SOAR - Security Orchestration, Automation and Response

Os dados de uma organização são seu maior bem, portanto devem ser protegidos. Cuidar da segurança da informação de uma empresa não é tarefa fácil e para isso existem as ferramentas de SOAR, que auxiliam na reação automatizada a incidentes de segurança.

Entre esses incidentes podemos citar phishings, DDOs, ransomwares, ataques por e-mail, comprometimento de conta, entre muitos outros. Aliás, essa é uma preocupação cada vez maior, uma vez que a pandemia do COVID-19 fez com que grande parte do crime organizado migrasse para os crimes digitais.

Quer saber mais sobre a técnica que coleta dados sobre ameaças de segurança de inúmeras fontes? Então acompanhe nosso artigo!

 

O que é SOAR?

SOAR (Security Orchestration, Automation and Response) pode ser descrito como um conjunto de tecnologias que coleta dados e traz alertas de segurança de variadas fontes. Ele gerencia ameaças e vulnerabilidades, responde a incidentes e automatiza operações de segurança, também conhecido como Plays no Manual de Operações de Segurança. Assim, uma variedade de atividades controladas por máquinas podem ser automatizadas.

As ferramentas de SOAR tem o poder de reunir dados num único lugar para investigação adicional, trazendo resultados mais rápidos e facilitando uma defesa adaptativa. Conta com vários manuais para respostas específicas a ameaças, cada etapa pode ser inteiramente automatizada e configurada para execução com um clique na plataforma, inclusive interações com outros sistemas.

Nesse sentido, o SOAR agrega grande valor para o SOC (Security Operation Center), pois automatiza e orquestra tarefas manuais demoradas, possibilitando a resolução de incidentes e fornecendo uma documentação robusta.

 

Componentes do SOAR

As tecnologias SOAR se dividem em componentes que executam atividades variadas dentro de um SOC. Esses componentes são classificados como orquestração de segurança, automação, e resposta a incidentes. Nota: em português o S e o O acabam invertidos.

 

Orquestração

Também conhecido como fase de gerenciamento de ameaças, esse componente integra diferentes tecnologias e conecta ferramentas de segurança, visando a melhora da segurança de incidentes. Suporta o ciclo de vida e correção de vulnerabilidades, trazendo processos de fluxo de trabalho, relatórios e colaboração. Essa fase deve contar com o envolvimento de profissionais da área de segurança, pois os sistemas sozinho não possuem a capacidade detectar sinais de invasão.

 

Automação

Na automação são executadas ações por meio de máquinas em sistemas de TI e ferramentas de segurança para resposta a incidentes. As ações já foram realizadas anteriormente por humanos, com as automações são descritas etapas padronizadas, tomadas de decisão baseadas em fluxos de trabalho, fiscalização, verificação de status e processos de auditoria.

Ferramentas de IA e Machine Learning contribuem para maior eficiência na etapa de automação.

 

Resposta

As plataformas de resposta apoiam a organização para planejar, gerenciar e rastrear uma resposta a um incidente de segurança. Nessa etapa é preciso grande capacidade de análise, portanto são necessários relatórios que tragam estratégias de priorização de riscos e ações de respostas.

Essas respostas podem conter processos como triagem e processamento de dados, pois o SOAR faz a coleta de dados de outras ferramentas de segurança.

Após isso, a equipe de segurança analisa os dados para verificar se existe alguma ameaça ou não. Caso haja ameaça, a equipe investiga outras vulnerabilidades em potencial para evitar novos ataques, logo após se dá início ao processo de remediação para resolver o incidente.

 

M-SOAR

O SOAR tem a missão de facilitar a colaboração com acesso em tempo real, automatizando e executando políticas de segurança. As ameaças são uma preocupação constante dentro das empresas, por isso lançar mão de soluções que ajudem na segurança da informação nos dias de hoje é um grande ganho.

Caso você precise compor sua suíte de ferramentas de SOAR para um SOC, não deixe de olhar o Mailinspector, que possui hoje a melhor engine de proteção para e-mails do mercado, estando presente nos maiores clientes de TI do Brasil, como Banco do Brasil, SERPRO, Itaipu, entre muitos outros.

As ferramentas de SOAR que incluem proteção para e-mail são chamadas de M-SOAR, incluindo “Mail Protection” na suite de segurança. Hoje, todos os requisitos de secure e-mail gateway do Gartner são atendidos pelo Mailinspector.

Além disso, é a ferramenta ideal para plugar em uma operação de SOC, que utilize ferramentas de SOAR (Security Orchestration, Automation and Response) para automatizar resposta a incidentes de segurança. Caso deseje conhecer mais sobre o assunto não deixe de entrar em contato com nossos especialistas em cyber security.

Assine nossa Newsletter!

Receba por e-mail os nossos melhores conteúdos sobre segurança da informação.

SOAR – Security Orchestration, Automation and Response

tempo de leitura: 4 min