El SOAR, también conocido como Orquestación de seguridad, automatización y respuesta, es una función o solución que automatiza las operaciones de seguridad y respuesta ante incidentes de ataques cibernéticos. Reduce el workload de los operadores procesando automáticamente flujos de trabajo cuando se cumplen determinadas condiciones, con base en reglas predefinidas por el proveedor o manuales definidos por el usuario.
El SOAR realiza un procesamiento con base en reglas definidas por el proveedor o manuales definidos por el usuario (una lista de flujos que realiza una serie de acciones especificadas en un guion cuando se cumplen determinadas condiciones). Apoya a los operadores de seguridad realizando acciones automáticamente en respuesta a situaciones asumidas previamente. Por ejemplo, la comunicación está bloqueada cuando un número no específico de comunicaciones tiene lugar en un determinado periodo de tiempo a un servidor donde hay almacenada información importante. También lleva a cabo acciones automáticamente como bloquear terminales que están infectados con malware o acceder a los servidores de comando y control (CC) a una red en cuarentena.
El SOAR es indispensable porque es necesario responder inmediatamente cuando se detectan señales de ataques cibernéticos y hay un creciente workload en los operadores de seguridad.
Minimizando el nivel de «ruido de fondo», los operadores pueden centrarse en los casos que requieren una intervención manual y los operadores poco experimentados pueden ejecutar fácilmente acciones predefinidas en los manuales. Eso es especialmente importante debido a la escasez actual de operadores especializados.
Los ataques cibernéticos tienen lugar las 24 horas del día y no se puede saber cuándo se llevarán a cabo
Los ataques cibernéticos tienen lugar las 24 horas del día, los 365 días del año, y no se puede saber cuándo se llevarán a cabo. Mientras algunas organizaciones corporativas tienen un SOC que supervisa en busca de señales de ataques cibernéticos, tanto desde un punto de vista operacional como de seguridad, es preferible responder automáticamente apenas se detecten señales. Por ejemplo, una política básica de apagado de terminales con infecciones de malware conocido o acceso a los servidores de comando y control (CC) a una red en cuarentena reduciría el riesgo de que las amenazas se propaguen por la organización. Además, al crear y automatizar un manual con base en señales de ataques cibernéticos anteriores frente a la empresa, estos se pueden evitar con mayor rapidez.
El workload de los operadores de seguridad está aumentando según la investigación de Trend Micro
Se recopilan 1250 millones de registros procedentes de 1000 dispositivos en solo siete días*, pero algunos de estos registros son similares a los ataques cibernéticos perpetrados a otras compañías o en la misma industria, o similares a los ataques cibernéticos perpetrados frente a su empresa en el pasado. Por ejemplo, si encuentra unos 10 endpoints infectados con malware en un mes, llevará mucho tiempo y esfuerzo para los operadores de seguridad decidir una política de respuesta y tomar una acción en cada momento. Al automatizar la respuesta a siguientes incidentes basados en los primeros, es posible reducir el workload de los operadores de seguridad.
*Calculado de datos de muestra de 1000 dispositivos en 7 días verificados por Trend Micro.
Con estos antecedentes, ¿Cómo podemos ayudar a mejorar la eficiencia de las operaciones de seguridad con los recursos existentes? El SOAR es una tecnología que ha emergido y que se centra en cómo ayudar a mejorar la eficiencia de las operaciones de seguridad con recursos ya existentes.
El SIEM es un producto que agrega registros y eventos desde ordenadores personales, servidores, proxis, firewalls, productos de seguridad, etc., y los visualiza de una forma comprensible. El SOAR es un producto que actúa automáticamente cuando tienen lugar determinadas acciones (como un gran número de accesos a un servidor específico en un determinado periodo de tiempo) con base en reglas predefinidos, utilizando la información recopilada por el SIEM. El XDR es un producto que detecta y visualiza trazas de ataques para investigar, identificar la causa y responder a los incidentes como una respuesta posterior a los ataques cibernéticos, si una amenaza se introduce en el entorno del usuario. El SOAR ha llamado la atención en los últimos años por su habilidad de procesar mecánicamente grandes cantidades de informaciones de registros para eliminar el ruido y extraer solo aquellas alertas que realmente necesitan una acción.
El SOAR puede ser efectivo en casos en los que hay una amplia gama de productos y servicios que se pueden usar conjuntamente con API y condiciones detalladas para el establecimiento de guiones, y donde operadores de seguridad experimentados pueden mantener continuamente estas configuraciones. Algunos XDR también se pueden integrar con SOAR, por lo que esos XDR se pueden utilizar para complementar la experiencia en la detección de ataques cibernéticos, mientras que el SOAR se puede utilizar para integrarlo con una amplia gama de productos y automatizar respuestas.
Optimice flujos de trabajo con un ecosistema que incluye SIEM, SOAR, IAM, firewall, información sobre amenazas, gestión de servicio de TI y mucho más.
Artículos relacionados