O que é SOAR e como ele pode ajudar a detectar e remediar ameaças

SOAR significa Orquestração, Automação e Resposta de Segurança - um termo que foi usado pela primeira vez pelo Gartner.

Hoje em dia, as organizações recolhem grandes quantidades de dados relativos a eventos que ocorrem nas suas redes, e esses eventos podem ser gerados por uma vasta gama de dispositivos, aplicações e plataformas.

Esses dados precisam ser agregados e correlacionados para determinar se ocorreu um incidente de segurança e qual deve ser a resposta apropriada. As tecnologias SOAR são utilizadas para padronizar e automatizar todo o processo.

Vamos examinar mais de perto como as tecnologias SOAR podem ajudar as organizações a melhorar sua postura de segurança cibernética.

1. Inteligência contra ameaças de alta qualidade

Para combater as ameaças à segurança, as equipas de segurança precisam de ter uma visibilidade clara das tácticas, técnicas e procedimentos (TTP) que são utilizados pelos cibercriminosos e ser capazes de identificar indicadores de comprometimento (IOC).

Para que isso seja possível, as organizações precisam coletar e compartilhar informações sobre as ameaças à segurança que encontram e fazê-lo de forma padronizada para que possam ser utilizadas por sistemas automatizados.

Inicialmente, essas informações são coletadas das tecnologias SIEM, UBA, firewall e IPDS, para citar algumas, e depois publicadas na forma de um feed de inteligência sobre ameaças, que terceiros podem usar para tomar decisões informadas.

2. Melhorando a eficiência e produtividade geral

Como diz o mantra, trabalhe com inteligência, não muito!

Dada a grave escassez de profissionais de segurança cibernética, não faz sentido que as equipas de segurança executem manualmente tarefas mundanas e repetitivas, que de outra forma poderiam ser realizadas por um computador.

A utilização de soluções SOAR para automatizar estes processos irá inevitavelmente melhorar a eficiência, minimizar o número de erros cometidos, melhorar a produtividade e até poupar dinheiro a longo prazo.

3. Melhorando a resposta a incidentes

As tecnologias SOAR ajudam-nos a reduzir o tempo necessário para detetar e responder a incidentes de segurança, produzindo alertas em tempo real que as equipas de segurança podem examinar para determinar a causa e a gravidade do incidente.

Os alertas podem ser baseados em um único evento ou em eventos que correspondam a uma condição limite. Isso permite que as equipes de segurança automatizem uma resposta, que pode incluir a desativação de uma conta de usuário, o bloqueio de um endereço IP, o ajuste das permissões de um determinado recurso, a quarentena ou o encerramento do recurso infectado.

4. Relatórios avançados

Muitas vezes, as equipes de segurança são obrigadas a gerar relatórios para satisfazer tanto os executivos quanto as autoridades de supervisão.

Fazer isso manualmente seria uma tarefa demorada e atrapalharia a realização de tarefas mais produtivas.

As tecnologias SOAR permitem que as equipes de segurança gerem relatórios predefinidos com o clique de um botão, que podem ser impressos ou enviados às partes relevantes por meio de comunicação eletrônica.

Exemplos de SOAR na prática

Descoberta e classificação de dados

Existem várias tecnologias SOAR que fornecem descoberta e classificação de dados prontas para uso. Se não soubermos exatamente quais dados temos, onde estão armazenados e quão sensíveis são os dados, será muito difícil mantê-los seguros.

Uma solução de classificação de dados verificará todos os repositórios, seja no local ou na nuvem, e identificará uma ampla variedade de tipos de dados, como números de seguro social, informações de saúde protegidas, detalhes de cartões de pagamento e muito mais.

As ferramentas de descoberta e classificação de dados também nos ajudam a identificar e remover dados obsoletos. De acordo com o Relatório Global de Risco de Dados de 2018, em média, 54% dos dados que armazenamos estão obsoletos, o que não é apenas um risco de segurança, mas também um desperdício de espaço de armazenamento.

Detectar e responder a comportamentos anômalos do usuário

Uma solução User Behavior Analytics (UBA) rastreará todas as contas privilegiadas e alertará a equipe de segurança em tempo real quando as permissões da conta do usuário forem alteradas, além de fornecer informações sobre quem as alterou.

Eles também detectarão e responderão a atividades suspeitas de arquivos e pastas. As soluções UBA mais sofisticadas usam aprendizado de máquina para estabelecer padrões típicos de comportamento, que podem ser testados para identificar anomalias. Quaisquer eventos que se desviem deste padrão dispararão um alerta, que será revisado pelo pessoal relevante.

Conforme mencionado, as tecnologias SOAR também podem detectar e responder a eventos que correspondam a uma condição limite predefinida. Por exemplo, esses eventos podem incluir várias tentativas de login malsucedidas ou quando muitos arquivos são criptografados dentro de um determinado período.

Uma vez detectado, um script personalizado pode ser executado para conter a situação, o que pode incluir a desativação de uma conta de usuário, a interrupção de um processo específico, a alteração das configurações do firewall ou o desligamento/isolamento dos sistemas afetados.

Gerenciamento de contas de usuários inativos

De acordo com o relatório acima, 34% dos usuários estão habilitados, mas desatualizados. O problema com contas de usuários “fantasmas” é que muitas vezes elas não são monitoradas. Se um invasor obtiver acesso a uma dessas contas, poderá permitir que ele se mova lateralmente pela rede sem levantar muitas suspeitas.

Muitas soluções UBA modernas podem detectar e gerenciar automaticamente contas de usuários inativas.

Interoperabilidade entre ambientes de TI

A maioria das soluções UBA pode agregar e correlacionar dados de eventos de uma ampla variedade de plataformas, incluindo tecnologias SIEM existentes, serviços de diretório locais e uma ampla variedade de plataformas em nuvem, como Office365, DropBox, Amazon S3, Box e muito mais. Todos os logs de eventos são apresentados através de um console intuitivo, que pode ser facilmente pesquisado e filtrado para encontrar as informações relevantes.

No final das contas, mesmo que por algum milagre consigamos encontrar uma forma de resolver a escassez de competências em cibersegurança, penso que é justo dizer que as tecnologias SOAR, e as soluções de automação em geral, irão desempenhar um grande papel. papel no futuro da segurança de dados. E quando se trata de usar tecnologias SOAR com Inteligência Artificial (IA), ainda nem arranhamos a superfície.