Al observar cualquier equipo de seguridad, una cosa que puedes notar es que hay una herramienta para todo. Y lo decimos todo: emisión de tickets, inteligencia de amenazas, investigaciones de seguridad, análisis de malware, detección, respuesta a incidentes, amenazas persistentes avanzadas , monitoreo de seguridad… y la lista continúa.
Toda organización quiere lo mejor de lo mejor para construir sus defensas. Esto a menudo puede dejar a sus equipos de seguridad y centros de operaciones de seguridad con un conjunto de herramientas de soluciones poco cooperativas que no se comunican entre sí, con su valor total sin explotar, y pueden interrumpirse o incluso cancelarse entre sí. El equipo se paraliza por la gran cantidad de alertas generadas por estas soluciones, perdiendo tiempo que podría dedicarse a la investigación y respuesta contextualizadas.
Hay una solucion. Esa solución consiste en conectar las herramientas que ejecutan los equipos de seguridad para comunicarse entre sí y eliminar las tareas tediosas y lentas que tienen un alto potencial de error humano. La simplificación del proceso con el que se utilizan las herramientas ayuda a evitar que los profesionales de la seguridad pierdan parte de su valioso tiempo.
La orquestación de seguridad aborda la cantidad de herramientas diferentes que utilizan los equipos de seguridad. Reúne estas herramientas para que funcionen entre sí, resaltando el valor total de cada una y permitiendo que los equipos respondan de manera más eficaz a las amenazas.
Indice
¿Qué es la orquestación de seguridad?
Debemos diferenciar la orquestación de la seguridad de la automatización de la seguridad. términos que se usan casi indistintamente. Es importante saber que incluso si suenan similares, cada uno tiene un significado y propósito diferente.
La automatización de la seguridad es la ejecución automática de tareas de seguridad sin intervención humana, y se centra en tareas únicas que suelen seguir un curso de acción ya establecido. La orquestación de seguridad, por otro lado, considera el uso de múltiples tareas automatizadas y conecta las tecnologías, herramientas y procesos, agilizando el proceso de seguridad y permitiendo la protección combinada con la facilidad de implementación y uso.
Con todo esto en mente, podemos ver que la automatización en realidad abarca las tareas más complejas que implica la orquestación de seguridad, y que la orquestación de seguridad es en realidad el habilitador de la automatización.
Security Orchestration se refiere a herramientas y soluciones que pueden trabajar juntas, comunicarse, compartir y exportar datos de una manera intuitiva y fácil, sin interrumpirse ni cancelarse entre sí, y agilizar el proceso de seguridad que permite que cada herramienta se utilice al máximo potencial.
La mayoría de las amenazas de red pueden detectarse y prevenirse sin necesidad de intervención humana. Mientras que en un mundo ideal, todas las soluciones provendrían de un solo proveedor (lo que hace que el proceso de organización de la seguridad sea mucho más fácil), ese no es el caso normal.
Como dijimos anteriormente, las organizaciones quieren las mejores herramientas para construir sus defensas, y eso a menudo implica acudir a diferentes proveedores y utilizar diferentes soluciones de código abierto. La orquestación de la seguridad es más desafiante cuando tenemos ese tipo de situación de herramientas dispares, pero de todos modos debería funcionar sin problemas.
La orquestación de seguridad presenta una solución a algunos de los problemas más ruinosos que enfrentan los equipos de seguridad:
- Fatiga de las alertas: el número creciente de alertas generadas por las diferentes herramientas utilizadas por los SOC puede provocar fatiga de las alertas, lo que puede comprometer las defensas de la organización. Las amenazas reales se pueden ignorar, con demasiado tiempo analizando los falsos positivos.
- Aumento de soluciones y herramientas: cada equipo de seguridad utiliza muchas herramientas y soluciones diferentes. Además de la fatiga de las alertas que se deriva de las alertas de falsos positivos, esta abundancia de herramientas significa que los analistas pasan mucho tiempo saltando de pantalla en pantalla y correlacionando datos manualmente, lo que reduce la eficiencia.
- Escasez de talento: al contratar al candidato perfecto para tu equipo de seguridad, dedicas tiempo a encontrarlo, a capacitarlo y a la esperanza de utilizar sus habilidades en todo su potencial. Por lo tanto, no querrías que invirtieran tu valioso tiempo y experiencia en tareas tediosas y repetitivas, ¿verdad?
La orquestación de seguridad se puede aplicar a casi todas las tareas, pero analicemos algunos escenarios específicos para ver dónde brilla más.
¿Para qué podemos utilizar la orquestación de seguridad?
Existen numerosos casos de uso para la orquestación de la seguridad, diferentes necesidades que puede satisfacer y algunas formas en las que puede funcionar en todo su potencial:
Manejo de alertas
Las alertas de ciberseguridad deben analizarse y clasificarse, y el contexto lo es todo. No se puede hacer nada con una alerta sin contexto. Cuando un equipo de seguridad recibe una alerta de cualquier comportamiento sospechoso, no puede decir mucho al respecto sin investigar y revisar las alertas, encontrar patrones y más. La clasificación manual es limitada, tediosa y deja espacio para errores humanos. Ahí es donde entra la orquestación de seguridad.
Las soluciones y plataformas de orquestación de seguridad permiten a los equipos de seguridad aplicar el contexto rápidamente. Para ello, extraen datos relevantes de numerosas fuentes y enriquecen las alertas que se reciben. Esto permite que el equipo se concentre en investigaciones más profundas y la solución de problemas de seguridad y amenazas reales.
Caza de amenazas
Los equipos de seguridad suelen dedicar más tiempo a responder a las alertas que a la búsqueda proactiva de amenazas y al análisis de malware. Y aunque sí, la búsqueda de amenazas siempre está presente, revisar múltiples fuentes de inteligencia de amenazas, correlacionar datos para sacar conclusiones y detectar amenazas antes de que causen estragos en tu infraestructura de TI interna es un proceso que requiere mucho tiempo. No siempre se puede automatizar por completo, porque algunas tareas aún necesitan la intervención humana.
Entonces, ¿cuál es la respuesta? Emplear una plataforma de orquestación de seguridad para hacer frente a aquellas tareas que no necesitan la atención exclusiva de los analistas. Una herramienta de orquestación de seguridad es capaz de traer datos de amenazas de numerosas fuentes, puede adjuntar la información de amenazas relevante a incidentes específicos y hacer que la inteligencia esté fácilmente disponible para los analistas mientras buscan amenazas.
Respuesta al incidente
El manejo de alertas y la búsqueda de amenazas se unen en la operación de seguridad final, y a menudo la más importante, que se beneficia de la orquestación de seguridad. Los equipos de respuesta a incidentes de seguridad tienen un trabajo difícil, ya que muchos incidentes y amenazas se descubren a veces incluso meses después del exploit inicial y la entrada, y algunos nunca se descubren incluso después de muchos años.
La respuesta a incidentes consiste en clasificación de alertas, análisis, investigación de incidentes de seguridad, inteligencia de amenazas y más. Para ser verdaderamente proactivo en la respuesta a incidentes, contamos con una orquestación de seguridad para ayudar.
La orquestación de seguridad ayuda a los equipos de respuesta a incidentes en todos los procesos mencionados anteriormente, los facilita y los pone a disposición desde un lugar unificado. Esto permite una toma de decisiones más estratégica y una supervisión más clara de todo el proceso de respuesta a incidentes.
Beneficios de la orquestación de seguridad
Al revisar los casos de uso para la orquestación de la seguridad, podemos sacar conclusiones fácilmente sobre sus beneficios.
Tiempo de respuesta reducido
La orquestación de seguridad conecta diferentes herramientas y soluciones. Comparten datos, lo que permite un acceso más rápido y fácil a la información relevante, lo que a su vez da como resultado una respuesta a incidentes más rápida y eficiente.
Más allá del simple análisis, se puede configurar una plataforma de orquestación de seguridad para responder a diferentes rangos de incidentes de seguridad. Los incidentes se pueden interrumpir antes de causar un daño real, e incluso si un dispositivo en la red ha sido infectado, estas plataformas pueden aislarlo del resto de la red, así como de los dominios de la lista negra.
Todo esto significa que no se requiere que los equipos de seguridad respondan a cada incidente manualmente, lo que les da más tiempo para enfocarse en enfoques estratégicos para los problemas y riesgos de seguridad.
Proceso de investigación simplificado
El proceso de investigación implica:
- verificación de antecedentes,
- recopilación de información para comprender si el ataque es automatizado o dirigido,
- evaluar el alcance del incidente,
- identificar vulnerabilidades abiertas,
- determinar si se cometieron delitos cibernéticos y
- buscar pruebas.
Una vez recopilados los datos, se deben examinar los sistemas afectados, así como los que pudieran haber estado involucrados en el origen del ataque.
Muchos de estos pasos pueden automatizarse, pero algunos requerirán la intervención humana. Para aquellas tareas de investigación cibernética que pueden automatizarse, deberían serlo.
Las verificaciones de antecedentes, la recopilación de información, la verificación de vulnerabilidades, la instalación de parches, la detección de tipos de malware y similares pueden ahorrar tiempo a los analistas de seguridad y dinero de las organizaciones si se automatizan y mejoran con la orquestación de seguridad.
Mitigación más rápida
Diferentes tipos de delitos cibernéticos, las brechas de seguridad, las violaciones de datos y todos los incidentes que nos gusta pensar que no van a pasarnos a nosotros, están constantemente en aumento. Sin embargo, existen ciertos pasos que se pueden tomar para mitigar y contener un incidente si ocurre una infracción.
Las soluciones de orquestación de seguridad pueden ayudar a priorizar la remediación en función de las áreas que presentan mayores riesgos, crear planes de mejora mejor informados después de que haya ocurrido el incidente e incluso medir el éxito de todo el proceso, sin requerir el uso de numerosas herramientas de seguridad.
Alertas de seguridad contextualizadas
Y volvemos a esas molestas alertas de seguridad. Una vez más, el contexto lo es todo: una alerta sin contexto es solo eso, una alerta que no es procesable. El contexto en el contexto de las alertas de seguridad se relaciona con las circunstancias que lo rodean: información sobre qué, cómo, dónde y quién.
Esta información debe estar disponible para los equipos de seguridad sin que tengan que pasar por tantas herramientas diferentes y sin que pierdan el enfoque ante amenazas de seguridad potencialmente reales y devastadoras. Afortunadamente, la orquestación de seguridad informa su próximo paso en el manejo de alertas de seguridad, permitiéndoles enfocarse en lo que realmente importa.
Colaboración en equipo mejorada
Sin embargo, la orquestación de la seguridad no se trata solo de conectar herramientas dispares. En ciberseguridad, se trata de personas, procesos y tecnología. Los incidentes de seguridad a menudo pasan por una escalada del soporte a los equipos de seguridad, gerentes de seguridad, CISO, CTO y otros en la cadena.
Cada uno de estos niveles usa sus propias aplicaciones y soluciones para pasar por un proceso de informes y comunicación, por lo que es fácil ver cómo la información puede ser difícil de entender. Atravesar todas estas fuentes para acceder a la información puede resultar tedioso y debilita el espíritu de colaboración necesario para responder a las amenazas de seguridad reales.
Con la visibilidad de la orquestación de la seguridad y la accesibilidad de la información crucial recopilada en una única solución, el equipo o la persona adecuados pueden resolver un incidente mucho más rápidamente.
Este tipo de solución también permite una mejor colaboración, ya que los miembros del equipo tienen acceso a la misma información y pueden trabajar juntos para luchar contra los ciberdelincuentes y otros atacantes malintencionados.
Fácil integración
Volviendo al punto de partida, volvemos a uno de los principales beneficios de la orquestación de seguridad. Eso es, por supuesto, la fácil integración de todas las herramientas y soluciones existentes. Cuando los firewalls, IDS, inteligencia de amenazas y cualquier otra herramienta utilizada por los equipos de seguridad provienen de diferentes proveedores, eso solo grita incompatibilidad. Los analistas tendrán que lidiar con cada herramienta individual para juntar los datos. La alternativa que vale la pena es dejar que la orquestación de seguridad lo integre por ti.
Con todas las funcionalidades de las herramientas reunidas en un solo lugar, los analistas se liberan para obtener resultados procesables y los recursos pueden dirigirse a aquellas tareas que requieren la intervención humana y el pensamiento crítico que solo tu equipo puede brindar.
SOAR: orquestación, automatización y respuesta de seguridad
Cuando se habla de orquestación de seguridad, no hay forma de que podamos dejar de lado SOAR. SOAR significa orquestación, automatización y respuesta de seguridad. Estos factores impulsan todo el concepto de orquestación de seguridad.
El término SOAR describe tres capacidades de software:
- Gestión de amenazas y vulnerabilidades: orquestación
- Automatización de operaciones de seguridad – Automatización
- Respuesta a incidentes de seguridad – Respuesta
También se identifican tres áreas clave donde las soluciones SOAR agregan valor:
- Priorizar las actividades de operaciones de seguridad
- Formalización de triaje y respuesta a incidentes
- Respuesta automatizada
Las soluciones SOAR permiten a las organizaciones recopilar información sobre amenazas y automatizar las operaciones de seguridad y la respuesta a incidentes, ya que es mejor dejar a las personas con mayor potencial de interrupción a la intervención humana.
La pila de soluciones de SOAR consta de programas y tecnologías y combina automatización y orquestación; la automatización se ocupa de acelerar el proceso de detección y respuesta a las amenazas, y la orquestación lo hace más eficiente.
En pocas palabras, las plataformas SOAR integran herramientas, sistemas y aplicaciones dentro de una organización. Esto permite que las herramientas compatibles trabajen juntas para recopilar datos de amenazas, priorizar y automatizar las operaciones de respuesta a incidentes junto con todo el flujo de trabajo.
Una solución SOAR recopilará datos de alerta de cada plataforma, luego los obtendrá y los agrupará en un solo lugar para una mayor investigación. Luego, los datos van a la gestión de casos donde se investigan y evalúan, junto con otras investigaciones relevantes que tienen lugar en un solo caso.
Casos de uso de SOAR
Las amenazas de seguridad modernas se presentan en muchas formas diferentes, lo cual es parte de la razón por la cual abordarlas es tan desafiante. SOAR, sin embargo, ofrece la flexibilidad y la automatización necesarias para abordar y optimizar prácticamente cualquier tipo de flujo de trabajo de respuesta a incidentes, incluidas las principales amenazas de seguridad que enfrentan las empresas en la actualidad.
- Phishing: los ataques de phishing intentan engañar a los empleados de una empresa para que hagan clic en enlaces maliciosos o instalen malware en sus dispositivos. Al recopilar y analizar datos de seguridad de una variedad de fuentes, SOAR puede detectar y responder automáticamente a los ataques de phishing.
- Malware: ya sea el almacenamiento local en la PC de un empleado, un archivo adjunto de correo electrónico enviado a través de la red, el servidor de una empresa o incluso la infraestructura de nube de terceros que utiliza una empresa, SOAR puede responder a amenazas de malware en todo el panorama de TI, generar alertas y, en muchos casos, mitigarlos automáticamente.
- Amenazas internas: algunas de las mayores amenazas a la seguridad no provienen de atacantes externos, sino de «internos», es decir, los empleados, contratistas, socios u otras personas de una empresa que tienen acceso a redes y sistemas internos. Debido a que SOAR automatiza la respuesta a incidentes en una multitud de ubicaciones, proporciona la cobertura necesaria para identificar amenazas de personas internas, así como de adversarios externos.
- Búsqueda de amenazas: la búsqueda de amenazas significa identificar de manera proactiva las vulnerabilidades de seguridad que existen dentro de los sistemas de TI que, de otro modo, no se detectarían hasta que realmente se exploten. El uso de herramientas de búsqueda de amenazas junto con SOAR permite a las organizaciones automatizar la búsqueda dirigida y desarrollar fácilmente búsquedas basadas en la inteligencia de amenazas entrante.
Proveedores de SOAR
Los proveedores que actualmente promueven su capacidad para proporcionar capacidades SOAR incluyen:
- LogRhythm
- Rapid7
- Cybersponse
- Demisto
- Cyberbit
- IBM SOAR
- D3Security
La respuesta a las amenazas y los pasos en ese proceso están completamente automatizados y se pueden ejecutar desde la propia plataforma, ocupándose de las tareas manuales más tediosas y que consumen más tiempo y cumpliendo la intención real detrás de la orquestación de seguridad.
Las soluciones SOAR también ayudan a automatizar la respuesta a incidentes, la búsqueda de amenazas y la remediación. Básicamente, marca todas las casillas en los casos de uso de orquestación de seguridad.
Con la automatización de la seguridad, y ahora con la orquestación de la seguridad, hemos rodeado algunos de los pilares de la empresa moderna y su enfoque de seguridad general. Como dijimos antes, la automatización está a nuestro alrededor, y si hemos encontrado formas de automatizar incluso las tareas más mundanas en nuestra vida diaria, ¿por qué no deberíamos hacer lo mismo con las operaciones de seguridad?
La orquestación de la seguridad ha ido un paso más allá y ha llenado algunas de las lagunas dejadas por la automatización. Si automatizamos las herramientas, ¡debemos asegurarnos de que funcionen juntas! Porque, ¿de qué valen todas estas herramientas de vanguardia si no estamos utilizando todo su potencial?
Depende de nosotros aprovecharlos para asegurarnos de que nuestra infraestructura de seguridad y nuestras ciberdefensas sean lo más fuertes y resistentes posible.