[19/05/2021] SOAR es el nombre de un tipo relativamente nuevo de plataforma de seguridad que coordina la información producida por una amplia gama de herramientas de seguridad, y automatiza gran parte de sus análisis y respuestas de protección. SOAR, que significa orquestación, automatización y respuesta de seguridad, es un término acuñado por Gartner en el 2015 y desde entonces adoptado por la industria, ya que las empresas luchan contra las crecientes amenazas a la seguridad, un mercado laboral ajustado y una creciente avalancha de información que necesitan analizar sobre el estado de los sistemas y las redes que están tratando de proteger.
Idealmente, las plataformas SOAR están pensadas para ayudarle a hacer un mejor uso de los recursos -incluyendo tanto las herramientas técnicas como los empleados- que ya tiene. En la práctica, puede haber peculiaridades, especialmente cuando se trata de prepararse para pasar a un paradigma SOAR; pero, en general, estas ofertas son prometedoras para dar sentido a todos los datos relacionados con la seguridad que las empresas modernas necesitan analizar.
SIEM vs. SOAR
Basándose en esta descripción, es posible que se pregunte cuál es la diferencia entre las plataformas SOAR y el software SIEM (información de seguridad y gestión de eventos). El software SIEM recopila y analiza información de varios registros y herramientas, pero no necesariamente toma las medidas activas que las plataformas SOAR hacen posible. De hecho, las ofertas SOAR suelen utilizar el software SIEM como una de sus entradas. Para entender completamente cómo SOAR va más allá de SIEM, tenemos que profundizar en lo que las herramientas SOAR pretenden hacer y cómo funcionan.
¿Cuál es el objetivo de SOAR?
La historia de la seguridad informática contemporánea, en su esencia, es que, para bloquear los sistemas, es necesario recopilar, procesar y analizar una enorme cantidad de datos procedentes de un conjunto de herramientas cada vez más numeroso y, cuando sea necesario, convertir ese análisis en acciones contra las amenazas detectadas. Todo esto requiere una cantidad cada vez mayor de esfuerzo humano e inteligencia, que es el recurso más valioso (y caro) en la seguridad informática.
FireEye, que es un proveedor de SOAR, enumera cinco ventajas principales del SOAR:
- Combatir las restricciones presupuestarias
- Mejorar la gestión del tiempo y la productividad
- Gestionar eficazmente los incidentes
- Flexibilidad
- Fomentar la colaboración
Cada una de estas ventajas representa una forma de acabar con el problema de la seguridad informática de "demasiados datos y poco tiempo para que los humanos se ocupen de ellos". Las plataformas SOAR utilizan la IA, la automatización y las herramientas de colaboración para eliminar las tareas repetitivas y de bajo nivel del personal de seguridad, y asegurarse de que las tareas que requieren atención humana lleguen a las personas adecuadas y se resuelvan lo antes posible.
Como su nombre indica, SOAR utiliza tres técnicas principales para conseguirlo: orquestación, automatización y respuesta.
Orquestación. Las plataformas SOAR coordinan la entrada y el funcionamiento de las numerosas herramientas de seguridad que puede tener desplegadas en sus redes. Aunque los proveedores siempre están dispuestos a venderle suites integradas de sus propios productos, la mayoría de las plataformas SOAR se jactan de la capacidad de recibir datos de numerosas herramientas de terceros, ya sea a través de aplicaciones de conectores preconstruidos que deberían estar disponibles para las aplicaciones más comunes, o a través de las API que muchas herramientas soportan. Así, las plataformas SOAR pueden proporcionar una interfaz de "panel único" en la que los profesionales de la seguridad pueden ver la información relevante de todas las herramientas correlacionadas, y emitir órdenes sobre cómo proceder.
Automatización. Las plataformas SOAR pretenden llevar a cabo gran parte del trabajo analítico que implica el procesamiento de todos esos datos, con la IA peinando los escaneos de vulnerabilidad y los registros para sacar a la luz posibles amenazas. Además, las tareas relativamente insignificantes que a menudo ocupan gran parte de los días del personal de seguridad pueden automatizarse en gran medida mediante la creación de libros de jugadas; es decir, secuencias de comandos preescritas que describen acciones que pueden ejecutarse en un horario o invocarse con un solo clic. Gracias a los conectores y las API que hemos mencionado antes, las ofertas de SOAR pueden ir más allá de la recepción de datos, y también configurar y enviar comandos a sus herramientas según sea necesario. Algunas tareas pueden ejecutarse de forma totalmente automática, pero otras pueden consolidarse para que un empleado pueda escalar una alerta, obtener datos de los registros o crear tickets de problemas rellenados con los datos adecuados, todo ello mucho más rápido de lo que lo haría si tuviera que manejar todas las herramientas por separado.
Respuesta. La visibilidad que ofrecen las plataformas SOAR sobre todos los datos de sus herramientas permite a sus analistas planificar, gestionar, supervisar e informar rápidamente sobre las acciones que tomarán para responder a las amenazas. Las plataformas SOAR suelen integrarse también con las herramientas de gestión de casos y de elaboración de informes para garantizar que la información sobre cualquier ataque se mantenga a mano para futuras consultas. La mayoría también trabaja con servicios de inteligencia de amenazas para que pueda escuchar fácilmente lo que otros profesionales de la seguridad están tratando, y compartir sus propias experiencias con la comunidad.
5 consejos para prepararse para SOAR
Una plataforma SOAR no es algo que se compre de la estantería y se instale; requiere una personalización para su entorno, por lo que querrá investigar qué tipo de soporte del proveedor viene con cualquier oferta que considere. Pero también tendrá que preparar sus propias operaciones de seguridad, para acomodar los nuevos flujos de trabajo y las capacidades que obtendrá con una solución SOAR. Aquí, los profesionales de la seguridad con experiencia en este campo ofrecen sus consejos sobre cómo abordar esta transición.
Asegúrese de que sus conocimientos internos se ajustan a la plataforma que elija. "Cada solución SOAR tiene un enfoque ligeramente diferente, ya que algunas se adaptan a los analistas altamente cualificados y otras a los usuarios de todos los niveles", afirma Veronica Miller, experta en ciberseguridad de VPNoverview. Por ejemplo, algunas ofertas de SOAR requieren la capacidad de escribir código de scripting en Perl, Python o Ruby para integrar las herramientas de seguridad y crear playbooks.
"Asegúrese de preguntar si su plataforma preferida incluye tanto una interfaz gráfica de usuario como un módulo para escribir scripts, como un entorno de desarrollo integrado", indica Miller. "La interfaz gráfica de usuario puede ayudar a los no codificadores a aprovechar los puntos fuertes de la solución SOAR de inmediato, tal vez mediante simples funciones de arrastrar y soltar, mientras que el IDE permite a los codificadores hacer una personalización más avanzada si es necesario".
Asegúrese de que sus herramientas cuentan con los conectores API que necesita. Como ya se ha dicho, aunque algunas plataformas SOAR llevan incorporados conectores preescritos para herramientas populares, éstos no son universales, y es probable que tengas algunas herramientas caseras que también quiera integrar. Ahí es donde entran en juego los conectores API, y Jason Mitchell, director de Tecnología de Smart Billions, dice que hacer un catálogo de herramientas que necesitan utilizarlos es un paso importante. "Mire los mecanismos que se utilizarían para llevar a cabo auditorías, alertas y medidas correctivas dentro de los sistemas, y asegúrese de que todos los conectores API que encuentre sean utilizables o desarrollables, y que realicen las acciones específicas que usted quiere que se lleven a cabo", anota.
Es posible que tenga que construir estos conectores de API usted mismo; la mayoría de los proveedores ofrecen marcos de integración que le permiten hacerlo. "También puede construir daemons que mejoren las SecOps de forma constructiva", añade Mitchell. "No hay restricciones en los tipos de daemons que puedes hacer, como nuevos IoC en plataformas de inteligencia de amenazas o avisos SIEM de mayor riesgo".
Trace sus procesos de respuesta a incidentes antes de automatizarlos. Dado que la automatización es una de las grandes propuestas de valor de las plataformas SOAR, muchos departamentos que las implementan se precipitan en el proceso de automatización. Pero eso puede ser un gran error. "Aunque la automatización tiene el potencial de mejorar significativamente los procedimientos, también tiene el potencial de exacerbar un problema", comenta Timothy Robinson, director general de InVPN. "La automatización añadida a un proceso ineficiente magnificaría la ineficiencia".
Aproveche la oportunidad que ofrece la transición a SOAR para analizar y racionalizar sus procesos antes de crear playbooks basados en ellos. "Para una mejor visualización y coordinación, dibuje diagramas representativos en papel o en una pizarra", aconseja Robinson. También añade que muchos proveedores incluyen playbooks preescritos, lo que puede suponer una mejora de sus procesos actuales. "Esta puede ser una forma fantástica de poner en marcha a su equipo, y puede perfeccionarla a medida que aprende lo que funciona mejor para su SOC".
Facilitar la automatización. Una de las cosas en las que puede pensar mientras analiza sus procesos actuales es si deben o no automatizarse desde el principio, o nunca. "Incluso los casos más difíciles y maliciosos requieren un pensamiento crítico y práctico que solo un analista de seguridad puede proporcionar", comenta Steve Scott, CTO de Spreadsheet Planet. "Como resultado, cada implementación de SOAR consiste siempre en encontrar la combinación adecuada de actividades impulsadas por máquinas y por analistas para su SOC específico. Identifique los procesos que son los principales candidatos a la automatización, e introduzca primero el SOAR en esas áreas si está empezando. A partir de ahí, decidirá cómo proceder con la parte de automatización de su viaje".
Prepárese para que su implementación de SOAR evolucione. Recuerda que su viaje con SOAR es realmente un viaje: irá aprendiendo sobre la marcha cómo ajustarlo mejor a sus necesidades, y qué funciona y qué no. "Es imposible hacerlo todo bien a la primera", anota Eric McGee, ingeniero de redes senior de TRGDatacenters. "Aunque se dedique mucho tiempo y esfuerzo a crear un playbook específico para la respuesta a incidentes, hay bastantes posibilidades de que no sea impecable".
Y, por supuesto, usted sabe que el panorama de las amenazas siempre está cambiando, y que sus manuales de actuación SOAR necesitarán constantes ajustes para hacer frente a los nuevos desafíos. "Los métodos, estrategias y procedimientos de las ciberamenazas cambian con el tiempo", afirma McGee. "Por lo tanto, hay que adaptarse e implementar los cambios necesarios. Los analistas deben seguir rastreando, revisando y perfeccionando los procesos después de haberlos codificado mediante una solución SOAR para garantizar que cada libro de jugadas siga funcionando con una eficacia y un rendimiento óptimos. El desarrollo continuo puede verse favorecido por las soluciones SOAR que permiten realizar pruebas y simulaciones de advertencia sobre sus playbooks". Si todo va bien, su plataforma SOAR habrá mejorado la eficacia de su SOC, y dará a sus analistas el tiempo que necesitan para pensar estratégicamente en lugar de limitarse a apagar incendios todo el día.
Herramientas SOAR
Si le convence el concepto de una plataforma SOAR y está listo para avanzar, hemos recopilado algunos recursos que pueden ayudarle a decidir qué herramienta SOAR es la adecuada para su trabajo.
Pasar al SOAR puede ser una transición compleja, pero también puede ser gratificante.
Basado en el artículo de Josh Fruhlinger (CSO) y editado por CIO Perú