Estado do SOAR

O Passado, o Presente e o Futuro do SOAR - Parte 2

Os desafios discutidos na Parte 1 desta série explicam por que os centros de operações de segurança (SOCs) precisam de uma solução de orquestração, automação e resposta de segurança (SOAR) para sobreviver. Em todo o setor, os analistas estão sobrecarregados, exaustos e precisam desesperadamente de ferramentas projetadas para ajudá-los a acompanhar o cenário de ameaças em expansão e a crescente escassez de profissionais de cibersegurança. Além disso, mesmo que fosse possível para um SOC contratar todo o pessoal necessário, ainda precisaria de recursos de automação e orquestração para investigar os milhares de alertas recebidos diariamente.

Por que SOAR?

Houve um tempo em que os líderes de pensamento da indústria não tinham certeza se o SOAR era realmente "algo concreto" ou não.. Mas com informações de relatórios recentes, como o Guia de Mercado da Gartner para Soluções de Orquestração, Automação e Resposta de Segurança ou Como o uso das ferramentas SOAR facilita a vida Segundo a Enterprise Management Associates (EMA), fica claro que o SOAR está ganhando espaço no setor de segurança e em SOCs de todos os portes. O motivo é simples: o SOAR permite que as equipes de SOC alcancem mais com menos — uma proposta atraente tanto para o CISO quanto para o analista. O SOAR elimina as tarefas tediosas, repetitivas e manuais normalmente associadas aos processos de resposta a incidentes, que sabidamente levam à exaustão dos analistas e à fadiga de alertas.

E quanto ao SIEM?

A maioria das organizações utiliza algum tipo de sistema de gerenciamento de informações e eventos de segurança (SIEM), e é improvável que isso mude. Embora os dados coletados pelos SIEMs sejam extremamente valiosos para o SOC, os analistas têm dificuldade em acompanhar o número aparentemente interminável de alertas gerados por essas ferramentas. Os processos de investigação predominantemente manuais associados às ferramentas SIEM causam um desgaste significativo, o que leva a erros e à vulnerabilidade da organização. O SOAR oferece um alívio da quantidade de interação humana exigida por essas ferramentas e, ao fazer isso, permite uma investigação de alertas aprimorada, uma tomada de decisão mais rápida e, no geral, processos de resposta a incidentes mais eficazes.

Voando acima dos problemas

O SOAR capacita os analistas, ajudando-os a visualizar e compreender grandes conjuntos de dados rapidamente, em vez de exigir que alternem entre diferentes janelas, ferramentas e até mesmo máquinas para investigar um único alerta. Em vez de depender de sequências tradicionais de texto ou informações numéricas, a visualização de dados com uma solução SOAR permite que os analistas cheguem a conclusões e tomem medidas instantaneamente.

Além disso, muitas ações de resposta a incidentes podem ser realizadas sem qualquer intervenção humana quando uma solução SOAR é implementada. O componente de orquestração do SOAR permite que o SOC conecte recursos distintos e integre os dados ao registro do caso para enriquecer o alerta. Em vez de os analistas gastarem tempo aprendendo as complexidades de inúmeros sistemas distintos (que provavelmente mudarão com o tempo e exigirão soluções alternativas dependendo do ecossistema do SOC), eles podem usar a visão única do registro do caso na plataforma SOAR para acessar e observar todos os dados. Isso reforça o desempenho individual do analista, o que aumenta a eficácia geral de todo o SOC.

VOE sem limites

Ao automatizar tarefas tediosas e repetitivas e orquestrar ferramentas e processos distintos, uma plataforma SOAR melhora drasticamente o desempenho dos analistas, o que também reduz o tempo médio de detecção (MTTD) e de resposta (MTTR) da organização. À medida que o SOC habilitado para SOAR explora todas as capacidades da sua solução, os analistas provavelmente encontrarão benefícios adicionais para aprimorar sua funcionalidade e eficácia geral para a organização como um todo. Uma solução SOAR verdadeiramente robusta oferece à organização opções praticamente ilimitadas para conectar, automatizar e orquestrar suas operações.

Hoje, estamos apenas começando a ver algumas das novas e incríveis maneiras pelas quais o SOAR pode ser usado para melhorar a eficácia operacional do SOC. Na terceira parte, analisaremos o futuro do SOAR e como ele pode nos ajudar a obter o máximo benefício em toda a organização.