SOAR, Orquestando la Seguridad

Más sobre seguridad ¿Cómo gestionar los riesgos y la seguridad en 2019?  Guía de los líderes de red para proteger la SDWAN  Robo de credenciales: prioriza la seguridad de tus apps Estado de la ciberseguridad industrial en 2018  Informe SophosLabs 2019 Threat Report  Todo lo que deberías saber sobre las amenazas cifradas

SOAR, o Security Orchestration and Automation Response, agiliza la respuesta ante incidentes de seguridad y la toma de decisiones. Cada vez más incidentes de seguridad requieren de más especialistas capaces de hacer frente al creciente volumen de alarmas. SOAR llega para hacer frente a este reto, para sustituir los análisis manuales con decisiones a velocidad de máquina. Su función combina la recopilación de datos, estandarización, análisis de flujo de trabajo y análisis integrales para proporcionar a las organizaciones la capacidad de implementar sofisticadas capacidades de defensa en profundidad basadas en fuentes de datos internas y externas.

Este contenido es el tema de portada del número de Octubre de la revista IT Digital Security, disponible desde este enlace.

De forma que las herramientas de SOAR pueden mejorar la eficacia, la eficiencia y la consistencia de las operaciones de seguridad utilizando la orquestación y automatización de la inteligencia de amenazas, la monitorización de eventos de seguridad y los procesos de respuesta ante incidentes.

Aunque la automatización de la seguridad es posible sin orquestación de seguridad, se ve limitada por la falta de contexto y la incapacidad para validar cuándo una acción está realmente justificada. La orquestación de la de seguridad integra herramientas de seguridad, facilita la automatización y combina tableros, informes y colaboración humana para aumentar la eficiencia general de un equipo de SecOps. Al combinar la automatización y la orquestación, los equipos de seguridad pueden manejar más alertas sin agregar sobrecarga.

Según datos de Gartner, para 2019 el 30% de las empresas de tamaño medio y alto habrán adoptado tecnologías SOAR, frente al 5% de 2015. Otros estudios cifran en 1.680 millones de dólares el mercado de SOAR para 2021, lo que supone un crecimiento medio anual del 15,3% desde 2016.

Para conocer en profundidad qué ventajas aporta SOAR, qué es lo que impulsa a una empresa a adoptarla, sus casos de uso o cuáles son los componentes críticos que toda solución SOAR debería tener, hemos hablado con expertos de algunas de las empresas más representativas de este mercado: Check Point, DF Labs, LogRhythm, ServiceNow y SonicWall.

Perfil de un cliente de SOAR

“Todas las empresas con una presencia digital importante deberían invertir en tecnología SOAR para dar apoyo y maximizar el rendimiento del equipo de seguridad”, dice Miguel Cebrián, responsable del área de Seguridad y GRC para el sur de Europa de ServiceNow. Dice también el directivo que cuando se analizan las inversiones en seguridad se ve una clara predominancia de tecnologías de prevención y detección de incidentes de seguridad. “Tecnologías como antivirus, firewalls y IDS/IPS están presentes en todas las empresas de cierta envergadura en España. No obstante, las fugas de datos e incidentes de seguridad están a la orden del día. Algo falla”, advierte Cebrián, añadiendo que esto se debe a que no se ha hecho una inversión equivalente en la respuesta a los eventos que estas tecnologías generan, y que las soluciones de SOAR buscan “dar respuesta a los incidentes de ciber-seguridad a la misma velocidad que estos se producen”.

Para Eusebio Nieva, director técnico de Check Point para España y Portugal el principal cliente de esta tecnología es la gran empresa, pero también se da el caso de algunos clientes “que están utilizando este tipo de tecnologías a través de los contratos de servicios de terceros que, a su vez, aplican esta tecnología para industrializar los servicios de seguridad y automatizar tareas y reacciones”.

Explica también el directivo que en grandes corporaciones concienciadas acerca de la seguridad y que realmente se han dado cuenta del cambio exponencial actual con respecto a la hostilidad creciente y cambio generacional en el espectro y gravedad de las amenazas es donde SOAR está teniendo mayor empuje, “así como en los proveedores de servicios de seguridad gestionada o SOCs, es decir proveedores de SecOps que pueden consolidar sus conocimientos y análisis de amenazas previamente aquilatados de forma que proporcionan una propuesta de valor a sus clientes”.

Ser consciente de que la rapidez en la reacción frente a una amenazas es tan importante como la capacidad en su localización es una de las características que tienen los clientes de SOAR. Dice también Rafael Esteban Sales Manager para el Sur de Europa LogRhythm, que “La continua evolución y crecimiento de las amenazas hacen indispensable la capacidad de interactuar con los diferentes elementos de seguridad de la red de una forma automática o semiautomática que garantice unos tiempos de reacción mínimos”.

Dario Forte, CEO de DFLabs, una compañía que se precia de ser el único vendedor europeo de tecnología SOAR por el momento, establece tres tipos de clientes:

. Por un lado, las grandes empresas con un SOC (Security Operation Center) que han desplegado un SIEM y están buscando en SOAR la automatización de la última milla. Son compañías maduras en cuanto a su postura frente a la seguridad, normalmente de la lista Global 5000.

. Empresas de tamaño medio (por encima de los 2.000 empleados), no tan maduras como las grandes empresas, pero más motivadas y ágiles.

. Proveedores de servicios gestionados de seguridad (MSSP). Además, algunas empresas que usan un MSSP adoptan SOAR para administrar la última milla e investigar las alertas que reciben de su MSSP.

Explica Sergio Martínez que las empresas, en su lucha contra los ataques desconocidos y cada vez más virulentos, precisan de inteligencia, aprendizaje automático, reversión de sistemas y control integral sobre su infraestructura. Recuerda el directivo que nadie está a salvo de las amenazas, que un 22% de las empresas sufrieron un parón de negocio por culpa del malware en 2017, “y la tendencia es al alza (en lo que llevamos de año 2018, los ataques de ransomware se han triplicado)”.

Ventajas de un solución SOAR

Los equipos de seguridad son reducidos y los eventos a analizar y tratar, muchos. La aplicación de tecnología para automatizar la respuesta es fundamental. Dice Miguel Cebrián, de ServiceNow, que una solución SOAR no sólo aporta un sustrato tecnológico sobre el que apoyar las respuestas a incidentes que muchas compañías tienen que realizar, sino que “les ayuda a reducir la actividad manual, automatizando los pasos más habituales como pueden ser el triaje, asignación de incidentes, enriquecimiento de la información combinándola con fuentes de inteligencia, etc. En los casos en los que la actividad de remediación es clara, estas plataformas pueden también orquestar cambios de configuración, aislamiento de servidores”. No hay que olvidar, además que estos sistemas aumentan la velocidad de respuesta, reduciendo el tiempo medio de detección y contención de un incidente.

“La ventaja más significativa de una solución SOAR es la respuesta inmediata y simplificada, es decir, se produce una respuesta específica en base a un conjunto de eventos que ocurren. Y se establece una respuesta “segura” por conjunto de eventos de seguridad”, explica Eusebio nieva, añadiendo que esto garantiza la actuación en casos urgentes y sin intervención humana, y esta respuesta inmediata “previene que el problema de seguridad se generalice o que adquiera mayores dimensiones”.

Para Rafael Esteban, de LogRhythm, la reducción del tiempo medio de respuesta (MTTR) mediante la orquestación “conlleva una disminución de los daños producidos en un ataque, garantizando la integridad de nuestros sistemas”.

Habla Dario Forte, de DFLabs de “fuerza multiplicadora” para las herramientas de seguridad existentes cuando se refiere a las ventajas de una solución de SOAR, sobre la que además dice que resuelve tres grandes retos: Por un lado, la monitorización y gestión del creciente volumen de alertas e incidentes de seguridad; visibilidad de las amenazas y priorización de las respuestas; concentrar los esfuerzos de remediación con recursos humanos limitados.

Para Sergio Martínez, de SonicWall, “la orquestación y automatización de la seguridad proporciona a las organizaciones una herramienta vital de respuesta rápida e inteligente ante ataques de cualquier tipo, especialmente aquellos que no se detectan o que son muy sofisticados y que utilizan malware de tipo zero-day”.

Las ventajas que aportan las soluciones SOAR son los elementos que impulsan la adopción de esta tecnología. De manera genérica, la escasez de profesionales bien formados en respuesta ante incidentes es casi la principal razón, a la que se suman, en opinión de Miguel Cebrián el reducir los tiempos de respuesta ante incidentes; conectar los equipos de seguridad e IT en un proceso más coordinado y eficaz; conocer el estado de la seguridad y obtener métricas sólidas que permitan un reporte a la dirección y la mejora continua; y maximizar la inversión en capital humano.

“La adopción de este tipo de tecnología está ligada a la batalla de los equipos de operaciones de seguridad a la hora de lidiar con la carga de trabajo de las alertas de seguridad que son cada vez mayores a medida que se incorporar tecnologías antiamenazas más avanzadas y variadas”, asegura Eusebio Nieva, director técnico de Check Point, quien añade que SecOp generalmente se siguen basando en procedimientos manuales que, a veces, pueden estar desactualizados, el conocimiento acerca de los sistemas y problemas está disperso o “tribalizado” y hay que reaccionar cada vez más rápidamente ante un panorama cuya hostilidad crece diariamente. “Los expertos en seguridad son piezas muy caras del servicio y esta es una manera de consolidar la información dispersa entre los diferentes expertos y además aprovechar sus conocimientos para independizar la seguridad de su disponibilidad”, añade Nieva.

Para Rafael Esteban, Sales Manager para el Sur de Europa LogRhythm, “el sólo hecho de reducir drásticamente el ciclo de vida de una amenaza en nuestros sistemas debería ser suficiente para que una compañía se planteara la implementación de SOAR. Por otro lado, el uso de una herramienta que permita a los diversos departamentos (seguridad, sistemas, etc.) definir soluciones colegiadas que impidan los retrasos ‘burocráticos’ en la toma de decisiones es también un punto para tener en cuenta”.

“Ayudar a detectar, responder, contener y remediar incidentes de ciberseguridad con menos recursos humanos, que son escasos y costosos, al automatizar el análisis y los procesos de toma de decisiones mediante el uso de software de aprendizaje automático”, es lo que dice Dario Forte, CEO de DFLabs, que está impulsando a las empresas a adoptar soluciones de orquestación y automatización de respuesta a incidentes de seguridad.

Sergio Martínez, responsable de SonicWall para el mercado de Iberia, asegura que la falta de agregación, normalización, correlación y contextualización de los datos de seguridad dispersos por la organización puede conducir a tener una visión equivocada de lo que está sucediendo en la infraestructura a defender; “por eso, es inevitable la adopción de entornos de recopilación de datos, análisis y actuación automática ante determinado tipo de eventos”, sobre todo en empresas que disponen de entornos distribuidores, que quieren reducir silos de seguridad y tener una visión más unificada de la misma, y que precisan reducir riesgos, son los que deberían adoptar soluciones de este tipo de soluciones.