Introdução #
A Gestão de Segurança da Informação é crucial em qualquer organização, mas muitas vezes as equipes de Segurança são sobrecarregadas com atividades burocráticas e repetitivas que consomem grande parte do tempo. A definição de responsabilidades, o agrupamento de ativos e apontamentos para envio às equipes de correção, a verificação do que ainda precisa ser corrigido e outras tarefas semelhantes podem ser tediosas e demoradas.
Assim como soluções de SOAR “Security Orchestration, Automation, and Response”, o GAT Core permite a Gestão de Segurança da Informação com objetivo de simplificar e agilizar os processos de segurança. Uma das principais funcionalidades que o GAT Core oferece são as automações, que permitem automatizar a atualização de fluxos e notificações de maneira personalizada.
Com as Regras de Automação, é possível definir padrões que atuem conforme o que foi previamente configurado, deixando as equipes de segurança livres para se concentrarem em atividades de correção. Alguns exemplos de automação incluem o envio de e-mails de alerta sempre que novos apontamentos são encontrados, a atribuição automática de responsáveis com base no ativo onde o apontamento foi identificado e o agrupamento de ativos segundo o ambiente da organização. Outra possibilidade é a definição de SLA para a correção.
Automação de Tarefas e Processos #
As regras de automação podem ser aplicadas tanto em ativos quanto em apontamentos. Quando aplicadas em ativos, as regras são utilizadas para definir ações que devem ser tomadas quando determinadas condições são atendidas em relação a esses ativos. Já quando aplicadas em apontamentos, as regras são utilizadas para definir ações que devem ser tomadas quando determinadas condições são atendidas em relação aos dados de produção que foram registrados nesses apontamentos.
Para as regras em ativos, as ações podem incluir atualizar informações do ativo, notificar um operador ou gerente sobre condições da regra, executar uma ação de manutenção ou realizar um ajuste na operação do ativo.
Já para as regras em apontamentos, as ações podem ser mais voltadas para o tratamento do apontamento, como identificar gargalos na produção, otimizar o uso de recursos ou melhorar a janela de exposição do ativo.
Em ambos os casos, as regras são fundamentais para a automação de processos, permitindo que as empresas possam tomar decisões rápidas e efetivas com base em dados coletados em tempo real.
Regra e ações das automações para Ativos #
- Range de IP dos ativos de infraestrutura/host
- Grupo de ativos cadastrado no GAT Core
- URL do ativo de aplicação web
- Hostname do ativo de infraestrutura
- Sistema operacional do ativo de infraestrutura
- Severidade do ativo
(Informativo, Baixo, Médio, Alto e Crítico) - Pontuação de risco do ativo
(De 0 a 1000, onde 1000 representa um maior risco a organização) - TAG do ativo
- Última vez visto o ativo
- Data de Criação do ativo
- Enviar E-mail (Notificação)
- Atualizar (Automação de tarefas e processos)
- Remover o ativo gerenciado (Remove o ativo e apontamentos que o impacta)
Regra e ações das automações para Apontamentos #
- Nome do apontamento
- Estado do apontamento
(Pendente, Reaberto, Corrigido, Aceito, Em Reteste, Em Tratamento, Não Existente e Não Executado) - Severidade do apontamento
(Informativo, Baixo, Médio, Alto e Crítico) - Causa raiz do apontamento cadastrada no GAT Core
- TAG do apontamento
- Ativo impactado pelo apontamento
- Range de ativos impactado pelo apontamento
- Grupo de ativos impactado pelo apontamento
- Sistema operacional do ativo que contém apontamento
- Hostname do ativo que contém apontamento
- Severidade do ativo que contém apontamento
(Informativo, Baixo, Médio, Alto e Crítico) - TAG do ativo com apontamento
- Porta do ativo que gerou o apontamento
- Última vez visto o apontamento
- Data de Criação do apontamento
- Data limite implementada ao apontamento
- Enviar E-mail (Notificação)
- Atualizar (Automação de tarefas e processos)
As regras são úteis na automação de tarefas, permitindo que determinadas ações sejam executadas automaticamente, sem a necessidade de intervenção manual.
Existem diferentes tipos de resposta ou ação a ser executada para cada tipo de entidade e regra.
Operador das regras com o uso de condicionais E/Ou. #
Ao selecionar um campo para a regra respeitar, será obrigatório o uso de um operador de comparação, para a regra ser executada, os operadores podem ser:
- Pertence / Não Pertence
- Igual / Diferente
- Maior / Menor
- Número de Dias (Passado e Futuro) / Período
- Expirado
Toda regra para executar uma ação pode utilizar as condicionais E/OU para aumentar a granularidade ao executar ações, para atualizar campos, notificar por e-mail ou remover ativos.
Recomendações e boas práticas #
Recomendamos realizar a comparação de no máximo 10 regras utilizando as condicionais E/OU.
Visto que ao iniciar as comparações para aplicar a ação seguindo as regras, caso o GAT Core tenha iniciado a comparação, porém, no momento da comparação das regras, uma importação ocorra, aquela automação será bloqueada e só tentará executar novamente após o reinício destes gatilhos.
Por isso as execuções podem ocorreram após dias, por ocorrer quando a automação conseguiu sair da concorrência das importações e após reinicio das execuções.
Execução das regras de automação #
A execução das regras de automação ocorre imediatamente após sua criação e, posteriormente, a cada 1 hora. Isso garante que as ações definidas sejam aplicadas de forma rápida e eficiente.
Uma vez que um apontamento é detectado e incluído no primeiro e-mail enviado pela regra, ele não será incluído nos e-mails subsequentes. Isso evita a duplicação de informações e reduz a quantidade de e-mails recebidos pelos usuários.
Vale ressaltar que a lista de apontamentos enviada por e-mail é limitada a 10 itens, ajudando a manter a clareza e a objetividade das informações apresentadas aos usuários.
Bloqueio das automações #
As automações possuem gatilhos para realizar as ações de hora em hora, porém, não permite concorrência de escrita e leitura no banco de dados da aplicação GAT Core.
O ciclo de importações de arquivos e automações podem gerar conflito, devido o número de importações e regras de automação tentando executar as ações comparativas no mesmo momento.
Durante a importação de resultados no GAT Core, caso a automação tente realizar a ação no momento da importação, ela será bloqueada, devido à concorrência, evitando assim sua execução.
Conclusão #
O artigo destaca a importância da automação de processos para aumentar a eficiência da gestão de ativos e apontamentos em uma organização. As regras de automação podem ser criadas para agrupar ativos, definir SLAs para correção de apontamentos, delegar responsabilidades e outras ações, reduzindo o tempo gasto em atividades manuais e aumentando a produtividade da equipe. É importante ressaltar que a automação deve ser vista como uma possibilidade complementar à experiência humana, por ser a combinação de conhecimentos e habilidades que garante o sucesso de uma gestão eficiente.