SOAR | Security Orchestration Automation and Response

SOAR (orquestração, automação e resposta de segurança) é um conjunto de recursos usado para proteger sistemas de TI contra ameaças de segurança.

Ele se refere a três importantes recursos de software usados pelas equipes de segurança: gerenciamento de casos e de fluxos de trabalho, automação de tarefas e acesso a meios centralizados de consulta e compartilhamento de informações sobre ameaças. O termo SOAR foi criado pelo grupo de consultoria Gartner. Analistas de segurança também descrevem o SOAR com outros termos: a IDC se refere ao conceito como "Análises de segurança, Inteligência, Resposta e Orquestração" (AIRO) e a Forrester descreve os mesmos recursos como "Orquestração e Automação de Segurança" (SAO).

Geralmente, o SOAR é implementado de maneira coordenada com o centro de operações de segurança (SOC) de uma organização. As plataformas SOAR monitoram feeds de inteligência de ameaças e acionam respostas automatizadas para problemas de segurança, o que pode ajudar as equipes de TI a mitigar ameaças de forma rápida e eficiente em vários sistemas complexos.

As práticas recomendadas para o gerenciamento de vulnerabilidades determinam que todos os incidentes de segurança precisam ser registrados e gerenciados como um caso. Isso deve ser feito esteja você começando a adotar medidas de segurança na sua organização ou já tenha um SOC avançado e bem definido. As práticas de gerenciamento de casos possibilitam a documentação dos incidentes e a criação de uma base de informações relacionada a essas ameaças. Assim, elas podem ser identificadas, priorizadas de acordo com o risco e investigadas. Além disso, é possível registrar as informações coletadas durante a resposta ao incidente e compartilhá-las nas organizações e comunidades. 

As tecnologias de SOAR geralmente incluem fluxos de trabalho pré-configurados para casos de uso comuns. Se os casos padrão atenderem às necessidades específicas da sua organização, você pode adaptá-los a seus requisitos por meio do desenvolvimento personalizado.

Um dos principais benefícios da automação de tarefas é o aumento na eficiência das equipes de segurança, liberando tempo para que se concentrem em outros processos. Como não há profissionais de segurança suficientes para atender a todas as necessidades da organização, a automação pode ajudar as equipes de segurança a produzir mais com agilidade.

As equipes de segurança devem lidar com um enorme conjunto de ferramentas e produtos diferentes, como software de detecção e resposta de endpoint (EDR), firewalls e soluções de gerenciamento de eventos e informações de segurança (SIEM), que provavelmente não são integrados. Gerenciar tudo isso manualmente gera lentidão na detecção e correção de problemas, além de erros de configuração de recursos e aplicação inconsistente de políticas, deixando os sistemas vulneráveis a invasões e problemas de conformidade. A automação pode ajudar a simplificar as operações diárias e a integrar a segurança a processos, aplicações e infraestrutura desde o início, como numa abordagem de DevSecOps.

Segundo o Ponemon Institute, detectar e conter violações de segurança em até 200 dias reduz o custo médio de cada violação em US$ 1,22 milhão, em média. A detecção rápida de ameaças pode reduzir a probabilidade de ocorrer uma violação de segurança e os custos associados, mas a correção em várias plataformas e ferramentas pode ser complicada, demorada e propensa a erros.

Embora os processos manuais possam atrasar a identificação de ameaças em ecossistemas de TI complexos, a automação de processos de segurança pode ajudar as organizações a identificar, validar e escalar ameaças mais rápido, sem intervenção manual. As equipes de segurança podem usar a automação para melhorar os tempos de resposta e aplicar as correções nos sistemas afetados de forma simultânea nos ambientes.

A automação da segurança é o processo de executar operações de segurança sem a necessidade de intervenção humana. No caso da segurança, a automação é ainda mais importante devido à complexidade da infraestrutura e da possível falta de integração entre seus vários componentes. Mas, como determinar quais tarefas devem ser automatizadas? Para ajudar no processo de decisão, pergunte-se:

1. A tarefa é rotineira? Ela precisa ser realizada com frequência?
2. A tarefa é entediante? Ela inclui um conjunto específico de ações que precisam ser executadas com precisão? 
3. A tarefa é demorada? Esse conjunto de ações consome uma grande parte do tempo da sua equipe?

A automação é adequada para você se a resposta a qualquer uma das perguntas acima for "sim". Ela pode oferecer diversos benefícios para sua organização, incluindo a redução dos erros humanos, melhorias na consistência das respostas a incidentes de segurança e maior eficiência e velocidade.

A orquestração é baseada em processos, a automação, em tarefas. Com a orquestração da segurança, você conecta e integra diferentes ferramentas e sistemas para otimizar os fluxos de trabalho de resposta. Essa conexão de ferramentas e sistemas (e os processos que os governam) possibilita o uso da automação nos ambientes.

A automação pode simplificar fluxos de trabalho, mas as pessoas são essenciais para um dos aspectos mais valiosos do SOAR: orquestração de alto nível de segurança. Com a orquestração, as equipes de TI podem definir o processo de execução das tarefas automatizadas. A orquestração de processos de segurança conta com as pessoas nessas equipes para determinar "o que", "por quê" e "quando" da automação da segurança.

Inteligência centralizada sobre ameaças trata das informações sobre ameaças de segurança, novas ou existentes, que colocam os recursos da organização em risco. Muitos bancos de dados de vulnerabilidades existem como fonte da inteligência sobre ameaças. Métodos de referência, como a lista CVE, facilitam a identificação e o compartilhamento dessas vulnerabilidades em bancos de dados e plataformas. Plataformas de inteligência sobre ameaças coletam esse conhecimento de diversos feeds. As ferramentas de SOAR usam vários feeds de inteligência para identificar possíveis ameaças. O SOAR agrega esses feeds em uma fonte unificada que pode ser consultada pelas equipes e usada para acionar tarefas de automação.

Na organização, o SOC é o centro da resposta de segurança. No entanto, ainda pode ser difícil coordenar e comunicar-se com os muitos departamentos da empresa. A automação funciona como uma força de unificação e linguagem comum entre os departamentos. Uma solução de automação em todas as suas plataformas e departamentos pode estabelecer canais claros de interação, que facilitam a identificação e classificação das ameaças à segurança mais urgentes.

Softwares open source empresariais usam um modelo de desenvolvimento que aprimora o ajuste de desempenho e testes (normalmente com o suporte de uma equipe de segurança), os processos para responder a novas vulnerabilidades de segurança e os protocolos para notificar usuários sobre problemas com as devidas etapas de correção. Eles representam uma versão aprimorada da teia de confiança open source para que você não precise solucionar sozinho as questões de segurança de TI.

Com o Red Hat® Ansible® Automation Platform, é possível automatizar e integrar diferentes soluções de segurança. Isso simplifica a investigação e a resposta a ameaças em toda a empresa de forma coordenada e unificada, usando um conjunto definido de módulos, funções e playbooks. Você também pode integrar aplicações externas usando APIs, SSH, WinRM e outros métodos de acesso padrão ou pré-existentes.

O Ansible Automation Platform possibilita processos full-stack, da infraestrutura até as aplicações, permitindo a coordenação com uma camada de tecnologias de segurança. Além disso, as equipes de operações de segurança podem usar o Ansible Automation Platform para gerenciar outras aplicações empresariais, como soluções de SOAR.