¿Qué es la orquestación, automatización y respuesta de seguridad (SOAR)?
Security Orchestration, Automation, and Response (SOAR) hace referencia a un sistema de soluciones de software integradas y compatibles que permite a una organización automatizar la recopilación de datos de ciberseguridad y la respuesta ante incidentes, mejorando la eficacia de sus operaciones de seguridad en el proceso.
En muchos sentidos, SOAR representa una evolución de la gestión de eventos e información de seguridad (SIEM). Incorpora registros de eventos y datos de fuentes de terceros, como inteligencia sobre amenazas externas, soluciones de seguridad de puntos finales, escáneres de vulnerabilidades, análisis de comportamiento y detección de intrusiones. También aprovecha los análisis para proporcionar a los equipos de seguridad rutas de investigación definidas junto con alertas curadas, lo que permite una respuesta más eficiente y afinada a los incidentes cibernéticos.
Componentes de SOAR
1. Orquestación de la seguridad
2. Automatización de la seguridad
La automatización de la seguridad es el aspecto en el que SOAR realmente se distingue. Normalmente, la ingesta y el análisis del inmenso volumen de datos generados por la orquestación de la seguridad requerirían un extenso análisis manual. Sin embargo, al aprovechar la inteligencia artificial y el aprendizaje automático, una solución SOAR elimina la mayor parte de ese trabajo de las manos humanas.
Aprovechando los playbooks -esencialmente, colecciones de procesos, respuestas y procedimientos predefinidos-, SOAR puede automatizar muchas tareas, como el análisis de registros, la priorización de alertas, la gestión del acceso de usuarios y la detección de amenazas.
3. Respuesta de seguridad
Ventajas de SOAR
Las principales ventajas de SOAR son las siguientes:
- Detección, gestión y respuesta a incidentes más rápidas y eficaces
- Información más precisa sobre las amenazas
- Reducción de la complejidad y los gastos generales
- Liberar a los analistas humanos del trabajo manual y de las amenazas de bajo nivel, permitiéndoles realizar más tareas.
- Escalabilidad mediante la automatización
- Racionalización de las operaciones de seguridad mediante guías estandarizadas
- Gestión centralizada y simplificada de los datos sobre amenazas
- Mejora de la colaboración entre equipos informáticos
- Facilitar el intercambio de información y la elaboración de informes tras los incidentes
- Visibilidad en tiempo real de toda la organización
Capacidades SOAR
Gartner estableció el término SOAR en 2015. En aquel momento, significaba Operaciones, Análisis e Informes de Seguridad. Desde entonces, el analista lo ha actualizado a su definición actual, al tiempo que establece que una solución SOAR debe:
Apoyar la corrección de vulnerabilidades y proporcionar un flujo de trabajo formalizado, informes y capacidades de colaboración. Incorporar plataformas de respuesta a incidentes de seguridad con capacidades que incluyan gestión de vulnerabilidades, flujos de trabajo, gestión de incidentes, gestión de casos, capacidades de auditoría y registro, y elaboración de informes.
Apoyar el modo en que una organización planifica, gestiona, rastrea y coordina su respuesta a los incidentes de seguridad. Incorporar la orquestación y la automatización de la seguridad, incluida la automatización del flujo de trabajo, las integraciones, los playbooks y la gestión de playbooks, la recopilación de datos, el análisis de registros y la gestión del ciclo de vida de las cuentas.
Apoyar la automatización y orquestación de flujos de trabajo, procesos, ejecución de políticas e informes. Incorporar plataformas de inteligencia sobre amenazas, que incluyan agregación, análisis, distribución, visualización y enriquecimiento del contexto.
Casos prácticos de SOAR
Las posibilidades de uso de SOAR son enormes. Dado que las soluciones SOAR suelen integrar una amplia selección de plataformas diferentes, es factible que puedan lograr cualquier cosa que esas herramientas pudieran lograr. Dicho esto, hay algunos casos de uso relativamente exclusivos de SOAR que merece la pena mencionar:
- Coordinación de la inteligencia sobre amenazas en un panorama de amenazas en expansión
- Racionalización de la gestión de casos
- Gestión, detección y mitigación de vulnerabilidades
- Gestión y corrección automatizadas de riesgos
- Búsqueda proactiva de amenazas
- Coordinación y priorización de las alertas
- Gestión de certificados
- Detección y análisis avanzados de malware
SOAR es, en muchos sentidos, una evolución de SIEM, y los dos tienen mucho en común. Ambos están diseñados para recopilar y agregar datos de múltiples fuentes, y ambos tienen como objetivo permitir un proceso de respuesta a incidentes más eficaz y racionalizado. Algunas personas incluso han empezado a utilizar los dos términos indistintamente.
El hecho de que algunos proveedores hayan empezado a incorporar funciones similares a SOAR en sus soluciones enturbia aún más las cosas. Tampoco se trata estrictamente de proveedores de SIEM. Múltiples soluciones de seguridad, incluidas Endpoint Detection and Response (EDR) y Extended Detection and Response (XDR), están adoptando SOAR.
A pesar de estas tendencias, es importante entender en qué se diferencian SIEM y SOAR, porque lo hacen, y en algunos aspectos de importancia crítica.
Lo primero y más importante es el alcance de los datos recopilados. Mientras que una solución SIEM recopila información de varias fuentes internas, las herramientas SOAR van un paso más allá. Incorporan múltiples fuentes externas y de terceros y suelen incluir más información en tiempo real en su recopilación de datos.
Las empresas grandes y pequeñas se enfrentan a un número creciente de dispositivos, cada uno de los cuales aumenta las superficies de ataque. Al mismo tiempo, la mayoría de las empresas se enfrentan a un déficit de competencias y recursos en materia de ciberseguridad. La dotación de personal de ciberseguridad es especialmente problemática para las pequeñas y medianas empresas.
Como servicio XDR gestionado 24x7x365 basado en suscripciones y centrado en el ser humano, CylanceGUARD® ofrece a las empresas la experiencia y el apoyo que necesitan. CylanceGUARD combina la amplia experiencia de BlackBerry® Cybersecurity Services con Endpoint Protection (EPP) basado en IA a través de CylancePROTECT®, autenticación continua y análisis a través de CylancePERSONA™, y detección y corrección de amenazas en el dispositivo a través de CylanceOPTICS®. En resumen, CylanceGUARD proporciona a las empresas las personas y la tecnología necesarias para proteger a la empresa del panorama moderno de amenazas.