Beneficios de implementar soluciones SOAR en las empresas
Las soluciones de orquestación, automatización y respuesta de seguridad pueden ofrecer grandes ventajas, si se implementan de forma correcta. Expertos chilenos brindan sus recomendaciones.
El fuerte avance de la tecnología en los procesos y la operación de las empresas ha aumentado los flancos susceptibles de sufrir ataques informáticos. Este escenario ha obligado a las organizaciones a desarrollar y adoptar diversas herramientas y procedimientos para dotar de protección a los negocios e inculcar comportamientos adecuados en los equipos de trabajo.
En este contexto aparecen herramientas tales como SIEM (Security Information and Event Management o gestión de eventos e información de seguridad) y SOAR (Security Orchestration, Automation, and Response u orquestación, automatización y respuesta de seguridad).
La tecnología SOAR posibilita supervisar y recopilar distintas fuentes de información sobre amenazas con el fin de poder generar respuestas automáticas y alertas para la mitigación de incidentes o amenazas de seguridad. «El foco para el que fue diseñado SOAR fue ayudar a mejorar el flujo de trabajo y acelerar la respuesta a incidentes. Los servicios SOAR mayormente son implementados por los equipos de seguridad de operaciones de las empresas (SOC), ya que es el personal que más incide y tiene más conocimientos sobre la integración de estos servicios», señala Sol González, investigadora de seguridad de ESET Latinoamérica.
Revisando las cifras de la consultora IDC, el consumo de soluciones de analítica, inteligencia, respuesta y orquestación de seguridad sigue creciendo a un ritmo acelerado, con una previsión de avance de 15,2 % promedio para 2025 en América Latina.
Profundizando en cómo funcionan los servicios SOAR, se debe entender que el objetivo de estos servicios es definir un flujo de trabajo que posibilite definir, priorizar y tomar acciones de respuesta ante incidentes. Estas acciones, en su mayoría, son automatizadas.
«Cuando se utilizan los servicios de SOAR se están utilizando varias funcionalidades dentro de la seguridad. En principio, al hablar de ‹orquestación› se hace referencia a la unificación de herramientas que poseen diferentes enfoques y que usualmente funcionan de manera separada; y, a su vez, se trata la temática de la automatización de los procesos con el fin de poder reducir la complejidad de algunos procesos. En cuanto a la ‹automatización›, su objetivo incide en el reducir la partición de los analistas de seguridad, ya que busca que las tareas de detección, priorización y bloqueo de amenazas se realice de manera rápida y precisa. Por último, el componente de ‹respuesta› está asociado a los procedimientos de planificación, gestión, notificación de las acciones; en otras palabras, se basa en la respuesta ante incidentes (IR, por sus siglas en inglés)», profundiza González.
A juicio de Walter Montenegro, gerente de Ciberseguridad de Cisco Chile, este tipo de soluciones lentamente han ido incorporándose a las empresas. «En un estado inicial, son las grandes organizaciones quiénes se han preocupado de revisar, implementar y operar este tipo de plataformas. La promesa de estas soluciones es bastante interesante, ya que permite unificar las distintas plataformas de ciberseguridad y automatizar las respuestas frente a las amenazas que se estén presentando. Tal vez el gran escollo que se debe sortear son las horas destinadas para configurar y hacer la ‹sintonía fina› de estas herramientas para que sean útiles y, por otro lado, también está el tema del costo de las mismas», dijo.
Una opinión similar tiene Roberto Martínez, analista senior para América Latina en Kaspersky, que expresa que, en este momento, existe una mayor integración entre diferentes plataformas y herramientas de seguridad. Esto es cada vez más posible mediante interfaces, el uso de estándares abiertos de intercambio de información y estructuras de descripción de información.
Consejos para implementar soluciones SOAR
Los expertos señalan que, antes de avanzar con la contratación de alguna solución SOAR, es importante que las compañías se pregunten si realmente es necesaria o si cuentan con los requerimientos mínimos para su contratación. En este sentido, algunas interrogantes que deben responderse son: ¿La compañía tiene procesos de seguridad confiables que quieren hacer más eficientes o incluso automatizar?; ¿la compañía cuenta con suscripciones y tecnologías de seguridad existentes que se integrarán bien con un conjunto de herramientas de terceros a través de APIs?; ¿la tecnología SOAR se alinea con las operaciones de seguridad, el flujo de trabajo y la evolución de la arquitectura de TI empresarial?
«Luego de evaluar y responder las interrogantes mencionadas anteriormente, en el caso de que se avance con la implementación de una solución SOAR, las empresas deben tener en cuenta tres características fundamentales. La primera es que el servicio SOAR debe ser capaz de obtener datos o alarmas de diferentes plataformas para poder mitigar ataques o incluso brindar contexto adicional de las alarmas creadas. En cuanto a la segunda característica, la tecnología SOAR debe permitir –a través de la ‹gestión de casos›– que el usuario investigue y realice los análisis relevantes en un mismo punto. Esto permite que los tratamientos de incidentes o amenazas a través de la organización sean más simples. En cuanto a la tercera característica que debe poseer el servicio de SOAR, es que debe poder incluir diversos flujos de respuesta a incidentes automatizados. Estos flujos de respuesta son conocidos como ‹playbooks›, los cuales permiten acelerar los tiempos de respuesta y facilitar definitivamente una respuesta más efectiva dentro de un modelo de seguridad» explica González, de ESET Latinoamérica.
La experta resalta que algunas tecnologías de SOAR vienen con cientos de flujos predefinidos para amenazas más comunes, incluso basándose en modelos o frameworks como MITRE ATT&CK.
En la misma línea, Martínez, de Kaspersky, aconseja a las compañías diseñar un plan de integración y orquestación acorde a las necesidades y visión de la empresa. Destaca que es importante comenzar con un diagnóstico y evaluación para identificar qué es lo que ya se tiene y la forma en que estos sistemas están abiertos y preparados para integrarse con otras plataformas.
«Antes de adquirir nuevas soluciones, recomendamos evaluar su capacidad de interacción con las tecnologías existentes dentro de la organización, y verificar qué tan apegadas están a los principales estándares de la industria. Dentro del ecosistema de integración se debe considerar: herramientas de inteligencia de amenazas, monitoreo y detección, alertamiento automatizado, plataforma de respuesta a incidentes y herramientas con características de contención. Todo esto permitirá a la organización implementar un modelo de seguridad accionable bajo un esquema de SOAR», afirma.
Como complemento, Pietro Delai, gerente de programa de Soluciones de software y de nube de IDC Latinoamérica, comenta que, quienes gestionan el tema de ciberseguridad al momento de implementar este tipo de soluciones, deben considerar que sus áreas no tienen la posibilidad de crecer al ritmo que aumentan los riesgos y los ataques, ya sea por falta de presupuesto, o por falta de personas capacitadas y experimentadas.
«La segregación que se hizo entre perímetro, red y dispositivo no funciona para los ataques actuales. Dicho esto, la recomendación es buscar intensamente la utilización de los servicios de nube y la automatización para poder escalar lo que sea necesario y así enfrentar los ataques a medida que ocurran», dice.
Finalmente, Francisco Robayo, director de Ingeniería para América Latina de Check Point Software, destaca que se debe acompañar la implementación de soluciones SOAR con profesionales expertos en gestión de amenazas y herramientas de ciberseguridad que puedan implementar las recomendaciones que los SOAR entregarán de forma automática, haciendo que el ciclo de prevención de futuras amenazas quede cerrado.
«Hay que recordar que el hecho de implementar una nueva herramienta en la organización de por sí no resuelve nada, sino que es el conjunto de políticas, personas y herramientas trabajando en armonía lo que asegura el éxito de estas estrategias de ciberseguridad», concluye.