Uma resposta a incidente sempre prioriza as frentes de qualidade e agilidade, mas essas frentes, em alguns momentos, podem entrar em conflito.
Quando uma resposta/atendimento é feita em um tempo menor, a qualidade pode cair. Quando a qualidade é priorizada, o tempo de solução pode aumentar.
Pensando nesse conflito, e visando uma forma de otimizar um Services Operation Center (SOC) e manter sempre qualidade + agilidade, muitas empresas estão optando por utilizar um SOAR.
O que é o SOAR? O SOAR (Security Operations Automation e Response) é uma conjunção de ferramentas que vem ao encontro dessa necessidade das organizações de gerenciar todo o ciclo de vida de operações de incidentes de segurança, aliando, nesse processo, inteligência humana e o uso de tecnologia de automações com inteligência artificial.
Podemos dizer então que o SOAR, e suas diferentes funcionalidades dentro das organizações, têm como focos principais: a orquestração de diferentes tecnologias – específicas de segurança ou não – para a realização de um trabalho integrado; a automação e a centralização em uma só frente, evitando assim diversas dashboards e ferramentas.
Apesar de ainda ser pouco utilizado pelas organizações no Brasil, o SOAR vem apresentando um crescimento considerável em outros países. Relatório do Gartner divulgado recentemente estima que menos de 1% das grandes empresas usam atualmente as tecnologias SOAR.
No entanto, ainda segundo o instituto de pesquisa, até o fim de 2020, 15% das organizações com um time de segurança composto por pelo menos cinco pessoas utilizarão as ferramentas.
De acordo com o estudo, a tendência de alta está relacionada à escassez de funcionários na área, que é seguida em alguns casos da necessidade de expansão sempre com novas atividades ou clientes.
Essa tendência também está ligada ao crescimento contínuo de ameaças e ataques cibernéticos, ao aumento das regras de conformidade internas e externas, e ao crescimento constante de APIs em produtos de segurança.
SOAR e priorização de atividades
O SOAR veio para promover melhorias na área de segurança ao auxiliar, entre outras frentes, na priorização das atividades de respostas a incidentes. Estamos falando de ferramentas que não se encaixam hoje no dia a dia de empresas com baixa maturidade em relação à cibersegurança, uma vez que são necessárias, pelo menos, uma equipe dedicada e uma estrutura de segurança bem implantada.
Por essas razões, hoje, o mercado potencial para o SOAR são as grandes organizações, tendo provedores de serviços de segurança gerenciados como o principal alvo. Mas, com o tempo, equipes menores que enfrentam os mesmos problemas de ameaça à segurança também devem começar a adotar suas ferramentas.
Sem contar o grande aquecimento do mercado e a procura de mão de obra especializada nessa ferramenta. Uma prova disso foi a aquisição de uma das maiores empresas do ramo por uma das gigantes e mais conhecidas da frente do SIEM.