Las amenazas de ciberseguridad aumentan constantemente en cantidad y sofisticación, reducirlas con soluciones de seguridad efectivas y rápidas es la necesidad de cualquier empresa pública o privada.
Siempre es esencial contar con un área de seguridad de la información, que sea alimentada mediante un equipo de gestión y correlación de eventos, esta herramienta es indispensable para detectar y gestionar las amenazas, pero su uso no es útil si solo detecta las amenazas y no se toman acciones reactivas ni proactivas, o la reacción a los incidentes toma mucho tiempo en ser desplegada.
Lo anterior se convierte en una necesidad potencial, no solo basta con detectar las múltiples amenazas que se reciben día a día, lo realmente importante es poder tomar acciones reactivas y proactivas de manera automática y en muchos casos sin intervención humana, esta potencial necesidad tiene un nombre y se llama SOAR (Security Orchestration, Automation and Response).
¿Qué es SOAR?
SOAR es un conjunto de soluciones de programas de software compatibles que permiten a las organizaciones recopilar datos sobre amenazas de seguridad de múltiples fuentes y responder a eventos de seguridad de bajo nivel sin asistencia humana. El objetivo de utilizar una solución de SOAR es mejorar la eficiencia de las operaciones de seguridad física y digital, las soluciones pueden aplicarse a productos y servicios compatibles que ayudan a definir, priorizar, estandarizar y automatizar las funciones de respuesta a incidentes.
SOAR combina tres sectores de tecnología diferentes: orquestación y automatización de la seguridad, inteligencia de amenazas y respuesta a incidentes. En el mundo de la guerra cibernética, las amenazas de ciberseguridad están creciendo a pasos agigantados y las organizaciones, llámense públicas o privadas, no pueden proteger su infraestructura de TI de esta cantidad diaria de amenazas.
Las herramientas de estas soluciones permiten a los equipos de operaciones de seguridad automatizar los elementos tediosos y repetitivos de su flujo de trabajo que no requieren supervisión humana y, en cambio, se centran en tareas más desafiantes para la mente que requieren discernimiento y juicio. Enriquecen y contextualizan las amenazas para ayudar a los analistas de seguridad a clasificar los casos rápidamente de acuerdo con la gravedad del riesgo, la sensibilidad y/o la criticidad de las funciones empresariales bajo amenaza.
Muchas de las tareas correctivas que se encuentran bajo la supervisión de un analista de seguridad, como el aislamiento de puntos finales, pueden organizarse con una plataforma SOAR a través de interfaces de programación de aplicaciones (API). Una remediación más rápida lleva a una resolución más temprana de los incidentes en la cadena de ataque, lo que reduce en gran medida el riesgo de una violación de datos.
Orquestación
La orquestación de seguridad es el acto de integrar tecnologías diferentes y conectar herramientas de seguridad, tanto especiales de seguridad como no especiales, para que sean capaces de trabajar juntos y mejorar la respuesta a incidentes.
Los incidentes cibernéticos cada día se vuelven más complejos y son más comunes que antes, sin embargo, la capacidad de las organizaciones para responder a estos incidentes es deficiente y muy pocas empresas en la actualidad no le dan la importancia que debe de tener
La orquestación de seguridad ayuda a las empresas a mejorar las acciones de respuesta frente a las amenazas informáticas basadas en la medición de sus medidas defensivas y la postura de riesgo. Involucrar a la mano de obra también es indispensable en la orquestación de la seguridad. Los sistemas automatizados por sí solos no son suficientes para detectar los signos sutiles de un ataque.
Por: Ing. Miguel Ángel García Santander, Ingeniero de preventa Debug Experts.
