O futuro do SOAR

O Passado, o Presente e o Futuro do SOAR - Parte 3

Nas partes um e dois desta série de posts, exploramos o Estado atual do centro de operações de segurança (SOC) com foco em sistemas de gerenciamento de informações e eventos de segurança (SIEM). e o Estado da orquestração, automação e resposta de segurança (SOAR). Na terceira e última parte desta série, vamos mergulhar no futuro do SOAR.

Segundo analistas, a adoção do SOAR ainda está em seus estágios iniciais. À medida que mais e mais SOCs amadurecem com suas soluções SOAR, novos casos de uso são implementados e a aplicação do SOAR se mostra ilimitada.

Voando alto criativamente

Embora o SOC habilitado para SOAR tenha um potencial praticamente ilimitado, é importante ressaltar que nenhuma solução, plataforma ou ferramenta de segurança é infalível. Como setor, precisamos continuar evoluindo e crescendo junto com o cenário de ameaças, que está em constante evolução.

A melhor maneira de fazer isso é usar a criatividade! Organizações que implementam soluções SOAR devem ir além da orquestração e automação de fluxos de trabalho e playbooks padrão (embora isso também seja importante). Se você está lendo isto e se encaixa nessa categoria, considere buscar novas maneiras de maximizar o potencial da sua plataforma SOAR. Depois que os processos padrão forem automatizados, reavalie como você pode alcançar os resultados desejados, buscando maneiras novas e inovadoras de aprimorar esses processos e otimizar sua solução SOAR. E lembre-se: um dos aspectos mais interessantes do SOAR é o fato de ele oferecer escalabilidade horizontal em toda a organização. Veja este exemplo de caso de uso de desligamento de funcionários.

Voando juntos

Até o momento, a comunidade de inteligência de ameaças tem feito um bom trabalho ao eliminar barreiras entre diferentes organizações e aumentar a capacidade de todos de compartilhar dados de forma confiável. Como exemplo, os Centros de Análise e Compartilhamento de Informações (ISACs) facilitaram esse processo. Organizações de todo o setor compartilham indicadores de comprometimento (IOCs), técnicas, táticas e muito mais.. A evolução natural desse compartilhamento de informações está migrando para processos baseados em padrões, como o Structured Threat Information Expression™ e o Trusted Automated eXchange of Indicator Information™ (STIX-TAXII).

Sabemos que colaboração e compartilhamento abrangente de informações É importante para fortalecer o setor de cibersegurança como um todo, mas também ajuda a tornar a solução SOAR de uma organização individual mais eficaz. Os SOCs que participam do compartilhamento de informações e que contam com uma solução SOAR estão mais bem preparados para responder a esse tipo de pergunta:

• O que devo fazer quando observo determinada atividade no meu ambiente?
• Como podemos compartilhar essas informações entre organizações?
• Se eu vir esse tipo de atividade gerando esse tipo de alerta, quais ações devo tomar?
• O que devo procurar?
• Como devo procurar outros hosts ou ativos comprometidos?
• Como posso responder e mitigar isso o mais rápido possível?

Quando os analistas conseguem responder a essas perguntas com dados completos, podem ajustar e personalizar fluxos de trabalho padronizados para investigações de incidentes mais eficazes. Como setor, isso nos permitirá aproveitar as capacidades compartilhadas de uma comunidade global mais ampla, acompanhando (ou até mesmo antecipando) as ameaças e os agentes maliciosos.

Outro aspecto que continuará a se desenvolver e aprimorar à medida que o SOAR avança é a forma como as organizações criam conteúdo. Como fornecedor SOAR, Observamos que clientes, parceiros e colaboradores individuais aprimoram a plataforma criando integrações com sistemas de terceiros. Sejam visualizações de dados exclusivas ou fluxos de trabalho e manuais personalizados, elementos como esses permitem que uma plataforma SOAR melhore continuamente sua eficácia.

No Pista de natação, Acreditamos em continuar a fabricar as ferramentas que são necessários para construir essas integrações O mais simples possível. Encontrar as pessoas onde elas estão, capacitá-las na forma como trabalham e desenvolvem conteúdo, continuará a impulsionar a orquestração, a automação e a resposta a novos patamares. Oportunidades como a ciência de dados cidadã e conceitos semelhantes decolam porque distribuir essa capacidade de criar conteúdo para o maior número possível de pessoas tem um impacto incrível. Da mesma forma, isso continuará acontecendo dentro do SOAR.

Voando alto para a frente

A grande maioria das organizações que implementam SOAR atualmente são grandes empresas, incluindo algumas de médio porte. A adoção em empresas menores é rara, pois essas organizações não possuem os recursos necessários para implementar a automação, aproveitá-la adequadamente e obter valor dela. No entanto, o valor real que o SOAR pode gerar para empresas de médio e pequeno porte é muito maior, justamente porque elas não possuem esses recursos. Empresas menores não têm uma equipe dedicada de monitoramento, resposta a incidentes ou inteligência de ameaças. Mas elas precisam, sem dúvida, dessas capacidades.

Organizações de todos os portes são igualmente visadas. Organizações menores obterão esse valor adicional ao aproveitar os recursos de automação e o aprendizado coletivo sobre as atividades e a colaboração de todos, disponibilizando tudo isso para um administrador de sistemas que não seja um especialista em segurança. No futuro, isso terá um impacto significativo na forma como pessoas e organizações adotarão e aproveitarão o SOAR. O futuro do SOAR é promissor. Vamos todos participar e maximizar seu potencial!