Español
English
SOAR (Security Orchestration Automation and Response) es una plataforma de operaciones y generación de informes de seguridad que utiliza datos extraídos de distintas fuentes para proporcionar capacidades de gestión, análisis y generación de informes en apoyo a los equipos analistas en un SOC. Las plataformas SOAR aplican la lógica de toma de decisiones, dentro de un contexto adecuado, para proporcionar flujos de trabajo formalizados y así gestionar la priorización de tareas en respuesta a incidentes. Las plataformas SOAR proporcionan la inteligencia que un equipo de SOC necesita aplicar en sus flujos de trabajo.
La evolución de las plataformas SIEM
Las plataformas SIEM han existido desde hace tiempo y durante ese tiempo han evolucionado de ser una herramienta de correlación de eventos de seguridad a ser un sistema de análisis de seguridad. Tradicionalmente, una plataforma SIEM es una herramienta que tiene la capacidad de agregar eventos de seguridad, para dar una visibilidad de lo que está sucediendo en nuestra infraestructura desde una perspectiva de seguridad IT. La evolución de las herramientas que utilizamos es un proceso continuo y si bien las alertas de comportamiento sospechoso son necesarias, el objetivo real es actuar de la forma más rápida y eficaz posible ante cualquier posible alerta.
Ventajas de las plataformas SOAR
Mientras que un SIEM tradicional permite conocer que algo está ocurriendo en la red corporativa, las plataformas SOAR permiten actuar en base a esa información. Una solución SOAR recolecta y consolida todos los eventos generados por dispositivos y/o aplicaciones de seguridad y fuentes threat intelligence, yendo un paso más allá que las plataformas SIEM tradicionales al automatizar respuestas y coordinar tareas de seguridad asociadas a través de las aplicaciones y procesos conectados.
SOAR permite agregar información sobre amenazas de terceros a partir de múltiples fuentes, a la vez que ofrece la posibilidad de desarrollar procedimientos de respuesta ante cualquier amenaza.
Es muy frecuente que los equipos de análisis de amenazas desplegados en un SOC puedan sentirse abrumados por la gran cantidad de alertas e información que tienen a su disposición y a menudo diseminada a través de diferentes sistemas. Una gran parte del tiempo consumido por estos equipos se dedica a examinar la información para organizarla y presentarla de una manera consolidada que facilite la toma de decisiones. Aquí es donde entran las plataformas SOAR, donde su principal función es la de liberar a estos equipos de estas tareas, ayudando así a que se concentren en tareas de mayor prioridad y proporcionando un retorno medible de la inversión en un período de tiempo relativamente corto.
¿Qué nos aportan las plataformas SOAR?
Se debe mencionar que las mejores plataformas SOAR son aquellas que pueden justificar y/o demostrar un retorno de la inversión (ROI) tanto en recursos materiales como humanos.
Una solución SOAR deberá incorporar e integrar como mínimo las siguientes opciones/características:
- Threat Intelligence: deberá facilitar a los equipos de análisis el poder comparar rápidamente las amenazas potenciales con las amenazas conocidas.
- Case Management Based Incident Response: los equipos de análisis recopilan, procesan y analizan los datos, pero deben ser capaces de aprovecharlos para priorizar las alertas y responder a las amenazas lo antes posible. La capacidad de respuesta ante incidente de una plataforma SOAR es fundamental para ello.
- Vulnerability Management: Parte del trabajo de un analista de SOC es saber qué alertas deben ser priorizadas y gestionadas. Estas decisiones deberán ser tomadas normalmente en base a las capacidades de gestión de vulnerabilidades de una plataforma SOAR y datos reales y/o verificables.
- Endpoint Detection and Response: Después de priorizar las alertas de seguridad, los analistas de seguridad deben profundizar en los incidentes investigando y supervisando el comportamiento de los endpoints (EDR), lo que hace que la detección y respuesta de los mismos sea una parte crítica de cualquier plataforma SOAR.
- Process Management: dado que las plataformas SOAR están orientadas a la respuesta ante incidentes, una parte esencial de una solución SOAR es la capacidad de crear y gestionar procedimientos que se alinean con las políticas de respuesta ante incidentes de la organización.
Las crecientes amenazas tecnológicas, así como la carga administrativa que supone la gestión de las mismas, están ejerciendo cierta presión sobre los equipos SOC, que simplemente no pueden permitirse una violación de los datos (en cualquiera de sus formas: data breach, data leakage, etc) así como la interrupción operativa de los servicios y los daños a la imagen de marca.
Las plataformas SOAR proporcionan a los SOCs un enfoque diferente de cómo gestionar la seguridad IT, uno que no está restringido por procesos manuales y que aprovecha la automatización, el análisis predictivo y (cada vez más) la IA para ayudar a identificar y responder a intrusiones no autorizadas antes de que logren afianzarse en las redes corporativas. SOAR promete ofrecer una forma de reducir los tiempos de permanencia de posibles atacantes (entendiendo por permanencia el tiempo que se tarda en detectar una amenaza tras el compromiso inicial), así como los tiempos de detección y reparación (mitigando la amenaza una vez que ha sido identificada).
Mediante la integración de flujos de trabajo automatizados, la gestión de incidentes y los procesos de orquestación, con la visualización y la generación de informes bajo un único prisma, SOAR proporciona una forma rápida y precisa de procesar grandes volúmenes de datos de alertas y de eventos y ayuda a los analistas a identificar y responder a los ataques que puedan estar ya en curso, actuando como un apoyo para los equipos de SOC y permitiéndoles ser exponencialmente más eficientes en la forma en que gestionan sus flujos de trabajo.
______
Autor: Carlos López