0
0
Os últimos anos foram repletos de exemplos do “Efeito Pêndulo”, onde as tendências oscilam de um extremo a outro antes de se estabelecerem em um equilíbrio, em algum lugar no meio. Pense nisso a partir de uma perspectiva de TI e segurança.
Passamos de tudo feito no local para o mantra de tudo na nuvem, para um estado de equilíbrio em que 67% dos profissionais de TI agora dizem que a nuvem híbrida é onde eles estão se estabelecendo. No início de 2020, os funcionários raramente trabalhavam em casa. Então, aparentemente da noite para o dia, quase todos trabalhavam em casa, e hoje 53% dos funcionários esperam um modo de trabalho híbrido l. Estamos vendo um padrão semelhante em relação à automação de segurança. Vamos usar a Orquestração, Automação e Resposta de Segurança (SOAR) como exemplo.
As primeiras plataformas SOAR eram soluções poderosas que exigiam linguagens de script como Python, além de trabalho de engenharia e codificação pesada. Havia um preço a pagar pelos manuais totalmente personalizáveis que estavam sendo exigidos: eles eram difíceis e caros de implementar, manter e gerenciar. Agora há uma tendência para plataformas sem código, como arrastar e soltar. No entanto, isso também não funcionará para todos. A capacidade de ajuste fino é necessária para determinadas situações e usuários. O mercado quer escolha e existem diferentes personas. As soluções que oferecem a opção de não codificar ou a capacidade de codificar (às vezes chamadas de low-code) apresentam esse estado de equilíbrio, oferecendo um construtor de playbook simplista com a capacidade de suportar também requisitos mais avançados.
Portanto, hoje esse é o modelo que vemos em vigor para a automação de segurança e, assim como a nuvem híbrida e o trabalho híbrido, o modelo provavelmente veio para ficar. Como é e por que tem poder de permanência?
Anteriormente, escrevi sobre como a automação está evoluindo de uma abordagem orientada a processos para uma abordagem orientada a dados para maior foco, precisão e agilidade. Um construtor de manual simples orientado a dados atinge o equilíbrio entre a interação humana e as ações que são configuradas para serem executadas automaticamente. Veja como:
Na primeira etapa da construção do manual, os usuários identificam as entradas com base nos dados para determinar os critérios e gatilhos corretos para a ação que deve ser tomada ou o processo que deve ser iniciado. Isso começa agregando automaticamente os dados internos corretos em um repositório central para que os analistas possam obter uma compreensão abrangente da ameaça que estão enfrentando e do que devem defender. Os analistas podem aumentar e enriquecer esses dados automaticamente com dados de ameaças das várias fontes que eles assinam – comercial, código aberto, governo, indústria, fornecedores de segurança existentes – bem como com estruturas como MITRE ATT&CK. Combinar e correlacionar dados internos e externos e aplicar uma estrutura de pontuação automatizada permite priorizar ações ou processos com base no que é relevante para sua organização.
Em seguida, você pode simplificar as ações realizadas e executar o processo correto com base nos gatilhos e limites definidos na estrutura do construtor de manuais. Isso permite que você execute playbooks apenas em itens que realmente importam para sua organização, em vez de executar playbooks em todos os novos eventos ou e-mails. E então você pode definir quais ações precisam ser tomadas por quais ferramentas. Isso pode ser feito com um construtor de playbook simples, onde você pode selecionar a ferramenta e o que deseja fazer por meio de uma interface do usuário intuitiva, onde você seleciona itens por meio de caixas de seleção. Por exemplo, você pode implantar a inteligência certa nas ferramentas certas, atualizando imediata e automaticamente sua grade de sensores e aliviando grande parte do esforço manual e fragmentado. Esse processo orientado por dados que você controla permite uma resposta eficiente e eficaz.
Por fim, você pode definir os resultados desejados e o que deve ser aprendido com a ação tomada para melhorar a resposta futura e ajudar a fortalecer as proteções contra futuras ameaças semelhantes. À medida que novos dados, feedback e aprendizados são adicionados à plataforma, a inteligência é automaticamente reavaliada e repriorizada, o que, por sua vez, torna o estágio de entrada da automação mais eficiente.
Mas e se você precisar ajustar o manual de maneiras que a interface do usuário não permite? Se a ferramenta suportar um formato padrão como JSON ou YAML, um usuário mais avançado poderá ajustar os arquivos resultantes para atender às suas necessidades de caso de uso.
Com uma abordagem orientada por dados e flexível, você pode ser tão simples ou tão avançado quanto as demandas de detecção e resposta. Você pode criar e atualizar manuais simples em poucos minutos ou ir mais fundo para personalizar os manuais para atender a necessidades mais avançadas. É mais um exemplo do Efeito Pêndulo e da evolução natural para uma abordagem mais equilibrada.
FONTE: SECURITYWEEK