Descripción general
Con la sigla SOAR, organización, automatización y respuesta de seguridad, se describe un conjunto de funciones que se utilizan para proteger los sistemas de TI de las amenazas.
SOAR hace referencia a tres funciones clave del software que utilizan los equipos de ciberseguridad: la gestión de los casos y los flujos de trabajo; la automatización de las tareas, y un método centralizado para acceder a la información sobre las amenazas, consultarla y compartir los datos sobre ella. El grupo analista Gartner fue el que acuñó este término. Los analistas de seguridad también lo describen de otras maneras: IDC se refiere al concepto como análisis, inteligencia, respuesta y organización de la seguridad (AIRO), mientras que Forrester utiliza el término automatización y organización de la seguridad (SAO).
La SOAR se suele implementar en colaboración con el Centro de operaciones de seguridad (SOC) de las empresas. Las plataformas que emplean este concepto pueden supervisar las fuentes de información sobre amenazas y generar respuestas automáticas para mitigar los problemas de seguridad. De esta forma, los equipos de TI reducen las amenazas de forma rápida y eficiente en muchos sistemas complejos.
Gestión de los casos y los flujos de trabajo en SOAR
Independientemente de si tiene un SOC sólido y consolidado o si acaba de comenzar a transformar la seguridad de su empresa, las prácticas recomendadas para ocuparse de los puntos vulnerables establecen que cada incidente de seguridad debe documentarse y gestionarse como un caso. Las prácticas de gestión de los casos son el medio por el cual se documentan los incidentes y se genera información en torno a las amenazas, lo cual permite identificarlas, asignarles un orden de prioridad según el riesgo que representan e investigarlas. También posibilita la documentación y el intercambio de la información recopilada sobre un incidente dentro de las empresas y las comunidades.
La tecnología de SOAR suele incluir flujos de trabajo configurados previamente para casos de uso comunes. Si estos no satisfacen las necesidades específicas de su empresa, pueden adaptarse para que cumplan con sus requisitos mediante el desarrollo personalizado.
Automatización y organización de las tareas
La automatización de la seguridad es el proceso por el cual se ejecutan operaciones de protección sin necesidad de intervención humana. En este ámbito, la necesidad de automatizar las tareas es más importante debido a la complejidad de la infraestructura y a la posible falta de integración entre sus partes. ¿Pero cómo sabemos qué tareas se deben automatizar? Pregúntese:
- ¿Es una tarea rutinaria? ¿Se debe realizar de forma regular?
- ¿Es tediosa? ¿Implica un conjunto específico de acciones que se deben completar con precisión?
- ¿Consume mucho tiempo? ¿Su equipo tiene que destinar mucho tiempo a estas tareas?
Si respondió que sí a cualquiera de estas preguntas, es probable que la automatización pueda ayudarlo. Entre los resultados positivos que podría obtener su empresa, se encuentran la reducción de los errores humanos, el aumento de la eficiencia y la agilidad, y una mayor uniformidad en las respuestas a los incidentes de seguridad.
Open Technology Sessions en español
Explora esta serie de webinars on-demand y descubre cómo impulsar la innovación tecnológica en tu organización. ¡Aprende más sobre automatización, infraestructura, plataforma de aplicaciones, cloud services y mucho más!
Beneficios de automatizar los procesos de seguridad
Una de las principales ventajas de la automatización de las tareas es que permite que los equipos de seguridad sean más eficientes y dispongan de su tiempo para dedicarlo a otras actividades. En pocas palabras, no hay suficientes especialistas en seguridad como para satisfacer las necesidades de todas las empresas, pero la automatización puede ayudarlos a obtener más resultados con mayor rapidez, y de esta forma abordar la falta de personal especializado.
Estos equipos deben lidiar con un enorme conjunto de herramientas y productos diferentes que probablemente no están integrados entre sí, como, por ejemplo, los sistemas de software para la detección y respuesta de los extremos (EDR), los firewalls y las soluciones para la gestión de la información y los eventos de seguridad (SIEM). La gestión manual de todos ellos puede ralentizar el proceso de detección y resolución de los problemas, dar lugar a errores en la configuración de los recursos y generar la falta de uniformidad en la aplicación de las políticas, lo cual expone a los sistemas a problemas de cumplimiento y ataques graves. La automatización puede ayudar a agilizar las operaciones cotidianas y a integrar la seguridad a los procesos, las aplicaciones y la infraestructura desde el comienzo, como si contara con un enfoque de DevSecOps.
Según Ponemon Institute, si detecta y controla los fallos de seguridad en un plazo de 200 días o menos, reducirá el costo promedio en USD 1,22 millones. La detección temprana de las amenazas reduce la probabilidad de que experimente fallos de seguridad y deba lidiar con los costos asociados, pero resolver los problemas en muchas plataformas y herramientas puede ser complicado, llevar mucho tiempo y conducir a errores.
Mientras que las tareas manuales pueden retrasar la identificación de amenazas en los ecosistemas de TI complejos, la automatización de los procesos de seguridad permite que las empresas identifiquen, validen y deriven las amenazas a una entidad superior con mayor rapidez y sin intervención manual. Los equipos de seguridad pueden usar la automatización para mejorar los tiempos de respuesta y aplicar de manera simultánea las correcciones en los sistemas afectados de todos los entornos.
Diferencias entre la automatización y la organización
La organización se basa en los procesos y la automatización, en las tareas. La organización de la seguridad es el medio por el cual puede conectar e integrar las diferentes herramientas y los sistemas de seguridad a fin de optimizar los flujos de trabajo de respuesta. Esta conexión entre las herramientas y los sistemas, como también los procesos que los controlan, le permiten aprovechar al máximo la automatización en todos sus entornos.
La automatización simplifica los flujos de trabajo, pero se necesita de las personas para uno de los aspectos más importantes del concepto SOAR: la organización de la seguridad de alto nivel. Con esta función, los equipos de TI pueden definir los procesos mediante los cuales se ejecutan las tareas automatizadas. Para que la organización de los procesos de seguridad sea exitosa, es necesario que los integrantes de los equipos determinen los sistemas que se deben automatizar, así como los motivos y el momento para hacerlo.
Inteligencia centralizada contra las amenazas
El término inteligencia contra amenazas se refiere a la información sobre las amenazas nuevas y actuales a los recursos de su empresa. Muchas bases de datos sobre puntos vulnerables sirven como fuentes de información al respecto. Los métodos de referencia, como la lista de CVE, facilitan la identificación y el intercambio de estos puntos entre las bases de datos y las plataformas. Las plataformas de inteligencia contra las amenazas recopilan esta información en una variedad de fuentes. Las herramientas de SOAR utilizan varias fuentes de información sobre amenazas para identificar aquellas que puedan presentarse. La SOAR reúne todas estas fuentes en una sola, a la que los equipos pueden acceder para realizar consultas y activar las tareas de automatización.
Desde el punto de vista organizativo, el SOC es una parte esencial de su respuesta de seguridad, pero, aun así, puede ser difícil coordinar la gran cantidad de departamentos que componen su empresa y comunicarse con todos ellos. La automatización puede servir no solo como una fuerza unificadora, sino también como un lenguaje común entre ellos. Una solución de automatización en todas sus plataformas, y en todos los departamentos, establece canales claros de interacción que facilitan la identificación y la clasificación de las amenazas de seguridad más urgentes.
Aplicación de medidas de seguridad en las prácticas de DevOps desde las primeras etapas
Un cambio cultural puede mejorar la seguridad cambiando la etapa del proceso de desarrollo en la que se comienza a implementar la seguridad. El término DevOps describe los enfoques destinados a acelerar los procesos por los cuales las ideas pasan del desarrollo a la implementación en un entorno de producción. Antes, el papel de la seguridad estaba aislado y a cargo de un equipo específico en la etapa final del desarrollo. Cuando los ciclos de desarrollo duraban meses o incluso años, esto no generaba problemas, pero ahora, a menudo terminamos las aplicaciones en cuestión de semanas. En el marco de trabajo colaborativo de DevOps, la seguridad puede convertirse en una responsabilidad compartida e integrada durante todo el proceso, y puede llamársela DevSecOps.
Como el enfoque de DevOps, DevSecOps es un modelo cultural. Según la mentalidad de este modelo, la gestión de los riesgos se considera a lo largo de todo el proceso de desarrollo. Las empresas que priorizan la seguridad suelen ser las primeras en adoptar las metodologías de DevSecOps, las cuales permiten que los desarrolladores trabajen en estrecha colaboración con los equipos de seguridad y que implementen sus medidas de forma anticipada en el ciclo de vida de desarrollo, lo que se conoce como "shifting left".
Independientemente de las bases culturales que se establezcan, la implementación exitosa de DevSecOps depende de la automatización, la cual puede incluir la gestión y la supervisión de las operaciones, la gestión de las API, los repositorios de control de versiones, los registros de contenedores y los canales de CI/CD.
Red Hat le ofrece una solución
El software empresarial open source utiliza un modelo de desarrollo que mejora las pruebas y el ajuste de rendimiento, por lo general con un equipo de seguridad que lo respalda. Mejora los procesos para poder responder a los nuevos puntos vulnerables de seguridad y seguir los nuevos protocolos a fin de notificar a los usuarios sobre los problemas de seguridad y proporcionarles instrucciones para corregirlos. Se trata de una versión mejorada de la Web open source de confianza, y garantiza que nunca estará solo en lo que respecta a la seguridad informática.
Con la suscripción a Red Hat® Ansible® Automation Platform, puede automatizar, organizar e integrar diferentes soluciones de seguridad, para simplificar la investigación de las amenazas y la respuesta a ellas en toda la empresa de forma coordinada y unificada, mediante un conjunto organizado de módulos, funciones y playbooks. También puede integrar las aplicaciones externas utilizando las API, el SSH, WinRM y otros métodos de acceso estándar o anteriores.
Ansible Automation Platform da lugar a procesos integrales, que abarcan desde la infraestructura hasta las aplicaciones, lo cual permite que todo se coordine con una capa de tecnologías de seguridad. Además, los equipos de operaciones de seguridad pueden utilizar esta plataforma para gestionar otras aplicaciones empresariales, como las soluciones de SOAR.
La experiencia de Red Hat en la nube híbrida abierta nos brinda una perspectiva única sobre la implementación de la seguridad en la nube para proteger los sistemas y los datos contra las amenazas y los ataques cibernéticos. La adopción de un modelo de confianza cero puede cambiar el enfoque de seguridad de una empresa y volver a acomodar las políticas sobre esta materia.