A automação inteligente está causando impactos nos mercados de tecnologia. E devido a uma enorme escassez de mão de obra em um desses mercados—cibersegurança—a automação tornou-se incrivelmente importante.

As empresas estão enfrentando dificuldades de contratação, utilizando funcionários com habilidades insuficientes e lidando com dezenas de ferramentas ao mesmo tempo—essas dificuldades têm implicações reais. Funcionários com habilidades insuficientes e em número reduzido são mais propensos a expor informações e usar ferramentas de forma inadequada; isso se soma ao risco e às potenciais consequências de deixar posições de segurança abertas e sem supervisão por meses.

Uma solução potencial: software de segurança de sistemas especializado. Embora não responda completamente à questão da lacuna de habilidades, as plataformas de orquestração, automação e resposta de segurança (SOAR) são projetadas para simplificar e automatizar grandes quantidades de tarefas de segurança, tornando as equipes mais enxutas, eficazes e eficientes.

O que é SOAR?

As empresas integram plataformas SOAR com soluções de segurança existentes, onde as equipes definem e estabelecem lógica operacional específica e políticas de segurança. A plataforma então usa informações contextuais da ferramenta de gerenciamento de informações e eventos de segurança (SIEM) de uma empresa para identificar anomalias e falhas. As plataformas SOAR também se integram com software de firewall, ferramentas de resposta a incidentes, software CASB, e praticamente qualquer outra ferramenta de segurança disponível para empresas.

SOAR vs. SIEM: Mais do que um complemento para SIEM

As empresas usam soluções de gerenciamento de informações e eventos de segurança (SIEM) para coletar e armazenar informações sobre endpoints, redes e outros ativos de TI. As equipes geralmente fazem isso colocando um agente em cada dispositivo para coletar dados e monitorar atividades. Essas informações são usadas para identificar atividades anormais, incidentes de segurança e qualquer outro tipo de ataque.

O SOAR dá o próximo passo operacional. Após integrar a solução SOAR com um SIEM e processar suas informações armazenadas, a ferramenta SOAR pode se integrar com ferramentas de segurança adicionais para automatizar tarefas de fluxo de trabalho. Por exemplo, os usuários de SOAR geralmente adicionam uma ferramenta de resposta a incidentes à plataforma para automatizar a remediação à medida que os incidentes surgem. Eles também podem integrar ferramentas de análise de segurança ou vulnerabilidade para adicionar informações contextuais aos motores de risco. Existem possibilidades infinitas, mas todas giram em torno da lógica definida pelas equipes de segurança e das operações que desejam automatizar. Por exemplo, gatilhos podem ser configurados para isolar automaticamente um dispositivo se malware for detectado. Os sistemas podem escanear continuamente em busca de anomalias e automatizar a investigação e remediação uma vez descobertas.

O SOAR não é um substituto para soluções SIEM; na realidade, o SIEM alimenta o SOAR. O SIEM fornece todos os dados contextuais e informações de segurança necessárias para treinar a plataforma SOAR a identificar anomalias e automatizar sua remediação.

O que está impulsionando a adoção do SOAR?

Existem inúmeros benefícios para essa tecnologia emergente, descrita pela primeira vez em 2017. Embora produtos SOAR específicos ostentem características variadas, as semelhanças entre seus benefícios incluem aumento da eficiência e visibilidade para equipes de operações de segurança—através de integração e automação.

Eficiência Operacional

Em termos simples, a automação facilita o trabalho dos funcionários. Plataformas SOAR permitem que as equipes definam prioridades e construam um fluxo de trabalho para eventos de segurança que requerem esforço humano mínimo. As equipes estabelecem normas operacionais através de lógica e políticas, que os produtos SOAR constantemente comparam e referenciam para detectar anomalias. Se a detecção e a remediação forem automatizadas, as equipes têm mais tempo para encontrar a causa raiz de um problema e evitar que ele aconteça novamente. Além disso, no caso de um incidente de segurança importante, esses produtos podem alertar instantaneamente as equipes para uma resposta rápida.

Eficácia da Resposta

Quanto mais cedo as equipes de segurança puderem detectar um problema, mais fácil será resolvê-lo. Sistemas legados podem ter a capacidade de alertar um indivíduo sobre um evento, enviar um e-mail para outro para investigação e notificar outro para remediação. As soluções SOAR permitem que problemas simples sejam detectados e remediados automaticamente. Outros problemas mais complexos podem ser investigados usando ferramentas integradas e informações forenses agregadas coletadas por software SIEM. Uma vez que as informações são analisadas, as equipes de investigação podem apresentar os dados à equipe de resposta a incidentes antes mesmo de estarem cientes do incidente, reduzindo drasticamente o tempo gasto desde a descoberta até a remediação.

Redução de Risco

A redução de risco é alcançada com o SOAR ao simplificar o processo de priorização de incidentes e vulnerabilidades. O gerenciamento de vulnerabilidades é um dos maiores processos que o SOAR pode impactar. As empresas podem ter centenas de configurações para examinar, mas a priorização inteligente baseada em risco ajuda as empresas a enfrentar problemas com o maior impacto, identificando recursos críticos potencialmente impactados por grandes problemas. Problemas simples podem ser remediados automaticamente (ou salvos para mais tarde) enquanto as equipes de segurança abordam os problemas enfrentados por sistemas críticos para os negócios.

Notícias no mercado SOAR

Embora a tecnologia SOAR exista há apenas alguns anos, o espaço já deve ultrapassar US$ 2 bilhões até 2025, expandindo-se a uma taxa de crescimento anual composta (CAGR) de 16% durante o período, de acordo com a KBV Research.

Imagem Cortesia: MarketsandMarkets

Essa atividade veio de várias formas.

Parte dela veio na forma de novos produtos de grandes players no mundo da segurança. E enquanto vários fornecedores de SIEM surgiram organicamente, a adesão de gigantes da tecnologia como Rapid7 e FireEye nos últimos anos deu credibilidade ao mercado.

Aquisições também adicionaram legitimidade ao mercado. Nos últimos anos, startups relacionadas ao SOAR foram adquiridas por fornecedores de segurança:

• Além de lançar sua plataforma SOAR InsightConnect em 2018, a Rapid7 reforçou sua tecnologia com a aquisição de três startups relacionadas ao SOAR: NetFort, tCell e Komand.
• A Splunk adquiriu VictorOPs e Phantom em 2019 para desenvolver o Splunk Enterprise Security e automatizar operações de segurança através do Splunk Phantom Security Orchestration.
• A Palo Alto Networks adquiriu a Demisto, uma líder na categoria SOAR da G2, e a Fortinet comprou a Cybersponse em 2019.

A lista continua. As aquisições podem roubar as manchetes, mas os provedores de SOAR que fazem parcerias com instituições de tecnologia, consultoria e finanças impulsionaram muito o crescimento do mercado. A maioria dessas parcerias veio em duas formas: estudos de caso de serviços em nuvem empresarial e acordos com provedores de serviços gerenciados (MSP).

A LogRythm iniciou uma parceria com a Dell EMC em 2016 para integrar soluções enquanto adicionava automação e análises de segurança aos produtos da Dell EMC. No ano seguinte, a ThreatConnect começou a colaborar com a CenturyLink; a Rapid7 fez parceria com a Microsoft; e a Demisto trabalhou com a AWS; todas adicionaram automação de segurança aos seus produtos e serviços.

A Splunk iniciou as parcerias MSP em 2016 enquanto trabalhava com a Accenture para automatizar a segurança para os serviços de aplicação da Accenture. A LogRythm seguiu o exemplo em 2017 para fazer o mesmo para a Deloitte. Desde então, vários outros provedores de consultoria, seguros e serviços fizeram parcerias com provedores de soluções SOAR para expandir a funcionalidade de seus produtos ou terceirizar partes de seus serviços.

O futuro das operações de segurança

Essas tendências de segurança continuarão em 2020 e além.

Para as empresas, isso significa mais trabalho colaborativo entre fornecedores de segurança e provedores de serviços para melhorar a automação de segurança para seus negócios e clientes.

Para as equipes de segurança, o maior impacto será um trabalho mais fácil: alcançar automação e visibilidade, executar soluções de segurança em uníssono e desenvolver fluxos de trabalho de resposta. Isso capacita as equipes de segurança a identificar e priorizar problemas com base em seus próprios objetivos ou necessidades únicas. Além disso, elas podem perder menos tempo em problemas menores e classificar riscos de acordo para otimizar o impacto de cada segundo que passam trabalhando.

Isso deve impactar uma quantidade substancial de equipes de segurança empresarial. Até 2022, quase um terço das organizações empresariais será composta por cinco ou mais profissionais de segurança. Esse número aumentará drasticamente dos 5% de hoje, de acordo com a Gartner.

As futuras equipes de segurança alimentadas por SOAR estarão mais bem equipadas do que nunca para analisar riscos, descobrir problemas de segurança e rapidamente remediar ameaças.