This post is also available in: Português Español
Un estudio elaborado por la Agencia EY muestra que 8 de cada 10 gestores afirman que sus empresas sufrieron algún ataque cibernético recientemente. Los problemas más citados fueron phishing, mencionado por el 69% de ellos, malwares (54%) y ataques de negación de servicio (59%). La investigación también abarcó a países como Estados Unidos, Sudáfrica, Suiza, India, Dinamarca y Brasil, o sea se trata de una realidad mundial.
Este tipo de investigaciones muestran que ya está muy claro que las inversiones en seguridad digital precisan refuerzos continuos. Y esto es lo que ha sucedido en la mayoría de las empresas. Por lo cual, la arquitectura de seguridad cibernética crece orgánicamente cada vez que un nuevo servidor, herramienta o software es añadido.
Es común ver diversas soluciones de seguridad de diferentes proveedores y tecnologías operando, y cada una creó su propio dominio de seguridad. Esa falta de integración representa una posible vulnerabilidad, lo que también incluye la ausencia de acciones automatizadas.
Situaciones como esa pueden ser resueltas con herramientas basadas en SOAR (Security Orchestration, Automation and Response), que traducido, significa Orquestación, automatización y respuesta de seguridad, con el objetivo de conectar herramientas y sistemas para simplificar operaciones, ofreciendo una visión más rápida y completa del ambiente de TI.
Por tanto, SOAR es un conjunto de soluciones de softwares compatibles que permiten a la empresa recolectar datos sobre amenazas de seguridad de varias fuentes. De esa manera, ayuda a definir, priorizar, estandarizar y automatizar las funciones de respuesta a incidentes.
Por eso, SOAR permite la resolución de incidentes con mayor fidelidad y menos tiempo. Lo que es conveniente para priorizar riesgos, además de actividades de operación de seguridad, automatizando procesos, reduciendo el desperdicio de recursos y tiempo de respuesta a amenazas.
Componentes de un SOAR
Las palabras que componen las siglas SOAR expresan exactamente el propósito de esa metodología. La orquestación, por ejemplo, puede ser entendida como la gerencia de amenazas, abarcando el ciclo de vida y de corrección de las vulnerabilidades. Además, ofrece recursos de flujo de trabajo, informes, procesos y colaboración.
En suma, la orquestación integra diferentes tecnologías y conecta herramientas, haciendo que trabajen juntas y mejoren la respuesta a incidentes. Entonces, la orquestación envuelve a diversos equipos de trabajo, pues los sistemas por si solos tal vez no sean suficientes para detectar señales sutiles de un cibercrimen en marcha.
Por otro lado, la Respuesta trabaja con la planificación, gerenciamiento y rastreo de acciones a tomar contra incidentes de seguridad. O sea, una respuesta al problema.
En esa etapa incluye gran capacidad analítica para ofrecer informes con estrategias de priorización de riesgos y acciones de respuesta. Sin embargo, requerirá algunos procedimientos, como selección y proceso de alertas. En ese punto, SOAR colecta los datos de otras herramientas de seguridad – como SIEM (aprenda más, clique aquí) – realizando análisis sobre todos esos datos para verificar si existe alguna amenaza.
En caso positivo, las defensas incluirán entre sus parámetros de investigación, otras vulnerabilidades en potencial para evitar nuevos ataques. Así, comienza el proceso de reparación del incidente.
Sobre la Gestión de Inteligencia de Amenazas, SOAR reúne todas la información necesaria sobre una amenaza para rápidamente procesar y transformar esa información en inteligencia con el objetivo de llevar a cabo acciones proactivas.
Es allí que entra el concepto de automación de SOAR, que engloba tecnologías creadas para dar soporte a la solución y la orquestación de flujos de trabajo, procesos, ejecución e informes.
En este contexto, la automación se refiere a la ejecución de tareas orientadas por máquinas como parte de la respuesta a incidentes. Son tareas que anteriormente las realizaban personas, y que ahora pueden abarcar más eficazmente las etapas configuradas, flujo de trabajo de tomada de decisiones, acciones de fiscalización, verificación de status y recursos de auditoría.
Configuración
A la hora de escoger una solución basada en SOAR, se debe analizar puntos como flujos de trabajo pre configurados, orientados a todos los usuarios, y que permitan personalizar y modificar según sus necesidades. Al final, cada empresa tiene realidades diferentes, lo que demanda muchísima adaptación de la herramienta.
Además, es necesario tomar en cuenta requisitos como accesos y controles para tener un sistema eficiente, que facilite la colaboración, automación y ejecución de políticas de seguridad – con acceso a los datos en tiempo real.
De esa manera con SOAR, aún en empresas con una estructura menores y presupuesto mas bajos para TI, se puede tener una gestión de vulnerabilidades que sea de forma integrada y eficiente, evaluando todos los activos de tecnología y ofreciendo una visión completa y actualizada del status de la seguridad digital.
This post is also available in: Português Español