¿Qué es SOAR (Orquestación de seguridad, automatización y respuesta)?

¿Qué es SOAR (Orquestación de seguridad, automatización y respuesta)?

SOAR (orquestación, automatización y respuesta de seguridad) es una solución de software que permite a los equipos de seguridad integrar y coordinar herramientas de seguridad independientes, automatizar tareas repetitivas y agilizar los flujos de trabajo de respuesta a incidentes y amenazas.

En las grandes organizaciones, los centros de seguridad (SOC) dependen de numerosas herramientas para rastrear y responder a las ciberamenazas, a menudo de forma manual. Esta investigación manual de las amenazas se traduce en tiempos de respuesta más lentos.

Las plataformas SOAR proporcionan a los SOC una consola central en la que pueden integrar estas herramientas en flujos de trabajo optimizados de respuesta a amenazas y automatizar tareas repetitivas de bajo nivel en esos flujos de trabajo. Esta consola también permite a los SOC gestionar todas las alertas de seguridad generadas por estas herramientas en un lugar central.

Al agilizar el triaje de alertas y garantizar que las distintas herramientas de seguridad trabajen juntas, las SOAR ayudan a los SOC a reducir el tiempo medio de detección (MTTD) y el tiempo medio de respuesta (MTTR), mejorando la posición general de seguridad. Detectar y responder a las amenazas de seguridad con mayor rapidez puede suavizar el impacto de los ciberataques. Según el último informe "Cost of a Data Breach" de IBM, un ciclo de vida más corto de la vulneración de datos se asocia a un menor coste de la misma. Las infracciones resueltas en menos de 200 días cuestan a las empresas 1,02 millones de dólares menos de media, lo que refleja una diferencia del 23 %.

¿Cómo funciona SOAR?

La tecnología SOAR surgió como consolidación de tres herramientas de seguridad anteriores. Según Gartner, que acuñó por primera vez el término "SOAR" en 2015, las plataformas SOAR combinan las funciones de las plataformas de respuesta a incidentes de seguridad, las plataformas de orquestación y automatización de la seguridad y las plataformas de inteligencia de amenazas en una sola oferta.

Para entender cómo funcionan las soluciones SOAR actuales, puede ser útil desglosarlas en sus características principales: orquestación de la seguridad, automatización de la seguridad y respuesta a incidentes.

Orquestación de seguridad

Por "orquestación de la seguridad" se entiende el modo en que las plataformas SOAR conectan y coordinan las herramientas de hardware y software del sistema de seguridad de una empresa.

Los SOC utilizan varias soluciones para monitorizar y responder a las amenazas, como firewalls, feeds de inteligencia de amenazas y herramientas de protección de endpoints. Incluso los procesos de seguridad más sencillos pueden implicar múltiples herramientas. Por ejemplo, un analista de seguridad que investigue un correo electrónico de phishing puede necesitar una puerta de enlace de correo electrónico segura, una plataforma de inteligencia de amenazas y un software antivirus para identificar, entender y resolver la amenaza. A menudo, estas herramientas proceden de distintos proveedores y no se integran fácilmente, por lo que los analistas deben pasar manualmente de una herramienta a otra a medida que trabajan.

Con un SOAR, los SOC pueden unificar estas herramientas en flujos de trabajo de operaciones de seguridad (SecOps) coherentes y repetibles. Los SOAR utilizan interfaces de programación de aplicaciones (API), complementos preconstruidos e integraciones personalizadas para conectar herramientas de seguridad (y algunas herramientas que no son de seguridad). Una vez integradas estas herramientas, los SOC pueden coordinar sus actividades con guías de estrategias.

Las guías de estrategias son mapas de procesos que los analistas de seguridad pueden utilizar para esbozar los pasos de los procesos de seguridad estándar, como la detección, investigación y respuesta ante amenazas. Las guías de estrategias pueden abarcar varias herramientas y aplicaciones. Pueden ser totalmente automatizados, totalmente manuales o una combinación de tareas automatizadas y manuales.

automatización de seguridad

Las soluciones de seguridad SOAR pueden automatizar tareas repetitivas de bajo nivel que consumen mucho tiempo, como la apertura y el cierre de tickets de soporte, el enriquecimiento de eventos y la priorización de alertas. Las SOAR también pueden activar las acciones automatizadas de las herramientas de seguridad integradas. Esto significa que los analistas de seguridad pueden utilizar flujos de trabajo de guías de estrategias para encadenar varias herramientas y llevar a cabo una automatización de las operaciones de seguridad más compleja.

Por ejemplo, considere cómo una plataforma SOAR podría automatizar una investigación de un ordenador portátil comprometido. El primer indicio de que algo va mal procede de una solución de detección y respuesta de endpoints (EDR), que detecta actividad sospechosa en el ordenador portátil. El EDR envía una alerta al SOAR, que activa el SOAR para ejecutar una guía de estrategias predefinida. Primero, el SOAR abre un ticket para el incidente. Enriquece la alerta con datos procedentes de fuentes integradas de inteligencia de amenazas y otras herramientas de seguridad. A continuación, el SOAR ejecuta respuestas automatizadas, como activar una herramienta de detección y respuesta de red (NDR) para poner en cuarentena el endpoint o pedir al software antivirus que encuentre y detone malware. Finalmente, el SOAR pasa la incidencia a un analista de seguridad, quien determina si el incidente se resolvió o si se requiere intervención humana.

Algunas SOAR incluyen inteligencia artificial (IA) y machine learning que analizan los datos de las herramientas de seguridad y recomiendan formas de hacer frente a las amenazas en el futuro.

Respuesta a incidencias

Las capacidades de orquestación y automatización de SOAR le permiten servir de consola central para la respuesta a incidentes de seguridad (IR). El informe Cost of a Data Breach de IBM reveló que las organizaciones que contaban con un equipo de respuesta a incidentes y un plan de pruebas identificaban las filtraciones 54 días antes que las que no disponían de ninguno de los dos.

Los analistas de seguridad pueden utilizar las SOAR para investigar y resolver incidentes sin pasar de una herramienta a otra. Al igual que las plataformas de inteligencia de amenazas, las SOAR agregan métricas y alertas de fuentes externas y herramientas de seguridad integradas en un panel de control central. Los analistas pueden correlacionar datos de diferentes fuentes, filtrar falsos positivos, priorizar alertas e identificar las amenazas específicas a las que se enfrentan. A continuación, los analistas pueden responder activando las guías de estrategias adecuadas.

Los SOC también pueden utilizar herramientas SOAR para auditorías posteriores a incidentes y procesos de seguridad más proactivos. Los paneles de control SOAR pueden ayudar a los equipos de seguridad a entender cómo una amenaza concreta ha penetrado en la red y cómo prevenir amenazas similares en el futuro. Del mismo modo, los equipos de seguridad pueden utilizar los datos SOAR para identificar amenazas en curso inadvertidas y centrar sus esfuerzos de búsqueda de amenazas en los lugares adecuados.

Boletín del sector

Las últimas novedades sobre tecnología, respaldadas por conocimientos de expertos

Manténgase al día sobre las tendencias más importantes e intrigantes del sector en materia de IA, automatización, datos y mucho más con el boletín Think. Consulte la Declaración de privacidad de IBM.

¡Gracias! Está suscrito.

Su suscripción se enviará en inglés. Encontrará un enlace para darse de baja en cada boletín. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.

Beneficios de SOAR

Mediante la integración de herramientas de seguridad y la automatización de tareas, las plataformas SOAR pueden agilizar los flujos de trabajo de seguridad habituales, como la gestión de casos, la gestión de vulnerabilidades y la respuesta a incidentes. Los beneficios de esta racionalización incluyen:

Procesamiento de más alertas en menos tiempo

Los SOC pueden tener que tratar cientos o miles de alertas de seguridad a diario. Esto puede llevar a la fatiga de las alertas, y los analistas pueden pasar por alto señales importantes de actividad de amenazas. Las SOAR pueden hacer que las alertas sean más manejables centralizando los datos de seguridad, enriqueciendo los eventos y automatizando las respuestas. Como resultado, los SOC pueden procesar más alertas al tiempo que reducen los tiempos de respuesta.
Planes de respuesta a incidentes más coherentes

Los SOC pueden utilizar los guías de estrategias SOAR para definir flujos de trabajo de respuesta a incidentes estándar y escalables para amenazas comunes. En lugar de tratar las amenazas caso por caso, los analistas de seguridad pueden activar las guías de estrategias adecuadas para una corrección eficaz.
Mejora de la toma de decisiones en materia de SOC

Los SOC pueden utilizar los paneles de control SOAR para conocer mejor sus redes y las amenazas a las que se enfrentan. Esta información puede ayudar a los SOC a detectar falsos positivos, priorizar mejor las alertas y seleccionar los procesos de respuesta correctos.
Mejora de la colaboración entre los SOC

Las SOAR centralizan los datos de seguridad y los procesos de respuesta a incidentes para que los analistas puedan colaborar en las investigaciones. Las SOAR también pueden permitir a los SOC compartir métricas de seguridad con partes externas, como RR. HH., el departamento jurídico y las fuerzas de seguridad.
Mixture of Experts | 28 de agosto, episodio 70

Descifrar la IA: resumen semanal de noticias

Únase a nuestro panel de ingenieros, investigadores, responsables de producto y otros profesionales de talla mundial que se abren paso entre el bullicio de la IA para ofrecerle las últimas noticias y conocimientos al respecto.
Ver los últimos episodios del pódcast

SOAR, SIEM y XDR

Las herramientas SOAR, SIEM y XDR comparten algunas funciones básicas, pero cada una tiene sus propias características y casos de uso.

Las soluciones de gestión de eventos e información de seguridad (SIEM) recopilan información de las herramientas de seguridad internas, la cotejan en un registro central e informan de las anomalías. Los SIEM se utilizan principalmente para registrar y administrar grandes volúmenes de datos de eventos de seguridad.

La tecnología SIEM surgió como una herramienta de información sobre el cumplimiento de normativas. Los SOC adoptaron los SIEM cuando se dieron cuenta de que los datos de los SIEM podían informar las operaciones de ciberseguridad. Las soluciones SOAR surgieron para añadir las funciones centradas en la seguridad de las que carecen la mayoría de los SIEM estándar, como la orquestación, la automatización y las funciones de consola.

Las soluciones de detección y respuesta ampliadas (XDR) recopilan y analizan datos de seguridad de endpoints, redes y la nube. Al igual que los SOAR, pueden responder automáticamente a los incidentes de seguridad. Sin embargo, los XDR son capaces de automatizaciones de respuesta a incidentes más complejas y completas que los SOAR. Los XDR también pueden simplificar las integraciones de seguridad, lo que a menudo requiere menos experiencia o gastos que las integraciones de SOAR. Algunos XDR son soluciones preintegradas de un solo proveedor, mientras que otros pueden conectar herramientas de seguridad de varios proveedores. Los XDR se utilizan a menudo para la detección de amenazas en tiempo real, la clasificación de incidentes y la búsqueda de amenazas automatizada.

Los equipos de SecOps de las grandes empresas suelen utilizar todas estas herramientas a la vez. Sin embargo, los proveedores están desdibujando las líneas que los separan, desplegando soluciones SIEM que pueden responder a las amenazas y XDR con un registro de datos similar al de SIEM. Algunos expertos en seguridad creen que la XDR podría absorber algún día a las demás herramientas, de forma similar a como SOAR consolidó en su día a sus predecesoras.
Soluciones relacionadas
Soluciones de seguridad para la empresa

Transforme su programa de seguridad con las soluciones del mayor proveedor de seguridad empresarial.

 Explore las soluciones de ciberseguridad
Servicios de ciberseguridad

Transforme su negocio y gestione el riesgo con servicios de consultoría de ciberseguridad, nube y seguridad gestionada.

         Explore los servicios de ciberseguridad
    Ciberseguridad de la inteligencia artificial (IA)

    Mejore la velocidad, la precisión y la productividad de los equipos de seguridad con soluciones de ciberseguridad basadas en IA.

         Explore la ciberseguridad de la IA
    Dé el siguiente paso

    Utilice las soluciones de detección y respuesta a amenazas de IBM para reforzar su seguridad y acelerar la detección de amenazas.

     

         Explore las soluciones de detección de amenazas Explore IBM Verify