SOAR: Entre a promessa de automação e a preparação necessária

Quando um SOC recebe milhares de alertas diários, a diferença entre contenção em horas ou minutos pode determinar o custo de um incidente. O Security Orchestration, Automation and Response (SOAR) promete transformar o tempo de resposta através de automação inteligente. No entanto, entre a promessa e os resultados há um caminho que muitas organizações portuguesas ainda estão a descobrir.

David Grave, Security Director da Claranet Portugal, e David Antunes, Solutions Account Manager da Fortinet, trabalham diariamente com clientes em diferentes estágios destas jornadas. As suas perspetivas revelam tanto o potencial real como os obstáculos práticos.

“A verdadeira questão não é que plataformas operamos, mas como as operamos”, afirma David Grave. “Muitos no mercado ficam obcecados com a melhor plataforma, como se a tecnologia fosse uma bala de prata”. A observação salienta um ponto importante: o sucesso do SOAR depende tanto da preparação organizacional como da escolha de uma plataforma que se integre bem no contexto tecnológico existente.

Maturidade, o pré-requisito ignorado

A maturidade em Portugal reflete o que acontece noutros mercados europeus. David Antunes estima que “ainda é residual o número de organizações enterprise que apresentam uma maturidade suficiente para tirar partido de uma solução SOAR de forma plena”. Isto significa processos formalizados, operação de segurança coerente e equipas capazes de estruturar fluxos de automação consistentes.

A análise da KuppingerCole reforça que os SOAR têm um papel estrutural apenas quando existe base tecnológica consolidada, governança clara e equipas com capacidade operacional. “A maioria das empresas encontra-se ainda num estádio intermédio, focada em consolidar ferramentas, reduzir silos tecnológicos e fortalecer o SOC antes de avançar para níveis mais elevados de orquestração”, contextualiza o representante da Fortinet.

Esta progressão não é um defeito do mercado português, mas um caminho natural. Como refere David Grave, “tentar implementar SOAR numa organização sem processos de gestão de incidentes bem definidos e testados será certamente um projeto de baixo retorno efetivo. Primeiro, arruma-se a casa: definem-se processos, playbooks e responsabilidades; testa-se, ajusta-se e testa-se novamente”.

Os desafios reais

Os números mostram que o caminho tem obstáculos. David Antunes revela que “cerca de um quarto dos projetos abrandam ou ficam suspensos após o PoC não por limitações tecnológicas, mas por desafios internos dos clientes”. Os motivos são conhecidos: processos não formalizados, ferramentas fragmentadas que não comunicam entre si, equipas sobrecarregadas sem capacidade para estruturar mudança e dados de threat intelligence pouco operacionalizados.

O dado mais relevante é, no entanto, que três quartos dos projetos avançam e, quando o fazem, “tendem a ter continuidade e expansão ao longo do tempo, precisamente porque o valor é claro e cumulativo”, acrescenta David Antunes.

“Implementar uma plataforma SOAR numa organização sem processos maduros e testados pode trazer o resultado contrário ao esperado. O SOAR não corrige a falta de estratégia, apenas acelera a execução - seja ela boa ou, perigosamente, má” David Grave, Security Director da Claranet Portugal

Por outro lado, o representante da Claranet Portugal é direto sobre o que não funciona. “Implementar uma plataforma SOAR numa organização sem processos maduros e testados pode trazer o resultado contrário ao esperado. O SOAR não corrige a falta de estratégia, apenas acelera a execução – seja ela boa ou, perigosamente, má”. A mensagem não é evitar SOAR, mas preparar o terreno adequadamente.

Onde funciona e onde é irrelevante

Questionados onde o SOAR realmente entrega valor para as organizações, as respostas de David Grave e David Antunes convergem. O Security Director da Claranet Portugal é categórico na sua análise e partilha que “a diferença é enorme em cenários de alto volume e resposta padronizada: um alerta de phishing, o bloqueio de um IP malicioso, o isolamento imediato de um endpoint comprometido. Aqui, o SOAR é implacável”.

Um estudo da Microsoft sobre a utilização de ferramentas de automação com IA generativa no SOC demonstrou uma redução de 30,13% no Mean Time To Resolution três meses após a adoção, confirmando que a automação bem implementada produz ganhos mensuráveis.

Mas há limites claros. É irrelevante “numa investigação complexa de um ataque persistente avançado que exige análise aprofundada, interpretação contextual e correlação de dados não estruturados”, explica David Grave. “O SOAR é o músculo, mas o cérebro da operação continua a ser humano”.

Os setores onde a tração é maior não surpreendem. David Antunes identifica o setor financeiro como pioneiro “pela necessidade de tempos de resposta reduzidos e pela enorme dependência de processos de deteção e investigação bem estruturados”. Seguem-se a energia, utilities, saúde, telecomunicações e MSSP. No extremo oposto, setores com menor maturidade digital, incluindo parte da Administração e indústrias tradicionais, ainda não apostam em SOAR.

Quanto tempo até ver resultados?

Com base na experiência da Fortinet, David Antunes afirma que “um cliente enterprise necessita de duas a quatro semanas para ter a solução operacional com as integrações base. Entre seis e dez semanas já é possível automatizar casos de uso críticos. Ao fim de aproximadamente doze semanas, a maioria das organizações começa a observar reduções claras no tempo médio de resposta”.

Este ritmo é possível porque, como explica, “disponibilizamos mais de seiscentas integrações e mais de oitocentos playbooks pré-construídos, o que evita começar do zero”. Durante os primeiros doze meses, cerca de 70% dos fluxos utilizados assentam em playbooks standard, com os restantes 30% desenvolvidos para necessidades específicas.

A questão dos playbooks standard versus personalizados revela um ponto interessante. David Grave observa que “todos os nossos clientes beneficiam das capacidades de automação e enriquecimento, triagem e respostas que o SOAR trouxe ao nosso serviço, mesmo que não o usem para automatizar os seus processos”. A automação não é binária; existem múltiplas camadas de valor.

O problema dos falsos positivos

Um SOAR mal configurado amplifica problemas em vez de resolvê-los, como diz David Grave. Um SOAR mal configurado “vai apenas criar mais trabalho e rapidamente gerar desconfiança na tecnologia”. Por outro lado, diz, “um SOAR afinado, alimentado por threat intelligence e gerido por especialistas, faz o oposto: enriquece os alertas, descarta automaticamente os falsos positivos com elevada confiança”.

Estudos recentes indicam que as organizações que implementam ferramentas de investigação automatizadas conseguem reduções entre 70% e 90% no Mean Time to Conclusion, uma métrica que captura todo o ciclo de vida de um alerta, do início à resolução.

Da tecnologia ao serviço

David Grave afirma que “a discussão SOAR vs. SIEM vs. XDR é uma perspetiva de comprar caixas e tecnologia. O mercado e os clientes mais evoluídos caminham para a plataformização e, acima de tudo, para o consumo de resultados: procuram cada vez mais um serviço”.

Este modelo de entrega tem duas vertentes clara. Para clientes com o próprio stack tecnológico, empresas como a Claranet Portugal gerem e otimizam essas ferramentas. Para a maioria, que não quer a complexidade de gerir tecnologia, licenciamento e equipas in-house, entrega-se “um serviço completo, beneficiando de uma economia de escala, de conhecimento e de processos que levariam anos a construir sozinhos”.

	“Um cliente enterprise necessita de duas a quatro semanas para ter a solução operacional com as integrações base. Entre seis e dez semanas já é possível automatizar casos de uso críticos. Ao fim de aproximadamente doze semanas, a maioria das organizações começa a observar reduções claras no tempo médio de resposta” David Antunes, Solutions Account Manager da Fortinet

A expansão do uso após implementação confirma que, quando bem feito, o SOAR cresce naturalmente. “A automação raramente estagna”, observa David Antunes. “À medida que os fluxos iniciais estabilizam, as equipas começam a expandir o uso do SOAR para novas áreas: automação de vulnerabilidades, gestão de ativos, integração com mais fontes de threat intelligence”.

Resistências culturais, não técnicas

Questionados sobre os principais obstáculos, tanto o representante da Claranet Portugal como da Fortinet apontam fatores organizacionais acima dos técnicos. “As resistências mais comuns são sobretudo organizacionais”, confirma David Antunes, acrescentando que “muitas equipas receiam perder controlo do SOC quando se introduz automação”.

David Grave acrescenta que “insistir no contrário é a forma mais rápida e eficiente de queimar orçamento e frustrar equipas. Muitas empresas chegam até nós precisamente depois de falharem nesta jornada a solo”.

Automação que escala com maturidade

A expansão da utilização após implementação confirma que, quando bem feito, o SOAR cresce naturalmente.

David Grave resume a transformação do mercado. “O CISO não quer saber se a resposta veio de um SIEM ou de um XDR. Quer saber se a ameaça foi contida e qual o impacto no negócio”. A KuppingerCole prevê, por exemplo, um crescimento de 14,9% anual par ao mercado SOAR, elevando-o para 1,9 mil milhões de dólares até 2025.

O SOAR funciona, mas exige preparação. Com processos definidos e equipas preparadas, o tempo de contenção passa de horas para minutos, os analistas focam-se no que realmente importa e o SOC escala sem multiplicar o número de colaboradores. Como conclui David Antunes, “o SOAR transforma-se num acelerador natural da maturidade do SOC”.