BLOG

O que é SOAR e como as agências podem aproveitá-lo em seus esforços de segurança cibernética?

Miniatura de Lyle Marsh
Lyle Pântano
Publicado em 07 de outubro de 2020

De acordo com a Gartner, o SOAR compreende “tecnologias que permitem que as organizações coletem entradas monitoradas pela equipe de operações de segurança… As ferramentas SOAR permitem que uma organização defina procedimentos de análise e resposta a incidentes em um formato de fluxo de trabalho digital.”*

Mas o que exatamente é SOAR? É um conjunto de tecnologias oniscientes que trabalham juntas para mitigar ameaças e realizar análises — uma espécie de tecnologia Skynet semelhante ao Exterminador do Futuro da vida real, que previne ataques cibernéticos? Existe algum tipo específico de “software SOAR”? Ou é uma estrutura que fornece uma abordagem recomendada para a segurança cibernética?

DISPARAR: Uma estrutura para segurança sólida

É muito mais do que apenas uma ferramenta ou conjunto de ferramentas. SOAR é um modelo para criar um plano de segurança sólido. Sim, ele pede que as agências automatizem o processamento de dados de segurança e análises de uma peça de tecnologia (por exemplo, uma ferramenta de inteligência de ameaças, como um gerenciador de informações e eventos de segurança ou um gerenciador de log de segurança). Mas há outra parte do SOAR — orquestração de segurança — que incentiva a intervenção humana.

Considere o que acontece quando uma solução de gerenciamento de informações e eventos de segurança ou ferramenta semelhante identifica um possível incidente. Um processo de fluxo de trabalho completo é criado, começando com a ferramenta e terminando com um administrador de segurança.

Dentro desse processo, o incidente é avaliado com base nas políticas de segurança que a organização (espero) já implementou. As considerações podem incluir:

  • Qual é o nível de ameaça atribuído ao aplicativo que foi comprometido?
  • Com base nesse nível de ameaça, quais ações automatizadas devem ser tomadas para mitigar o potencial de dano?
  • Que outras ações precisam ser tomadas para remediar o problema?

Os administradores de segurança podem então pegar a inteligência de ameaças derivada dos dados forenses, usar essas informações para investigar e remediar o problema imediatamente e ajustar as políticas de segurança adequadamente para fortalecer as fortificações da agência contra ataques futuros.

Assim, o fator humano do SOAR entra em jogo. Apesar de toda a ênfase na automação, as pessoas são um elemento essencial da estrutura SOAR porque são a última linha de defesa e são responsáveis pelos aprimoramentos de segurança. Combinar sua experiência com as soluções de segurança certas pode ajudar as organizações a ficarem um passo à frente de adversários mal-intencionados.

Aplicações adaptativas são vitais para o modelo SOAR

O SOAR se concentra na criação de um programa de segurança altamente adaptável e usa dados para melhorar continuamente a maneira como uma organização responde a ameaças. Ela incentiva o uso de inteligência para identificar ameaças atuais, reagir a esses incidentes, aprender com eles e se adaptar e melhorar ao longo do tempo.

Na F5, estamos focados em ajudar organizações a criar aplicativos adaptáveis que podem ajustar automaticamente seus estados de segurança. Esses aplicativos coletam e analisam informações derivadas de vários pontos de contato ao longo do caminho de dados do aplicativo — o caminho que o tráfego do aplicativo percorre do aplicativo até o usuário final — como quando um usuário acessa o aplicativo pela primeira vez (exigindo autenticação do aplicativo), quando os dados são enviados pela Internet (acionando o uso de um firewall de aplicativo da Web ) e muito mais.

Cada um desses pontos de contato produz sua própria telemetria e análise. Esses dados são usados para detectar se o aplicativo está funcionando conforme o esperado ou se pode haver alguma forma de anomalia que possa indicar uma violação.

Se for o último, o aplicativo pode se adaptar automaticamente para mitigar a ameaça potencial, atendendo assim ao chamado do SOAR por uma resposta automatizada. Digamos que haja um aumento repentino de tráfego suspeito detectado em algum ponto durante o caminho de dados do aplicativo. Uma solução de gerenciamento de bots pode detectar automaticamente atividades fraudulentas com base no tipo de tráfego (por exemplo, humano ou bot) que está fazendo ping no aplicativo. O aplicativo pode então bloquear automaticamente o tráfego suspeito com base em políticas de segurança predefinidas.

O poder do homem e da máquina

A estrutura SOAR é um excelente modelo para construir um sistema automatizado, responsivo e ágil que aproveita diversas tecnologias e conhecimento humano para aplicar e melhorar continuamente as políticas de segurança. Ele cria um impedimento altamente eficaz contra ameaças atuais e futuras.
____

*Glossário Gartner, SOAR, https://www.gartner.com/en/information-technology/glossary/security-orchestration-automation-response-soar