En ciberseguridad, SOAR significa organizaci¨®n, automatizaci¨®n y respuesta de seguridad. Incluye cualquier software o herramienta que permita a las empresas recopilar y analizar datos relacionados con la ciberseguridad.
?Qu¨¦ es SOAR y c¨®mo funciona?
Los sistemas SOAR permiten a las organizaciones usar varias herramientas y funcionalidades para aprovechar todos sus datos relacionados con la ciberseguridad para una mejor respuesta a incidentes.
Los componentes principales de un sistema SOAR son:
°¿°ù²µ²¹²Ô¾±³ú²¹³¦¾±¨®²Ô
La organizaci¨®n de la seguridad acelera y mejora la respuesta a incidentes al integrar y analizar datos de diversas tecnolog¨ªas y herramientas de seguridad. La organizaci¨®n tambi¨¦n implica coordinar diferentes tecnolog¨ªas de ciberseguridad para ayudar a las organizaciones a lidiar con incidentes complejos de ciberseguridad. Una herramienta SOAR puede, por ejemplo, recopilar datos operativos de TI de seguridad de red mediante el uso de datos de herramientas de monitoreo de red como base para las reglas del firewall.
la automatizaci¨®n;
Una de las funciones clave de cualquier herramienta SOAR es la automatizaci¨®n, que elimina la necesidad de detectar y responder manualmente a los incidentes de seguridad. Los sistemas SOAR pueden, por ejemplo, clasificar autom¨¢ticamente ciertos tipos de eventos y permitir que los equipos de seguridad definan procedimientos estandarizados y automatizados, como flujos de trabajo de toma de decisiones, verificaciones de estado, aplicaci¨®n y contenci¨®n, y auditor¨ªa.
Respuesta
Las plataformas SOAR recopilan datos de otras herramientas de seguridad, como sistemas de informaci¨®n de seguridad y administraci¨®n de eventos (SIEM) y fuentes de inteligencia de amenazas. Priorizan los eventos de seguridad y env¨ªan informaci¨®n clave sobre el incidente de seguridad al personal de seguridad.
Administraci¨®n de casos
La administraci¨®n de casos es un componente fundamental de cualquier plataforma SOAR. Las capacidades de administraci¨®n de casos les brindan a los analistas de seguridad acceso a registros de casos individuales para que puedan analizar e interactuar din¨¢micamente con cualquier dato relacionado con un incidente determinado y usar ese an¨¢lisis para mejorar e iterar sus procesos de respuesta de seguridad.
Tablero
El panel de una herramienta SOAR proporciona una descripci¨®n general de todo lo que sucede en relaci¨®n con los n¨²meros 1, 2, 3, 4 y superiores, es decir, todos los datos y actividades relacionados con la seguridad, incluidos los eventos notables y su gravedad, los manuales de estrategias, las conexiones con otras herramientas de seguridad, las cargas de trabajo e incluso un resumen del retorno de la inversi¨®n de las actividades automatizadas. Por lo general, puede filtrar un panel SOAR por per¨ªodo de tiempo, fuente de datos o usuario. Los widgets se pueden activar o desactivar, o reorganizar seg¨²n sus especificaciones. En resumen, es su n¨²cleo central para monitorear todo lo que hace su sistema SOAR y qu¨¦ tan bien lo hace.
?C¨®mo identifica amenazas una soluci¨®n SOAR?
Los sistemas SOAR exploran y recopilan datos de diversas fuentes, y luego usan una combinaci¨®n de aprendizaje humano y autom¨¢tico para analizar estos datos para detectar posibles amenazas y priorizar los planes y las acciones de respuesta a incidentes. Por lo general, las empresas automatizan el sistema SOAR para que pueda soportar la ciberseguridad de la manera m¨¢s eficiente.
Fuentes de datos SOAR
Los sistemas SOAR extraen y analizan datos de varias fuentes diferentes, entre ellas:
- Esc¨¢neres de vulnerabilidad, que son programas inform¨¢ticos dise?ados para evaluar las debilidades de seguridad en computadoras, redes o aplicaciones.
- Software de protecci¨®n de puntos finales, que protege los puntos finales de una organizaci¨®n, como servidores y computadoras personales, contra infecciones de malware, ciberataques y otras amenazas.
- Cortafuegos, que son sistemas de seguridad de red que monitorean y controlan el tr¨¢fico de red entrante y saliente basado en reglas de seguridad predeterminadas.
- Sistemas de detecci¨®n de intrusos y prevenci¨®n de intrusos, que son herramientas de seguridad de red que monitorean continuamente las redes para detectar actividad maliciosa y toman medidas para evitarla.
- Plataformas de administraci¨®n de eventos e informaci¨®n de seguridad (SIEM, Security Information and Event Management), que agregan datos de registro, alertas de seguridad y eventos en una plataforma centralizada para realizar an¨¢lisis en tiempo real para monitoreo de seguridad y alertas.
- Fuentes de inteligencia de amenazas externas, que incluyen cualquier dato de amenazas procesable recopilado de proveedores externos para mejorar la respuesta y la concientizaci¨®n sobre amenazas cibern¨¦ticas.
Principales beneficios de SOAR
Los sistemas SOAR permiten una respuesta a incidentes m¨¢s eficaz y eficiente a trav¨¦s de dos beneficios principales:
- Respuesta a incidentes m¨¢s r¨¢pida: SOAR ayuda a las empresas a reducir el tiempo medio de detecci¨®n (MTTD) y el tiempo medio de restauraci¨®n (MTTR) al reducir la cantidad de tiempo que tardan en calificarse y corregirse las alertas de seguridad de meses o semanas a minutos. SOAR tambi¨¦n permite la automatizaci¨®n de la respuesta a incidentes a trav¨¦s de procedimientos conocidos como manuales de estrategias. Las acciones de esta automatizaci¨®n incluyen bloquear las direcciones IP en un firewall o sistema IDS, suspender las cuentas de usuario y poner en cuarentena los puntos finales infectados de una red.
- Mejor inteligencia de ciberseguridad: Debido a que los sistemas SOAR pueden agregar y analizar datos de tantas fuentes diferentes, mejoran el contexto para todo tipo de amenazas de ciberseguridad y reducen las falsas alarmas para ayudar a los equipos de seguridad a trabajar m¨¢s r¨¢pido que m¨¢s duro.
SOAR vs. SIEM
Tanto SOAR como SIEM se ocupan de los datos relacionados con las amenazas de seguridad y permiten respuestas a incidentes de seguridad mucho mejores.
Sin embargo, SIEM agrega y correlaciona datos de varios sistemas de seguridad para generar alertas, mientras que SOAR act¨²a como el motor de correcci¨®n y respuesta a esas alertas.
Para usar una analog¨ªa de autom¨®vil, SIEM es el combustible del motor del autom¨®vil y el motor en s¨ª es SOAR porque usa el combustible para proporcionar el resultado y la acci¨®n, y para que todo funcione autom¨¢ticamente.
Qu¨¦ buscar en una herramienta SOAR
Cualquiera sea la herramienta SOAR que obtenga, deber¨ªa poder:
- Ingiera y analice datos y alertas de varios sistemas de seguridad.
- Dise?e y automatice flujos de trabajo que ayuden a las empresas a identificar, priorizar, investigar y responder a las amenazas y alertas de ciberseguridad.
- Integre f¨¢cilmente con otras herramientas para mejorar las operaciones.
- Realice un an¨¢lisis posterior al incidente para mejorar los procesos de respuesta y la eficiencia de la respuesta a incidentes.
- Automatice la mayor¨ªa de las operaciones de seguridad para eliminar redundancias y permitir que los equipos de seguridad se concentren en las tareas que requieren m¨¢s participaci¨®n humana.
Por supuesto, hay m¨¢s silbidos que pueden formar parte de un sistema SOAR, pero considere la lista anterior de elementos imprescindibles para cualquier herramienta SOAR.
Ejemplo de SOAR del mundo real: Respuesta de phishing
Los correos electr¨®nicos de suplantaci¨®n de identidad son una amenaza importante no solo para las personas, sino tambi¨¦n para los equipos de seguridad empresarial, ya que algunos de ellos est¨¢n dise?ados lo suficientemente bien como para realizar filtraciones de datos de alto perfil. Con un sistema SOAR implementado, las empresas no solo pueden evitar los ataques de phishing, sino que tambi¨¦n evitan que ocurran en el futuro.
Una herramienta SOAR examina los correos electr¨®nicos maliciosos sospechosos extrayendo y analizando diversos artefactos, incluida la informaci¨®n de encabezados, direcciones de correo electr¨®nico, URL y archivos adjuntos. Luego, clasifica la amenaza para determinar si es una amenaza en absoluto y, de ser as¨ª, cu¨¢n grave es.
Si la herramienta SOAR determina que el correo electr¨®nico es malicioso, har¨¢ lo siguiente:
- Bloquearlo y cualquier otra instancia en otros buzones.
- Evite que se ejecuten los ejecutables relacionados con el correo electr¨®nico.
- Bloquee las direcciones IP o URL de origen.
- Ponga en cuarentena la estaci¨®n de trabajo del usuario afectado si es necesario.
Por supuesto, los sistemas SOAR no pueden garantizar que atrapar¨¢n y bloquear¨¢n cada correo electr¨®nico de phishing. Si se logra, las funciones de administraci¨®n de casos permiten que los equipos de seguridad investiguen lo que sucedi¨® y por qu¨¦, y usen ese conocimiento para mejorar la detecci¨®n de amenazas de sus sistemas SOAR en el futuro.
ARRIBA: El resultado final
Los sistemas SOAR reducen el tiempo de investigaci¨®n y respuesta de horas a minutos. Tambi¨¦n reducen en gran medida el riesgo organizacional al usar solo los datos de amenazas de la m¨¢s alta calidad para optimizar las operaciones de seguridad. En ¨²ltima instancia, permiten una asignaci¨®n m¨¢s estrat¨¦gica de analistas humanos e inteligencia humana, lo que permite a las empresas maximizar sus recursos internos y minimizar las amenazas externas.
![Icono de rayos de tormenta](/content/dam/purestorage/online-assets/icons/lightning.svg.imgo.svg"/){kind=icon}
![](/content/dam/purestorage/knowledge/what-is-soar-hero.jpg.imgo.jpg")
![](/content/dam/purestorage/online-assets/graphics/visionary-voices-resources.jpg.imgo.jpg")
![](/content/dam/purestorage/online-assets/graphics/cyber-resilience-resource-3a.jpg.imgo.jpg")
![](/content/dam/purestorage/homepage23/resources-events/future-of-storage-ebook.jpg.imgo.jpg")
![](/content/dam/purestorage/online-assets/graphics/gartner-card.svg.imgo.svg")