What does SOAR stand for?

No que se refere à segurança cibernética, SOAR significa Orquestração, Automação e Resposta de Segurança.

Orquestração, automação e resposta de segurança (SOAR)

O que é orquestração, automação e resposta de segurança (SOAR)?

Security Orchestration, Automation, and Response (SOAR) refere-se a um sistema de soluções de software integradas e compatíveis que permite que uma organização automatize a coleta de dados de segurança cibernética e a resposta a incidentes, melhorando a eficiência de suas operações de segurança no processo.

De muitas maneiras, o SOAR representa uma evolução do SIEM (Security Information and Event Management). Ele incorpora logs de eventos e dados de fontes de terceiros, incluindo inteligência externa contra ameaças, soluções de segurança de endpoint, scanners de vulnerabilidade, análise comportamental e detecção de intrusão. Também aproveita a análise para fornecer às equipes de segurança caminhos de investigação definidos juntamente com alertas selecionados, o que permite uma resposta mais eficiente e ajustada aos incidentes cibernéticos.

Componentes do SOAR

Como o nome sugere, o SOAR consiste em três componentes principais.

1. Orquestração de segurança

A orquestração tem tudo a ver com a conexão e a integração das várias ferramentas em seu ecossistema, tanto internas quanto externas. Normalmente, isso é feito por meio de recursos de integração incorporados, integrações personalizadas ou interfaces de programação de aplicativos (APIs). O principal objetivo da orquestração é consolidar os alertas e os dados gerados por cada solução em um único fluxo.

2. Automação de segurança

É na automação da segurança que o SOAR realmente se diferencia. Normalmente, a ingestão e a análise do imenso volume de dados gerados pela orquestração de segurança exigiriam uma análise manual extensa. No entanto, ao aproveitar a inteligência artificial e o aprendizado de máquina, uma solução SOAR tira a maior parte desse trabalho das mãos humanas.

Ao aproveitar os playbooks - essencialmente, coleções de processos, respostas e procedimentos predefinidos - o SOAR pode automatizar muitas tarefas, incluindo análise de logs, priorização de alertas, gerenciamento de acesso de usuários e detecção de ameaças.

3. Resposta de segurança

A orquestração e a automação formam a base do terceiro pilar do SOAR - a resposta. É aqui que o elemento humano de uma plataforma SOAR entra em ação. Os analistas podem planejar, gerenciar e coordenar as respostas de suas organizações às ameaças à segurança por meio de um painel de controle consolidado e de visualização única. Isso inclui os processos de relatório, revisão, gerenciamento de casos e compartilhamento de inteligência que normalmente ocorrem depois que um incidente é resolvido.

Benefícios do SOAR

Os principais benefícios do SOAR incluem o seguinte:

Detecção, gerenciamento e resposta a incidentes mais rápidos e eficazes
Informações melhores e mais precisas sobre ameaças
Redução da complexidade e da sobrecarga
Liberar os analistas humanos do trabalho manual e das ameaças de baixo nível, permitindo que eles realizem mais
Escalabilidade por meio da automação
Operações de segurança simplificadas por meio de manuais padronizados
Gerenciamento centralizado e simplificado de dados sobre ameaças
Melhoria da colaboração entre as equipes de TI
Compartilhamento de informações e relatórios pós-incidente mais fáceis
Visibilidade em tempo real em toda a organização

Capacidades do SOAR

A Gartner criou o termo SOAR em 2015. Na época, ele significava Security Operations, Analytics, and Reporting (Operações de segurança, análises e relatórios). Desde então, o analista atualizou o termo para sua definição atual, estabelecendo também que uma solução SOAR deve:

Apoiar a correção de vulnerabilidades e fornecer recursos formalizados de fluxo de trabalho, relatórios e colaboração. Incorpore plataformas de resposta a incidentes de segurança com recursos que incluam gerenciamento de vulnerabilidades, fluxos de trabalho, gerenciamento de incidentes, gerenciamento de casos, recursos de auditoria e registro e relatórios.

Apoiar a forma como uma organização planeja, gerencia, rastreia e coordena sua resposta a incidentes de segurança. Incorporar orquestração e automação de segurança, incluindo automação de fluxo de trabalho, integrações, manuais e gerenciamento de manuais, coleta de dados, análise de registros e gerenciamento do ciclo de vida da conta.

Apoiar a automação e a orquestração de fluxos de trabalho, processos, execução de políticas e geração de relatórios. Incorporar plataformas de inteligência contra ameaças, que incluem agregação, análise, distribuição, visualização e enriquecimento de contexto

Casos de uso do SOAR

Os possíveis casos de uso do SOAR são vastos. Como as soluções SOAR normalmente integram uma ampla seleção de plataformas diferentes, elas podem realizar qualquer coisa que essas ferramentas possam fazer. Dito isso, há alguns casos de uso relativamente exclusivos do SOAR que merecem ser mencionados:

Coordenar a inteligência contra ameaças em um cenário de ameaças em expansão
Simplificação do gerenciamento de casos
Gerenciamento, detecção e atenuação de vulnerabilidades
Gerenciamento e correção automatizados de riscos
Busca proativa de ameaças
Coordenação e priorização de alertas
Gerenciamento de certificados
Detecção e análise avançadas de malware

SOAR vs. SIEM

O SOAR é, em muitos aspectos, uma evolução do SIEM, e os dois têm muito em comum. Ambos são projetados para coletar e agregar dados de várias fontes, e ambos têm como objetivo permitir um processo de resposta a incidentes mais eficaz e simplificado. Algumas pessoas até começaram a usar os dois termos de forma intercambiável.

O fato de alguns fornecedores terem começado a incorporar recursos do tipo SOAR em suas soluções turva ainda mais as águas. Isso também não está estritamente isolado aos fornecedores de SIEM. Várias soluções de segurança, incluindo Endpoint Detection and Response (EDR) e Extended Detection and Response (XDR), estão adotando o SOAR.

Apesar dessas tendências, é importante entender como o SIEM e o SOAR diferem um do outro - porque eles diferem, e de algumas maneiras extremamente importantes.

O primeiro e mais importante é o escopo dos dados coletados. Embora uma solução SIEM reúna inteligência de várias fontes internas, as ferramentas SOAR vão um pouco além. Elas incorporam várias fontes externas e de terceiros e, normalmente, apresentam mais informações em tempo real em sua coleta de dados.

CylanceGUARD para segurança cibernética 24x7x365

As empresas de pequeno e grande porte enfrentam um número crescente de dispositivos, cada um deles aumentando as superfícies de ataque. Ao mesmo tempo, a maioria das empresas enfrenta uma lacuna de habilidades de segurança cibernética e escassez de recursos. A contratação de pessoal de segurança cibernética é particularmente problemática para empresas de pequeno e médio porte.

Como um serviço de XDR gerenciado 24x7x365 centrado no ser humano e baseado em assinatura, CylanceGUARD^® oferece o conhecimento e o suporte de que as empresas precisam. CylanceGUARD combina o conhecimento abrangente incorporado por BlackBerry^® Cybersecurity Services com a proteção de endpoints (EPP) baseada em IA por meio de CylancePROTECT^®autenticação e análise contínuas por meio do CylancePERSONA^™e detecção e correção de ameaças no dispositivo por meio de CylanceOPTICS^®. Em resumo, o CylanceGUARD fornece às empresas o pessoal e a tecnologia necessários para proteger a empresa do cenário moderno de ameaças.

SAIBA MAIS