Como os serviços SOAR e SIEM se saem em um cenário de ameaças cibernéticas que muda rapidamente?

Como os serviços SOAR e SIEM se saem em um cenário de ameaças cibernéticas que muda rapidamente?

Informação de segurança e gestão de eventos (SIEM) tecnologias têm sido ferramentas poderosas para profissionais de segurança cibernética. Eles permitem que as equipes de segurança coletem e analisem dados baseados em eventos de uma infinidade de fontes, como sistemas de segurança de TI, redes, servidores, aplicativos e muito mais, em uma tentativa de ajudar a identificar e mitigar ataques cibernéticos recebidos.

Contudo, orquestração de segurança, automação e resposta Os produtos (SOAR) tornaram-se uma alternativa viável aos sistemas SIEM mais tradicionais nos últimos anos. Embora as tecnologias SOAR também ajudem as organizações a gerenciar várias fontes de dados em seus imóveis de TI, elas vão além dos SIEMs ao automatizar vários aspectos do processo de descoberta e mitigação de ameaças cibernéticas.

Mas com a rápida transição para um mundo remoto de trabalho e os cibercriminosos continuam a tirar proveito de a pandemia Covid-19, o cenário de ameaças evoluiu significativamente no ano passado – e as empresas enfrentam muitos novos desafios de segurança cibernética como consequência. Então, os serviços SIEM e SOAR ainda são ferramentas poderosas para as equipes de segurança? E como eles evoluíram em 2021?

Os desafios enfrentados pelas equipes de segurança de rede mudaram significativamente por causa da pandemia de coronavírus e subsequente aumento do trabalho remoto, de acordo com Nicola Whiting, diretor de estratégia da Titania.

“A mudança para o trabalho remoto, incluindo a introdução de novos dispositivos e aplicativos, bem como a adoção da tecnologia de nuvem, significa que as equipes têm uma quantidade cada vez maior de dados de rede para coletar e analisar”, diz ela.

“Acrescente a isso a sofisticação crescente dos agentes de ameaças, que requerem uma quantidade cada vez menor de tempo para se estabelecerem em uma rede de destino, e a importância de monitorar continuamente o estado de configuração de uma rede é clara.”

Mas, para os profissionais de segurança que buscam navegar com sucesso em um cenário de ameaças cibernéticas cada vez mais complexo, os SIEMs podem ser ferramentas poderosas. Whiting diz que eles oferecem uma visão centralizada e em tempo real do estado real de uma rede por meio da coleta e análise de dados de diferentes ferramentas de segurança. Isso permite que os profissionais de segurança observem quando os dados saem do estado desejado.

“Ao agregar e enriquecer dados de avaliação de vulnerabilidade frequentes, se não contínuos, as equipes de segurança de rede podem obter confiança na configuração – sabendo que a rede está configurada corretamente para evitar um ataque”, diz Whiting.

“Portanto, especialmente no ambiente de rede de TI novo, complexo e em evolução de hoje, os SIEMs são mais críticos do que nunca para minimizar a superfície de ataque e reduzir o tempo médio para a detecção de configurações incorretas.”

No entanto, Whiting acredita que identificar anomalias e ameaças em um SIEM constitui apenas uma parte da confiança da configuração. Outro elemento crítico desse processo é ser capaz de corrigir problemas automaticamente assim que forem descobertos, e sua visão é que os recursos de automação de triagem das tecnologias SOAR estão se tornando cada vez mais essenciais.

“Isso está levando a uma mudança em direção à integração de SIEMs com orquestração de segurança, automação e recursos de resposta – ou seja, detecção e resposta gerenciadas [MDR] funcionalidade, reduzindo o tempo médio de triagem de vulnerabilidades de segurança ”, diz ela. “No entanto, a confiança na automação que sustenta o MDR são dados de alta fidelidade.

“Portanto, as equipes de segurança de rede – embora desejosas de adotar a tecnologia baseada em automação para reduzir as cargas de trabalho e agilizar a correção – estão cada vez mais se concentrando na precisão das ferramentas que alimentam dados em suas ferramentas MDR. A automação é redundante se for baseada em informações imprecisas. Conhecer e enfrentar as ameaças e desafios de segurança de hoje, portanto, começa no nível de avaliação de vulnerabilidade. ”

As ferramentas SIEM evoluíram

Por duas décadas, as tecnologias SIEM atuaram como uma ferramenta vital nos departamentos de TI e segurança cibernética em todo o mundo. E embora ainda sejam importantes no cenário de segurança de hoje, Forrester A analista de segurança e risco Allie Mellen diz que os sistemas SIEM atuais se concentram principalmente na detecção e resposta, em vez de casos de uso de conformidade.

“Isso é exemplificado em uma pesquisa recente que fiz, que descobriu que mais de 80% dos profissionais entrevistados afirmaram que usam seu SIEM principalmente para casos de uso de detecção e resposta”, diz ela. “Eles não são frequentemente discutidos dessa forma; muitos fornecedores sugerem que os SIEMs são bons apenas para conformidade, voltando às suas raízes. ”

Embora os SIEMs já existam há um tempo significativo, Mellen aponta que inovações estão surgindo nessa indústria e trazendo uma nova era de SIEM. Ela diz: “Essa mudança é mais apropriadamente chamada de plataformas de análise de segurança, que não apenas lidam com a ingestão e armazenamento de log, mas também abordam de forma mais eficaz os casos de uso de detecção e resposta que os SOCs [security operations centres] necessidade.”

O que torna as plataformas de análise de segurança tão poderosas é o fato de fornecerem recursos de SIEM, SOAR e UEBA (análise de comportamento de usuário e entidade) em uma única solução. Mellen diz que eles cobrem todo o ciclo de vida de resposta a incidentes – incluindo detecção, investigação e resposta – ao lado de áreas vitais, como conformidade.

“Este ano, as plataformas de análise de segurança estão continuando a mudança para a nuvem, com fornecedores lançando soluções nativas da nuvem ou evoluindo seu modelo de preços para suportar essa mudança e os pesados ​​custos que vêm junto com o armazenamento de dados em massa”, diz ela. “Eles estão tentando melhorar seus recursos de aprendizado de máquina para detecções mais precisas e dinâmicas e estão procurando ativamente maneiras de ajudar os profissionais a detectar melhor as ameaças na nuvem.”

Mellen acrescenta que os fornecedores de plataformas de análise de segurança também estão começando a mudar a maneira como enviam mensagens de suas ofertas por causa da competição representada pelas tecnologias de detecção e resposta estendidas (XDR). “O foco está muito mais centrado na detecção e resposta a ameaças, com uma ênfase renovada na melhoria dos recursos de investigação e na simplificação do processo do manual SOAR com automação adicional”, diz ela.

Novas abordagens

A indústria está fazendo a transição de ferramentas de processamento puramente orientadas a eventos para soluções de monitoramento comportamental, como Tecnologias XDR, de acordo com Sean Wright, líder de segurança de aplicativos da Laboratórios Imersivos.

“Isso faz sentido porque os invasores estão em constante evolução, o que significa que a detecção tradicional baseada em assinatura fica para trás”, diz ele. “A evolução da infraestrutura também força algumas mudanças. Por exemplo, muitas organizações estão migrando para a nuvem e não têm mais um único datacenter, o que pode afetar a eficácia de um SIEM. ”

Olhando para o futuro, Wright acredita que as tecnologias SOAR crescerão em popularidade à medida que a inteligência de ameaças se tornar uma parte cada vez mais importante da postura de segurança cibernética de uma organização. “A automação pode impulsionar a eficiência em seu uso e análise, o que, em última análise, ajuda as equipes de segurança a agir com mais rapidez nas informações para reduzir o risco”, diz ele.

Jake Moore, um especialista em segurança da ESET, afirma que os sistemas SIEM e SOAR oferecem máxima visibilidade e são uma ferramenta essencial para organizações que buscam mitigar um tsunami de ameaças à segurança cibernética. “A ideia deles é avaliar e analisar dados em tempo real quanto a anomalias e padrões e identificar os riscos, o que é inestimável na resposta a incidentes”, diz ele. “Isso é vital para qualquer empresa que deseja se preparar para o futuro do inevitável discurso de ataques que tantas organizações enfrentam”.

Embora Moore concorde que as tecnologias de SIEM baseadas em software como serviço (SaaS) podem melhorar substancialmente a eficiência no departamento de segurança cibernética, ele alerta as organizações para não dependerem demais de sistemas SIEM que utilizam inteligência artificial porque podem gerar falsos positivos.

Em um mundo perfeito, diz Moore, as organizações seriam capazes de detectar ataques cibernéticos o mais cedo possível. Mas ele admite que as tecnologias autônomas de detecção de ameaças não estão avançadas o suficiente para que isso seja a realidade hoje. “Mas este é, pelo menos, o início de uma melhor proteção e é muito provável que cresça exponencialmente com confiança enquanto se aproxima com mais robustez”, diz ele.

SOARs são ferramentas poderosas

Quando os SIEMs surgiram pela primeira vez na década de 2000, eles eram uma ótima maneira para as equipes de segurança de TI controlarem várias fontes de dados e usarem essas informações variadas para combater os ataques cibernéticos. Mas Michael Morris, diretor de alianças globais de tecnologia da Endace, acredita que os SOARs estão surgindo como uma solução mais eficaz para profissionais de segurança cibernética.

“Agora os SOARs estão se tornando a próxima plataforma obrigatória, oferecendo a promessa de ajudar as equipes a acompanhar as superfícies de ataque expandidas e fluidas e um volume cada vez maior de ameaças, automatizando e padronizando os processos de investigação e resposta”, disse Morris.

Ele avisa que as ameaças à segurança de TI estão se tornando mais sofisticadas, enquanto os tempos de permanência mais longos estão tornando mais fácil para os criminosos cibernéticos acessar ativos e dados essenciais. Por causa disso, as plataformas SIEM e SOAR estão ganhando importância à medida que as organizações buscam cada vez mais “conectar indicadores de comprometimento de ferramentas de monitoramento de segurança, dados de log e tráfego de rede”.

Morris acrescenta: “Juntas, essas plataformas podem ajudar as equipes a automatizar a análise, correlação e preservação de evidências forenses de possíveis violações de segurança, dando às equipes SecOps tempo para responder e uma visão clara do que exatamente aconteceu.”

Se as equipes de segurança não conseguirem usar as tecnologias SIEM e SOAR, Morris avisa que elas terão dificuldade para acompanhar os volumes cada vez maiores de alertas cibernéticos, distinguir falsos positivos de ameaças genuínas e concentrar seu tempo em lidar com os riscos mais sérios.

“Por sua vez, isso torna difícil ser mais pró-ativo”, diz ele. “Eles gastam muito tempo lutando contra incêndios e não têm tempo para se engajar na caça proativa de ameaças e adquirir a experiência e o conhecimento necessários para lidar com agentes de ameaças mais avançados e ataques direcionados mais persistentes”.

Porém, embora as tecnologias SOAR ofereçam muitos benefícios, nem sempre são fáceis de implementar se a organização não tiver experiência anterior. Mark Nicholls, CTO da Redscan, diz que o maior desafio da adoção do SOAR é a baixa maturidade dos processos e procedimentos nas equipes SOC.

Ao adotar um sistema SOAR, Nicholls recomenda que as organizações busquem consultoria especializada para garantir que estejam totalmente preparadas e possam obter o máximo dessas tecnologias. “Muitas organizações sofrem de expectativas irrealistas em relação ao SOAR e métricas pouco claras”, diz ele. “Não é uma solução mágica para lidar com todos os desafios de segurança. Se as organizações não conseguirem definir casos de uso claramente definidos, metas realistas e parâmetros para o sucesso, elas inevitavelmente se sentirão frustradas pelos resultados ”.

Além disso, diz ele, as organizações que buscam implementar soluções SOAR devem compreender os diferentes elementos que precisam ser automatizados sem depender demais da automação. “As organizações não devem simplesmente confiar nos manuais e processos inicialmente configurados no SOAR”, acrescenta. “Eles precisam garantir que aplicam conhecimentos de segurança atualizados para que sua capacidade de SOAR melhore conforme a postura de segurança da organização amadurece e esteja continuamente pronta para responder de forma eficaz a novos tipos de ameaças.”

As organizações enfrentam uma grande variedade de ameaças à segurança cibernética hoje, e o panorama das ameaças cibernéticas continua a crescer rapidamente. Mas uma maneira excelente para as empresas identificarem e mitigarem ataques cibernéticos é usando uma solução SIEM ou SOAR. Embora ambas sejam tecnologias excelentes para equipes de segurança modernas, parece que as tecnologias SOAR estão se tornando a opção mais popular e eficaz das duas.

Leave a Reply

Your email address will not be published. Required fields are marked *