Login / Registre-se Account

SEGURANÇA

O que é SOAR?

Jump to section

SOAR (orquestração, automação e resposta de segurança) é um conjunto de recursos usado para proteger sistemas de TI contra ameaças.

Ele se refere a três importantes recursos de software usados pelas equipes de segurança: gerenciamento de casos e de fluxos de trabalho, automação de tarefas e acesso a meios centralizados de consulta e compartilhamento de informações sobre ameaças. O termo SOAR foi criado pelo grupo de consultoria Gartner, mas o conceito costuma ter outros nomes de acordo com a empresa. Por exemplo, a IDC chama de orquestração, resposta, inteligência e análise de segurança (AIRO). A Forrester usa orquestração e automação de segurança (SAO) para descrever os mesmos recursos. 

Geralmente, o SOAR é implementado de maneira coordenada com o centro de operações de segurança (SOC) de uma organização. Com as plataformas de SOAR, é possível monitorar feeds de inteligência sobre ameaças e acionar respostas automatizadas para resolver os problemas de segurança.

Gerenciamento de casos e de fluxos de trabalho no SOAR

As práticas recomendadas determinam que todos os incidentes de segurança precisam ser registrados e gerenciados como um caso. Isso deve ser feito esteja você começando a adotar medidas de segurança na sua organização ou já tenha um SOC avançado e bem definido. As práticas de gerenciamento de casos possibilitam a documentação dos incidentes e a criação de uma base de informações relacionada a essas ameaças. Assim, elas podem ser identificadas, priorizadas de acordo com o risco e investigadas. Além disso, é possível registrar as informações coletadas durante a resposta ao incidente e compartilhá-las nas organizações e comunidades. 

As tecnologias de SOAR geralmente incluem fluxos de trabalho pré-configurados para casos de uso comuns. Se os casos padrão atenderem às necessidades específicas da sua organização, você pode adaptá-los a seus requisitos por meio do desenvolvimento personalizado.

Automação e orquestração de tarefas

A automação da segurança é o processo de execução de operações de segurança sem a necessidade de intervenção humana. No caso da segurança, a automação é ainda mais importante devido à complexidade da infraestrutura e da possível falta de integração entre seus componentes. Mas, como determinar as tarefas que precisam ser automatizadas? Pergunte a si mesmo:

  1. A tarefa é rotineira? Ela precisa ser realizada com frequência?
  2. A tarefa é entediante? Ela inclui um conjunto específico de ações que precisam ser executadas com precisão? 
  3. A tarefa é demorada? Esse conjunto de ações consome uma grande parte do tempo da sua equipe?

A automação é adequada para você se a resposta a qualquer uma das perguntas acima for "sim". Ela pode oferecer diversos benefícios para sua organização, incluindo a redução dos erros humanos, melhorias na consistência das respostas e maior eficiência e velocidade.

Por que automatizar os processos de segurança?

Um dos principais benefícios da automação de tarefas é o aumento na eficiência das equipes de segurança, liberando tempo para que se concentrem em outros processos. A automação ajuda as organizações a enfrentar o problema da falta de profissionais qualificados no setor. Em resumo, não há profissionais de segurança suficientes no mercado para atender às necessidades de todas as organizações. Com a automação das tarefas de segurança, as equipes fazem mais, com muito mais rapidez.

As equipes de segurança precisam lidar com uma grande quantidade de ferramentas e soluções que provavelmente não são integradas umas às outras. Gerenciar tudo isso manualmente gera lentidão na detecção e correção de problemas, além de erros de configuração de recursos e aplicação inconsistente de políticas, deixando os sistemas vulneráveis a invasões e problemas de conformidade. A automação pode ajudar sua empresa a simplificar as operações diárias e a integrar a segurança a processos, aplicações e infraestrutura desde o início, como numa abordagem de DevSecOps. Fazer a implantação completa da automação da segurança pode resultar em uma redução de 95% no custo médio por violação.

A rápida detecção de ameaças pode reduzir a probabilidade da sua organização sofrer violações de segurança e os custos associados a elas, caso aconteçam. Detectar e conter violações de segurança em até 200 dias reduz o custo médio de cada violação em US$ 1,22 milhão, em média. Os processos manuais podem atrasar a identificação de ameaças em ambientes de TI complexos e deixar sua empresa vulnerável. Aplicar a automação nos processos de segurança pode ajudar sua empresa a identificar, validar e escalar ameaças com mais rapidez, sem intervenção manual.

No entanto, realizar correções em diversas plataformas e ferramentas pode ser uma tarefa complicada, demorada e suscetível a erros. As equipes de segurança podem usar a automação para aplicar as correções nos sistemas afetados de forma rápida e simultânea, e assim acelerar a resposta a incidentes.

Qual é a diferença entre automação e orquestração?

Com a orquestração da segurança, você conecta e integra diferentes ferramentas e sistemas para otimizar os processos. Essa conexão possibilita o uso da automação nos ambientes. A orquestração é baseada em processos, e a automação, em tarefas. No entanto, a principal diferença entre elas são as pessoas. A orquestração avançada da segurança representa a maior parte do valor de SOAR. Com a orquestração, as equipes podem definir o processo de execução das tarefas automatizadas. A orquestração de processos de segurança conta com as pessoas nessas equipes para determinar "o que", "por quê" e "quando" da automação da segurança.

Inteligência sobre ameaças centralizada

A inteligência sobre ameaças são as informações sobre ameaças novas ou existentes que colocam os recursos da organização em risco. Muitos bancos de dados de vulnerabilidades existem como fonte da inteligência sobre ameaças. Métodos de referência, como a lista CVE, facilitam a identificação e o compartilhamento dessas vulnerabilidades em bancos de dados e plataformas. Plataformas de inteligência sobre ameaças coletam esse conhecimento de diversos feeds. As ferramentas de SOAR usam vários feeds de inteligência para identificar possíveis ameaças. O SOAR agrega esses feeds em uma fonte unificada que pode ser consultada pelas equipes e usada para acionar tarefas de automação.

Dentro da organização, o SOC é o centro da resposta de segurança. No entanto, ainda pode ser difícil coordenar e comunicar-se com os muitos departamentos da empresa. A automação funciona como uma força de unificação e uma linguagem comum entre os departamentos. Quando se trata de ameaças à segurança, uma solução de automação abrangendo todos os departamentos e plataformas pode estabelecer canais claros de interação.

Como a Red Hat pode ajudar?

Os softwares open source empresariais usam um modelo de desenvolvimento que aprimora o ajuste de desempenho e testes (normalmente com o suporte de uma equipe de segurança), os processos para responder a novas vulnerabilidades de segurança e os protocolos para notificar usuários sobre problemas com as devidas etapas de correção. Eles representam uma versão aprimorada da teia de confiança open source para que você não precise solucionar sozinho as questões de segurança de TI.

Com o Red Hat® Ansible® Automation Platform, é possível automatizar e integrar diferentes soluções de segurança. Isso simplifica a investigação e a resposta a ameaças em toda a empresa de forma coordenada e unificada, usando um conjunto definido de módulos, funções e playbooks. Você também pode integrar aplicações externas usando APIs, SSH, WinRM e outros métodos de acesso padrão ou pré-existentes.

O Red Hat Ansible possibilita processos full-stack, da infraestrutura até as aplicações, permitindo a coordenação com uma camada de tecnologias de segurança. E as equipes de segurança podem usar o Red Hat Ansible para gerenciar outras aplicações empresariais, como soluções de SOAR.

Nós temos as ferramentas, e você, o talento

Red Hat Ansible Automation Platform

Uma plataforma de automação sem agentes.

Red Hat Insights

Identifique e corrija os riscos de segurança, conformidade e configuração em ambientes Red Hat® Enterprise Linux®.