El concepto de orquestación, automatización y respuesta a incidentes de seguridad, SOAR por sus siglas en inglés, consiste en un stack de diversas herramientas IT que ayuda a los equipos de seguridad a manejar y responder de manera eficiente ante las amenazas y vulnerabilidades que se presentan de manera cotidiana, gracias a la automatización de las tareas rutinarias de seguridad.
SOAR involucra tres capacidades de software que se utilizan en conjunto en pro de la seguridad de las compañías:
- Orquestación de seguridad para integrar diferentes herramientas de seguridad y así aumentar la eficacia de las operaciones en este renglón.
- La automatización disminuye la participación humana en las tareas de seguridad e incorpora tecnología que permite detectar, identificar prioridades y remediar automáticamente las amenazas.
- La respuesta a incidentes de seguridad abarca la planeación, el manejo, el seguimiento y la notificación de las acciones para responder cuando se detecta una amenaza.
De acuerdo con Gartner, estas tres acciones conjuntas permiten que las organizaciones recopilen datos para ser monitoreados por el equipo de seguridad de operaciones.
En el blog Software Engineering Institute de la Carnegie Mellon University señalan que, en promedio, los centros de operaciones de seguridad (SOC, por sus siglas en inglés) reciben diariamente 10,000 alertas, un número que va en aumento. Las herramientas SOAR ayudan a los equipos de defensa —con profesionales que trabajan la gestión de seguridad y gestión de eventos (SIEM, por sus siglas en inglés), los operadores y los cazadores de amenazas, entre otros— a analizar los incidentes y establecer procedimientos de respuestas en flujos de trabajo digitales más ágiles.
Por su parte, Red Hat indica que “la tecnología de SOAR suele incluir flujos de trabajo configurados previamente para casos de uso comunes. Si estos no satisfacen las necesidades específicas de su empresa, pueden adaptarse para que cumplan con sus requisitos mediante el desarrollo personalizado”.
Algunos beneficios de SOAR
Implementar SOAR ofrece tres ganancias clave a las organizaciones:
- Se reduce el tiempo medio de respuesta (MTTR, por sus siglas en inglés). Al implementar respuestas automatizadas, los equipos del SOC y SecOps reaccionan rápidamente a las ciberamenazas. Cuando se presenta una amenaza conocida verificada con determinadas acciones para remediar el ataque, el factor humano puede retrasar la respuesta.
- Las amenazas tienen menor impacto porque se cuenta con capacidades para detectar y responder rápidamente a ellas. Al abordar así esas vulneraciones, es posible evitar que hagan grandes daños.
- Se incorpora inteligencia para combatir las amenazas. Con ello se actualizan diariamente los conocimientos de amenazas lo cual permite a los equipos de seguridad diseñar respuestas adecuadas ante ataques específicos.
Cabe recordar que hace unos meses, Pedro Lascurain, profesor de Seguridad de la Información en el Tec de Monterrey, destacó la importancia de gestionar las identidades, las vulnerabilidades tecnológicas y las actualizaciones, así como realizar un monitoreo de seguridad y preparar la respuesta a incidentes.
SOAR permite consolidar soluciones y evitar ataques al tomar una postura proactiva. No solo se trata de tener información vigente acerca de las amenazas, sino también de ser capaces de responderá de manera ágil y precisa cuando estas se presentan.