¿Es SOAR la herramienta del futuro?


cio_SOAR. (2020, October 30). [Illustration]. The Enterprisers Project. https://enterprisersproject.com/article/2020/10/what-is-soar-security-orchestration-automation-and-response


Con el número de ciberataques aumentando drásticamente en los últimos años, tanto los equipos de seguridad como los centros de operaciones de seguridad (SOC) se enfrentan a un panorama de amenazas complejo. Según un estudio realizado por International Data Corporation (IDC), los ataques cibernéticos son el quinto riesgo mejor calificado. A medida que la industria continúa creciendo, los ataques cibernéticos también continúan creciendo, se espera que los ataques cibernéticos de IoT solo se dupliquen para 2025. Dark Reading ha declarado que el SOC promedio recibe más de 10,000 alertas por día de diferentes herramientas de monitoreo y detección. Debido a la gran cantidad de alertas, muchas a menudo falsos positivos, menos del 10 por ciento de estas alertas resultan en investigación.


Gartner propuso una solución para este desafío en 2017, las plataformas de Orquestación, Automatización y Respuesta de Seguridad (SOAR) son soluciones integradas para el equipo de seguridad de cualquier organización, diseñadas para potenciar la automatización a través de la orquestación. En este artículo, haremos un desglose de la herramienta, compararemos SOAR con otras plataformas, revisaremos algunas desventajas y ofreceremos una conclusión.


Las plataformas SOAR se pueden dividir en tres elementos diferentes: orquestación de seguridad, automatización de seguridad y respuesta de seguridad. El primer elemento, orquestación de seguridad, consiste en la sincronización de una variedad de diferentes herramientas internas y externas. La plataforma conecta e integra las herramientas mediante interfaces de programación de aplicaciones (API) y luego recopila datos como registros y datos de eventos de las herramientas internas y datos de fuentes externas como fuentes de inteligencia de subprocesos, software de seguridad de punto final y otras fuentes de terceros. Luego, los datos se unifican para permitir la interpolación entre las herramientas de seguridad.


El segundo elemento, con Automatización de seguridad, la plataforma tomará todos los datos recopilados del elemento anterior (orquestación) y, como su nombre lo indica, automatizará muchos procesos, utilizando libros de jugadas preconfigurados, que tienen acciones predefinidas que se tomarán según la situación. como qué alarma se activa o qué amenaza se detecta. Algunas de las tareas automatizadas son el escaneo de vulnerabilidades, el análisis de registros, la verificación de tickets y las capacidades de auditoría. Mediante la automatización, es posible que el equipo de seguridad pueda concentrarse en alertas importantes, cubriendo más terreno, mientras que SOAR completa de manera eficiente las tareas cotidianas, monótonas y tediosas.


Finalmente, el último elemento es Security Response. La plataforma SOAR puede ayudar a los analistas realizando algunas acciones, como la gestión de casos, la presentación de informes y el intercambio de inteligencia sobre amenazas. Además, SOAR también proporcionaría una guía sobre las respuestas a tomar y mantener la consistencia del proceso en todas las operaciones de seguridad. SOAR proporciona un tiempo de respuesta más rápido a las amenazas, ya que es una herramienta automática y puede proporcionar soluciones instantáneas sin necesidad de intervención humana. El tiempo de respuesta también disminuye ya que todas las herramientas se pueden encontrar dentro de la misma plataforma, no hay necesidad de moverse de un lado a otro entre varias herramientas. La plataforma SOAR también automatiza procesos para generar reportes, liberando a los equipos de seguridad de esta tarea, brindándoles una gestión de datos más eficiente, brindándoles la oportunidad de mejorar continuamente.




SOAR a menudo se compara con otra herramienta altamente funcional ya existente llamada Gestión de eventos e información de seguridad (SIEM). Aunque son similares, ya que comparten muchos componentes, tienen algunas diferencias clave.


Para empezar, la primera diferencia es el conjunto de herramientas que se integran en ambos sistemas. SIEM incorporará varios datos de registro y eventos de fuentes de componentes de infraestructura tradicionales, como firewalls, dispositivos de red y sistemas de detección de intrusos. SOAR incorporará los mismos datos y también datos de fuentes de inteligencia de amenazas emergentes externas, software de seguridad de punto final y otras fuentes de terceros, proporcionando al analista un panorama más amplio para actuar contra cualquier amenaza emergente.


En cuanto a la automatización y la respuesta, la plataforma analiza los datos de registro y eventos digeridos por SIEM para encontrar cualquier patrón que pueda indicar un ataque cibernético, si se encuentra, generalmente se activaría una alarma. Por otro lado, SOAR haría este proceso pero también iría un paso más allá. Según el ataque, SOAR seguiría acciones predefinidas por el libro de jugadas para ayudar a resolver el ataque, como la gestión de casos, informes e intercambio de inteligencia de amenazas. Algunos ejemplos son abrir tickets, enviar alertas por correo electrónico, bloquear remitentes de correo electrónico sospechosos, agregar atacantes a una lista de bloqueo y realizar un seguimiento de las investigaciones. Nuevamente, la automatización permitirá que los equipos de seguridad se concentren en tareas que requieren más habilidades.



Si bien el sistema SOAR es una plataforma muy completa y funcional, es importante señalar que la coordinación es muy importante, SOAR no es un servicio completamente automatizado. SOAR necesitará que el equipo de seguridad tenga un caso de uso claro, bases sólidas, habilidades y requisitos del modelo operativo, también necesitará un mantenimiento continuo para funcionar correctamente. También es importante conocer las expectativas que los equipos de seguridad tienen sobre la plataforma y encontrar el caso de uso adecuado para lo que están tratando de resolver.


Algo también importante a tener en cuenta es que para los equipos de seguridad que trabajan en organizaciones pequeñas y que solo deben realizar trámites y procesos básicos, la plataforma SOAR puede no ser la mejor opción, ya que no se ajustaría a sus necesidades.


En conclusión, SOAR es una herramienta que, si se implementa correctamente, es muy beneficiosa para muchos equipos de seguridad, ya que les brinda el tiempo y los recursos para concentrarse en las alertas más críticas. Las plataformas SOAR consisten en Orquestación por la integración de diferentes herramientas y unificación de los datos, Automatización de muchas tareas poco calificadas, monótonas y repetitivas, y una Respuesta rápida. Si bien SOAR ofrece más procesos en comparación con otras herramientas similares como SIEM, como la integración de herramientas externas y la automatización de los procesos que generarán una respuesta más rápida, SOAR no fue creado para ser un reemplazo de SIEM, por el contrario, SIEM es un herramienta integrada a SOAR, por lo que SOAR tendrá los mismos beneficios que SIEM.


Algo a tener en cuenta es que SOAR no es una plataforma fácil de usar, por lo que requerirá planificación y mantenimiento, y es posible que no se ajuste a todos los equipos de seguridad según las acciones a realizar. Sin embargo, con el creciente número de amenazas y la baja cantidad de profesionales de seguridad, SOAR puede ser la respuesta para mejorar la seguridad, la productividad y la eficiencia.


Autor

Elisa Sosa

Ingeniero de Seguridad Junior


Referencias

  • Angela Horneman and Justin R. (2021, March 1). Benefits and challenges of soar platforms. SEI Blog. Retrieved November 19, 2021, from https://insights.sei.cmu.edu/blog/benefits-and-challenges-of-soar-platforms/.

  • The growth in connected IOT devices is expected to generate 79.4ZB of data in 2025, according to a new IDC forecast. The Growth in Connected IoT Devices is Expected to Generate 79.4ZB of Data in 2025, According to a New IDC Forecast | Business Wire. (2019, June 18). Retrieved November 19, 2021, from https://www.businesswire.com/news/home/20190618005012/en/The-Growth-in-Connected-IoT-Devices-is-Expected-to-Generate-79.4ZB-of-Data-in-2025-According-to-a-New-IDC-Forecast.

  • What is Soar? security definition. FireEye. (n.d.). Retrieved November 19, 2021, from https://www.fireeye.com/products/helix/what-is-soar.html.

  • Islam, C., Babar, M. A., & Nepal, S. (2020, September). Architecture-centric support for integrating security tools in a security orchestration platform. In European Conference on Software Architecture (pp. 165-181). Springer, Cham.

  • Shea, S. (2021, March 29). What is SOAR (security orchestration, automation, and response)? A definition from whatis.com. SearchSecurity. Retrieved November 19, 2021, from https://searchsecurity.techtarget.com/definition/SOAR.

  • Brewer, R. (2019). Could SOAR save skills-short SOCs?. Computer Fraud & Security, 2019(10), 8-11.

  • Kirtley, E. (n.d.). What is Soar vs Siem: Security Solutions explained: ... Swimlane. Retrieved December 1, 2021, from https://swimlane.com/blog/siem-soar.

  • Froehlich, A. (2021, March 15). Soar vs. Siem: What's the difference? SearchSecurity. Retrieved December 1, 2021, from https://www.techtarget.com/searchsecurity/answer/SOAR-vs-SIEM-Whats-the-difference#:~:text=on%20the%20block.-,When%20looking%20at%20SOAR%20vs.,in%20all%20that%20and%20more.

  • What are the pros and cons of soar? Trustwave. (2020, September 1). Retrieved December 1, 2021, from https://www.trustwave.com/en-us/resources/blogs/trustwave-blog/what-are-the-pros-and-cons-of-soar/.

26 views0 comments