Red Hat SummitVisão geral
SOAR (orquestração, automação e resposta de segurança) é um conjunto de recursos usado para proteger sistemas de TI contra ameaças.
Ele se refere a três importantes recursos de software usados pelas equipes de cibersegurança: gerenciamento de casos e de fluxos de trabalho, automação de tarefas e acesso a meios centralizados de consulta e compartilhamento de informações sobre ameaças. O termo SOAR foi criado pelo grupo de consultoria Gartner, Os analistas de segurança também descrevem o SOAR com outros termos: a IDC se refere ao conceito como Analytics de segurança, Inteligência, Resposta e Orquestração (AIRO) e a Forrester descreve os mesmos recursos como Orquestração e Automação de Segurança (SAO).
Geralmente, o SOAR é implementado de maneira coordenada com o centro de operações de segurança (SOC) de uma organização. As plataformas SOAR monitoram feeds de inteligência de ameaças e acionam respostas automatizadas para problemas de segurança, o que pode ajudar as equipes de TI a mitigar ameaças de forma rápida e eficiente em vários sistemas complexos.
Automação e orquestração de tarefas
A automação da segurança é o processo de execução de operações de segurança sem a necessidade de intervenção humana. No caso da segurança, a automação é ainda mais importante devido à complexidade da infraestrutura e da possível falta de integração entre seus vários componentes. Mas, como determinar as tarefas que precisam ser automatizadas? Pergunte-se:
- A tarefa é rotineira? Ela precisa ser realizada com frequência?
- A tarefa é monótona? Ela inclui um conjunto específico de ações que precisam ser executadas de forma precisa?
- A tarefa é demorada? Esse conjunto de ações consome grande parte do tempo da sua equipe?
Se a sua resposta foi "sim" para qualquer uma das perguntas acima, significa que a automação pode ajudar você. Ela pode oferecer diversos benefícios para sua organização, incluindo a redução dos erros humanos, melhorias na consistência das respostas a incidentes de segurança e maior eficiência e velocidade.
Por que automatizar os processos de segurança?
Um dos principais benefícios da automação de tarefas é o aumento na eficiência das equipes de segurança, liberando tempo para que se concentrem em outros processos. Como não há profissionais de segurança suficientes para atender a todas as necessidades da organização, a automação pode diminuir isso ajudando as equipes de segurança a produzir mais com agilidade.
As equipes de segurança devem lidar com um enorme conjunto de ferramentas e produtos diferentes, como software de detecção e resposta de endpoint (EDR), firewalls e soluções de gerenciamento de eventos e informações de segurança (SIEM), que provavelmente não são integrados. Gerenciar tudo isso manualmente gera lentidão na detecção e correção de problemas, além de erros de configuração de recursos e aplicação inconsistente de políticas, deixando os sistemas vulneráveis a invasões e problemas de conformidade. A automação pode ajudar a simplificar as operações diárias e a integrar a segurança a processos, aplicações e infraestrutura desde o início, como numa abordagem de DevSecOps.
De acordo com o Ponemon Institute, detectar e conter violações de segurança em até 200 dias reduz o custo médio de cada violação em US$ 1,22 milhão, em média. A detecção rápida de ameaças pode reduzir a probabilidade de ocorrer uma violação de segurança e os custos associados, mas a correção em várias plataformas e ferramentas pode ser complicada, demorada e propensa a erros.
Embora os processos manuais possam atrasar a identificação de ameaças em ecossistemas de TI complexos, a automação de processos de segurança pode ajudar as organizações a identificar, validar e escalonar ameaças mais rápido, sem intervenção manual. As equipes de segurança podem usar a automação para melhorar os tempos de resposta e aplicar as correções nos sistemas afetados de forma simultânea nos ambientes.
Qual é a diferença entre automação e orquestração?
A orquestração é baseada em processos, e a automação, em tarefas. Com a orquestração da segurança, você conecta e integra diferentes ferramentas e sistemas para otimizar os fluxos de trabalho de resposta. Essa conexão de ferramentas e sistemas (e os processos que os governam) possibilita o uso da automação nos ambientes.
A automação pode simplificar fluxos de trabalho, mas as pessoas são essenciais para um dos aspectos mais relevantes do SOAR: orquestração de alto nível de segurança. Com a orquestração, as equipes de TI podem definir o processo de execução das tarefas automatizadas. A orquestração de processos de segurança conta com as pessoas nessas equipes para determinar "o que", "por que" e "quando" da automação da segurança.
Inteligência sobre ameaças centralizada
A inteligência sobre ameaças são as informações sobre ameaças novas ou existentes que colocam os recursos da organização em risco. Muitos bancos de dados de vulnerabilidades existem como fonte da inteligência sobre ameaças. Métodos de referência, como a lista CVE, facilitam a identificação e o compartilhamento dessas vulnerabilidades em bancos de dados e plataformas. Plataformas de inteligência sobre ameaças coletam esse conhecimento de diversos feeds. As ferramentas de SOAR usam vários feeds de inteligência para identificar possíveis ameaças. O SOAR agrega esses feeds em uma fonte unificada que pode ser consultada pelas equipes e usada para acionar tarefas de automação.
Dentro da organização, o SOC é o centro da resposta de segurança. No entanto, ainda pode ser difícil coordenar e comunicar-se com os muitos departamentos da empresa. A automação funciona como uma força de unificação e linguagem comum entre os departamentos. Uma solução de automação em todas as suas plataformas e departamentos pode estabelecer canais claros de interação, que facilitam a identificação e classificação das ameaças à segurança mais urgentes.
Segurança "shift left" nas práticas de DevOps
Uma mudança cultural pode aprimorar a segurança ao repensar o momento em que a segurança é levada em conta durante o processo de desenvolvimento. O termo "DevOps" é usado para descrever abordagens que aceleram os processos. Com elas, as ideias vão do desenvolvimento à implantação em um ambiente de produção. Antigamente, a segurança era delegada a uma equipe específica que atuava isoladamente no estágio final do desenvolvimento. Quando os ciclos de desenvolvimento duravam meses ou anos, isso não era tão problemático. No entanto, hoje nós costumamos entregar apps em semanas. No framework colaborativo do DevOps, a segurança pode se tornar uma responsabilidade compartilhada e integrada do início ao fim, denominada como "DevSecOps".
Assim como o DevOps, o DevSecOps é um modelo cultural. No planejamento do DevSecOps, os riscos no gerenciamento são considerados ao longo do processo de desenvolvimento. Empresas voltadas para a segurança costumam ser as primeiras a adotar as metodologias do DevSecOps, onde desenvolvedores trabalham com as equipes de segurança e implementam medidas no começo do desenvolvimento do ciclo de vida. Isso também é conhecido como "shifting left".
Não importa a base cultural estabelecida, implementar o DevSecOps com sucesso depende da automação. Essa automação pode incluir repositórios de controle de origem, registros de containers, pipeline de CI/CD e gerenciamento de API, além de monitoramento e gerenciamento operacional.
Como a Red Hat pode ajudar?
O software open source empresarial usa um modelo de desenvolvimento que aprimora a testagem e o ajuste de desempenho, geralmente com uma equipe de segurança responsável por ele. Ele otimiza os processos ao responder às vulnerabilidades de segurança e emitir protocolos para notificar usuários sobre problemas na segurança com etapas de remediação. Representa uma versão melhorada da rede de confiança open source para que você sempre tenha suporte com a segurança de TI.
Com uma subscrição do Red Hat® Ansible® Automation Platform, é possível automatizar, orquestrar e integrar diferentes soluções de segurança. Isso simplifica a investigação e a resposta a ameaças em toda a empresa de forma coordenada e unificada, usando um conjunto definido de módulos, funções e playbooks. Você também pode integrar aplicações externas usando APIs, SSH, WinRM e outros métodos de acesso padrão ou pré-existentes.
O Ansible Automation Platform possibilita processos full-stack, da infraestrutura até as aplicações, permitindo a coordenação com uma camada de tecnologias de segurança. E as equipes de operações de segurança podem usar o Ansible Automation Platform para gerenciar outras aplicações empresariais, como soluções de SOAR.
Além disso, o conhecimento da Red Hat em nuvem híbrida aberta oferece uma perspectiva única sobre a implementação da segurança em nuvem contra ameaças e ataques cibernéticos. Adotar um modelo de confiança zero pode mudar a perspectiva de segurança de uma empresa e realinhar as políticas de proteção.
