'SOAR es la evolución de SIEM hacia una herramienta más práctica' (SonicWall)

SOAR, o Security Orchestration and Automation Response, agiliza la respuesta ante incidentes de seguridad y la toma de decisiones. Cada vez más incidentes de seguridad requieren de más especialistas capaces de hacer frente al creciente volumen de alarmas. SOAR llega para hacer frente a este reto, para sustituir los análisis manuales con decisiones a velocidad de máquina.

Esta entrevista forma parte del reportaje Orquestado la Seguridad, tema de portada del número de Octubre de la revista IT Digital Security, disponible desde este enlace.

Hablamos con Sergio Martínez, director general de SonicWall España y Portugal sobre las ventajas de la Orquestación y Automatización de la seguridad, el perfil de un cliente de SOAR, de los componentes críticos que tiene que tener una solución SOAR o cuáles son los principales casos de uso.

• ¿Cuál es el perfil de un cliente de SOAR?

Las empresas, en su lucha contra los ataques desconocidos y cada vez más virulentos, precisan de inteligencia, aprendizaje automático, reversión de sistemas y control integral sobre su infraestructura. En junio, un cliente medio de Sonicwall recibió 79 ataques de malware al día. Hoy nadie está a salvo de estas amenazas, que pueden paralizar cualquier compañía durante días, semanas o tal vez, para siempre. Un 22% de las empresas sufrieron un parón de negocio por culpa del malware en 2017. Y la tendencia es al alza (en lo que llevamos de año 2018, los ataques de ransomware se han triplicado).

• ¿Cuál es la principal ventaja que aporta la Orquestación y automatización de la seguridad?

La orquestación y automatización de la seguridad proporciona a las organizaciones una herramienta vital de respuesta rápida e inteligente ante ataques de cualquier tipo, especialmente aquellos que no se detectan o que son muy sofisticados y que utilizan malware de tipo “zero-day”. La respuesta se articula mucho mejor, y además, se aprende de ella: Herramientas como nuestro Sonicwall Cloud Security Center ayudan a los administradores de sistemas a implementar, gestionar y supervisar entornos de seguridad de red complejos y distribuidos de una forma mucho más sencilla y eficiente.

• ¿Qué impulsaría a una empresa a adoptar soluciones SOAR?

Las empresas que disponen de entornos distribuidores, que quieren reducir silos de seguridad y tener una visión más unificada de la misma, y que precisan reducir riesgos, son los que deberían adoptar soluciones de este tipo de soluciones. La falta de agregación, normalización, correlación y contextualización de los datos de seguridad dispersos por la organización puede conducir a tener una visión equivocada de lo que está sucediendo en la infraestructura a defender. Por eso, es inevitable la adopción de entornos de recopilación de datos, análisis y actuación automática ante determinado tipo de eventos.

• ¿Cuáles serían los principales retos a la hora de adoptar una solución SOAR?

Obviamente la existencia de silos de diferentes fabricantes hace que la adopción de un sistema de orquestación y automatización de la seguridad se convierta en un proyecto complejo y de integración a veces casi imposible. La adopción de entornos compatibles o monofabricante simplifica mucho cualquier despliegue SOAR.

• ¿Cuáles son los componentes críticos que toda solución SOAR debería tener?

Una solución SOAR debe tener un entorno de despliegue de políticas de seguridad, de monitorización de la red/infraestructura, de agregación y recolección de registros, de seguridad de aplicación (muchas ya en el Cloud), consola de eventos, análisis de los mismos y del malware detectado, y finalmente, inteligencia ante las amenazas, con capacidad de automatización de respuestas de algún nivel.

• Hay quien equipara SOAR con SIEM, ¿qué opina?

SIEM (Security Information and event management) es una práctica de agregación de eventos de seguridad y logs para su uso potencial en dashboards, compliance e inteligencia de lo que está sucediendo en la red de las organizaciones. SOAR es una plataforma que incluye las prácticas de SIEM pero con la visión para orquestar los diferentes elementos de la infraestructura, la toma de decisiones, crear alarmas y automatizar respuestas. SOAR es la evolución de SIEM hacia una herramienta más práctica, en el mundo de amenazas desconocidas en el que estamos inmersos.

• ¿Podría destacarme los principales casos de uso de SOAR?

SOAR se está convirtiendo en el elemento que coordina los esfuerzos de respuesta en cualquier organización antes los ataques virulentos ya mencionados, que combinan phishing, malware zero-day y técnicas avanzadas de hacking. Y esta respuesta se está transformando sobre todo en el punto más débil y más cercano al usuario final: El endpoint. En este sentido, Sonicwall ha presentado este año nuestro elemento de protección del endpoint: Capture Client, basado en tecnología propia y de la alianza con Sentinel One, reconocido como uno de los mejores antivirus de nueva generación de la industria, más basados en detectar comportamientos anómalos que en patrón de amenazas desconocidas. Además, Capture Client está integrado perfectamente en nuestra herramienta de gestión Cloud Security Center, junto con los otros elementos de seguridad como el Firewall de nueva generación, los servicios de sandboxing, el despliegue “zero touch” de infraestructura, etc. Cloud Security Center es una herramienta multitenant, lo que posibilita su uso en entornos MSSP y de desarrollo de servicios de seguridad a múltiples empresas.