É«¿Ø´«Ã½

En ciberseguridad, SOAR significa orquestaci¨®n, automatizaci¨®n y respuesta de seguridad. Incluye cualquier software o herramienta que permita que las empresas recojan y analicen los datos relacionados con la ciberseguridad.

?Qu¨¦ es SOAR y c¨®mo funciona?

Los sistemas SOAR permiten que las organizaciones utilicen varias herramientas y funcionalidades para aprovechar todos sus datos relacionados con la ciberseguridad con el fin de responder mejor a los incidentes.

Los componentes principales de un sistema SOAR son:

°¿°ù±ç³Ü±ð²õ³Ù²¹³¦¾±¨®²Ô

La orquestaci¨®n de la seguridad acelera y mejora la respuesta a los incidentes, al integrar y analizar los datos procedentes de diversas tecnolog¨ªas y herramientas de seguridad. La orquestaci¨®n tambi¨¦n incluye la coordinaci¨®n de las diferentes tecnolog¨ªas de ciberseguridad, para ayudar a las organizaciones a tratar los incidentes de ciberseguridad complejos. Una herramienta SOAR puede, por ejemplo, recopilar, ordenar y cotejar los datos operativos inform¨¢ticos de seguridad de la red, usando los datos de las herramientas de supervisi¨®n de la red como base de referencia para las reglas del cortafuegos.

´¡³Ü³Ù´Ç³¾²¹³Ù¾±³ú²¹³¦¾±¨®²Ô

Una de las funciones clave de cualquier herramienta SOAR es la automatizaci¨®n, que acaba con la necesidad de detectar y responder manualmente a los incidentes de seguridad, que es algo que consume mucho tiempo. Los sistemas SOAR pueden, por ejemplo, seleccionar autom¨¢ticamente ciertos tipos de eventos y permitir que los equipos de seguridad definan unos procedimientos estandarizados y automatizados, como, por ejemplo, los flujos de trabajo de toma de decisiones, las comprobaciones de estado, el cumplimiento y la contenci¨®n y la auditor¨ªa.

Respuesta

Las plataformas SOAR recopilan datos de otras herramientas de seguridad, como los sistemas de gesti¨®n de la informaci¨®n y los eventos de seguridad (SIEM) y las fuentes de inteligencia sobre amenazas. Priorizan los eventos de seguridad y env¨ªan la informaci¨®n clave sobre los incidentes de seguridad al personal encargado de esta.

Gesti¨®n de casos

La gesti¨®n de los casos es un componente fundamental de cualquier plataforma SOAR. La funcionalidad de gesti¨®n de casos proporciona a los analistas de seguridad acceso a los registros de casos individuales, para que puedan analizar e interactuar din¨¢micamente con cualquier dato relacionado con cualquier incidente concreto y usar dicho an¨¢lisis para mejorar e iterar sus procesos de respuesta de seguridad.

Panel de control

El panel de control de una herramienta SOAR ofrece una vista general de todo lo que est¨¢ ocurriendo en relaci¨®n con los n¨²meros 1, 2, 3, 4 y superiores ¡ªes decir, todos los datos y la actividad relacionados con la seguridad, incluidos los eventos destacados y su gravedad, los playbooks (cuadernos de estrategias), las conexiones con otras herramientas de seguridad, las cargas de trabajo e incluso un resumen del rendimiento de la inversi¨®n de las actividades automatizadas¡ª. Normalmente, el panel de control SOAR se puede filtrar por periodo de tiempo, fuente de datos o usuario. Los widgets se pueden activar y desactivar o reorganizar seg¨²n sus especificaciones. En resumen, es el punto central desde el que puede monitorizar todo lo que su sistema SOAR est¨¢ haciendo y lo bien que lo est¨¢ haciendo.

?C¨®mo identifica las amenazas una soluci¨®n SOAR?

Los sistemas SOAR examinan y recogen datos de una variedad de fuentes y luego usan una combinaci¨®n de aprendizaje humano y autom¨¢tico para analizar dichos datos, con el fin de detectar las posibles amenazas y priorizar los planes y las acciones de respuesta a los incidentes. Habitualmente, las empresas automatizan el sistema SOAR para que contribuya a la ciberseguridad de la manera m¨¢s eficiente posible.

Origen de los datos de una soluci¨®n SOAR

Los sistemas SOAR extraen y analizan datos procedentes de varias fuentes distintas, incluidos:

• Los detectores de vulnerabilidades, que son programas inform¨¢ticos dise?ados para evaluar los puntos d¨¦biles de la seguridad de los ordenadores, las redes o las aplicaciones.
• El software de protecci¨®n del punto de conexi¨®n, que protege los puntos de conexi¨®n de una organizaci¨®n, como los servidores y los ordenadores personales, de las infecciones de malware, los ciberataques y otras amenazas.
• Los Firewalls, son sistemas de seguridad de la red que supervisan y controlan el tr¨¢fico entrante y saliente de la red a partir de unas reglas de seguridad predeterminadas.
• Los sistemas de detecci¨®n y de prevenci¨®n de las intrusiones, que son herramientas de seguridad de la red que monitorizan continuamente las redes en busca de actividad maliciosa y que toman medidas para prevenir este tipo de actividad.
• Las plataformas de gesti¨®n de la informaci¨®n y los eventos de seguridad (SIEM), que agregan los datos de los registros y las alertas y los eventos de seguridad en una plataforma centralizada, para realizar an¨¢lisis en tiempo real con los que supervisar la seguridad y generar alertas.
• Las fuentes externas de inteligencia sobre amenazas, que incluyen cualquier dato procesable sobre amenazas recogido de proveedores externos que permita mejorar la respuesta y la sensibilizaci¨®n en materia de ciberamenazas.

Las principales ventajas de las soluciones SOAR

Los sistemas SOAR permiten responder de un modo m¨¢s efectivo y eficiente a los incidentes, gracias a dos beneficios principales:

• Una respuesta m¨¢s r¨¢pida a los incidentes: un sistema SOAR ayuda a las empresas a reducir el tiempo medio de detecci¨®n (MTTD) y el tiempo medio de restauraci¨®n (MTTR), al reducir de meses a semanas o minutos el tiempo necesario para calificar las alertas de seguridad y corregirlas. Una soluci¨®n SOAR tambi¨¦n permite automatizar la respuesta a los incidentes a trav¨¦s de unos procedimientos conocidos como playbooks (cuadernos de estrategias). Las acciones de esta automatizaci¨®n incluyen el bloqueo de direcciones IP en un cortafuegos o sistema IDS, la suspensi¨®n de direcciones de usuario y la puesta en cuarentena de los puntos de conexi¨®n infectados de una red.
• Una mejor inteligencia sobre ciberseguridad: como los sistemas SOAR pueden agregar y analizar datos procedentes de muchas fuentes distintas, mejoran el contexto de todos los tipos de amenazas de ciberseguridad y reducen las falsas alarmas, con lo que ayudan a los equipos de seguridad para que trabajen m¨¢s r¨¢pidamente en lugar de tener que trabajar m¨¢s.

SOAR versus SIEM

Tanto los sistemas SOAR como los SIEM manejan datos referidos a las amenazas a la seguridad y permiten responder mucho mejor a los incidentes de seguridad.

Sin embargo, una soluci¨®n SIEM agrega y correlaciona datos de m¨²ltiples sistemas de seguridad para generar alertas, mientras que un sistema SOAR act¨²a como motor de respuesta y correcci¨®n de dichas alertas.

Si usamos una analog¨ªa automovil¨ªstica, el SIEM es el combustible del motor de un coche, mientras que el SOAR es el propio motor, porque usa el combustible para proporcionar el resultado y la acci¨®n y para hacer que todo funcione autom¨¢ticamente.

Qu¨¦ buscar en una herramienta SOAR

Sea cual sea la herramienta SOAR que elija, esta deber¨ªa ser capaz de:

• Introducir y analizar datos y alertas de diferentes sistemas de seguridad.
• Elaborar y automatizar flujos de trabajo que ayuden a las empresas a identificar, priorizar, investigar y responder a las amenazas y las alertas de seguridad.
• Integrarse f¨¢cilmente con otras herramientas para mejorar el funcionamiento.
• Realizar an¨¢lisis posteriores a los incidentes para mejorar los procesos de respuesta y la eficiencia de la respuesta a los incidentes.
• Automatizar la mayor¨ªa de las operaciones de seguridad para eliminar las redundancias y permitir que los equipos de seguridad se concentren en las tareas que requieren una mayor participaci¨®n humana.

Por supuesto, un sistema SOAR puede incluir muchas m¨¢s funcionalidades, pero la lista de arriba puede considerarse como la de elementos imprescindibles de una herramienta SOAR.

Un ejemplo SOAR del mundo real: la respuesta al phishing

Los emails de phishing son una grave amenaza, no solo para las personas, sino tambi¨¦n para los equipos de seguridad de las empresas, ya que algunos de ellos est¨¢n tan bien hechos que pueden vulnerar datos de gran importancia. Con un sistema SOAR en funcionamiento, las empresas pueden rechazar los ataques de phishing y prevenir adem¨¢s que se produzcan en el futuro.

Una herramienta SOAR examina los emails que se sospecha que son malintencionados, extrayendo y analizando diversos artefactos, como la informaci¨®n del encabezamiento, las direcciones del email, las URL y los datos adjuntos. Luego clasifica la amenaza, determinando primero si se trata realmente de una amenaza y, en caso de serlo, estableciendo su nivel de gravedad.

Si la herramienta SOAR determina que el email es malintencionado, act¨²a de la siguiente manera:

• Bloquea el email en todos los buzones de correo.
• Impide que se ejecuten los archivos ejecutables relacionados con el email.
• Bloquea las URL o las direcciones IP de origen.
• Pone en cuarentena la estaci¨®n de trabajo del usuario afectado, si es necesario.

Evidentemente, los sistemas SOAR no pueden garantizar que detectar¨¢n y bloquear¨¢n todos los emails de phishing. Pero si uno de estos emails se escapa, las funcionalidades de gesti¨®n de casos permiten que los equipos de seguridad investiguen lo ocurrido y por qu¨¦ ha ocurrido y usen dichos conocimientos para mejorar la capacidad de su sistema para detectar las amenazas e impedir que avancen.

SOAR: conclusi¨®n

Los sistemas SOAR reducen el tiempo de investigaci¨®n y respuesta, que pasa de horas a minutos. Tambi¨¦n disminuyen considerablemente el riesgo para la organizaci¨®n, al usar solo los datos de m¨¢s calidad sobre las amenazas con el fin de optimizar las operaciones de seguridad. En ¨²ltima instancia, permiten una asignaci¨®n m¨¢s estrat¨¦gica de la inteligencia y los analistas humanos, gracias a lo cual las empresas pueden maximizar sus recursos internos y minimizar las amenazas externas.