O voo que você não escolheu

O voo que você não escolheu

4 Minutos de leitura

O voo que você não escolheu

Relembre como sua plataforma de orquestração, automação e resposta de segurança (SOAR) acabou em seu conjunto de soluções. Foi uma decisão deliberada, resultado de uma avaliação minuciosa de acordo com suas necessidades específicas? Ou simplesmente fez parte de uma compra maior?

Para muitas equipes de segurança, a resposta honesta é a segunda. O SOAR não foi selecionado. Ele veio junto, como consequência.

Essa distinção importa mais do que parece à primeira vista. A automação de segurança molda a forma como seus analistas trabalham todos os dias. Ela determina a rapidez com que você responde, o quanto você pode escalar e a qualidade da comunicação entre suas ferramentas. Uma plataforma tão importante merece ser escolhida por seus próprios méritos. No entanto, para muitas equipes, isso nunca aconteceu.

Resumindo:

  • A maioria das equipes de segurança nunca escolheu deliberadamente seu SOAR (Sistema de Gerenciamento de Acesso Aberto e Recurso). Ele chegou incluído em um pacote maior de SIEM (Sistema de Gerenciamento de Informações de Segurança), endpoint ou inteligência de ameaças, aprovado durante o processo de aquisição em vez de avaliado quanto à sua adequação.
  • Esse SOAR integrado é otimizado para o ecossistema de um único fornecedor, integrando-se perfeitamente dentro da infraestrutura existente, mas apresentando dificuldades em todas as outras áreas da sua arquitetura mista. Cada fluxo de trabalho que você cria aprofunda essa dependência.
  • A Swimlane adota a abordagem oposta: automação de SOC com IA independente de fornecedor, criada para orquestrar o ambiente que você realmente utiliza, com um guia de migração que transfere seus fluxos de trabalho para a versão 90% automaticamente.

Como o SOAR acaba sendo agrupado

O caminho é conhecido. Um fornecedor apresenta uma plataforma mais abrangente: SIEM, inteligência de ameaças, endpoints e talvez uma camada de serviços gerenciados. O SOAR também está incluído, integrado à plataforma. A equipe de compras vê um contrato mais claro e menos fornecedores para gerenciar. O negócio parece vantajoso no papel. Então, o contrato é assinado. O SOAR vem junto.

Ninguém parou para perguntar se aquele mecanismo de automação específico era o mais adequado para o ambiente. Ninguém o comparou com as alternativas. A decisão foi sobre o pacote completo, e o SOAR foi um mero detalhe.

Isso não é uma crítica à engenharia por trás dessas ferramentas. Palo Alto XSOAR, Splunk SOAR e FortiSOAR são todos produtos competentes, desenvolvidos por equipes sérias, mas a verdade é que, embora essas plataformas SOAR fossem ótimas em sua época, elas não foram inovadas nos últimos anos e não são mais projetadas para acompanhar as ameaças atuais.

As 4 principais compensações que ninguém leu em voz alta

Cada pacote é uma série de concessões que você nunca aceitou explicitamente. Elas não aparecem na apresentação de vendas. Surgem mais tarde, no dia a dia da operação. Adaptação herdada. Quando o SOAR faz parte de um acordo maior, ele é otimizado para a venda do fornecedor, não para seus fluxos de trabalho específicos. Você se adapta à ferramenta em vez de a ferramenta se adaptar a você. Com o tempo, sua equipe cria processos em torno de suas limitações e passa a tratá-las como normais.

1. O viés do ecossistema SOAR. 

Um SOAR integrado é projetado para aprofundar seu relacionamento com a plataforma principal. Ele se integra perfeitamente ao ecossistema desse fornecedor e se torna visivelmente mais rígido em outros aspectos. As integrações que o fornecedor promove tendem a ser aquelas que vendem mais de sua própria plataforma. Mas nenhuma operação de segurança real depende de um único fornecedor. A maioria dos ambientes utiliza recursos de diversas fontes, e um SOAR que prioriza uma delas trata as demais como uma reflexão tardia.

2. O SOAR legado reduziu sua flexibilidade. 

Alterações que deveriam levar uma tarde podem exigir um especialista. As atualizações seguem o cronograma do fornecedor, não o seu. A automação que você mais deseja implementar é, às vezes, a que a plataforma mais dificulta. Nada disso é dramático. É um preço a se pagar, aos poucos, pelo tempo e pela ambição da sua equipe.

3. Dependência de fornecedor com SOAR integrado 

Eis a parte que raramente é discutida na assinatura do contrato. Cada plano de ação que você cria dentro de um ecossistema fechado torna a saída mais difícil. Cada integração, cada fluxo de trabalho, cada dependência aumenta o custo de mudar de ideia. O pacote é fácil de adotar. Essa facilidade é a estratégia. A verdadeira questão não é o quão fácil foi começar, mas sim o quão preso você se sentirá daqui a três anos.

4. Um SOAR conveniente agora pode ser uma restrição mais tarde.

A consolidação de contratos resolve um problema de compras. Simplifica a gestão de fornecedores e torna o contrato mais organizado. Esses são benefícios reais e têm valor.

Mas a conveniência da aquisição e a realidade operacional são duas coisas diferentes. A decisão que facilita uma renovação na sala de reuniões pode complicar as coisas no centro de operações. Seus analistas são os que sentem a diferença entre o que foi comprado e o que realmente precisam.

É assim que a automação "boa o suficiente" limita silenciosamente o potencial de uma equipe. A ferramenta integrada não está quebrada. Ela funciona tão bem que ninguém a questiona. Enquanto isso, sua equipe cria soluções alternativas, aceita as limitações como inevitáveis e, aos poucos, esquece o que uma plataforma construída em torno delas realmente poderia fazer.

A pergunta que vale a pena fazer

Você não precisa declarar que seu SOAR atual foi um erro. Basta fazer uma pergunta honesta na sua próxima renovação…

Se essa ferramenta não estivesse incluída no pacote, você ainda a escolheria?

Se a resposta vier rápida e confiante, você está numa boa posição. Continue onde está. Mas se você hesitar, essa hesitação está lhe dizendo algo. Significa que a decisão foi tomada por você e talvez valha a pena tomá-la novamente, desta vez nos seus próprios termos e contrariando suas próprias necessidades.

Considerações honestas para reavaliar o SOAR

Algumas perguntas podem te ajudar a chegar lá:

  • Sua estratégia SOAR automatiza de forma integrada toda a sua infraestrutura, ou apenas as ferramentas de um único fornecedor?
  • Quanto tempo leva para construir ou alterar um fluxo de trabalho significativo, e quem precisa fazer isso?
  • Se você quisesse ir embora, quanto do que você construiu teria que reconstruir do zero?
  • Essa plataforma conquistaria um lugar no seu ambiente se tivesse que vencer por conta própria?

Um caminho melhor para o futuro

É aqui que Turbina Swimlane entra em cena e explica por que pensamos de forma diferente sobre o problema.

O Turbine foi projetado para ser independente de fornecedores. Ele não foi criado para reforçar um ecossistema específico ou para induzi-lo a comprar mais produtos de um único fornecedor. Ele foi criado para orquestrar seu ambiente como ele realmente é: misto, em constante evolução e repleto de ferramentas de diversas origens. Sua automação segue sua infraestrutura, não o roteiro de um fornecedor.

Essa abertura é o objetivo principal. Quando sua abordagem de automação não está vinculada a uma única plataforma, você mantém suas opções em aberto, adapta-se rapidamente e orquestra tudo o que executa, em vez de apenas as partes aprovadas.

E se você está preocupado que a mudança signifique reconstruir tudo o que você já criou, essa é uma preocupação válida, e nós a resolvemos. O Swimlane pode migrar até 90% dos seus fluxos de trabalho existentes da sua plataforma atual. A parte mais trabalhosa é praticamente resolvida antes mesmo de você começar, então mudar de ideia não significa recomeçar do zero.

Você escolheu seu SIEM. Você escolheu suas ferramentas de endpoint. Você também deveria poder escolher como seu ambiente será orquestrado, com base em seus méritos, para o seu ambiente e nos seus termos.

Então, faça a si mesmo a pergunta sincera. Depois, decida o que sua equipe realmente merece.

Turbina de raia

Repense o que vem depois de SOAR.

Veja como a Swimlane ajuda as equipes a substituir as limitações legadas do SOAR por automação de IA orientada a agentes, criada para a maneira como as operações de segurança modernas realmente funcionam.

Explore agora

Solicitar uma demonstração ao vivo