Guía SOAR: fundamentos de la orquestación, automatización y respuesta de seguridad

Se sabe que los SIEM generan un gran volumen de alertas e incidentes que deben ser investigados por los equipos de seguridad. A medida que estos volúmenes continúan aumentando exponencialmente, es difícil para los equipos de seguridad con escasos recursos atender a cada uno de ellos manualmente antes de que sea demasiado tarde.

Se pueden automatizar las formas más básicas de búsqueda de amenazas y verificaciones diarias mundanas, de modo que tengan el tiempo suficiente para investigar las amenazas que realmente necesitan tu atención.

Las empresas han estado luchando por obtener una imagen clara de lo que se puede y no se puede automatizar dentro de sus operaciones de seguridad.

Como tecnología relativamente novedosa en la industria de la seguridad cibernética, SOAR (abreviatura de Security Orchestration, Automation, and Response) aún se está asentando y aún no alcanza su máximo potencial. Pero muchos todavía no comprenden el valor de SOAR en su totalidad, por eso creamos esta guía SOAR.

En esta guía, compartiremos todas las estrategias y conceptos que necesitas saber cuando se trata de configurar la orquestación y la automatización de la seguridad en los silos empresariales, sin importar si eres un principiante o un veterano experimentado en ciberseguridad.

¿Qué es SOAR?

SOAR es la abreviatura de orquestación, automatización y respuesta de seguridad. Esta frase se aplica a tecnologías que hacen que las operaciones de seguridad sean más eficientes al recuperar datos y realizar acciones comunes o repetitivas sin intervención humana.

Los detalles varían de un centro de operaciones de seguridad (SOC) a otro, pero los usos típicos incluyen consultar fuentes de inteligencia de amenazas y poner en cuarentena máquinas sospechosas.

SOAR es una tecnología que permite a las empresas recopilar datos sobre amenazas y alertas y permite a los analistas responder a las amenazas en menos tiempo y automatizar tareas repetitivas.

¿Qué es la orquestación?

La orquestación de seguridad se trata de recopilar información de una variedad de fuentes y consolidarla de una manera útil.

Por ejemplo, supón que has encontrado un archivo sospechoso. Para tener una idea del riesgo que representa, deseas saber el origen del archivo y si contiene o no algún malware conocido. Obtener estas respuestas manualmente lleva tiempo; deberás buscar en algunos registros para averiguar de dónde proviene el archivo y deberás cargarlo en un servicio como VirusTotal para averiguar si está infectado.

Sin embargo, si usas una solución SOAR, puedes pedirle que realice estas tareas por ti. El software hace el trabajo necesario detrás de escena y te presenta las respuestas una vez que las recupera.

Al proporcionar acceso rápido a información de seguridad valiosa, SOAR hace que las investigaciones sean más eficientes y te brinda la información que necesitas para tomar las mejores decisiones posibles.

¿Qué es la automatización?

La automatización de la seguridad se refiere a las funciones que permiten que el software actúe sin intervención humana. La automatización no reemplaza a los analistas humanos; en cambio, reduce el tiempo que los analistas dedican a tareas simples y repetitivas.

Esto les permite dedicar más tiempo a concentrarse en asuntos más complejos en los que realmente se necesita su atención y experiencia.

Al emparejar la automatización con la orquestación, puedes configurar reglas para manejar algunos de los eventos más comunes tan pronto como ocurran.

Por ejemplo, puedes configurar el software para comprobar el tráfico de la red con una lista actualizada periódicamente de dominios maliciosos. Si una máquina de tu entorno intenta repetidamente ponerse en contacto con uno de estos dominios, el software puede ponerlo en cuarentena automáticamente hasta que haya un analista disponible para investigar. Mientras tanto, el resto de la red está protegida del punto final sospechoso.

¿Qué es la respuesta?

El término respuesta se refiere a la respuesta a incidentes de seguridad, que mide en detalle cómo responde la organización a las amenazas, con el fin de utilizar esa información para aumentar estratégicamente la eficacia de SecOps.

¿Qué tipo de cosas puede hacer SOAR?

Una de las ventajas de SOAR es su flexibilidad. Puedes usar una solución SOAR para simplificar cualquier número de tareas comunes (o no tan comunes), como actualizar bases de datos y responder a amenazas.

A continuación, se muestran algunas aplicaciones clave:

Gestionar vulnerabilidades

Correlaciona los datos de registro con la inteligencia de amenazas para comprender qué exploits están utilizando los atacantes e identificar los elementos vulnerables de su infraestructura antes de que puedan verse comprometidos.

Coordinar investigaciones

Organiza los datos de seguridad fácilmente y recupera información relevante sobre amenazas de terceros cuando la necesites. El acceso instantáneo a fuentes de datos externas ayuda a sus analistas a tomar la decisión correcta en cada investigación.

Responder a los incidentes

Los conjuntos de reglas llamados libros de jugadas permiten que las plataformas SOAR actúen automáticamente cuando ocurre un tipo particular de incidente. Con esta funcionalidad, puedes configurar respuestas automáticas para los tipos de incidentes más comunes.

Agilizar la colaboración

La investigación de incidentes y otros procesos de seguridad pueden detenerse cuando los equipos no pueden colaborar fácilmente, como cuando los equipos de una organización almacenan datos en diferentes formatos y usan diferentes software. SOAR te ayuda a eliminar estas barreras a la colaboración.

Desarrollos en SOAR

En los últimos años, los proveedores de la plataforma SOAR han comenzado a expandir las capacidades de su software con tecnologías como el aprendizaje automático. El aprendizaje automático complementa la funcionalidad SOAR existente al brindarle al software los medios para adaptarse a los cambios en el entorno.

En lugar de depender de reglas estáticas basadas en umbrales para la automatización, las plataformas SOAR pueden aprender qué es y qué no es normal. Después de establecer estas líneas de base, el software puede actualizarlas periódicamente a medida que cambia el entorno, aumentando su precisión y reduciendo el número de falsos positivos.

Otras áreas en las que SOAR ha experimentado mejoras significativas incluyen las funciones de orquestación de procesos y la facilidad de uso. Al extender la orquestación para admitir el software utilizado en todas las organizaciones, SOAR rompe las barreras a la colaboración que surgen cuando diferentes equipos usan diferentes paquetes de software. Esto hace que los procesos de toda la organización sean más eficientes.

Además, las interfaces más fáciles de usar mejoran la accesibilidad de las plataformas SOAR para los usuarios menos experimentados. Los miembros del equipo de seguridad que no se sienten cómodos con los lenguajes de secuencias de comandos, por ejemplo, pueden usar herramientas de creación de libros de jugadas gráficas, mientras que los usuarios más avanzados conservan la capacidad de escribir secuencias de comandos a mano.

SOAR vs SIEM

Existe una amplia gama de herramientas, tecnologías y plataformas de seguridad disponibles para los equipos de seguridad actuales. Con tantas opciones disponibles, decidir qué herramienta se adapta mejor a tu organización y su entorno no es una tarea fácil.

Una herramienta de gestión de eventos e información de seguridad (SIEM) es la herramienta más común en organizaciones más grandes. En los últimos tiempos, también hemos visto interés en la creación de orquestación, automatización y respuesta de seguridad (SOAR) a un ritmo rápido. Echemos un vistazo más de cerca a lo que realmente significan estos dos términos y en qué se diferencian.

¿Qué es SIEM?

Gestión de eventos e información de seguridad (SIEM) es el nombre de un grupo de tecnologías de seguridad efectivas que agregan datos de registro de múltiples fuentes, analizan esos datos, identifican actividades sospechosas y notifican al equipo de seguridad de estos hallazgos.

La función más básica de una plataforma SIEM es centralizar los datos de registro de herramientas de seguridad como firewalls, IDS e IPS, puntos de acceso inalámbricos y software antivirus. Combinadas, estas herramientas generan más datos de los que los equipos de seguridad pueden manejar sin ayuda.

Una solución SIEM te ayuda a recopilar todos estos datos en un solo lugar y crear un conjunto unificado de informes en un sistema de notificación centralizado. Analiza los datos de eventos para identificar la actividad que podría indicar un ataque, luego correlaciona la información de eventos entre dispositivos para detectar una actividad potencialmente anómala. Cuando el software detecta actividad sospechosa, emite una alerta.

Sin embargo, si una solución SIEM puede hacer tanto, ¿por qué no es eficaz por sí sola?

Dado que los entornos de red cambian constantemente, cualquier solución SIEM debe «alimentarse» continuamente con una línea de base estándar y ajustarse periódicamente. Sin embargo, la necesidad de un ajuste fino frecuente hace que los analistas e ingenieros de seguridad pierdan un tiempo precioso tratando de hacer que la herramienta funcione para ellos, en lugar de clasificar el flujo constante de datos.

En qué consiste SOAR

Una plataforma SOAR generalmente se incorpora en un SOC para aumentar la eficacia de los profesionales de seguridad que trabajan dentro del SOC.

SOAR utiliza la automatización y la orquestación para ayudar a las organizaciones a identificar amenazas cibernéticas reales, eliminar falsos positivos y responder al peligro real mejorando drásticamente el tiempo de respuesta a incidentes.

En otras palabras, SOAR no solo recopila datos, sino que utiliza su motor de aprendizaje automático para responder por sí solo a las amenazas y utilizar la automatización para llevar a cabo completamente tareas de bajo riesgo (como documentar el proceso de análisis de una alerta) sin la necesidad de interacción humana.

SOAR integra todas las herramientas, plataformas y aplicaciones de seguridad en el entorno de una organización. Al automatizar los flujos de trabajo de respuesta a incidentes, una plataforma SOAR también ayuda a los equipos de SOC a manejar grandes volúmenes de alertas.

SIEM difiere de SOAR en el sentido de que SIEM entrega los datos sobre una amenaza, sin facilitar los cursos de acción recomendados, lo que en última instancia requiere que los profesionales de seguridad hagan el trabajo de evaluar cada alerta de forma manual.

¿Necesito SIEM si ya uso SOAR?

Los equipos de operaciones de seguridad (SecOps) a menudo se hacen esta pregunta. Dado que ambos tipos de soluciones ofrecen la capacidad de correlacionar información e identificar relaciones entre eventos de seguridad, los analistas quieren saber qué enfoque es el mejor para realizar el trabajo.

SIEM y SOAR no son dos caras de la misma moneda; más bien, sus capacidades se complementan entre sí. Es por eso que los equipos de SecOps más exitosos utilizan ambas tecnologías para optimizar sus SOC.

Una solución SIEM por sí sola es extremadamente útil y hace un gran trabajo al ingerir y correlacionar millones de registros de varias fuentes, identificando problemas y generando alertas.

Sin embargo, las soluciones SIEM tienden a generar más alertas de las que puede manejar un equipo de seguridad. Intentar investigar manualmente la montaña resultante de alertas no solo conduce a una mayor fatiga de alertas en los analistas, sino que también abre la puerta a errores, en caso de que algunas alertas se pierdan.

Aquí es donde entra en juego SOAR: al automatizar y orquestar estas tareas manuales que consumen mucho tiempo sin ninguna intervención humana, SOAR permite a los analistas aprovechar mejor sus habilidades. Por lo tanto, la mayoría de los equipos de SecOps encuentran que emparejar SOAR con una plataforma SIEM es la fórmula correcta para una solución de seguridad eficaz.

¿Por qué SOAR se está volviendo cada vez más frecuente en la industria de la ciberseguridad?

Hasta ahora, mencionamos que SOAR utiliza orquestación e incorpora automatización en SecOps . Ahora, vamos a explicar cómo estas características también benefician a las organizaciones, SOC, MSSP y CISO:

  • Resuelve el problema de la fatiga de las alertas : muchas organizaciones reciben miles de alertas a diario, y los SOC a menudo no tienen la mano de obra para evaluar adecuadamente cada una de ellas. El enorme volumen de alertas conduce inevitablemente a una sobrecarga de trabajo para los analistas, que no pueden mantenerse al día con la avalancha interminable de alertas. Al aprovechar la automatización de la seguridad, SOAR reemplaza a los analistas al ocuparse de las alertas de bajo riesgo, que representan más del 60% de todas las alertas.
  • Abordar el problema de la escasez de habilidades: la cantidad de alertas diarias está aumentando y, lamentablemente, la cantidad de profesionales de seguridad capacitados está disminuyendo. Sin embargo, SOAR aborda directamente este problema aumentando la productividad de SOC en 10 veces, lo que permite a los equipos de SOC lograr más haciendo menos.
  • Aumento drástico del tiempo de respuesta a incidentes: los equipos de SOC que no dependen de la tecnología más contemporánea y que no cuentan con los analistas más capacitados suelen ser demasiado lentos en el análisis de alertas. SOAR permite a los profesionales de la seguridad aumentar su tiempo de respuesta a las amenazas cibernéticas hasta en un 80% con respuestas completas o semiautomatizadas.

La razón por la que SOAR está creciendo tanto en popularidad como en demanda es que SOAR aborda los problemas que las tecnologías más antiguas no podían resolver.

SOAR actúa como una solución todo en uno, reforzando simultáneamente diferentes aspectos de un SOC. Dejando en claro que el camino de SOAR ya está pavimentado, y somos nosotros los que tenemos que seguir.

Cómo implementar una solución SOAR

Orquestación, automatización y respuesta de seguridad (SOAR) se refiere a tecnologías que ayudan a los equipos de seguridad a manejar flujos interminables de alertas y responder a ellos a velocidades similares a las de una máquina. Como sugiere el nombre, hay tres categorías distintas de tecnologías que componen SOAR:

Canalización de ciberseguridad existente

Una canalización de ciberseguridad comienza mucho antes de que un evento se clasifique como amenaza; de hecho, comienza justo donde se reciben los eventos. La respuesta está al final del proceso.

Dado que la mayoría de los eventos no indican la presencia de una amenaza, relativamente pocos eventos llegan al final. Una canalización típica dentro de un sistema SIEM podría verse así:

  • Colección: los eventos se reciben mediante varios protocolos.
  • Análisis: los eventos se desglosan y se ingresan en campos.
  • Enriquecimiento: se agrega información contextual a los eventos.
  • Indexación: los eventos se almacenan en la base de datos
  • Correlación: eventos similares están conectados y analizados
  • Validación: los detalles del evento se verifican en múltiples fuentes
  • Respuesta: se toman medidas para contrarrestar una amenaza

Son posibles muchas variaciones en esta tubería. Por ejemplo, los proveedores pueden optar por agregar etapas o dividir una etapa en varias etapas. Aun así, la funcionalidad principal permanece más o menos sin cambios.

Enriquece eventos y agrega contexto

La fase de enriquecimiento agrega contexto a los eventos, lo que hace que encontrar correlaciones entre eventos sea más fácil y productivo. Agregar información geográfica y registros whois son medios comunes para enriquecer los datos.

Sin embargo, se puede hacer mucho más con SOAR:

Enriquecimiento de datos

Los ejemplos avanzados de enriquecimiento de eventos incluyen:

  • Capa de la puntuación UEBA de un usuario sobre Active Directory o eventos de proxy
  • Extraer y agregar contexto de IP de AD y agregarlo a eventos de proxy
  • Agregar inteligencia sobre amenazas de terceros y enriquecer eventos con contexto
  • Agregar atributos de usuario extraídos de AD a los usuarios de la base de datos

Añadir contexto hace que la correlación sea más productiva, mejorando las capacidades de su plataforma SIEM.

Validar amenazas mediante búsquedas

Anteriormente, las reglas de correlación se limitaban a modelos y agrupaciones simples. No hubo oportunidades para validar automáticamente los resultados de la correlación o incorporar inteligencia de amenazas de terceros.

Hoy, SOAR también puede validar correlaciones, asegurando que se tomen las decisiones correctas en la fase de respuesta.

Al recurrir a fuentes externas para validar decisiones y agregar contexto a los resultados correlacionados, SOAR hace posible sistemas de validación más efectivos. Entre los ejemplos de formas en que se pueden validar las amenazas se incluyen:

  • Valida dominios / IPs / hash de archivos, etc. utilizando proveedores de inteligencia de amenazas remotos.
  • Valida y contextualiza los detalles del evento con campos adicionales de ITSM o Active Directory.

En la fase de validación, SOAR reduce el tiempo de investigación al eliminar la necesidad de verificaciones manuales que diferencian las amenazas de los falsos positivos.

Respuesta automatizada: activación de eventos salientes

La respuesta es la última fase del proceso de eventos. Cualquier evento que llegue a este punto se ha convertido en una alerta confirmada que requiere acción. Ya se ha realizado la verificación cruzada de la amenaza, por lo que se deben tomar medidas para contrarrestar la amenaza.

Los sistemas tradicionales se detienen antes de esta etapa, simplemente levantando un incidente o un ticket en la pantalla de un administrador.

Entonces, es responsabilidad del administrador validar y responder a la amenaza manualmente. Este enfoque que requiere mucho tiempo permite a los atacantes permanecer en el sistema más tiempo del necesario, según los estándares modernos.

Los ejemplos de respuestas que se pueden activar incluyen:

  • Levantar un ticket en la aplicación ITSM
  • Notifica a los usuarios que utilizan aplicaciones de chat o correo electrónico como Google Hangouts / Slack, etc.
  • Activar un escáner de vulnerabilidades en un dispositivo no reconocido
  • Bloquear un proceso, bloquear el acceso a la red y al disco mediante un producto de punto final.

Beneficios de implementar SOAR

Estos son los principales beneficios de SOAR:

Conecta y coordina flujos de trabajo entre equipos y herramientas

Para contrarrestar eficazmente diversos riesgos y vectores de ataque, la mayoría de las organizaciones compran o se suscriben a diversas herramientas de seguridad o servicios profesionales, como SIEM, inteligencia de amenazas, firewalls, sistemas de detección de intrusiones, software de seguridad de terminales y software antivirus.

Antes de que se den cuenta, los equipos de seguridad están atascados administrando y monitorizando una pila de hasta 10 soluciones de seguridad dispares. En los entornos más complejos, la cantidad de productos puede llegar hasta 50.

Teniendo en cuenta que estas herramientas no están diseñadas para comunicarse entre sí, administrarlas y recopilar la información que ofrecen puede resultar tedioso y complicado.

Sin embargo, SOAR reúne herramientas de seguridad individuales de una manera que permite a los equipos de SOC administrarlas y orquestarlas de manera más eficiente desde una sola plataforma.

Evita la sobrecarga de alertas

La mayoría de las organizaciones tienen cerca de una docena de dispositivos y herramientas de seguridad, redes y TI. De ellos salen miles de alertas. La mayoría de los equipos dentro de un centro de operaciones de seguridad se enfrentan a una cantidad asombrosa de alertas para investigar y responder todos los días.

Las soluciones SOAR pueden ayudar a los equipos de SOC a superar la fatiga de las alertas ayudándolos a detectar y responder automáticamente a las amenazas conocidas con flujos de trabajo automatizados.

Los equipos de seguridad también pueden usar una solución SOAR para automatizar las tareas rutinarias (por ejemplo, controles de salud diarios de la infraestructura crítica), reducir los falsos positivos y concentrarse en las amenazas que realmente necesitan la atención de un analista de seguridad.

Abordar la escasez de habilidades

Muchos SOC ya están luchando con la escasez de talento en ciberseguridad en la industria, y este problema no terminará pronto. Según un estudio reciente, el 53% de los profesionales de TI globales todavía luchan con una gran falta de profesionales capacitados en ciberseguridad.

Una solución es empoderar a los equipos existentes para que trabajen de una manera más eficiente, que es un beneficio clave de implementar una solución SOAR.

Estandarizar el proceso de investigación de amenazas

En muchos SOC, los analistas de seguridad tienden a resolver o investigar alertas o incidentes similares de manera diferente entre sí. Si bien esta actividad puede parecer trivial de analizar, estas diferencias pueden llevar a un aumento de falsos positivos asociados con el error humano y permitir que los procesos de investigación ineficaces sigan en uso.

SOAR no está aquí para reemplazar a los humanos, ya que hay ciertos aspectos del trabajo de ciberseguridad mejor entendidos y contextualizados por humanos, en lugar de máquinas.

Sin embargo, los equipos de seguridad pueden utilizar SOAR para gestionar alertas y resolver problemas de forma más rápida, eficaz y coherente. Esto se puede lograr utilizando los libros de jugadas ya integrados en la mayoría de las soluciones SOAR. Estos manuales garantizan que los procesos se ejecuten de manera uniforme en todo el SOC.

Cinco trampas que se deben evitar al implementar SOAR

Ahora que sabemos cómo SOAR puede beneficiar a una organización, es hora de repasar algunos errores comunes que pueden evitar que los equipos de seguridad utilicen una solución SOAR en todo su potencial.

1. Elegir una solución con una curva de aprendizaje pronunciada

Al igual que con otras tecnologías de búsqueda de amenazas en el mercado, cada solución SOAR tiene un enfoque ligeramente diferente para implementar la automatización dentro de una tubería de ciberseguridad. Algunos son más adecuados para analistas de seguridad altamente capacitados, mientras que otros están diseñados para facilitar su uso en todos los niveles.

Por ejemplo, cuando se trata de integrar herramientas de seguridad, agregar complementos y crear manuales de automatización, algunas soluciones dependen en gran medida de las habilidades de codificación de los usuarios.

Antes de que los analistas puedan comenzar a integrar o crear manuales en estas soluciones, deben sentirse cómodos con lenguajes de secuencias de comandos como Python o Perl.

Para promover un proceso de implementación fluido y evitar demoras en la adopción y el uso de la solución elegida, los equipos de seguridad deben elegir una solución SOAR que esté alineada con los recursos disponibles para ellos.

Por ejemplo, es posible que los equipos deban preguntar a los proveedores de SOAR si un producto en particular ofrece herramientas de creación de secuencias de comandos basadas en código y GUI.

Una interfaz gráfica intuitiva puede permitir a los analistas que no están bien versados ​​en codificación aprovechar el poder de la solución SOAR desde el principio. Mientras tanto, los analistas que se sientan cómodos escribiendo guiones ellos mismos pueden manejar la creación de guiones más sofisticados.

2. Sin saber qué procesos automatizar

A medida que la escasez de talento en ciberseguridad continúa aumentando, puede ser tentador para los gerentes de SOC hacer todo lo posible por la automatización. Sin embargo, hay dos problemas asociados con este enfoque.

En primer lugar, cuando no se ha probado la eficiencia de los procesos en sí, intentar automatizar todo a la vez puede dificultar que los equipos comprendan el efecto que tienen los libros de jugadas en los procesos que se están automatizando. Aquí, es fácil culpar a la automatización en caso de falla.

En segundo lugar, los equipos de seguridad deben saber que no pueden automatizar todo. Los vectores de ataque más complejos aún exigen una investigación práctica y un pensamiento crítico que solo un analista de seguridad es capaz de realizar.

Por lo tanto, cualquier implementación de SOAR debe lograr un equilibrio entre los procesos manuales dirigidos por analistas y los procesos automatizados dirigidos por máquinas.

Para los equipos que están comenzando con SOAR, el primer paso debe ser identificar los procesos que son adecuados para la automatización. Utilizando esto como base, los equipos pueden avanzar en la determinación de lo que debe y no debe automatizarse.

3. Adopción de un enfoque de configurar y olvidar

Como dice el refrán, «No se puede hacer todo bien la primera vez».

Incluso si un equipo de analistas de seguridad dedicados y capacitados ha dedicado mucho tiempo y energía al diseño de una serie de guías de respuesta, es muy probable que al menos uno no funcione como se esperaba.

Además, a la luz del hecho de que el panorama de la ciberseguridad está en constante evolución, no debería sorprender que los libros de jugadas necesiten actualizaciones frecuentes para seguir siendo útiles.

Para ayudar a los equipos a mantener estos libros de jugadas actualizados, algunas soluciones SOAR ofrecen una función de espacio aislado para probar los libros de jugadas con simulaciones. El uso de esta función puede ayudar a los analistas a mejorar continuamente los procesos de respuesta automatizados.

4. No tener en cuenta la colaboración

Cuando cada equipo de una organización trabaja con un conjunto diferente de herramientas de software, la falta de interoperabilidad resultante crea barreras para la colaboración entre equipos.

Por ejemplo, cuando los equipos de seguridad identifican un incidente que debe manejarse, lo máximo que pueden hacer en muchos entornos es enviar un correo electrónico al equipo de manejo de incidentes. Esto es ineficiente, ya que el equipo de manejo de incidentes se ve obligado a transferir manualmente la información relevante a su propio software. Si el equipo de manejo de incidentes necesita trabajar con un tercer equipo, ese equipo tendrá que repetir el proceso una vez más.

Una plataforma única y centralizada que respalda a los usuarios más allá del equipo de seguridad elimina este problema.

Las notificaciones automatizadas, los informes y las asignaciones de tareas desde una plataforma SOAR central hacen que la colaboración sea parte del proceso diario. Las funciones de administración de casos y los paneles de administración de tareas permiten a los usuarios rastrear y compartir fácilmente los detalles del incidente entre los equipos.

5. Tratar SOAR como magia

No existe una característica en el mercado que pueda resolver instantáneamente todos los desafíos que enfrenta un centro de operaciones de seguridad. Los principales beneficios están relacionados con métricas operativas (como tiempos reducidos de respuesta a amenazas), procedimientos de investigación estándar y muchos más.

Antes de comenzar un proyecto de implementación de SOAR, evalúa cómo SOAR puede empoderar mejor a tu equipo (no reemplazarlo) para aprovechar la pila de tecnología existente y agregar estructura a sus procesos y técnicas.

Cómo seleccionar el producto SOAR adecuado

Por último, veamos algunos puntos importantes que los equipos de seguridad, incluidos los gerentes de SOC y los CISO, deben tener en cuenta cuando se trata de seleccionar una solución SOAR adecuada.

Aquí hay cinco puntos fundamentales a considerar en el proceso de evaluación:

  • Elige una solución SOAR capaz de «acción dual»; es decir, uno que permita a tu equipo automatizar tareas repetitivas y serviles sin que sea difícil o imposible que los humanos intervengan cuando sea necesario.
  • Escoge una plataforma SOAR que puedas integrar fácilmente con la pila de tecnología existente que utilizan tus equipos de seguridad, TI y operaciones.
  • Haz una lista de todas las regulaciones, estándares y mejores prácticas a las que se adhiere tu organización y elige un proveedor SOAR que pueda abordar estos requisitos. Por ejemplo, según los términos del Reglamento general de protección de datos (RGPD), en caso de incumplimiento, los altos ejecutivos deben recibir una notificación del incumplimiento dentro de las 72 horas.
  • No pases por alto la relación función-precio; considera solo las funciones que realmente utilizarás.
  • Evalúa los esquemas de licencias disponibles. Algunos proveedores ofrecen licencias modulares, con conjuntos de funciones y planes de soporte que se pueden comprar individualmente. Otros ofrecen licencias todo en uno, con una tarifa fija para el conjunto completo de funciones del producto.

Como mencionamos al comienzo de este blog, SOAR es mucho más de lo que parece, y sumergirse en el núcleo mismo de la tecnología SOAR no es tan fácil. Con suerte, a estas alturas ya tienes una mejor comprensión de la esencia de SOAR y sus increíbles capacidades.