orquestração de segurança, automação de segurança e resposta a incidentes.
"Orquestração de segurança" refere-se a como as plataformas SOAR conectam e coordenam as ferramentas de hardware e software no sistema de segurança de uma empresa.
Os SOCs usam várias soluções para monitorar e responder a ameaças, como firewalls, feeds de inteligência de ameaças e ferramentas de proteção de endpoints. Mesmo os processos de segurança simples podem envolver várias ferramentas. Por exemplo, um analista de segurança que investiga um e-mail de phishing pode precisar de um gateway de e-mail seguro, uma plataforma de inteligência de ameaças e um software antivírus para identificar, entender e resolver a ameaça. Essas ferramentas geralmente vêm de fornecedores diferentes e podem não se integrar prontamente; portanto, os analistas devem se mover manualmente entre as ferramentas enquanto trabalham.
Com um SOAR, os SOCs podem unificar essas ferramentas em fluxos de trabalho de operações de segurança (SecOps) coerentes e repetíveis. Os SOARs usam interfaces de programação de aplicativos (APIs), plug-ins pré-criados e integrações personalizadas para conectar ferramentas de segurança (e algumas ferramentas que não são de segurança). Depois que essas ferramentas estiverem integradas, os SOCs poderão coordenar suas atividades com playbooks.
Playbooks são mapas de processos que os analistas de segurança podem usar para descrever as etapas dos processos de segurança padrão, como detecção, investigação e respostas às ameaças. Os playbooks podem abranger várias ferramentas e aplicativos. Eles podem ser totalmente automatizados, totalmente manuais ou uma combinação entre tarefas automatizadas e manuais.
As soluções de segurança SOAR podem automatizar tarefas repetitivas, demoradas e de baixo nível, como abrir e fechar tickets de suporte, enriquecer eventos e priorizar alertas. Os SOARs também podem acionar as ações automatizadas de ferramentas de segurança integradas. Isso significa que os analistas de segurança podem usar fluxos de trabalho de playbook para conectar várias ferramentas e realizar operações de automação de segurança mais complexas.
Por exemplo, imagine como uma plataforma SOAR pode automatizar uma investigação de um notebook comprometido. A primeira indicação de que algo está errado vem de uma solução de detecção e resposta de endpoint (EDR), que detecta atividades suspeitas no notebook. O EDR envia um alerta ao SOAR, que aciona o SOAR para executar um playbook predefinido. Primeiro, o SOAR abre um ticket para o incidente. Ele enriquece o alerta com dados de feeds integrados de inteligência de ameaças e outras ferramentas de segurança. Em seguida, o SOAR executa respostas automatizadas, como acionar uma ferramenta de detecção e resposta de rede (NDR) para colocar o endpoint em quarentena ou solicitar que o software antivírus encontre e detone o malware. Por fim, o SOAR passa o ticket para um analista de segurança, que determina se o incidente foi resolvido ou se é necessária intervenção humana.
Alguns SOARs incluem inteligência artificial (IA) e aprendizado de máquina, que analisam dados de ferramentas de segurança e recomendam maneiras de tratar as ameaças no futuro.
Os recursos de orquestração e automação do SOAR permitem que ele seja uma central para respostas a incidentes (RI) de segurança. O relatório do custo das violações de dados da IBM constatou que as organizações com uma equipe de RI e testes de plano de RI identificaram violações com uma antecedência de 54 dias em relação àquelas que não possuíam nenhum dos dois.
Os analistas de segurança podem usar SOARs para investigar e resolver incidentes sem precisar alternar entre várias ferramentas. Assim como as plataformas de inteligência de ameaças, os SOARs agregam métricas, alertas de feeds externos e ferramentas de segurança integradas em um dashboard central. Os analistas podem correlacionar dados de diferentes fontes, filtrar falsos positivos, priorizar alertas e identificar as ameaças específicas com as quais estão lidando. Em seguida, eles podem responder por meio do acionamento dos playbooks apropriados.
Os SOCs também podem usar ferramentas SOAR para auditorias pós-incidentes e processos de segurança mais proativos. Os dashboards SOAR podem ajudar a equipe de segurança a entender como uma ameaça específica violou a rede, e como prevenir ameaças semelhantes no futuro. Da mesma forma, as equipes de segurança podem usar os dados SOAR para identificar as ameaças em andamento não detectadas e direcionar seus esforços de caça a ameaças nos lugares certos.
Ao integrar ferramentas de segurança e automatizar tarefas, as plataformas SOAR podem simplificar fluxos de trabalho comuns de segurança, como gerenciamento de casos, vulnerabilidades e respostas a incidentes. Os benefícios dessa otimização incluem:
Os SOCs podem ter que lidar com centenas ou milhares de alertas de segurança diariamente. Isso pode levar à fadiga de alertas, e os analistas podem perder sinais importantes de atividades de ameaças. Os SOARs podem tornar os alertas mais gerenciáveis, centralizando dados de segurança, enriquecendo eventos e automatizando respostas. Como resultado, os SOCs podem processar mais alertas e reduzir tempos de resposta.
Os SOCs podem usar os playbooks do SOAR para definir fluxos de trabalho padronizados e escaláveis de resposta a incidentes para ameaças comuns. Em vez de lidar com ameaças caso a caso, os analistas de segurança podem acionar o playbook adequado para uma remediação eficaz.
Os SOCs podem usar dashboards SOAR para obter insights sobre suas redes e ameaças enfrentadas. Essas informações podem ajudar os SOCs na identificação de falsos positivos, priorização de alertas e seleção dos processos corretos de resposta.
Os SOARs centralizam os dados de segurança e os processos de resposta a incidentes para que os analistas possam trabalhar juntos nas investigações. Também podem permitir que os SOCs compartilhem métricas de segurança com terceiros, como RH, autoridades jurídicas e policiais.
As ferramentas SOAR, SIEM e XDR compartilham algumas funções principais, mas cada uma tem seus próprios recursos e casos de uso exclusivos.
As soluções de gerenciamento de eventos e informações de segurança (SIEM) coletam informações de ferramentas internas de segurança, as agregam em um registro central e sinalizam anomalias. Os SIEMs são usados principalmente para registrar e gerenciar grandes volumes de dados de eventos de segurança.
A tecnologia SIEM surgiu pela primeira vez como uma ferramenta de relatórios de conformidade. Os SOCs adotaram os SIEMs quando perceberam que os dados do SIEM poderiam auxiliar as operações de cibersegurança. As soluções SOAR surgiram para adicionar os recursos focados em segurança que a maioria dos SIEMs padrão não possui, como orquestração, automação e funções de console.
As soluções de detecção e resposta estendidas (XDR) coletam e analisam dados de segurança de endpoints, redes e da nuvem. Assim como os SOARs, eles podem responder automaticamente a incidentes de segurança. No entanto, os XDRs são capazes de automações de resposta a incidentes mais complexas e abrangentes do que os SOARs. Os XDRs também podem simplificar as integrações de segurança, muitas vezes exigindo menos conhecimento ou despesas do que as integrações do SOAR. Alguns XDRs são soluções pré-integradas de um único fornecedor, enquanto outros podem conectar ferramentas de segurança de vários fornecedores. Os XDRs são frequentemente usados para detecção de ameaças em tempo real, triagem de incidentes e caça a ameaças automatizada.
As equipes de SecOps de grandes empresas costumam usar todas essas ferramentas juntas. No entanto, os fornecedores estão mesclando as distinções entre eles ao oferecer soluções de SIEM capazes de responder a ameaças e XDRs que possuem funcionalidades de registro de dados semelhantes às do SIEM. Alguns especialistas em segurança acreditam que o XDR pode, um dia, absorver as outras ferramentas, semelhante à forma como o SOAR consolidou seus antecessores.
Ajude sua equipe a melhorar o plano de resposta a incidentes e minimizar o impacto de eventuais violações, preparando os processos, os controles e as equipes de resposta a incidentes.
Simplifique e otimize o gerenciamento de aplicativos e as operações de tecnologia com insights generativos orientados por IA.
Os serviços de cibersegurança da IBM oferecem consultoria, integração e serviços de segurança gerenciados, além de recursos ofensivos e defensivos. Combinamos uma equipe global de especialistas com tecnologia proprietária e de parceiros para cocriar programas de segurança personalizados que gerenciam riscos.