¿Qué es SOAR (orquestación de seguridad, automatización y respuesta)?

¿Qué es SOAR (orquestación de seguridad, automatización y respuesta)?

Una SOAR para la orquestación, automatización y respuesta de seguridad, es una solución de software que permite a los equipos de seguridad integrar y coordinar herramientas de seguridad independientes, automatizar tareas repetitivas y optimizar los flujos de trabajo de respuesta a incidentes y amenazas.

En organizaciones grandes, los centros de operaciones de seguridad (SOC) dependen de numerosas herramientas para rastrear y responder a las amenazas cibernéticas, a menudo manualmente. Esta investigación manual de amenazas da como resultado tiempos de respuesta generales más lentos.

Las plataformas SOAR proporcionan a los SOC una consola central en la que pueden integrar estas herramientas en flujos de trabajo optimizados de respuesta a amenazas así como automatizar tareas repetitivas de bajo nivel en esos flujos de trabajo. Esta consola también permite a los SOC gestionar todas las alertas de seguridad generadas por las herramientas en un lugar central.

Al optimizar la clasificación de alertas y garantizar que las diferentes herramientas de seguridad trabajen juntas, las SOAR ayudan a los SOC a reducir el tiempo medio de detección (MTTD) y el tiempo medio de respuesta (MTTR), con lo que se mejora la postura de seguridad general. Detectar y responder a las amenazas de seguridad más rápido puede reducir el impacto de los ciberataques. Según el último Informe del costo de una filtración de datos de IBM, un ciclo de vida de filtración de datos más corto se asocia con menores costos relacionados. Las filtraciones resueltas en menos de 200 días cuestan a las empresas 1.02 millones de dólares menos en promedio, lo que refleja una diferencia del 23%.

¿Cómo funciona una SOAR?

La tecnología SOAR surgió como una consolidación de tres herramientas de seguridad anteriores. Según Gartner, que acuñó por primera vez el término "SOAR" en 2015, las plataformas SOAR combinan las funciones de plataformas de respuesta a incidentes de seguridad, las plataformas de automatización y orquestación de seguridad y las plataformas de inteligencia de amenazas en una sola oferta.

Para comprender cómo funcionan las soluciones SOAR modernas, puede ser útil desglosarlas en sus características principales: orquestación de seguridad, automatización de seguridad y respuesta a incidentes.

Orquestación de seguridad

La "orquestación de seguridad" se refiere a la manera en que las plataformas SOAR conectan y coordinan las herramientas de hardware y software en el sistema de seguridad de una empresa.

Los SOC utilizan varias soluciones para supervisar y responder a las amenazas, como cortafuegos, fuentes de inteligencia de amenazas y herramientas de protección de endpoints. Incluso los procesos de seguridad más sencillos pueden implicar múltiples herramientas. Por ejemplo, un analista de seguridad que investiga un correo electrónico de phishing puede necesitar un gateway de correo electrónico seguro, una plataforma de inteligencia de amenazas y un software antivirus para identificar, comprender y resolver la amenaza. Estas herramientas a menudo provienen de diferentes proveedores y es posible que no se integren fácilmente, por lo que los analistas deben moverse de manera manual entre las herramientas mientras trabajan.

Con una SOAR, los SOC pueden unificar estas herramientas en flujos de trabajo de operaciones de seguridad (SecOps) sistemáticos y repetibles. Los SOAR utilizan interfaces de programación de aplicaciones (API), complementos prediseñados e integraciones personalizadas para conectar herramientas de seguridad (y algunas herramientas que no son de seguridad). Una vez que estas herramientas están integradas, los SOC pueden coordinar sus actividades con los playbooks.

Los playbooks son mapas de procesos que los analistas de seguridad pueden utilizar para describir los pasos de los procesos de seguridad estándar, como la detección, la investigación y la respuesta a amenazas. Los playbooks pueden abarcar múltiples herramientas y aplicaciones. Pueden ser totalmente automatizados, totalmente manuales o una combinación de tareas automatizadas y manuales.

automatización de seguridad

Las soluciones de seguridad SOAR pueden automatizar tareas repetitivas, de bajo nivel y que consumen mucho tiempo, como abrir y cerrar tickets de soporte, enriquecimiento de eventos y priorización de alertas. Las SOAR también pueden activar las acciones automatizadas de las herramientas de seguridad integradas. Eso significa que los analistas de seguridad pueden usar flujos de trabajo de playbook para encadenar varias herramientas y llevar a cabo la automatización de operaciones de seguridad más complejas.

Por ejemplo, considere la manera en la que una plataforma SOAR podría automatizar una investigación de una computadora portátil comprometida. La primera indicación de que algo anda mal proviene de una solución de detección y respuesta de endpoints (EDR), que detecta actividad sospechosa en la computadora portátil. La EDR envía una alerta al SOAR, que activa el SOAR para ejecutar un playbook predefinido. Primero, el SOAR abre un ticket para el incidente. Enriquece la alerta con datos de fuentes integradas de inteligencia de amenazas y otras herramientas de seguridad. Luego, el SOAR ejecuta respuestas automatizadas, como activar una herramienta de detección y respuesta de red (NDR) para poner en cuarentena el endpoint o solicitar al software antivirus que encuentre y detone malware. Finalmente, el SOAR pasa el ticket a un analista de seguridad, quien determina si el incidente se resolvió o si se requiere intervención humana.

Algunas SOAR incluyen inteligencia artificial (IA) y aprendizaje automático, los cuales analizan datos de herramientas de seguridad y recomiendan formas de manejar las amenazas en el futuro.

Respuesta a incidencias

Las capacidades de orquestación y automatización de las SOAR les permiten funcionar como una consola central para la respuesta a incidentes de seguridad (IR). El Informe del costo de una filtración de datos de IBM encontró que las organizaciones con un equipo de IR y pruebas de planes de IR identificaron las filtraciones 54 días más rápido que aquellas que no contaban con ninguno.

Los analistas de seguridad pueden usar las SOAR para investigar y resolver incidentes sin necesidad de ir de una herramienta a otra. Al igual que las plataformas de inteligencia de amenazas, las SOAR agregan métricas y alertas de fuentes externas y herramientas de seguridad integradas en un panel central. Los analistas pueden correlacionar datos de diferentes fuentes, filtrar falsos positivos, priorizar alertas e identificar las amenazas específicas a las que se enfrentan. Luego, los analistas pueden responder activando los Playbooks apropiados.

Los SOC también pueden usar herramientas SOAR para auditorías posteriores a un incidente y procesos de seguridad más proactivos. Los paneles de SOAR pueden ayudar a los equipos de seguridad a comprender la manera en la que una amenaza en particular infiltró la red y cómo prevenir amenazas similares en el futuro. Del mismo modo, los equipos de seguridad pueden utilizar los datos de una SOAR para identificar amenazas continuas desapercibidas y centrar sus esfuerzos de caza de amenazas en los lugares correctos.

Boletín de noticias Think

¿Su equipo captaría a tiempo el próximo día cero?

Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprende rápido con tutoriales de expertos y documentos explicativos, que se envían directamente a su bandeja de entrada. Consulte la Declaración de privacidad de IBM.

Su subscripción se entregará en inglés. En cada boletín, encontrará un enlace para darse de baja. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.

https://www.ibm.com/mx-es/privacy

Beneficios de las SOAR

Al integrar herramientas de seguridad y automatizar tareas, las plataformas SOAR pueden optimizar los flujos de trabajo de seguridad comunes, como la gestión de casos o de vulnerabilidades y la respuesta a incidentes. Los beneficios de esta optimización incluyen:

Procesar más alertas en menos tiempo

Es posible que los SOC tengan que lidiar con cientos o miles de alertas de seguridad diariamente. Esto puede llevar a una fatiga alerta y a que los analistas puedan pasar por alto signos importantes de actividad de amenazas. Las SOAR pueden hacer que las alertas sean más manejables centralizando los datos de seguridad, enriqueciendo los eventos y automatizando las respuestas. Como resultado, los SOC pueden procesar más alertas y reducir los tiempos de respuesta.
Planes de respuesta a incidentes más sistemáticos

Los SOC pueden utilizar playbooks de SOAR para definir flujos de trabajo de respuesta a incidentes estándar y escalables para amenazas comunes. En lugar de abordar las amenazas caso por caso, los analistas de seguridad pueden activar el playbook adecuado para una corrección eficaz.
Toma de decisiones de SOC mejorada

Los SOC pueden utilizar los paneles de SOAR para obtener insights sobre sus redes y las amenazas a las que se enfrentan. Esta información puede ayudar a los SOC a detectar falsos positivos, priorizar mejor las alertas y seleccionar los procesos de respuesta correctos.
Colaboración de SOC mejorada

Las SOAR centralizan los datos de seguridad y los procesos de respuesta a incidentes para que los analistas puedan trabajar juntos en las investigaciones. Las SOAR también pueden permitir a los SOC compartir métricas de seguridad con partes externas, como RR. HH., el Departamento Jurídico y las fuerzas de seguridad.

SOAR, SIEM y XDR

Las herramientas SOAR, SIEM y XDR comparten algunas funciones principales, pero cada una tiene sus propias características y casos de uso únicos.

La gestión de eventos e información de seguridad (SIEM) recopila información de herramientas de seguridad internas, la agrega en un registro central y marca anomalías. Los SIEM se emplean principalmente para registrar y gestionar grandes volúmenes de datos de eventos de seguridad.

La tecnología SIEM surgió por primera vez como una herramienta de informes de cumplimiento. Los SOC adoptaron las SIEM cuando se dieron cuenta de que los datos de SIEM podrían sustentar las operaciones de ciberseguridad. Las soluciones SOAR surgieron para agregar las características centradas en la seguridad de las que carecen la mayoría de las SIEM estándar, como las funciones de orquestación, automatización y consola.

Las soluciones de detección y respuesta extendidas (XDR) recopilan y analizan datos de seguridad de endpoints, redes y la nube. Al igual que los SOAR, pueden responder automáticamente a los incidentes de seguridad. Sin embargo, las XDR son capaces de automatizaciones de respuesta a incidentes más complejas y exhaustivas que los SOAR. Las XDR también pueden simplificar las integraciones de seguridad, que a menudo requieren menos conocimientos o gastos que las integraciones SOAR. Algunas XDR son soluciones preintegradas de un solo proveedor, mientras que otras pueden conectar herramientas de seguridad de varios proveedores. Las XDR se emplean a menudo para la detección de amenazas en tiempo real, la clasificación de incidentes y la caza automatizada de amenazas.

Los equipos de SecOps en grandes empresas a menudo utilizan todas estas herramientas juntas. Sin embargo, los proveedores están desdibujando las líneas que los separan, desplegando soluciones SIEM que pueden responder a las amenazas, así como XDR con un registro de datos similar al de las SIEM. Algunos expertos en seguridad creen que XDR podría algún día absorber las otras herramientas, de manera similar a las SOAR una vez que consolidó a sus predecesoras.
Soluciones relacionadas
Soluciones de seguridad empresarial

Transforme su programa de seguridad con las soluciones del mayor proveedor de seguridad empresarial.

 Explore las soluciones de ciberseguridad
Servicios de Ciberseguridad

Transforme su negocio y gestione el riesgo con servicios de consultoría de ciberseguridad, nube y seguridad gestionada.

         Explore los servicios de ciberseguridad
    Ciberseguridad de la inteligencia artificial (IA)

    Aumente la velocidad, precisión y productividad de los equipos de seguridad con soluciones cibernéticas potenciadas por IA.

         Explorar la ciberseguridad de IA
    Dé el siguiente paso

    Utilice las soluciones de detección y respuesta a amenazas de IBM para fortalecer su seguridad y acelerar la detección de amenazas.

     

         Explorar las soluciones de detección de amenazas Explorar IBM Verify