Como pode a automação melhorar as operações de segurança num SOC

As equipas de segurança precisam de ser capazes de reagir cada vez mais rapidamente para identificar o que está a acontecer, interromper o ataque e mitigar os danos.

Mas face à cada vez maior escassez de analistas e recursos especializados para trabalhar nas equipas de segurança e nos Security Operations Centers (SOC), e ao mesmo tempo que os atacantes se estão a tornar mais sofisticados – e mais bem-sucedidos –, as empresas estão a enfrentar mais ataques, e esses ataques estão a tornar-se mais difíceis de prevenir, detetar e mitigar.

É por isso que a automação desempenha um papel crucial na cibersegurança moderna, tornando-se essencial que as equipas e analistas possam ter acesso a estes mecanismos de automação para fazer face ao crescente número de alertas e ameaças que as organizações enfrentam diariamente. A automação na cibersegurança está, assim, a tornar-se cada vez mais importante, sendo vital ter controlo sobre como se implementa e opera.

O papel da automação no SOAR (Security Orchestration, Automation and Response) é aliviar o fardo das organizações de serviços de cibersegurança, automatizando comportamentos repetitivos e tarefas recorrentes. O grau de automação pode ser ajustado e as equipas de segurança podem determinar se desejam que algumas tarefas incluam interação humana (fundamental em alguns processos), ou se desejam que todas as tarefas sejam totalmente automatizadas.

É uma tecnologia específica que ajuda os analistas dos SOC e permite uma resposta mais rápida a possíveis ameaças à segurança. Estes analistas têm uma infinidade de tarefas e processos, e a automação desempenha um papel vital para libertá-los da análise dessas tarefas repetitivas, permitindo que tenham mais tempo para se concentrar em tarefas de maior valor, nomeadamente, focar a sua atenção em ameaças reais e noutras questões mais importantes para a deteção de incidentes.

Estas soluções transformam as operações de segurança, agregando valor e integrando um conjunto de outras soluções, tais como SIEM (Security Information and Event Management), IDPS (Intrusion Detection and Prevention Systems), UEBA (User and Entity Behaviour Analytics), fontes de Threat Intelligence, para diminuir o tempo de resposta, simplificar o processo de investigação, e aumentar a eficácia de reação a falsos positivos.

Ao implementar o processo de automação, estas soluções usam Playbooks ou Runbooks e fluxos de trabalho para automatizar totalmente os processos de triagem, investigação e contenção. Além disso, a automação de segurança permite que, no processo do fluxo de trabalho, se executem uma variedade de enriquecimento granular de dados, notificação, contenção e ações personalizadas com base na tomada de decisão lógica, garantindo sempre que nenhuma ameaça seja ignorada.

As ferramentas SOAR aceleram o processo, integrando todas as ferramentas no arsenal do SOC. Em vez de usar uma dúzia ou mais de ferramentas diferentes, a equipa de segurança pode ir a um local para obter todas as informações.

E é com este objetivo que a Multicert está no processo de implementação de uma das mais conceituadas soluções SOAR do mercado, no sentido de incrementar os níveis de serviço das equipas e dar resposta à crescente procura dos seus serviços SOC.

Conteúdo co-produzido pela MediaNext e pela Multicert