Digitizeme Blog Latam

¿De qué hablamos cuando hablamos de SOAR?

Escrito por Luciano Meléndez | May 27, 2021 6:40:25 PM

Las organizaciones actuales están cada vez más experimentando y madurando en el uso de canales digitales. Con esto se evidencia una mayor exposición a brechas de seguridad. Con la premisa de reducir este riesgo, comenzaron a proliferar tecnologías integrables entre sí, capaces de recopilar datos de amenazas y alertas de seguridad de diferentes fuentes, para luego analizar y clasificar esos incidentes combinando criterios (humanos) con grandes capacidades de cómputo.

Ante esta situación, lo que se persigue como objetivo final es obtener un workflow que permita definir, priorizar y ejecutar actividades –automatizadas y/o estandarizadas- de respuesta a incidentes de Seguridad. De acuerdo con el informe “Evolución de Gestión de Cyberseguridad” de Gartner, la solución a esta problemática es el concepto SOAR (Security Orchestration, Automation and Response), del cual se pueden identificar 3 fundamentos para describirlo:

Manejo de Amenazas y Vulnerabilidades: integración de tecnologías y reportes para la remediación de vulnerabilidades.
Respuesta a Incidentes de Seguridad: planeamiento, gestión y seguimiento de respuesta a incidentes.
Automatización de Operaciones de Seguridad: coordinación de procesos, automatización de ejecución de políticas y reportes.

SOAR es esencialmente un conjunto de herramientas de automatización de procesos y, si éstos no están debidamente establecidos, no hay mucho que automatizar. El análisis de comportamiento y la orquestación serán extremadamente útiles siempre que haya tareas rutinarias y recurrentes -también llamadas playbooks- que puedan automatizarse de forma segura.

Dicho esto, debemos considerar que una de las claves para poder optimizar el tiempo de respuesta ante incidentes es la automatización. A su vez, esta puede integrarse con cada SIEM (Security Incident and Event Management), de manera que las tareas de detección requieran cada vez menos intervención manual para llevarse a cabo y, por ende, menos tiempo.

Por ejemplo, en ambientes que crecen elásticamente como las nubes híbridas, es muy complicado evaluar las vulnerabilidades de un server virtual que se crea, se usa, y se borra en cuestión de segundos. En estos casos se vuelve indispensable una capa elástica de Seguridad que acompañe el ciclo de vida de dicho server para garantizar la consistencia del proceso.

Como expuse anteriormente, la orquestación es importante para el funcionamiento de SOAR y, es otro desafío que se nos presenta. Usualmente, las APIs cambian de versión a versión de infraestructura de seguridad o las integraciones preestablecidas son muy limitadas y no brindan la información que queremos aprovechar. Para obtener valor del SOAR, la organización debe mantener a sus recursos con las habilidades adecuadas para desarrollar y mantener las integraciones.

Algunas otras ventajas de la adopción de SOAR son tanto la reducción de falsos positivos como la priorización de incidentes basados en riego, también hay una importante reducción de diversidad de plataformas que se deben aprender a manejar. La incorporación de técnicas como Machine Learning son disruptivas porque logran eficientizar los Playbooks manuales al punto de automatizarlos o reducirlos al mínimo.

Podemos concluir que estamos avanzando de manera firme hacia una nueva forma de tratar los incidentes de seguridad, que sigue de cerca el enorme crecimiento y complejidad de los vectores de ataque; pero sólo aquellas compañías con un grado de madurez en sus procesos y conciencia a la hora de asignar presupuesto a Seguridad podrán afrontar este reto. El desafío está planteado.