SOAR (coordinación, automatización y respuesta de seguridad) son soluciones de software que permiten a los equipos de seguridad integrar y coordinar herramientas diferentes en flujos de trabajo optimizados de respuesta a amenazas.
En las grandes organizaciones, los centros de operaciones de seguridad (SOC) se basan en numerosas herramientas para realizar un seguimiento y responder a las ciberamenazas. En el estudio sobre organizaciones ciberresilientes de IBM de 2021, el 29 % de las organizaciones encuestadas afirmó haber desplegado entre 31 y 50 herramientas y tecnologías de seguridad diferentes, y el 23 % entre 51 y 100. Estas herramientas no siempre están diseñadas para trabajar juntas, por lo que los SOC deben integrarlas manualmente como respuesta a cada incidente de seguridad.
Las plataformas SOAR ofrecen a los SOC una consola central donde pueden integrar estas herramientas en flujos de trabajo optimizados de respuesta a las amenazas y automatizar en ellos las tareas repetitivas de bajo nivel. Esta consola también permite a los SOC gestionar todas las alertas de seguridad generadas por estas herramientas en una ubicación central.
Al optimizar la clasificación de alertas y garantizar que las diferentes herramientas de seguridad trabajen juntas, las soluciones SOAR ayudan a los SOC a reducir el tiempo medio de detección (MTTD) y el tiempo medio de respuesta (MTTR), lo que permite mejorar la posición de seguridad general. Detectar y responder más rápido a las amenazas de seguridad puede reducir la repercusión de los ciberataques. Según el informe de IBM sobre el coste de una filtración de datos de 2022, un ciclo de vida más corto en una filtración de datos se asocia a un menor coste de la filtración. Las filtraciones resueltas en menos de 200 días cuestan a las empresas 1,12 millones de USD menos de media que las filtraciones que tardan más de 200 días en resolverse.
La tecnología SOAR surgió como una consolidación de tres herramientas de seguridad anteriores. Según Gartner, que acuñó por primera vez el término "SOAR" en 2015, las plataformas SOAR combinan en una sola oferta las funciones de las plataformas de respuesta a incidentes de seguridad, las plataformas de coordinación y automatización de seguridad y las plataformas de inteligencia sobre amenazas.
Para comprender cómo funcionan las soluciones SOAR actuales, puede ser útil desglosarlas por sus características clave: coordinación de seguridad, automatización de seguridad y respuesta a incidentes.
"Coordinación de seguridad" hace referencia a cómo las plataformas SOAR conectan y coordinan las herramientas de hardware y software en el sistema de seguridad de una empresa.
Los SOC utilizan varias soluciones para supervisar y responder a las amenazas, por ejemplo, cortafuegos, canales de información de inteligencia sobre amenazas y herramientas de protección de punto final. Incluso los procesos de seguridad más sencillos pueden requerir varias herramientas. Por ejemplo, un analista de seguridad que investiga un correo electrónico de phishing puede necesitar una pasarela de correo electrónico segura, una plataforma de inteligencia sobre amenazas y un software antivirus para identificar, comprender y resolver la amenaza. Estas herramientas a menudo provienen de diferentes proveedores y es posible que no se integren fácilmente, por lo que los analistas deben cambiar manualmente de herramienta mientras trabajan.
Con una solución SOAR, los SOC pueden unificar estas herramientas en flujos de trabajo de operaciones de seguridad (SecOps) coherentes y repetibles. Las soluciones SOAR utilizan interfaces de programación de aplicaciones (API), complementos predefinidos e integraciones personalizadas para conectar las herramientas de seguridad (y algunas herramientas que no son de seguridad). Una vez que estas herramientas estén integradas, los SOC pueden coordinar sus actividades con playbooks.
Los playbooks son mapas de procesos que los analistas de seguridad pueden utilizar para describir los pasos de los procesos de seguridad estándar como, por ejemplo, la detección, la investigación y la respuesta a amenazas. Los playbooks pueden abarcar varias herramientas y aplicaciones. Pueden estar totalmente automatizados, ser totalmente manuales o incluir una combinación de tareas automatizadas y manuales.
Las soluciones de seguridad SOAR pueden automatizar las tareas repetitivas de bajo nivel más lentas como, por ejemplo, la apertura y el cierre de tíquets de soporte, el enriquecimiento de sucesos y la priorización de alertas. Las soluciones SOAR también pueden desencadenar las acciones automatizadas de las herramientas de seguridad integradas. Eso significa que los analistas de seguridad pueden utilizar los flujos de trabajo de los playbooks para encadenar varias herramientas y llevar a cabo la automatización de las operaciones de seguridad más complejas.
Por ejemplo, consideremos cómo una plataforma SOAR puede automatizar una investigación de un portátil comprometido. La primera indicación de que algo anda mal proviene de una solución de detección y respuesta de puntos finales (EDR), que detecta una actividad sospechosa en el portátil. La solución EDR envía una alerta a la solución SOAR, que desencadena que esta ejecute un playbook predefinido. En primer lugar, la solución SOAR abre un tíquet para el incidente. Enriquece la alerta con datos de los canales integrados de inteligencia sobre amenazas y otras herramientas de seguridad. A continuación, la solución SOAR ejecuta respuestas automáticas como, por ejemplo, desencadenar una herramienta de detección y respuesta de red (NDR) para poner en cuarentena el punto final o solicitar al software antivirus que busque y detone el malware. Finalmente, la solución SOAR pasa el tíquet a un analista de seguridad, que determina si se ha resuelto el incidente o si se requiere la intervención humana.
Algunas soluciones SOAR incluyen inteligencia artificial (IA) y machine learning para analizar los datos de las herramientas de seguridad y recomendar formas de manejar las amenazas en el futuro.
Las prestaciones de coordinación y automatización de SOAR permiten que se utilice como una consola central para la respuesta a incidentes de seguridad. Los analistas de seguridad pueden utilizar SOAR para investigar y resolver incidentes sin necesidad de cambiar entre distintas herramientas.
Como las plataformas de inteligencia sobre amenazas, las soluciones SOAR agregan métricas y alertas de canales de información externos y herramientas de seguridad integradas en un panel de control central. Los analistas pueden correlacionar datos de diferentes fuentes, filtrar los falsos positivos, priorizar las alertas e identificar las amenazas específicas a las que se enfrentan. A continuación, los analistas pueden responder desencadenando los playbooks correspondientes.
Los SOC también pueden utilizar herramientas SOAR para las auditorías posteriores a los incidentes y otros procesos de seguridad proactiva. Los paneles de control de SOAR pueden ayudar a los equipos de seguridad a comprender cómo una determinada amenaza ha vulnerado la red y cómo impedir amenazas similares en el futuro. Asimismo, los equipos de seguridad pueden utilizar los datos de SOAR para identificar amenazas en curso desapercibidas y centrar sus esfuerzos de detección de amenazas en los lugares adecuados.
Al integrar las herramientas de seguridad y automatizar las tareas, las plataformas SOAR pueden optimizar los flujos de trabajo de seguridad comunes, por ejemplo, la gestión de casos, la gestión de vulnerabilidades y la respuesta a incidentes. Las ventajas de esta optimización incluyen:
Los SOC a veces tienen que gestionar cientos o miles de alertas de seguridad al día. Esto puede provocar lo que se denomina fatiga de alertas, y los analistas pueden pasar por alto señales importantes de actividad de amenazas. Las soluciones SOAR pueden facilitar la gestión de las alertas al centralizar los datos de seguridad, enriquecer los sucesos y automatizar las respuestas. Como resultado, los SOC pueden procesar más alertas y reducir los tiempos de respuesta.
Los SOC pueden utilizar los playbooks de SOAR para definir flujos de trabajo de respuesta a incidentes estándares y escalables para las amenazas más comunes. En lugar de gestionar las amenazas caso a caso, los analistas de seguridad pueden desencadenar el playbook correspondiente para aplicar la corrección.
Los SOC pueden utilizar los paneles de control de SOAR para obtener información útil de sus redes y las amenazas a las que se enfrentan. Esta información puede ayudar a los SOC a detectar falsos positivos, priorizar mejor las alertas y seleccionar los procesos de respuesta correctos.
Las soluciones SOAR centralizan los procesos de datos de seguridad y respuesta a incidentes para que los analistas puedan colaborar en las investigaciones. Las soluciones SOAR también permiten a los SOC compartir las métricas de seguridad con partes externas, por ejemplo, recursos humanos, el departamento legal y las autoridades de aplicación de la ley.
Las herramientas SOAR, SIEM y XDR comparten algunas funciones básicas, pero cada una tiene sus propias características y casos de uso exclusivos.
Las soluciones de gestión de sucesos e información de seguridad (SIEM) recopilan información de herramientas de seguridad internas, la agregan en un registro central y marcan las anomalías. Las soluciones SIEM se utilizan principalmente para registrar y gestionar grandes volúmenes de datos de sucesos de seguridad.
La tecnología SIEM surgió por primera vez como una herramienta de informes de conformidad. Los SOC adoptaron SIEM cuando se dieron cuenta de que los datos SIEM podían informar sobre las operaciones de ciberseguridad. Las soluciones de SOAR surgieron para añadir determinadas características centradas en la seguridad que no se incluyen en la mayoría de soluciones SIEM estándar, por ejemplo, las funciones de coordinación, automatización y consola.
Las soluciones de detección y respuesta ampliada (XDR) recopilan y analizan los datos de seguridad de los puntos finales, las redes y el cloud. Al igual que las soluciones SOAR, pueden responder automáticamente a incidentes de seguridad. Sin embargo, las soluciones XDR pueden realizar automatizaciones de respuesta a incidentes más complejas y completas que las soluciones SOAR. Las soluciones XDR también pueden simplificar las integraciones de seguridad, lo que a menudo requiere menos experiencia o gasto que las integraciones de SOAR. Algunas soluciones XDR son soluciones preintegradas de un solo proveedor, mientras que otras pueden conectar herramientas de seguridad de varios proveedores. Las soluciones XDR se utilizan a menudo para la detección de amenazas en tiempo real, la clasificación de incidentes y la detección automática de amenazas.
Los equipos de SecOps en grandes empresas a menudo utilizan todas estas herramientas juntas. Sin embargo, los proveedores están desdibujando las líneas entre ellas e implementan soluciones SIEM que pueden responder a amenazas y XDR con un registro de datos de tipo SIEM. Algunos expertos en seguridad consideran que XDR puede acabar absorbiendo a las otras herramientas, de forma similar a como SOAR terminó consolidando a sus predecesoras.
IBM® Security QRadar SOAR está diseñado para ayudar a su equipo de seguridad a responder a las ciberamenazas con confianza, automatizar con inteligencia y colaborar con coherencia.
La suite IBM® Security QRadar XDR proporciona un único flujo de trabajo unificado en todas sus herramientas para detectar y eliminar las amenazas más rápidamente.
Prepare controles, procesos y equipos de respuesta ante incidentes que ayuden al equipo a mejorar su plan de respuesta ante incidentes y minimizar las repercusiones de una filtración.
Obtenga la información más reciente sobre el creciente panorama de amenazas y recomendaciones sobre cómo ahorrar tiempo y limitar las pérdidas.
SIEM ayuda a las organizaciones a reconocer las posibles amenazas y vulnerabilidades de seguridad antes de que interrumpan las operaciones empresariales.
Cree una plataforma de análisis y operaciones de seguridad altamente integrada que acelere las actividades de seguridad y libere al personal para que pueda dedicarse a problemas de mayor prioridad.