Relatório Gartner SOAR: “Informações sobre inovação para orquestração, automação e resposta de segurança”

Se você é fã, mesmo que casual, da série original de Star Trek, certamente se lembra da frase icônica de Scotty: "Eu não consigo, Capitão! Eu não tenho poder para isso!" Ou melhor, da famosa frase: "Eu não posso mudar as leis da física!" O dilema de Scotty provavelmente é familiar para as equipes de operações de segurança (SecOps) atualmente. De acordo com o mais recente relatório Gartner Innovation Insights sobre Orquestração, Automação e Resposta de Segurança (SOAR), "As equipes de operações de segurança têm dificuldade em lidar com a avalanche de alertas de segurança provenientes de um arsenal crescente de tecnologias de detecção de ameaças."“

Nem tudo está perdido, porém. Assim como Scotty, eles podem encontrar uma solução para essa luta aparentemente impossível de vencer. Um espírito de esperança transparece no novo relatório. As equipes de SecOps podem adotar novas práticas e ferramentas para permitir uma prevenção, detecção e resposta mais eficazes a ameaças cibernéticas.

O que é SOAR?

SOAR representa Uma nova e poderosa maneira de aprimorar as operações de segurança (SecOps). O Gartner recomenda que as organizações implementem o SOAR para melhorar a eficiência e a consistência da resposta a incidentes, orquestrando e automatizando o gerenciamento de inteligência de ameaças, o gerenciamento de eventos de segurança e os processos de SecOps.

A Gartner estima que, até 2020, 151 mil e três trilhões de organizações de segurança com cinco ou mais profissionais de segurança adotarão o SOAR. Isso representa um aumento em relação à taxa de adoção atual, inferior a 11 mil e três trilhões.

SOAR é sinônimo de ação. A sigla costumava significar "Operações de Segurança, Análise e Relatórios". No entanto, o Gartner substituiu "Relatórios" por "Resposta". A geração de relatórios, aliás, é fundamental. Todas as ferramentas SOAR precisam fazê-lo para serem eficazes, já que uma resposta eficiente a um incidente de segurança é de suma importância.

Por que SOAR e por que agora?

O relatório da Gartner reforçou a noção de que existem muitos alertas de segurança e poucas pessoas para lidar com eles. Sem orquestração de segurança centralizada e recursos de resposta a incidentes, as equipes de SecOps ficam presas à coleta e à integração manual de informações sobre ameaças. Isso significa que os profissionais de segurança trabalham com manuais específicos para cada incidente, o que pode ser demorado e tedioso. Há uma redução significativa no tempo que poderiam dedicar à busca proativa e à defesa da rede contra ataques cibernéticos.

Essas circunstâncias estão impulsionando o crescimento da adoção e da influência do SOAR. A Gartner estima que, até 2020, 151 mil e três trilhões de organizações de segurança com cinco ou mais profissionais da área adotarão o SOAR. Isso representa um aumento em relação à taxa de adoção atual, inferior a 11 mil e três trilhões. Como observa o relatório, “Os desafios de um cenário de ameaças cada vez mais hostil, combinados com a falta de pessoal, conhecimento especializado e orçamento, estão levando as organizações a adotarem tecnologias de orquestração, automação e resposta de segurança (SOAR)”.”

O que contém o relatório SOAR mais recente da Gartner?

O relatório da Gartner descreve de forma bastante abrangente o SOAR e seus componentes funcionais. O foco está nos benefícios e casos de uso comuns do SOAR. Além disso, a Gartner apresenta recomendações para empresas que consideram ou implementam ferramentas de SOAR e conclui com uma lista de fornecedores representativos, incluindo a Swimlane. A pesquisa distingue conceitos-chave do SOAR, como automação e orquestração de segurança, gerenciamento de incidentes, colaboração, painéis e relatórios.

As principais recomendações do relatório incluem:

• Comece com uma abordagem simples, onde a automação possa ser facilmente implementada e onde as organizações percebam um retorno imediato sobre o investimento (ROI) – incluindo a redução do tempo médio de detecção (MTTD) e do tempo médio de resolução (MTTR).
• Foque na automatização de tarefas e na orquestração da resposta a incidentes.
• Utilize informações externas sobre ameaças para melhorar a eficácia das tecnologias de segurança e dos processos de resposta a incidentes.

Swimlane e SOAR

O Swimlane permite a implementação dos princípios SOAR, conforme descrito no relatório da Gartner. Ele automatiza as operações de segurança para equipes corporativas. O Swimlane permite que analistas de segurança automatizem tarefas repetitivas, como coleta de dados, geração de relatórios e resposta a falsos positivos. Um painel de gerenciamento SecOps desenvolvido especificamente para essa finalidade monitora todas as tarefas de segurança corporativas e fornece acesso centralizado a casos, relatórios, painéis e métricas para indivíduos e equipes.

Essa é a essência do SOAR. O Swimlane dá vida à automação baseada em máquinas recomendada no relatório, reduzindo o tempo do ciclo de investigação de incidentes.

Talvez Scotty estivesse errado, afinal. Talvez seja possível mudar as leis da física, ou pelo menos as leis da segurança cibernética. Com o SOAR, muitas coisas que antes pareciam impossíveis agora são alcançáveis.