Entre os gestores já é algo sabido, a automação deve ser posta em prática quando faltam recursos humanos. E na segurança da informação, é um lugar onde falta muita mão de obra. Então porque a automação de segurança da informação ainda é um mito nesta área?
Automação, é no sentido da palavra, algo autômato, ou algo que funciona sozinho, sem a interferência humana. É um tema largamento difundido em automação industrial, um dos primeiros lugares a utilizar automação porque precisava ter escala e pelos próprios processos industriais, tem-se muito de tarefas repetitivas, o que facilitou a implementação de automações.
Também temos automação comercial, onde temos processos como gestão de estoque, de pedidos, logística, que por também termos várias tarefas repetitivas ou de menor importância, puderam ser automatizadas.
Mas e a segurança da informação, temos tarefas repetitivas ou algo que possa ser automatizado e como fazer isso?
Automação em Segurança da Informação
Os ataques de cibercriminosos à ambientes corporativos já está no nosso dia-a-dia, e os próprios criminosos já conseguiram escalar seus ataques e procedimentos de descoberta e exploração através de scripts e máquinas autônomas.
Cabe agora às empresas, responder à altura e em potência igual ou superior, com recursos suficientes para monitorar ataques executados pelos cibercriminosos.
Acontece que estamos á beira de um apagão de mão de obra especializada em segurança da informação e como um gestor pode com orçamento e mão de obra reduzidas, atender às demandas de segurança modernas?
A saida pode ser a automação de segurança da informação.
A automação é um processo em que usamos um recurso de software, para executar tarefas de segurança. É feito através da observação de tarefas executadas por uma equipe de segurança e selecionar tarefas que podem ser automatizadas, para serem disparadas em tempos ou em ações específicas.
Desta forma reduzindo a quantidade de trabalho necessária, ou antecipando tarefas que poderiam depender do recurso humano.
O software tem capacidade muito maior do que de um ser humano para analisar comportamentos em logs, e desta forma ser mais rápido para identificar incidentes e iniciar o procedimento de resposta à incidentes.
A automação de segurança, inicialmente não tem o objetivo de substitutir mão de obra, ou reduzir o quadro de funcionários. Deve ser empregada inicialmente, para diminiuir a carga de trabalho sobre o recurso humano, ou para aumentar a acertividade de uma determinada tarefa, ou mesmo para acelerar um processo.
Também é possível afirmar, que processos automatizados, nos levam a ter um padrão na resposta à incidentes, uma vez que a máquina não vai tomar ações diferentes das programadas.
Inteligência Artificial na Automação de Segurança da Informação
Muito se fala sobre o uso de Inteligência Artificial (IA) na Segurança da Informação e que nossos empregos estaríam em risco depois da proliferação de ferramentas como chatGPT ou Microsoft Security CoPilot.
O que podemos ver em curto prazo, é a aplicação da Inteligência Artificial em processo de automaçao da segurança da informação. Dificilmente um gestor de uma empresa, substituiria hoje um funcionário de segurança da informação, por uma inteligência artificial.
Então, nada melhor do que dominarmos a tecnologia atual de IA, para anteciparmos ações que podemos automatizar e controlar dentro de nossos ambientes de segurança.
Orquestração de Segurança vs. Automação de Segurança
A Orquestração de Segurança é um processo que utiliza softwares e integrações para gerir um conjunto de tecnologias de segurança, e muitas vezes a orquestração de segurança inclui a automação de segurança.
Por isso é correto afirmar que embora seja semelhantes, automação e orquestração são coisas diferentes.
Na automação, o objetivo é que o software faça uma determinada tarefa e já na orquestração, espera-se que o software controle diversas tarefas para um objetivo comum.
Como podemos usar Automação de Segurança da Informação
Hoje já temos uma série de práticas e ferramentas que são automações e podem ser aplicadas à segurança da informação da mesma forma que são aplicadas em tecnologia da informação.
Testes de penetração
Na disciplina de DevSecOps, já temos ferramentas que são aplicadas em esteiras de desenvolvimento. A medida que um desenvolvedor submete um novo código de uma aplicação ao repositório, ferramentas conseguem compilar e executar a aplicação e já testarem uma série de ataques, como SQLInjection, XSS, CSRF na nova versão da aplicação. Em caso de sucesso ou mesmo que o resultado seja negativo, relatórios são submetidos para equipes que poderão tomar ações de resposta.
Testes DAST, SAST e IAST
Da mesma forma que os testes de penetração podem ser feitos em códigos, a cada novo “commit”, podem ser executados testes de avaliação de código fonte ou de validações. Os resultados dos testes podem ser enviados ao mesmo desenvolvedor que submeteu a alteração e ainda é possível evitar que um código com erros, possa ser integrado a versão master da aplicação.
Automação Robótica de Processos (RPA)
O RPA já é bem utilizada na tecnologia da informação e pode ser empregado também na Segurança da Informação. Com o RPA, é possível integrar até mesmo aplicações que não dispõe de uma interface programável (API), uma vez que as ferramentas de RPA podem até simular o teclado e mouse de um operador.
Com o RPA é possível por exemplo, ler informações de uma ferramenta de detecção de invasão, e colocar um determinado IP como bloqueado no firewall por um período de tempo. Este tipo de tarefa estática, pode salvar horas de um recurso humano que poderá ser alocado em tarefas mais complexas.
Security Orchestration, Automation and Response (SOAR)
SOAR é um conjunto de softwares que conseguem coletar dados de diversas fontes, identificar possíveis ameaças e iniciar de maneira automática, os procedimentos de Resposta à Incidentes.
A parte de orquestração de segurança, pode se integrar à diversas ferramentas como anti-vírus, firewall, sistemas de detecção de intrusos, Security Information and Event Management (SIEM), ferramentas de endpoint e até mesmo fontes externas de inteligência de ameaças.
A parte de automação toma ações baseada nas informações coletadas, então o SOAR tem permissões e capacidades de configurar soluções de segurança, atualizar sistemas, e outras ações necessárias para evitar problemas de segurança.
Já a parte de resposta à incidentes, a ferramenta pode alertar sobre problemas onde ela mesma não consegue atuar, além de notificar ações que está tomando em tempo real.
Gerenciamento de Softwares e Atualizações
Como sabemos, gerenciar diversos softwares e consequentemente suas atualizações é um grande trabalho.
Sistemas de Gerenciamento de Software, podem empregar robôs e agentes para descobrir softwares em uma empresa, identificar versões e até baixar e instalar atualizações sem qualquer interação humana.
É uma ferramenta poderosa também na segurança da informação, uma vez que muitos dos ataques e explorações são feitas sobre vulnerabilidades de softwares e mantê-los atualizados pode ser uma tarefa árdua, mas a única saída para evitarmos problemas.
Conclusão
Enfim, automação de segurança da informação, é algo necessário e deve ser empregado na segurança da informação pois há mais vantagens do que riscos do seu emprego.
Deve ser feito com cautela, pois é mais arriscado “achar” que está seguro, do que fazer manualmente uma tarefa.
O que muitos especialistas dizem é que devemos localizar tarefas que podem ser automatizadas, configurar ferramentas para fazer estas ações para nós, mas nunca esquecer de revisitar ou monitorar tarefas automatizadas, para termos a certeza de que está realizando sua atividade de forma correta.