Tecnologia SOAR permite priorizar e contextualizar riscos e respostas, fazendo com que os dados estejam disponíveis para todos os envolvidos na segurança, diz executivo da Palo Alto
A expansão acelerada das ameaças está colocando um novo desafio para as empresas, além da proteção da infraestrutura de TI: treinar e reter profissionais de segurança da informação. De acordo com o relatório The State of SOAR Report, de 2018, da Demisto, empresa adquirida em fevereiro pela Palo Alto Networks, as organizações precisam de oito meses, em média, para treinar novos analistas de segurança. Isso sem falar que um quarto desses empregados acaba deixando a organização no prazo de dois anos.
Um dos desdobramentos desse cenário é que as empresas estão buscando cada vez mais utilizar a automação das operações de segurança e da gestão de risco. Atento a essa tendência, o Gartner desenvolveu o conceito SOAR (Security Orchestration, Automation and Response), que reúne tecnologias e ferramentas de orquestração, automação e resposta a incidentes de segurança.
“Trata-se de uma coleção de tecnologias diferentes que permitem às empresas coletar dados e alertas de segurança de diferentes fontes”, explica Daniel Bortolazo, manager de engenharia de sistemas de Palo Alto Networks no Brasil. Ele descreve o SOAR como uma das formas que a transformação digital foca a segurança, especialmente o Centro de Operações de Segurança (SOC) e a equipe de segurança.
Contextualização de riscos
A automação baseada na tecnologia SOAR, segundo o executivo, simplifica a gestão de segurança, pois permite a coleta e análise de dados de segurança de diversas fontes. A empresa pode conduzir processos de análise e correção de ameaças utilizando máquinas e recursos humanos em conjunto para auxiliar na definição, priorização e realização de atividades padronizadas de resposta a incidentes de acordo com um fluxo de trabalho padrão. “Além da automatização de todo o ciclo de segurança, a tecnologia permite priorizar e contextualizar riscos e respostas, fazendo com que esses dados estejam disponíveis e compreensíveis para todos os envolvidos na segurança” explica Bortolazo.
Segundo ele, uma empresa de médio porte, com entre 3 mil e 10 mil funcionários, tem, em média, 60 ferramentas diferentes de segurança, que geram de 10 mil a 12 mil alertas de segurança por dia, o que a obriga a automatizar os processos de segurança. Por isso, é preciso que todos os dados dessas 60 ferramentas diferentes estejam centralizados para que o analista de segurança consiga gerenciá-los. É aí, segundo ele que entra a automatização, que vai gerar insights ou dicas para a tomada de ações.
“Com a centralização, em vez de olhar e analisar 100 mil alertas, o analista de segurança vai verificar apenas 300, por exemplo, já que o sistema já ‘digeriu’ esses eventos. Daí, o analista analisa aqueles que lhe parecerem mais importantes e verifica. Se foi um falso positivo, é descartado. Do contrário, o sistema atualiza as informações e se recalibra”, explica ele.
Orquestração de tecnologias
A automação, de acordo com Bortolazo, vai ajudar as empresas na orquestração das diferentes tecnologias ou soluções, provenientes de diferentes fornecedores, que hoje, devido à falta de integração, funcionam como sistemas separados, o que limita a capacidade de obtenção de respostas em tempo hábil. “O SOAR não só faz a consolidação e centralização dos dados, como automatiza respostas aos incidentes, ajudando os analistas em um SOC a economizar tempo, dinheiro e recursos”, diz.
As ferramentas baseadas em SOAR, de acordo com o executivo da Palo Alto, também ajudam às empresas na difícil e custosa tarefa de manter uma equipe de segurança. “Treinar e reter profissionais de segurança hoje é uma tarefa desafiadora. Por isso, o problema de contratar e treinar novos funcionários pode ser resolvido com a ajuda das ferramentas SOAR, pois elas podem ajudar a preencher a lacuna de pessoal e tornar a força de trabalho existente mais produtiva”, finaliza.
