¿Qué es SOAR?
SOAR son las siglas de Security Orchestration, Automation and Response.
Definición de SOAR
SOAR es un servicio basado en la nube diseñado para ayudar a las organizaciones a automatizar algunos de sus procesos manuales, como la supervisión, las alertas, la investigación, la corrección, la elaboración de informes y el cumplimiento. Proporciona visibilidad en tiempo real de la detección de puntos finales y redes en todos los dispositivos y aplicaciones.
Las plataformas SOAR son una colección de soluciones de software de seguridad que se pueden utilizar para navegar y recopilar datos de una variedad de fuentes.
El término fue creado originalmente por Gartner, quien definió las tres capacidades de una plataforma SOAR: gestión de amenazas y vulnerabilidades, respuesta a incidentes de seguridad y automatización de las operaciones de seguridad. El SOAR permite a las empresas recopilar datos relacionados con las amenazas de una variedad de fuentes y automatizar las respuestas a las amenazas.
La automatización de las operaciones de seguridad (automatización) se refiere a las tecnologías que permiten la automatización y la orquestación dentro de las operaciones, mientras que la gestión de amenazas y vulnerabilidades (orquestación) abarca las tecnologías que ayudan a corregir las ciberamenazas. Los datos se analizan mediante una combinación de aprendizaje humano y automático para comprender y priorizar las acciones de respuesta a los incidentes.
«SOAR se refiere a las tecnologías que permiten a las organizaciones recopilar las entradas supervisadas por el equipo de operaciones de seguridad. Por ejemplo, las alertas del sistema SIEM y otras tecnologías de seguridad, que permiten analizar y clasificar los incidentes aprovechando una combinación de recursos humanos y mecánicos, ayudan a definir, priorizar e impulsar las actividades estandarizadas de respuesta a los incidentes. Las herramientas SOAR permiten a una organización definir los procedimientos de análisis y respuesta a los incidentes en un formato de flujo de trabajo digital».
Principales beneficios de SOAR
Las operaciones de seguridad pueden ser un desafío constante para cualquier organización. Es importante para la velocidad y la eficiencia, pero puede resultar difícil garantizar que todo funcione correctamente. Con frecuencia, los analistas se ven abrumados por el volumen de alertas de sistemas dispares. Obtener y correlacionar los datos necesarios para identificar posibles amenazas puede llevar tiempo y esfuerzo. La solución de esas amenazas requiere la coordinación entre los diferentes equipos de una organización.
SOAR ayuda a aliviar algunos de los desafíos asociados con los macrodatos al ayudar tanto a las personas como a las máquinas a analizar grandes cantidades de datos, reducir la fatiga de las alertas y automatizar los procesos de detección y respuesta.
SOAR frente a SIEM frente a XDR: ¿cuál es la diferencia?
Gartner define el mercado de la gestión de eventos de seguridad e información (SIEM) según la necesidad del cliente de analizar los datos de los eventos en tiempo real para la detección temprana de ataques dirigidos y violaciones de datos, y de recopilar, almacenar, investigar e informar sobre los datos de registro para la respuesta a los incidentes, el análisis forense y el cumplimiento normativo.
Los productos SIEM surgieron por primera vez en 2005, impulsados inicialmente por los informes de cumplimiento y la agregación de datos de registro generados por aplicaciones, puntos finales y dispositivos de red.
Si bien algunos SIEM brindan administración de información de seguridad (SIM) y administración de eventos de seguridad (SEM), ofrecen capacidades limitadas de visualización y respuesta a incidentes. Los SIEM analizan los datos de eventos a partir de tecnologías preventivas, como el software antivirus, los IDS y los firewalls, lo que dificulta la detección de ataques sofisticados que provienen de fuentes no correlacionadas. El análisis de amenazas a menudo resultaba difícil y además requería mucho tiempo, ya que se basaba en procesos y análisis manuales.
Las tecnologías SIEM de próxima generación agregaron soporte para el análisis de macrodatos y la detección de eventos en tiempo real, así como complementos de aprendizaje automático y análisis del comportamiento para crear modelos de referencia para los patrones de comportamiento normales de los usuarios y los dispositivos. Esto ayudó a facilitar la identificación temprana de los problemas de seguridad, a fin de reducir el período en el que las organizaciones eran vulnerables a los ataques.
A pesar de los avances, el enorme volumen de alertas de las plataformas SIEM sigue sobrecargando a los equipos de seguridad en la actualidad, y a menudo adoptan herramientas adicionales para reducir los falsos positivos y ayudar a automatizar las respuestas.
Ingresa a SOAR
Gartner define la orquestación, automatización y respuesta de la seguridad (SOAR) como tecnologías que permiten a las organizaciones tomar insumos de una variedad de fuentes (principalmente a partir de sistemas de información de seguridad y gestión de eventos [SIEM]) y aplique flujos de trabajo alineados con los procesos y procedimientos.
Las herramientas SOAR (Security Operations Analytics Resource), que surgieron por primera vez en 2015, se diseñaron para ayudar a abordar el desafío del SIEWF que representa la fatiga por alertas y eventos y el déficit global de talento en las operaciones de seguridad para que las organizaciones puedan implementar de manera efectiva una solución SIEM. Su objetivo principal era enriquecer los datos de los eventos proporcionando un contexto adicional para cada incidente (por ejemplo, ubicación, hora, tipo), lo que les permitiría identificar mejor los incidentes críticos y automatizar las respuestas a estos eventos. El objetivo era mejorar la seguridad acelerando la remediación y aumentando las amenazas solo cuando fuera necesaria la intervención humana.
Las herramientas SOAR utilizan una variedad de tipos diferentes de datos para ayudar a identificar amenazas y prevenir ataques contra las organizaciones, lo que requiere la integración con otras herramientas de seguridad y la confianza en procesos manuales, como la definición de guías, niveles de alerta personalizados y medidas de respuesta a incidentes.
Mantener la visibilidad en toda una red sigue siendo un desafío para los equipos de seguridad porque la infraestructura y las aplicaciones de TI modernas siguen creciendo. Además, confiar en soluciones de seguridad aisladas de los proveedores de plataformas SIEM y SOAR puede generar alertas basadas en información incompleta o mal correlacionada, lo que puede provocar interrupciones innecesarias en los sistemas y los usuarios.
Introduzca XDR
Según la firma de analistas Gartner, Detección y respuesta ampliadas (XDR) es»una herramienta de detección de amenazas de seguridad y respuesta a incidentes basada en SaaS y específica del proveedor que integra de forma nativa varios productos de seguridad en un sistema de operaciones de seguridad cohesivo que unifica todos los componentes con licencia».
En un esfuerzo por mejorar la detección de amenazas y el tiempo de respuesta a los incidentes, los proveedores de seguridad están desarrollando nuevas tecnologías denominadas «XDR» (informes dinámicos ampliados). El objetivo de XDR es ayudar a las organizaciones a detectar los ataques correlacionando sus datos de seguridad y alertándolas cuando se produce una anomalía. XDR combina una variedad de herramientas de investigación y análisis del comportamiento con un énfasis en la detección avanzada de amenazas y las respuestas personalizadas para una mejor defensa contra la ciberdelincuencia.
Si bien la última generación de herramientas SIEM puede ofrecer capacidades de XDR, al igual que las plataformas SOAR, suelen ser complementos y complementos que requieren configuración y ajuste. Sin embargo, el XDR no cuenta con las funciones de registro, retención y cumplimiento de los SIEM, por lo que es importante encontrar uno que se integre con los controles de seguridad existentes o que ofrezca una arquitectura abierta.
Las organizaciones pueden decidir entre implementar varios conjuntos de productos o un conjunto de productos consolidado para sus necesidades de operaciones de seguridad. Independientemente del camino que elijan, necesitarán cierta integración, configuración y ajuste para detectar los incidentes de seguridad y responder a ellos de manera eficaz y eficiente.
SOAR + Inteligencia de amenazas
El objetivo de las herramientas de seguridad es ver, vincular y tratar los incidentes en un solo lugar. Desafortunadamente, recopilar y correlacionar datos de todas estas herramientas dispares puede resultar extremadamente ruidoso.
Comprender lo que sucede dentro de su propia red interna requiere automatización y orquestación. Pero, ¿qué pasa con las amenazas que se encuentran fuera de su red? Se necesita un contexto externo para correlacionar y enriquecer los datos de la red con la inteligencia sobre amenazas, a fin de ayudar a defenderse contra posibles amenazas.
Las soluciones SOAR necesitan una tecnología como plataforma de inteligencia de amenazas (TIP) que recopila, normaliza y correlaciona automáticamente los datos con múltiples fuentes de inteligencia de amenazas para que se pueda producir un único feed. Esta capacidad de información sobre amenazas debe ser una parte integral del proceso de automatización para garantizar que la plataforma SOAR utilice los datos de manera eficaz para ejecutar las acciones de respuesta correctas.
Desafíos de SOAR
Como señala Gartner, el principal obstáculo para la adopción de la seguridad SOAR sigue siendo la falta o la baja madurez de los procesos y procedimientos dentro de los equipos de SOC. Por eso es vital contar con el asesoramiento de expertos a la hora de planificar la implementación del SOAR.
Gartner, Guía de mercado para soluciones de orquestación, automatización y respuesta de la seguridad, 21 de septiembre de 2020
Más información sobre Threat Intelligence Sharing
