Una SOAR (para orquestación, automatización y respuesta de seguridad) es una solución de software que permite a los equipos de seguridad integrar y coordinar herramientas de seguridad independientes, automatizar tareas repetitivas y optimizar los flujos de trabajo de respuesta a incidentes y amenazas.
En organizaciones grandes, los centros de operaciones de seguridad (SOC) dependen de numerosas herramientas para rastrear y responder a las amenazas cibernéticas, a menudo manualmente.
Las plataformas SOAR proporcionan a los SOC una consola central en la que pueden integrar estas herramientas en flujos de trabajo optimizados de respuesta a amenazas así como automatizar tareas repetitivas de bajo nivel en esos flujos de trabajo. Esta consola también permite a los SOC gestionar todas las alertas de seguridad generadas por las herramientas en un lugar central.
Al optimizar la clasificación de alertas y garantizar que las diferentes herramientas de seguridad trabajen juntas, las SOAR ayudan a los SOC a reducir el tiempo medio de detección (MTTD) y el tiempo medio de respuesta (MTTR), con lo que se mejora la postura de seguridad general. Detectar y responder a las amenazas de seguridad más rápido puede reducir el impacto de los ciberataques. Según el último Informe del costo de una filtración de datos de IBM, un ciclo de vida de filtración de datos más corto se asocia con menores costos relacionados. Las filtraciones resueltas en menos de 200 días cuestan a las empresas 1.02 millones de dólares menos en promedio, lo que refleja una diferencia del 23%.
Obtenga insights para gestionar mejor el riesgo de una filtración de datos con el último Informe del costo de una filtración de datos
Regístrese en el índice X-Force Threat Intelligence
La tecnología SOAR surgió como una consolidación de tres herramientas de seguridad anteriores. Según Gartner, que acuñó por primera vez el término "SOAR" en 2015, las plataformas SOAR combinan las funciones de plataformas de respuesta a incidentes de seguridad, las plataformas de automatización y orquestación de seguridad y las plataformas de inteligencia de amenazas en una sola oferta.
Para comprender cómo funcionan las soluciones SOAR modernas, puede ser útil desglosarlas en sus características principales: orquestación de seguridad, automatización de seguridad y respuesta a incidentes.
La "orquestación de seguridad" se refiere a la manera en que las plataformas SOAR conectan y coordinan las herramientas de hardware y software en el sistema de seguridad de una empresa.
Los SOC utilizan varias soluciones para supervisar y responder a las amenazas, como firewalls, fuentes de inteligencia de amenazas y herramientas de protección de endpoints. Incluso los procesos de seguridad más sencillos pueden implicar múltiples herramientas. Por ejemplo, un analista de seguridad que investiga un correo electrónico de phishing puede necesitar una puerta de enlace de correo electrónico segura, una plataforma de inteligencia de amenazas y un software antivirus para identificar, comprender y resolver la amenaza. Estas herramientas a menudo provienen de diferentes proveedores y es posible que no se integren fácilmente, por lo que los analistas deben ir manualmente de una herramienta a otra a medida que trabajan.
Con una SOAR, los SOC pueden unificar estas herramientas en flujos de trabajo de operaciones de seguridad (SecOps) sistemáticos y repetibles. Ls SOAR utilizan interfaces de programación de aplicaciones (API), complementos prediseñados e integraciones personalizadas para conectar herramientas de seguridad (y algunas herramientas que no son de seguridad). Una vez que TODAS estas herramientas están integradas, los SOC pueden coordinar sus actividades con playbooks.
Los playbooks son mapas de procesos que los analistas de seguridad pueden utilizar para describir los pasos de los procesos de seguridad estándar, como la detección, la investigación y la respuesta a amenazas. Los playbooks pueden abarcar múltiples herramientas y aplicaciones. Pueden ser totalmente automatizados, totalmente manuales o una combinación de tareas automatizadas y manuales.
Las soluciones de seguridad SOAR pueden automatizar tareas repetitivas, de bajo nivel y que consumen mucho tiempo, como abrir y cerrar tickets de soporte, enriquecimiento de eventos y priorización de alertas. Las SOAR también pueden activar las acciones automatizadas de las herramientas de seguridad integradas. Eso significa que los analistas de seguridad pueden usar flujos de trabajo de playbook para encadenar varias herramientas y llevar a cabo la automatización de operaciones de seguridad más complejas.
Por ejemplo, considere la manera en la que una plataforma SOAR podría automatizar una investigación de una computadora portátil comprometida. La primera indicación de que algo anda mal proviene de una solución de detección y respuesta de endpoints (EDR), que detecta actividad sospechosa en la computadora portátil. La EDR envía una alerta a la SOAR, lo que provoca que la SOAR ejecute un playbook predefinido. Primero, la SOAR abre un ticket relativo al incidente. Enriquece la alerta con datos de fuentes integradas de inteligencia de amenazas y otras herramientas de seguridad. Luego, la SOAR ejecuta respuestas automatizadas, como activar una herramienta dedetección y respuesta de red (NDR) para poner en cuarentena el endpoint o solicitar al software antivirus que encuentre y detone el malware. Finalmente, la SOAR pasa el ticket a un analista de seguridad, quien determina si el incidente se resolvió o se requiere intervención humana.
Algunas SOAR incluyen inteligencia artificial (IA) y aprendizaje automático, los cuales analizan datos de herramientas de seguridad y recomiendan formas de manejar las amenazas en el futuro.
Las capacidades de orquestación y automatización de las SOAR les permiten funcionar como una consola central para la respuesta a incidentes de seguridad (IR). El Informe del costo de una filtración de datos de IBM encontró que las organizaciones con un equipo de IR y pruebas de planes de IR identificaron las filtraciones 54 días más rápido que aquellas que no contaban con ninguno.
Los analistas de seguridad pueden usar las SOAR para investigar y resolver incidentes sin necesidad de ir de una herramienta a otra. Al igual que las plataformas de inteligencia de amenazas, las SOAR agrupan métricas y alertas de fuentes externas y herramientas de seguridad integradas en un panel central. Los analistas pueden correlacionar datos de diferentes fuentes, filtrar falsos positivos, priorizar alertas e identificar las amenazas específicas que están enfrentando. De esta manera, los analistas pueden responder activando los playbooks apropiados.
Los SOC también pueden usar herramientas SOAR para auditorías posteriores a un incidente y procesos de seguridad más proactivos. Los paneles de SOAR pueden ayudar a los equipos de seguridad a comprender la manera en la que una amenaza en particular infiltró la red y cómo prevenir amenazas similares en el futuro. Del mismo modo, los equipos de seguridad pueden utilizar los datos de una SOAR para identificar amenazas continuas desapercibidas y centrar sus esfuerzos de caza de amenazas en los lugares correctos.
Al integrar herramientas de seguridad y automatizar tareas, las plataformas SOAR pueden optimizar los flujos de trabajo de seguridad comunes, como la gestión de casos o de vulnerabilidades y la respuesta a incidentes. Los beneficios de esta optimización incluyen:
Es posible que los SOC tengan que lidiar con cientos o miles de alertas de seguridad diariamente. Esto puede llevar a una fatiga alerta y a que los analistas puedan pasar por alto signos importantes de actividad de amenazas. Las SOAR pueden hacer que las alertas sean más manejables centralizando los datos de seguridad, enriqueciendo los eventos y automatizando las respuestas. Como resultado, los SOC pueden procesar más alertas y reducir los tiempos de respuesta.
Los SOC pueden utilizar playbooks de SOAR para definir flujos de trabajo de respuesta a incidentes estándar y escalables para amenazas comunes. En lugar de abordar las amenazas caso por caso, los analistas de seguridad pueden activar el playbook adecuado para una corrección eficaz.
Los SOC pueden utilizar los paneles de SOAR para obtener insights sobre sus redes y las amenazas a las que se enfrentan. Esta información puede ayudar a los SOC a detectar falsos positivos, priorizar mejor las alertas y seleccionar los procesos de respuesta correctos.
Las SOAR centralizan los datos de seguridad y los procesos de respuesta a incidentes para que los analistas puedan trabajar juntos en las investigaciones. Las SOAR también pueden permitir a los SOC compartir métricas de seguridad con partes externas, como RR. HH., el Departamento Jurídico y las fuerzas de seguridad.
Las herramientas SOAR, SIEM y XDR comparten algunas funciones principales, pero cada una tiene sus propias características y casos de uso únicos.
Las soluciones de gestión de eventos e información de seguridad (SIEM) recopilan información proveniente de las herramientas de seguridad internas, la agrupan en un registro central y señalan anomalías. Las SIEM se utilizan principalmente para registrar y gestionar volúmenes grandes de datos de eventos de seguridad.
La tecnología SIEM surgió por primera vez como una herramienta de informes de cumplimiento. Los SOC adoptaron las SIEM cuando se dieron cuenta de que los datos de SIEM podrían sustentar las operaciones de ciberseguridad. Las soluciones SOAR surgieron para agregar las características centradas en la seguridad de las que carecen la mayoría de las SIEM estándar, como las funciones de orquestación, automatización y consola.
Las soluciones de detección y respuesta extendidas (XDR) recopilan y analizan datos de seguridad de endpoints, redes y cloud. Al igual que las SOAR, pueden responder automáticamente a los incidentes de seguridad. Sin embargo, las XDR son capaces de automatizaciones de respuesta a incidentes más complejas y completas que las SOAR. Las XDR también pueden simplificar las integraciones de seguridad, ya que a menudo requieren menos experiencia o gastos que las integraciones SOAR. Algunas XDR son soluciones preintegradas de un solo proveedor, mientras que otras pueden conectar herramientas de seguridad de varios proveedores. Las XDR se utilizan a menudo para la detección de amenazas en tiempo real, la clasificación de incidentes y la caza de amenazas automatizada.
Los equipos de SecOps en grandes empresas a menudo utilizan todas estas herramientas juntas. Sin embargo, los proveedores están desdibujando las líneas que los separan, desplegando soluciones SIEM que pueden responder a las amenazas, así como XDR con un registro de datos similar al de las SIEM. Algunos expertos en seguridad creen que XDR podría algún día absorber las otras herramientas, de manera similar a las SOAR una vez que consolidó a sus predecesoras.
IBM Security® QRadar® SOAR está diseñado para ayudar a su equipo de seguridad a responder a las ciberamenazas con confianza, automatizar con inteligencia y colaborar de manera uniforme.
IBM Security QRadar XDR Suite proporciona un único flujo de trabajo en todas sus herramientas para detectar y eliminar amenazas más rápido.
Ayude a su equipo a mejorar su plan de respuesta a incidentes y a minimizar el impacto de una brecha preparando sus equipos, procesos y controles de respuesta a incidentes.
Obtenga nuestros insights más recientes sobre el escenario de amenazas en expansión y las recomendaciones sobre cómo ahorrar tiempo y limitar pérdidas.
SIEM ayuda a las organizaciones a reconocer posibles amenazas y vulnerabilidades a la seguridad antes de que alteren las operaciones comerciales.
Cree una plataforma estrechamente integrada de analytics y operaciones de seguridad que acelere las actividades de seguridad y libere al personal para que pueda centrarse en cuestiones de alta prioridad.