Ir al contenido principal

Las empresas apuestan por herramientas SOAR

Los expertos en seguridad destacan la importancia y los beneficios de la automatización de la seguridad, y resaltan los factores que deben considerarse antes de implementar las herramientas SOAR.

Los profesionales de seguridad están luchando por mantenerse al día con el panorama dinámico de amenazas mientras continúan lidiando con la sobrecarga de alertas de seguridad y la escasez de habilidades de ciberseguridad, pero varios expertos en seguridad creen que implementar herramientas de orquestación, automatización y respuesta de seguridad puede ayudar a los equipos de seguridad a racionalizar y mejorar los procesos cotidianos.

Imagen relacionada

Gartner define SOAR como "tecnologías que permiten a las organizaciones recopilar datos de amenazas de seguridad y alertas de diferentes fuentes, donde el análisis y la clasificación de incidentes se pueden realizar utilizando una combinación de poder humano y de máquina para ayudar a definir, priorizar e impulsar actividades estandarizadas de respuesta a incidentes de acuerdo con un flujo de trabajo estándar"
Para fines de 2020, el 15% de las organizaciones con un equipo de seguridad de  más de cinco personas aprovechará SOAR, en comparación con el 1% actual. 
La investigación de Enterprise Strategy Group (ESG) encontró tasas de adopción aún mayores para las herramientas SOAR. En una encuesta realizada el año pasado, ESG descubrió que el 19% de las empresas que respondieron dijeron que habían implementado la tecnología de orquestación y automatización de operaciones "extensivamente", mientras que el 39% de los encuestados dijeron que estaban implementando la tecnología "de manera limitada".

Como la mayoría de las empresas reciben más de 10,000 alertas por día, de acuerdo con los datos de una encuesta RSA de 2018, es imposible que los equipos de seguridad revisen todas esas alertas. Este alto volumen de alertas y la necesidad de realizar la detección en múltiples etapas serían un controlador suficiente para las herramientas SOAR, pero hay algo más, dijo el analista de Gartner, Augusto Barros, en una entrevista.

"También necesitamos tiempos de reacción más rápidos; no podemos permitirnos investigaciones que demoran horas o días, ya que los incidentes pueden causar muchos daños en unos pocos minutos", dijo Barros. "Solo es posible mejorar el tiempo de respuesta cuando no está haciendo todo manualmente. SOAR puede llevar la escala de automatización para alertar a la clasificación, habilitar la detección de múltiples etapas y reducir los tiempos de respuesta".

Con alertas o anomalías, los profesionales de la seguridad también se dan cuenta de que sin más investigación para proporcionar un contexto, realmente no pueden responder a la pregunta: "Bueno, recibí una alerta, ¿y qué?".

Las plataforma SOAR ayuda, dado que, una vez que tiene un proceso implementado para responder a la pregunta del tipo ¿qué?, puede escribir un playbook para automatizar grandes porciones, o tal vez todo, y entonces los analistas pueden entrar en alerta y entender de inmediato si la alarma o anomalía realmente importa.

Resultado de imagen para soar security platforms

Automatizando las tareas de seguridad.

Si bien la automatización de las tareas de seguridad es un gran valor agregado para los líderes de seguridad , ahorra tiempo al automatizar los procesos repetitivos y manuales. No tiene que ser complicado

La automatización de las tareas de seguridad puede ser tan simple como desarrollar un script personalizado que permita a los profesionales de la seguridad recopilar información de manera rutinaria para que un analista tenga un tiempo de resolución mucho más rápido o un tiempo para comprender una alerta en particular.

Al implementar las herramientas SOAR, los líderes de seguridad deben evaluar los conjuntos de habilidades y tecnologías existentes y evaluar los principales desafíos que enfrentan los equipos de seguridad.

Es necesario que las organizaciones ideen formas de enriquecer los datos para tomar mejores decisiones, planificar los procesos y elegir los más importantes que puedan automatizarse. La implementación de herramientas SOAR para examinar los correos electrónicos de phishing, por ejemplo, puede ayudar a responder a esos correos más rápido.

Se requiere menos experiencia

A medida que las plataformas SOAR evolucionan, requieren menos experiencia de los usuarios. Los proveedores integran la experiencia en seguridad en los productos, en forma de playbooks pre-construidos, flujos de trabajo de investigación guiados y priorización automática de alertas. 

Las características de automatización y orquestación también han alcanzado un nivel de sofisticación en el que pueden integrarse en un marco de seguridad existente sin depender de los usuarios para saber exactamente qué debe automatizarse. Las plataformas SOAR aún mantendrán a los analistas involucrados al requerir aprobaciones para acciones importantes, pero ya no se espera que los analistas sean expertos en automatización y orquestación.

Además, la capacidad de las plataformas SOAR para recopilar y contextualizar la inteligencia de amenazas facilita que los analistas menos experimentados tomen las decisiones correctas durante la respuesta al incidente. Debido a que los avances técnicos están ocurriendo tan rápidamente, las compañías compran herramientas rápidamente, pero no están tan comprometidas a invertir en la capacitación y contratación necesarias para integrar y ejecutar la tecnología en su entorno único. Los avances de SOAR están ayudando a cerrar esta brecha.

Desafíos asociados a la implementación de SOAR.

Gartner destacó las dos fuentes de dolor asociadas con la implementación de SOAR: integración de procesos y herramientas.

SOAR es esencialmente una herramienta de automatización de procesos y sin procesos implementados, no hay nada que automatizar. Muchas organizaciones con operaciones de seguridad ad-hoc y sin procesos establecidos creen que pueden evitar solucionar esos problemas comprando herramientas SOAR.

La ventaja clave que tienen las plataformas SOAR en la búsqueda del "single pane of glass", es el concepto de orquestación, que tiene el potencial de integrar toda la pila de seguridad a través de integraciones. Las plataformas SOAR pueden aprovechar las asociaciones con otros productos para intercambiar información detallada sobre la marcha, analizar datos de fuentes de inteligencia de amenazas e incluso empoderar a los analistas para que tomen medidas directamente desde la interfaz SOAR. La complejidad de los incidentes de seguridad actuales requiere este nivel de coordinación perfecta entre personas, tecnología y procesos, ya que cada segundo desperdicio de conmutación entre interfaces aumenta el riesgo.

Lo emocionante es que SOAR sigue siendo una categoría relativamente nueva, y aún hay mucha innovación por venir. La automatización y la orquestación han evolucionado hasta convertirse en herramientas indispensables, y pronto se complementarán en muchas plataformas con aprendizaje automático, inteligencia artificial y otras tecnologías emergentes.


Es fácil sentirse ansioso por el futuro cercano de la ciberseguridad, con métodos sofisticados de ataque, piratería patrocinada por el estado y falta de personas calificadas para defenderse de estas amenazas. Sin embargo, SOAR debe ser la fuente de cierto optimismo para los equipos de seguridad, con su creciente capacidad para ser un multiplicador de fuerza en el SOC.

Comentarios

Entradas más populares de este blog

MISP - Malware Information Sharing Platform

Les presentamos una gran plataforma. Es MISP - Malware Information Sharing Platform. 





¿Qué es MISP?
MISP , Malware Information Sharing Platform y Threat Sharing, es una solución de software para recopilar, almacenar, distribuir y compartir indicadores de amenazas ciberseguridad. Permite el análisis de incidentes de seguridad, como así tambien el de malware. El MISP está diseñado por y para analistas de incidentes, profesionales de seguridad y TIC. El objetivo del MISP es fomentar el intercambio de información estructurada dentro de la comunidad de seguridad y en el extranjero. MISP proporciona funcionalidades para respaldar el intercambio de información, pero también el consumo de la información por parte del Sistema de Detección de Intrusión en la Red (NIDS), Sistemas de Análisis de Logs (LIDS – Log-Based Intrusion Detection), SIEM.
¿Cómo funciona?
Las funcionalidades principales de MISP, Malware Information Sharing y Threat Sharing son:
- Una eficiente base de datos de Indicadores de Compr…

Reporte de Gartner de 2018: Cuadrante Mágico para la Infraestructura de Acceso LAN Alámbrica e Inalámbrica

El enorme volumen y variedad de usuarios e IoT conectados significa que es tiempo de reexaminar como construye, asegura y administra la infraestructura de su red. Para asegurar que sus usuarios obtengan experiencias agradables mientras se mantienen los datos seguros, se necesita de una red de siguiente generación que elimine la complejidad de las operaciones de TI - ¿pero a quién puede recurrir?

Gartner, ha liberado su cuadrante mágico al respecto. Donde se destaca la presencia de Aruba (HPE) como lider por 13 años consecutivos.

Estrategia Nacional de Ciberseguridad de la República Argentina

La Estrategia Nacional de Ciberseguridad, establecida por el Poder Ejecutivo Nacional con el consenso del conjunto de la sociedad en forma multidisciplinaria y multisectorial, sienta los principios básicos y desarrolla los objetivos fundamentales que permiten fijar las previsiones nacionales en materia de protección del Ciberespacio.

Su finalidad es brindar un contexto seguro para su aprovechamiento por parte de las personas y organizaciones públicas y privadas, desarrollando de forma coherente y estructurada, acciones de prevención, detección, respuesta y recuperación frente a las ciberamenazas, juntamente con el desarrollo de un marco normativo acorde.

En virtud de lo establecido por el Decreto N° 577 publicado el 28 de julio de 2017, se ha encomendado al Comité de Ciberseguridad, creado por esa misma norma, la elaboración de la Estrategia Nacional de Ciberseguridad.

Las Tecnologías de la Información y las Comunicaciones han incrementado notablemente la eficiencia de las estructura…