色控传媒

Em ciberseguran?a, SOAR significa orquestra??o, automa??o e resposta de seguran?a. Ele inclui qualquer software ou ferramenta que permita às empresas coletar e analisar dados relacionados à ciberseguran?a.

O que é SOAR e como funciona?

Os sistemas SOAR permitem que as organiza??es usem várias ferramentas e funcionalidades para aproveitar todos os seus dados relacionados à ciberseguran?a para melhorar a resposta a incidentes.

Os principais componentes de um sistema SOAR s?o:

Orquestra??o

A orquestra??o de seguran?a acelera e melhora a resposta a incidentes integrando e analisando dados de várias tecnologias e ferramentas de seguran?a. A orquestra??o também envolve a coordena??o de diferentes tecnologias de ciberseguran?a para ajudar as organiza??es a lidar com incidentes complexos de ciberseguran?a. Uma ferramenta SOAR pode, por exemplo, comparar dados operacionais de TI de seguran?a de rede usando dados de ferramentas de monitoramento de rede como referência para regras de firewall.

Automa??o

Uma das principais fun??es de qualquer ferramenta SOAR é a automa??o, que elimina a necessidade muito demorada de detectar e responder manualmente a incidentes de seguran?a. Os sistemas SOAR podem, por exemplo, fazer triagem automática de determinados tipos de eventos e permitir que as equipes de seguran?a definam procedimentos padronizados e automatizados, como fluxos de trabalho de tomada de decis?o, verifica??es de integridade, aplica??o e conten??o e auditoria.

Resposta

As plataformas SOAR coletam dados de outras ferramentas de seguran?a, como sistemas de gerenciamento de eventos e informa??es de seguran?a (SIEM, Security Information and Event Management) e feeds de inteligência contra amea?as. Eles priorizam eventos de seguran?a e enviam informa??es importantes sobre o incidente de seguran?a para a equipe de seguran?a.

Gerenciamento de casos

O gerenciamento de casos é um componente fundamental de qualquer plataforma SOAR. Os recursos de gerenciamento de casos d?o aos analistas de seguran?a acesso a registros de casos individuais para que possam analisar e interagir dinamicamente com quaisquer dados relacionados a qualquer incidente e usar essa análise para melhorar e iterar seus processos de resposta de seguran?a.

Painel

O painel de uma ferramenta SOAR fornece uma vis?o geral de tudo o que está acontecendo em rela??o aos números 1, 2, 3, 4 e acima, ou seja, todos os dados e atividades relacionados à seguran?a, incluindo eventos notáveis e sua gravidade, manuais, conex?es com outras ferramentas de seguran?a, cargas de trabalho e até mesmo um resumo do retorno do investimento de atividades automatizadas. Normalmente, você pode filtrar um painel SOAR por período, fonte de dados ou usuário. Os widgets podem ser ativados, desativados ou rearranjados de acordo com suas especifica??es. Em resumo, é seu hub central para monitorar tudo o que seu sistema SOAR está fazendo e como está fazendo.

Como uma solu??o SOAR identifica amea?as?

Os sistemas SOAR navegam e coletam dados de várias fontes e, em seguida, usam uma combina??o de aprendizado humano e de máquina para analisar esses dados e detectar amea?as potenciais e priorizar planos e a??es de resposta a incidentes. Normalmente, as empresas automatizam o sistema SOAR para que ele possa dar suporte à ciberseguran?a com mais eficiência.

Fontes de dados SOAR

Os sistemas SOAR extraem e analisam dados de várias fontes diferentes, incluindo:

• Scanners de vulnerabilidade, que s?o programas de computador desenvolvidos para avaliar os pontos fracos de seguran?a em computadores, redes ou aplicativos.
• Software de prote??o de endpoints: Os produtos dessa categoria protegem os endpoints de uma organiza??o, como servidores e computadores pessoais, contra infec??es por malware, ataques cibernéticos e outras amea?as.
• Firewalls , que s?o sistemas de seguran?a de rede que monitoram e controlam o tráfego de rede de entrada e saída com base em regras de seguran?a predeterminadas.
• Sistemas de detec??o e preven??o de invas?es, que s?o ferramentas de seguran?a de rede que monitoram continuamente as redes em busca de atividades maliciosas e tomam medidas para evitá-las.
• Plataformas de gerenciamento de eventos e informa??es de seguran?a (SIEM, Security Information and Event Management), que agregam dados de log, alertas de seguran?a e eventos em uma plataforma centralizada para realizar análise em tempo real para monitoramento e alertas de seguran?a.
• Feeds externos de inteligência contra amea?as, que incluem quaisquer dados de amea?as acionáveis coletados de fornecedores terceirizados para melhorar a resposta e a conscientiza??o sobre amea?as cibernéticas.

Principais benefícios do SOAR

Os sistemas SOAR permitem uma resposta a incidentes mais eficaz e eficiente por meio de dois benefícios principais:

• Resposta mais rápida a incidentes: O SOAR ajuda as empresas a reduzir o tempo médio de detec??o (MTTD, mean time to detect) e o tempo médio de restaura??o (MTTR, mean time to restore), reduzindo o tempo necessário para que os alertas de seguran?a sejam qualificados e corrigidos de meses ou semanas para minutos. O SOAR também permite a automa??o da resposta a incidentes por meio de procedimentos conhecidos como manuais. As a??es dessa automa??o incluem bloquear endere?os IP em um firewall ou sistema IDS, suspender contas de usuário e colocar em quarentena pontos de extremidade infectados de uma rede.
• Melhor inteligência de ciberseguran?a: Como os sistemas SOAR podem agregar e analisar dados de tantas fontes diferentes, eles melhoram o contexto de todos os tipos de amea?as à ciberseguran?a e reduzem os alarmes falsos para ajudar as equipes de seguran?a a trabalhar mais rápido do que com mais esfor?o.

SOAR vs. SIEM

Tanto o SOAR quanto o SIEM lidam com dados sobre amea?as à seguran?a e permitem respostas muito melhores a incidentes de seguran?a.

No entanto, o SIEM agrega e correlaciona dados de vários sistemas de seguran?a para gerar alertas, enquanto o SOAR atua como mecanismo de corre??o e resposta a esses alertas.

Para usar uma analogia de carro, o SIEM é o combustível para o motor do carro e o motor em si é SOAR porque usa o combustível para fornecer o resultado e a a??o e para fazer tudo funcionar automaticamente.

O que procurar em uma ferramenta SOAR

Seja qual for a ferramenta SOAR que você obtém, ela deve ser capaz de:

• Ingerir e analisar dados e alertas de vários sistemas de seguran?a.
• Crie e automatize fluxos de trabalho que ajudam as empresas a identificar, priorizar, investigar e responder a amea?as e alertas de ciberseguran?a.
• Integre-se facilmente a outras ferramentas para melhorar as opera??es.
• Realize análises pós-incidente para melhorar os processos de resposta e a eficiência da resposta a incidentes.
• Automatize a maioria das opera??es de seguran?a para eliminar redund?ncias e permitir que as equipes de seguran?a se concentrem nas tarefas que exigem mais participa??o humana.

? claro que há mais sinos e apitos que podem fazer parte de um sistema SOAR, mas considere a lista acima dos itens essenciais para qualquer ferramenta SOAR.

Exemplo real de SOAR: Resposta a phishing

Os e-mails de phishing s?o uma grande amea?a n?o apenas para as pessoas, mas também para as equipes de seguran?a corporativa, pois alguns deles s?o elaborados bem o suficiente para realizar viola??es de dados de alto nível. Com um sistema SOAR implantado, as empresas n?o só podem se defender dos ataques de phishing, mas também impedir que eles aconte?am no futuro.

Uma ferramenta SOAR examina e-mails maliciosos suspeitos extraindo e analisando vários artefatos, incluindo informa??es de cabe?alho, endere?os de e-mail, URLs e anexos. Em seguida, ele faz uma triagem da amea?a para determinar se ela é uma amea?a e, em caso afirmativo, o quanto ela é grave.

Se a ferramenta SOAR determinar que o e-mail é malicioso, ela:

• Bloqueie-o e quaisquer outras inst?ncias em outras caixas de correio.
• Evite que executáveis relacionados ao e-mail sejam executados.
• Bloqueie endere?os IP ou URLs de origem.
• Coloque a esta??o de trabalho do usuário afetado em quarentena, se necessário.

? claro que os sistemas SOAR n?o podem garantir que capturar?o e bloquear?o todos os e-mails de phishing. Se alguém passar por isso, os recursos de gerenciamento de casos permitem que as equipes de seguran?a investiguem o que aconteceu e por quê, além de usar esse conhecimento para melhorar a detec??o de amea?as dos sistemas SOAR daqui para frente.

SOAR: O resultado final

Os sistemas SOAR reduzem o tempo de investiga??o e resposta de horas para minutos. Eles também reduzem muito o risco organizacional usando apenas os dados de amea?as da mais alta qualidade para simplificar as opera??es de seguran?a. Em última análise, elas permitem uma aloca??o mais estratégica de analistas e inteligência humana, permitindo que as empresas maximizem seus recursos internos enquanto minimizam amea?as externas.