Orquestación, automatización y respuesta de seguridad (SOAR)

¿Qué es la orquestación, automatización y respuesta de seguridad (SOAR)?

Security Orchestration, Automation, and Response (SOAR) hace referencia a un sistema de soluciones de software integradas y compatibles que permite a una organización automatizar la recopilación de datos de ciberseguridad y la respuesta ante incidentes, mejorando la eficacia de sus operaciones de seguridad en el proceso. 

En muchos sentidos, SOAR representa una evolución de la gestión de eventos e información de seguridad (SIEM). Incorpora registros de eventos y datos de fuentes de terceros, como inteligencia sobre amenazas externas, soluciones de seguridad de puntos finales, escáneres de vulnerabilidades, análisis de comportamiento y detección de intrusiones. También aprovecha los análisis para proporcionar a los equipos de seguridad rutas de investigación definidas junto con alertas curadas, lo que permite una respuesta más eficiente y afinada a los incidentes cibernéticos. 

Componentes de SOAR

Como su nombre indica, SOAR consta de tres componentes principales. 

1. Orquestación de la seguridad

La orquestación consiste en conectar e integrar las distintas herramientas de su ecosistema, tanto internas como externas. Esto se consigue normalmente mediante capacidades de integración incorporadas, integraciones personalizadas o interfaces de programación de aplicaciones (API). El objetivo principal de la orquestación es consolidar las alertas y los datos generados por cada solución en un único flujo.

2. Automatización de la seguridad

La automatización de la seguridad es el aspecto en el que SOAR realmente se distingue. Normalmente, la ingesta y el análisis del inmenso volumen de datos generados por la orquestación de la seguridad requerirían un extenso análisis manual. Sin embargo, al aprovechar la inteligencia artificial y el aprendizaje automático, una solución SOAR elimina la mayor parte de ese trabajo de las manos humanas. 

Aprovechando los playbooks -esencialmente, colecciones de procesos, respuestas y procedimientos predefinidos-, SOAR puede automatizar muchas tareas, como el análisis de registros, la priorización de alertas, la gestión del acceso de usuarios y la detección de amenazas.

3. Respuesta de seguridad

La orquestación y la automatización constituyen la base del tercer pilar de SOAR: la respuesta. Aquí es donde entra en juego el elemento humano de una plataforma SOAR. Los analistas pueden planificar, gestionar y coordinar las respuestas de su organización a las amenazas a la seguridad a través de un cuadro de mandos consolidado y de vista única. Esto incluye los procesos de elaboración de informes, revisión, gestión de casos e intercambio de inteligencia que suelen tener lugar una vez resuelto un incidente. 

Ventajas de SOAR

Las principales ventajas de SOAR son las siguientes: 

  • Detección, gestión y respuesta a incidentes más rápidas y eficaces
  • Información más precisa sobre las amenazas
  • Reducción de la complejidad y los gastos generales
  • Liberar a los analistas humanos del trabajo manual y de las amenazas de bajo nivel, permitiéndoles realizar más tareas.
  • Escalabilidad mediante la automatización
  • Racionalización de las operaciones de seguridad mediante guías estandarizadas
  • Gestión centralizada y simplificada de los datos sobre amenazas
  • Mejora de la colaboración entre equipos informáticos
  • Facilitar el intercambio de información y la elaboración de informes tras los incidentes
  • Visibilidad en tiempo real de toda la organización

Capacidades SOAR

Gartner estableció el término SOAR en 2015. En aquel momento, significaba Operaciones, Análisis e Informes de Seguridad. Desde entonces, el analista lo ha actualizado a su definición actual, al tiempo que establece que una solución SOAR debe: 

Apoyar la corrección de vulnerabilidades y proporcionar un flujo de trabajo formalizado, informes y capacidades de colaboración. Incorporar plataformas de respuesta a incidentes de seguridad con capacidades que incluyan gestión de vulnerabilidades, flujos de trabajo, gestión de incidentes, gestión de casos, capacidades de auditoría y registro, y elaboración de informes.

Apoyar el modo en que una organización planifica, gestiona, rastrea y coordina su respuesta a los incidentes de seguridad. Incorporar la orquestación y la automatización de la seguridad, incluida la automatización del flujo de trabajo, las integraciones, los playbooks y la gestión de playbooks, la recopilación de datos, el análisis de registros y la gestión del ciclo de vida de las cuentas.

Apoyar la automatización y orquestación de flujos de trabajo, procesos, ejecución de políticas e informes. Incorporar plataformas de inteligencia sobre amenazas, que incluyan agregación, análisis, distribución, visualización y enriquecimiento del contexto.

Casos prácticos de SOAR

Las posibilidades de uso de SOAR son enormes. Dado que las soluciones SOAR suelen integrar una amplia selección de plataformas diferentes, es factible que puedan lograr cualquier cosa que esas herramientas pudieran lograr. Dicho esto, hay algunos casos de uso relativamente exclusivos de SOAR que merece la pena mencionar: 

  • Coordinación de la inteligencia sobre amenazas en un panorama de amenazas en expansión
  • Racionalización de la gestión de casos
  • Gestión, detección y mitigación de vulnerabilidades
  • Gestión y corrección automatizadas de riesgos
  • Búsqueda proactiva de amenazas
  • Coordinación y priorización de las alertas
  • Gestión de certificados
  • Detección y análisis avanzados de malware

SOAR es, en muchos sentidos, una evolución de SIEM, y los dos tienen mucho en común. Ambos están diseñados para recopilar y agregar datos de múltiples fuentes, y ambos tienen como objetivo permitir un proceso de respuesta a incidentes más eficaz y racionalizado. Algunas personas incluso han empezado a utilizar los dos términos indistintamente. 

El hecho de que algunos proveedores hayan empezado a incorporar funciones similares a SOAR en sus soluciones enturbia aún más las cosas. Tampoco se trata estrictamente de proveedores de SIEM. Múltiples soluciones de seguridad, incluidas Endpoint Detection and Response (EDR) y Extended Detection and Response (XDR), están adoptando SOAR. 

A pesar de estas tendencias, es importante entender en qué se diferencian SIEM y SOAR, porque lo hacen, y en algunos aspectos de importancia crítica.

Lo primero y más importante es el alcance de los datos recopilados. Mientras que una solución SIEM recopila información de varias fuentes internas, las herramientas SOAR van un paso más allá. Incorporan múltiples fuentes externas y de terceros y suelen incluir más información en tiempo real en su recopilación de datos.  

Las empresas grandes y pequeñas se enfrentan a un número creciente de dispositivos, cada uno de los cuales aumenta las superficies de ataque. Al mismo tiempo, la mayoría de las empresas se enfrentan a un déficit de competencias y recursos en materia de ciberseguridad. La dotación de personal de ciberseguridad es especialmente problemática para las pequeñas y medianas empresas.

Como servicio XDR gestionado 24x7x365 basado en suscripciones y centrado en el ser humano, CylanceGUARD® ofrece a las empresas la experiencia y el apoyo que necesitan. CylanceGUARD combina la amplia experiencia de BlackBerry® Cybersecurity Services con Endpoint Protection (EPP) basado en IA a través de CylancePROTECT®, autenticación continua y análisis a través de CylancePERSONA, y detección y corrección de amenazas en el dispositivo a través de CylanceOPTICS®. En resumen, CylanceGUARD proporciona a las empresas las personas y la tecnología necesarias para proteger a la empresa del panorama moderno de amenazas.