Por que você precisa de uma solução SOAR completa para as necessidades do seu negócio, e não apenas de uma solução SecOps?

Já dissemos isso antes e repetimos: "Bom o suficiente" pode até cumprir o requisito, mas não vai resolver o problema.

Em nosso último post do blog Sobre os problemas de escolher uma solução "boa o suficiente" para orquestração, automação e resposta de segurança (SOAR), discutimos os seis principais sinais de alerta que você deve observar. Recapitulando, são eles:

1. Aplicabilidade limitada no mundo real.

2. Inflexibilidade

3. Falta de integrações com fornecedores

4. O foco não está no SOAR.

5. Não é escalável.

6. Focando no custo versus capacidades

Além desses fatores limitantes, o maior problema com uma solução SOAR "boa o suficiente" é que ela geralmente é construída para um número finito e limitado de casos de uso, enquanto uma verdadeira solução de automação de segurança é muito mais robusta, com aplicabilidade que vai muito além dos centros de operações de segurança (SOC).

Então, agora que sabemos o que você não quer em uma solução completa de automação de segurança, o que você quer?

Para começar, precisamos reorientar nosso pensamento em relação ao SOAR. Antes, quando falávamos sobre SecOps, estávamos nos referindo quase que exclusivamente a opções locais — endpoints, firewalls, infraestrutura de data center, TI corporativa etc. No entanto, com a drástica transformação digital que acompanhou a rápida transição para o trabalho remoto em 2020, a maioria dessas ferramentas e funções passou a residir na nuvem. E com o foco na infraestrutura em nuvem, a visibilidade necessária mudou, pois os riscos e os métodos para mitigá-los e remediá-los também mudaram. O que tudo isso significa?

A transformação digital, da perspectiva de TI, foi bem-sucedida porque era necessária para manter as operações comerciais em funcionamento durante um período de extrema incerteza. Agora é a vez da Segurança da Informação acompanhar esse ritmo. O SOAR pode ajudar, eliminando as barreiras entre as operações de segurança (SecOps) e as operações comerciais.

Tradicionalmente, o SOAR tem sido visto como uma ferramenta de automação para o SOC, em vez de uma ferramenta de negócios para toda a organização de segurança. É hora de mudar isso. Em 2020, aprendemos como Pode ser benéfico ter uma força de trabalho remota. Para algumas pessoas e organizações, o trabalho remoto é uma realidade, e algumas delas jamais desejariam voltar ao modelo anterior. Enquanto isso, outras pessoas mal podem esperar para retornar ao escritório por diversos motivos. Enquanto continuamos a explorar como serão esses modelos de trabalho híbridos, uma coisa é certa: o modelo de trabalho mudou fundamentalmente.

Com funcionários trabalhando presencialmente e remotamente — potencialmente em diferentes fusos horários e até continentes — descobrir como colaborar de forma eficaz continuará sendo um desafio para toda a organização. Como exemplo, vamos analisar o DevOps e como o SOAR pode ajudar as equipes de DevOps a colaborar nesse ambiente de trabalho híbrido.

Antes da pandemia, quando os desenvolvedores trabalhavam em um escritório e tinham um problema ou uma dúvida, eles podiam simplesmente levantar a cabeça ou caminhar até o corredor para discutir o assunto com seus colegas. Após a transição para o trabalho remoto, essas mesmas pessoas passaram a colaborar por meio de plataformas como Zoom, Slack, etc. Mas em um modelo híbrido, se você é uma das pessoas que trabalham no escritório, provavelmente só conversará com outras pessoas que também trabalham no escritório, e seu modelo de trabalho ficará bastante instável nos próximos meses.

Uma verdadeira solução SOAR pode ajudar a resolver isso com dados centralizados e colaboração em uma única plataforma na qual todos trabalham. Não importa se estão no escritório ou trabalhando remotamente. Além disso, essa plataforma única, potencializada pela automação e com informações centralizadas, aumenta sua eficácia ao realizar a troca de turnos, agregar dados, analisar automações de longa duração e linhas de base históricas, capturar informações para descobrir temas e padrões recorrentes, etc.

Além da centralização de dados e da colaboração, as ferramentas de automação SecOps precisam ser aplicadas como ferramentas de negócios — algo que só é possível quando sua solução SOAR é construída com escalabilidade e aplicabilidade horizontal em mente. Uma verdadeira solução SOAR permite que uma unidade de negócios realize transações mais rapidamente com um parceiro ou equipe sem incorrer em custos adicionais de TI — incluindo aumento de pessoal — graças à automação.

Em última análise, o objetivo da empresa é inovar e criar novas soluções que exigem novos sistemas. Uma solução SOAR "boa o suficiente", construída especificamente para gerenciamento de endpoints, vulnerabilidades ou inteligência de ameaças, não impulsionará a inovação da empresa da mesma forma que uma solução de orquestração e automação completa e robusta. Uma solução "boa o suficiente" pode atender às suas necessidades atuais, mas não será escalável e não evoluirá com você e suas necessidades exclusivas de SecOps e negócios.