Cada vez mais, as equipes de segurança enfrentam problemas por falta de equipe especializada, processos escaláveis para manter o acompanhamento do alto volume de alertas e tarefas sem fim da Operação de Segurança. Os analistas perdem tempo navegando entre uma série de consoles para coleta de dados, determinação de falsos-positivos e com a realização de tarefas manuais e repetitivas ao longo do ciclo de vida de um incidente. Enquanto lidam com esse cenário, os líderes de segurança precisam de mais tempo para tomar decisões relevantes ao business da organização, ao invés de manter a equipe de segurança apenas como o “bombeiro” da empresa.

 

Antes de tudo, o que é o SOAR?

SOAR é uma solução que permite aos profissionais de segurança simplificar a Operação e a Resposta aos Incidentes, integrando diferentes ferramentas e mantendo um equilíbrio entre a Automação, uso de IA (Inteligência Artificial), além da intervenção humana nesses processos.

Como falamos anteriormente, hoje uma empresa de médio porte possui cerca de 60 ferramentas de segurança em operação. Por essa razão, entendemos que uma boa solução de SOAR auxilia, enormemente, nesse cenário caótico. Confira alguns pontos importantes:

 

1 – Permite Resposta a Incidentes Escalável e Consistente

Uma boa solução de SOAR possui por default um playbook cobrindo as necessidades mais comuns das empresas, por exemplo: phishing, gestão de vulnerabilidades, segurança para a nuvem, entre outros. Uma solução robusta também permite que as empresas desenvolvam integrações próprias para cobrir suas necessidades específicas.

 

2 – Playbooks Modulares e Customizáveis

O ideal é que o editor de playbook seja visual, com capacidades de drag-and-drop, podendo executar ali milhares de de ações, de simples a complexas. Edição em tempo real, plataformas para simulações/testes (SandBox) e uma boa forma de compartilhamento (Base de Conhecimento) entre os membros da equipe são pontos importantes.

 

3 – Balanceamento entre Automação e Intervenção Humana

Permite o controle sobre processos automatizados com aprovação manual de tarefas, disponível para todos os pontos do playbook.

 

4 – Orquestração ao longo das ferramentas usadas

Não é possível falar de Orquestração e Automação, se a solução de SOAR não se integrar com as ferramentas presentes no ambiente, sejam elas: feeds de inteligência, SIEMs, firewalls, EDRs, sandboxes, ferramentas de análise forense, endpoints entre outros.

 

Desmistificando: SOAR e SIEM são a mesma coisa?

Essa é uma dúvida comum no mercado, desde o surgimento e crescimento das soluções de SOAR, por causa da orquestração e da automação de respostas a incidentes, muitos profissionais acabam pensando que o SOAR nada mais é do que uma espécie de SIEM 2.0.

Na prática, o SIEM e o SOAR são soluções que se complementam, dando uma alta capacidade de identificação e resposta a incidentes para as operações de segurança. Ao passo em que o SIEM detecta potenciais incidentes de segurança e gera os alertas, ao correlacionar uma série de dados de diferentes fontes, a solução de SOAR leve esses alertas a um novo patamar, realizando a resposta a esses alertas, triando os dados e tomando as ações de remediação quando necessário.

Portanto, uma solução de SOAR pode adicionar um valor tremendo a uma solução de SIEM já existe na operação de segurança.

 

O Cortex XSOAR – Recomendação Real Protect

O Cortex XSOAR é a solução de SOAR utilizada e recomendada pela Real Protect. Alguns profissionais podem ter conhecido essa solução em sua versão anterior, quando seu nome era Demisto. Após a incorporação e atualização feita pelo Palo Alto a plataforma foi rebatizada como Cortex XSOAR.

Benefícios ao negócio:

  • Mais de 370 integrações disponíveis “out-of-the-box”;
  • Processos de Resposta a Incidentes de Segurança escaláveis;
  • Melhora a produtividade dos analistas e aumenta a capacidade de aprendizado do time;
  • ROI imediato a partir dos investimentos já existentes em Threat Intelligence.