¿Qué es SOAR?
SOAR son las siglas de Security Orchestration, Automation, and Response.
Definición de SOAR
SOAR es un servicio basado en la nube diseñado para ayudar a las organizaciones a automatizar algunos de sus procesos manuales, como la supervisión, las alertas, la investigación, la corrección, la elaboración de informes y el cumplimiento. Proporciona visibilidad en tiempo real de la red y detección de puntos finales en todos los dispositivos y aplicaciones.
Las plataformas SOAR son un conjunto de soluciones de software de seguridad que pueden utilizarse para explorar y recopilar datos de diversas fuentes.
El término fue creado originalmente por Gartner, que definió las tres capacidades de una plataforma SOAR: gestión de amenazas y vulnerabilidades, respuesta a incidentes de seguridad y automatización de operaciones de seguridad. SOAR permite a las empresas recopilar datos relacionados con las amenazas a partir de una serie de fuentes y automatizar las respuestas a la amenaza.
La automatización de las operaciones de seguridad (Automatización) se refiere a las tecnologías que permiten la automatización y orquestación dentro de las operaciones, mientras que la gestión de amenazas y vulnerabilidades (Orquestación) abarca las tecnologías que ayudan a enmendar las ciberamenazas. Los datos se analizan utilizando una combinación de aprendizaje humano y automático para comprender y priorizar las acciones de respuesta a incidentes.
"SOAR" se refiere a las tecnologías que permiten a las organizaciones recopilar entradas supervisadas por el equipo de operaciones de seguridad. Por ejemplo, las alertas del sistema SIEM y otras tecnologías de seguridad en las que el análisis y el triaje de incidentes pueden realizarse aprovechando una combinación de potencia humana y de máquina ayudan a definir, priorizar e impulsar actividades estandarizadas de respuesta a incidentes. Las herramientas SOAR permiten a una organización definir procedimientos de análisis y respuesta a incidentes en un formato de flujo de trabajo digital."
Principales ventajas de SOAR
Las operaciones de seguridad pueden ser un reto constante para cualquier organización. Es importante para la velocidad y la eficacia, pero puede resultar difícil garantizar que todo funcione a la perfección. Con frecuencia, los analistas se ven abrumados por el volumen de alertas procedentes de sistemas dispares. Puede llevar tiempo y esfuerzo obtener y correlacionar los datos necesarios para identificar posibles amenazas. Remediar esas amenazas requiere la coordinación entre diferentes equipos dentro de una organización.
SOAR ayuda a aliviar algunos de los desafíos asociados con los grandes datos ayudando a humanos y máquinas por igual en el análisis de grandes cantidades de datos, reduciendo la fatiga de las alertas y automatizando los procesos de detección y respuesta.
SOAR vs SIEM vs XDR- ¿cuál es la diferencia?
Gartner define el mercado de la gestión de eventos de seguridad e información (SIEM) en función de la necesidad del cliente de analizar datos de eventos en tiempo real para la detección temprana de ataques selectivos y violaciones de datos, y de recopilar, almacenar, investigar y elaborar informes sobre datos de registro para la respuesta a incidentes, análisis forenses y cumplimiento de normativas.
Los productos SIEM surgieron en 2005, inicialmente impulsados por la elaboración de informes de cumplimiento de normativas y la agregación de datos de registro generados por aplicaciones, puntos finales y dispositivos de red.
Aunque algunos SIEM proporcionan tanto gestión de información de seguridad (SIM) como gestión de eventos de seguridad (SEM), ofrecen capacidades limitadas de respuesta a incidentes y visualización. Los SIEM analizan datos de eventos procedentes de tecnologías preventivas, como software antivirus, IDS y cortafuegos, lo que dificulta la detección de ataques sofisticados procedentes de fuentes no correlacionadas. A menudo, el análisis de amenazas también resultaba difícil y lento, ya que se realizaba mediante procesos y análisis manuales.
Las tecnologías SIEM de nueva generación añadieron soporte para el análisis de macrodatos y la detección de eventos en tiempo real, así como complementos de aprendizaje automático y análisis de comportamiento para crear modelos de referencia de patrones de comportamiento normales de usuarios y dispositivos. Esto ayudó a identificar antes los problemas de seguridad y a reducir el periodo en el que las organizaciones eran vulnerables a los ataques.
A pesar de los avances, el gran volumen de alertas de las plataformas SIEM sigue sobrecargando a los equipos de seguridad, que a menudo adoptan herramientas adicionales para reducir los falsos positivos y ayudar a automatizar las respuestas.
Entra en SOAR
Gartner define la orquestación, automatización y respuesta de seguridad (SOAR) como tecnologías que permiten a las organizaciones tomar datos de diversas fuentes (principalmente de sistemas de gestión de eventos e información de seguridad [SIEM]) y aplicar flujos de trabajo alineados con procesos y procedimientos.
Las herramientas SOAR (Security Operations Analytics Resource), que aparecieron por primera vez en 2015, se diseñaron para ayudar a abordar el reto de la fatiga de alertas/eventos de la SIEWF y la escasez global de talento en operaciones de seguridad para que las organizaciones desplegaran eficazmente una solución SIEM. Su principal objetivo era enriquecer los datos de eventos proporcionando un contexto adicional para cada incidente (por ejemplo, ubicación, hora, tipo), lo que permitiría identificar mejor los incidentes críticos y automatizar las respuestas a estos eventos. El objetivo era mejorar la seguridad acelerando la corrección y escalando las amenazas sólo cuando era necesaria la intervención humana.
Las herramientas SOAR utilizan diversos tipos de datos para ayudar a identificar las amenazas y prevenir los ataques contra las organizaciones, lo que requiere la integración con otras herramientas de seguridad y la dependencia de procesos manuales como la definición de libros de jugadas, niveles de alerta personalizados y medidas de respuesta a incidentes.
Mantener la visibilidad en toda la red sigue siendo un reto para los equipos de seguridad porque la infraestructura y las aplicaciones de TI modernas siguen creciendo. Además, confiar en soluciones de seguridad aisladas de proveedores de plataformas SIEM y SOAR puede dar lugar a alertas basadas en información incompleta o mal correlacionada, lo que puede causar interrupciones innecesarias a sistemas y usuarios.
Introduzca XDR
Según la empresa de análisis Gartner, Extended Detection and Response (XDR) es "una herramienta de detección de amenazas y respuesta a incidentes de seguridad basada en SaaS y específica de un proveedor que integra de forma nativa varios productos de seguridad en un sistema cohesivo de operaciones de seguridad que unifica todos los componentes con licencia".
En un esfuerzo por mejorar la detección de amenazas y el tiempo de respuesta a incidentes, los proveedores de seguridad están desarrollando nuevas tecnologías denominadas "XDR" (extended dynamic reporting). El objetivo de XDR es ayudar a las organizaciones a detectar ataques correlacionando sus datos de seguridad y alertándolas cuando se produce una anomalía. XDR combina una serie de herramientas de investigación y análisis de comportamiento con un énfasis en la detección de amenazas avanzadas y respuestas personalizadas para una mejor defensa contra la ciberdelincuencia.
Aunque la última generación de herramientas SIEM puede ofrecer capacidades XDR, éstas -al igual que las plataformas SOAR- son a menudo complementos y plugins que requieren configuración y ajuste. Pero la XDR no tiene las funciones de registro, retención y cumplimiento de SIEM, lo que significa que es importante encontrar una que se integre con los controles de seguridad existentes u ofrezca una arquitectura abierta.
Las organizaciones pueden decidir entre desplegar varios conjuntos de productos o una suite de productos consolidada para sus necesidades de operaciones de seguridad. Independientemente del camino que tomen, necesitarán cierta integración, configuración y puesta a punto para detectar y responder a los incidentes de seguridad con eficacia y eficiencia.
SOAR + Inteligencia sobre amenazas
El objetivo de las herramientas de seguridad es ver, vincular y tratar los incidentes en un solo lugar. Desgraciadamente, la recopilación y correlación de datos de todas estas herramientas dispares puede ser extremadamente ruidosa.
Entender lo que ocurre dentro de su propia red interna requiere automatización y orquestación. Pero, ¿qué ocurre con las amenazas fuera de su red? El contexto externo es necesario para correlacionar y enriquecer los datos de la red con inteligencia sobre amenazas, para ayudar a defenderse contra amenazas potenciales.
Las soluciones SOAR necesitan tecnología como una plataforma de inteligencia sobre amenazas (TIP ) que recopile, normalice y correlacione automáticamente los datos con múltiples fuentes de inteligencia sobre amenazas para que se pueda producir una única fuente. Esta capacidad de inteligencia sobre amenazas debe formar parte integral del proceso de automatización para garantizar que una plataforma SOAR utiliza los datos de forma eficaz para ejecutar las acciones de respuesta adecuadas.
Retos SOAR
Como señala Gartner, el principal obstáculo para la adopción de la seguridad SOAR sigue siendo la falta, o la escasa madurez, de los procesos y procedimientos dentro de los equipos SOC. Por eso es vital contar con el asesoramiento de expertos a la hora de planificar la implantación de SOAR.
Gartner, Market Guide for Security Orchestration, Automation and Response Solutions, 21 de septiembre de 2020.
