'SOAR es una excelente cimentación de un proceso de mejora continua en el SOC' (ServiceNow)

La tecnología SOAR, Security Orchestration and Automation Response, ayuda a reducir la actividad manual de los equipos de seguridad TI, automatizando los pasos más habituales como pueden ser el triaje, asignación de incidentes, enriquecimiento de la información combinándola con fuentes de inteligencia, etc.

Nos lo cuenta Miguel Cebrián, responsable del área de Seguridad y GRC para el sur de Europa de Servicenow en esta entrevista en la que le preguntamos  por las ventajas que tienen SOAR, los retos para su adopción o sus principales casos de uso.

Este cuestionario forma parte del reportaje Orquestado la Seguridad, tema de portada del número de Octubre de la revista IT Digital Security, disponible desde este enlace.

• ¿Cuál es el perfil de un cliente de SOAR?

Analizando las inversiones habitualmente realizadas en seguridad se ve una clara predominancia de tecnologías de prevención y detección de incidentes de seguridad. Tecnologías como antivirus, firewalls y IDS/IPS están presentes en todas las empresas de cierta envergadura en España. No obstante, las fugas de datos e incidentes de seguridad están a la orden del día. Algo falla. 

En nuestra opinión, esto se debe a que no se ha hecho una inversión equivalente en la respuesta a los eventos que estas tecnologías generan.

Todas las empresas con una presencia digital importante deberían invertir en tecnología SOAR para dar apoyo y maximizar el rendimiento del equipo de seguridad. Se trata en esencia de dar respuesta a los incidentes de ciber-seguridad a la misma velocidad que estos se producen.

• ¿Cuál es la principal ventaja que aporta la Orquestación y automatización de la seguridad?

Los equipos de seguridad son reducidos y los eventos a analizar y tratar, muchos. La aplicación de tecnología para automatizar la respuesta es fundamental. 

Una solución SOAR aporta un sustrato tecnológico sobre el que apoyar las respuestas a incidentes que muchas compañías tienen que realizar. Además, les ayuda a reducir la actividad manual, automatizando los pasos más habituales como pueden ser el triaje, asignación de incidentes, enriquecimiento de la información combinándola con fuentes de inteligencia, etc. En los casos en los que la actividad de remediación es clara, estas plataformas pueden también orquestar cambios de configuración, aislamiento de servidores.

Estos sistemas aumentan la velocidad de respuesta, reduciendo el tiempo medio de detección y contención de un incidente y, más importante si cabe, posibilitan la adopción de métricas globales que ayudan a mejorar el programa de seguridad.

• ¿Qué impulsaría a una empresa a adoptar soluciones SOAR?

Hay múltiples razones por las que una empresa busca adoptar una plataforma de estas características. Las plataformas SOAR surgen principalmente por la escasez de profesionales bien formados en respuesta a incidentes y por el gran volumen de incidentes que estos trabajadores deben tratar en poco tiempo. Otras razones son también:

Reducir los tiempos de respuesta ante incidentes.
Conectar los equipos de seguridad e IT en un proceso más coordinado y eficaz.
Conocer el estado de la seguridad y obtener métricas sólidas que permitan un reporte a la dirección y la mejora continua.
Maximizar la inversión en capital humano.

• ¿Cuáles serían los principales retos a la hora de adoptar una solución SOAR?

En mi experiencia la percepción de no disponer de la suficiente madurez en los procesos internos es una inquietud recurrente. No estar preparados para aprovechar una plataforma de estas características o no tener la percepción de que el problema es grave o que no les afecta.

Estas inquietudes son infundadas en muchas ocasiones. Una plataforma SOAR es una excelente cimentación de un proceso de mejora continua en el SOC habilitando el crecimiento desde un nivel de madurez inicial hasta los máximos niveles de excelencia.

• ¿Cuáles son los componentes críticos que toda solución SOAR debería tener?

Una solución SOAR debe ser capaz de apoyar el proceso completo de un incidente desde su detección hasta su resolución y debe facilitar la medición y asignación de tareas entre múltiples equipos tanto de seguridad como de IT.

Así los principales componentes que debería proveer son:

Gestión y respuesta a incidentes 

o   Integrando fuentes de información como SIEMS y otros generadores de eventos

o   Enriqueciendo con información técnica y de negocio

o   Capacidad de implementar playbooks y procesos automatizados

o   Reporting integral del proceso (KPIs)

Inteligencia de Seguridad 

o   Enriqueciendo de incidentes observables automáticamente y asociándolos a indicadores de compromiso 

o   Capacidad para compartir amenazas de seguridad

o   Integración con principales proveedores de inteligencia de seguridad

Orquestación 

o   Integración con las principales tecnologías de seguridad y de infraestructura

• Hay quien equipara SOAR con SIEM, ¿qué opina?

No estoy de acuerdo. Es cierto que haciendo una reflexión rápida y no muy meditada pueden parecer tecnologías similares, no obstante, hay diferencias importantes.

Un SIEM es principalmente tecnología de detección. Como hemos mencionado anteriormente, no es suficiente con detectar un incidente, también hay que saber responder y hacerlo a tiempo. Para ello es preciso priorizar la respuesta a unos incidentes sobre otros a través de información técnica y de negocio, automatizar los procesos repetitivos, liberando tiempo al analista, y dotarse de una herramienta que permita que los equipos de seguridad e IT trabajen conjuntamente de un modo efectivo.

• ¿Podría destacarme los principales casos de uso de SOAR?

La tecnología SOAR se emplea principalmente para dar apoyo a los equipos de analista de seguridad. Bien sea en un SOC (Security Operations Center) un centro de respuesta a incidentes (CSIRT/FIRST) o simplemente un departamento de seguridad.

Una plataforma SOAR puede encargarse de realizar cosas como:

Priorización del incidente empleando datos técnicos y de negocio. Ej, no es lo mismo un phishing a un empleado de escalafón que uno al Consejero Delegado.
- Asignación automática de las tareas en función de disponibilidad y experiencia.
- Enriquecimiento del incidente con información de inteligencia de seguridad. ¿Las IPs relacionadas con el incidente tienen una reputación conocida? ¿Se han visto anteriormente en otros incidentes?
- Automatización de las guías de seguridad (Playbooks de Seguridad)
- Orquestación de la respuesta. Ej, como respuesta a una infección se puede determinar el aislamiento de un equipo en un segmento de cuarentena. El analista puede indicar la acción que debe realizarse, el sistema SOAR podría emitir una petición de autorización a un responsable técnico y cuando se recibiera la respuesta, si esta es afirmativa, ejecutar las acciones necesarias para asilar el equipo en cuestión.

Estos son solo algunos ejemplos, una tecnología SOAR bien implementada puede adaptarse para múltiples usos adicionales: Enriquecimiento del incidente con información de inteligencia de seguridad. ¿Las IPs relacionadas con el incidente tienen una reputación conocida? ¿Se han visto anteriormente en otros incidentes?; Automatización de las guías de seguridad (Playbooks de Seguridad); Orquestación de la respuesta. Ej, como respuesta a una infección se puede determinar el aislamiento de un equipo en un segmento de cuarentena. El analista puede indicar la acción que debe realizarse, el sistema SOAR podría emitir una petición de autorización a un responsable técnico y cuando se recibiera la respuesta si esta es afirmativa ejecutar las acciones necesarias para asilar el equipo en cuestión.

Estos son solo algunos ejemplos, una tecnología SOAR bien implementada puede adaptarse para múltiples usos adicionales.