O que é um SOAR e como ele pode automatizar processos e quais os benefícios disto para um SOC?
SOAR significa (Security Orchestration, Automation, and Response) ou seja, orquestração, automação e resposta de segurança. Este termo foi criado pelo Gartner em 2015.
Mas como ele funciona?
O processo de um SOAR está contido dentro de seus maiores componentes, a orquestração e a automação.
A orquestração conecta ferramentas internas e externas a partir de integrações para que possam ser acessadas de uma console central. Com isso, os processos podem ser agilizados e há a consolidação de dados, que permite que aconteça a automação.
A automação é o processo de programar tarefas para que elas sejam executadas sozinhas. Elas podem ser programadas a partir de fluxos de trabalho ou guias estratégicos (os chamados casos de uso). Um guia estratégico permite automatizar processos, gerenciar um alerta ou criar um tipo de resposta para um incidente.
Gerenciamento de Guias Estratégicos (Casos) e Fluxos de trabalho
É recomendado pelas práticas de gerenciamento de vulnerabilidades que todos os incidentes de segurança precisem ser registrados e gerenciados como casos, pois isso possibilita a documentação de incidentes e criação de uma base de informações relacionada as ameaças identificadas. Com isso é possível realizar o gerenciamento de casos e realizar a identificação, priorização e investigação de acordo com o risco apresentado. Também é possível compartilhar as informações coletadas durante a resposta de incidente com organizações e comunidades.
As tecnologias de SOAR geralmente incluem fluxos de trabalho pré-configurados para casos de uso comuns. Em caso de necessidade, esses fluxos podem ser desenvolvidos para as necessidades da empresa.
Por que automatizar processos de segurança?
O maior benefício da automação é o aumento na eficiência das equipes de segurança, fazendo com que os profissionais possam focar em outras tarefas. As equipes de segurança devem lidar com um conjunto enorme de ferramentas e produtos diferentes, como EDR, Firewalls ou SIEMs que normalmente não são integrados e a automação pode transformar este processo em algo bem mais simples.
Otimização de custo
A consolidação de fornecedores de segurança (ou seja, a integração) pode ajudar a empresa a reduzir os custos operacionais em até 60%, dependendo das ferramentas e contexto da empresa.
Respostas de incidente mais rápidas
Com a automatização da resposta a incidentes, a ferramenta de SOAR tem o potencial de reduzir drasticamente o tempo de resposta da empresa, com resoluções mais rápidas, precisas e com um menor número de falsos positivos.
Redução de Riscos
Uma solução de SOAR eficaz pode neutralizar os ataques antes que danos possam aumentar, fazendo com que a investigação seja mais rápida e que o tempo de resposta dos analistas seja menor.
Considerando os pontos citados acima, uma ferramenta SOAR auxilia bastante uma equipe de SOC nas tratativas do dia a dia, e faz com que os processos de análise e tempo de resposta a incidentes sejam muito menores, aumentando a produção e SLA de atendimento das equipes.
Artigo escrito por Kelvin Rehen, Analista de Segurança na Stefanini Rafael.