'Una solución SOAR aumenta la efectividad de las defensas corporativas' (Red Hat)

  • Reportajes

Sobre el perfil de un cliente SOAR, dice Alessandro Perilli, GM, Management Strategy de Red Hat, que son aquellas organizaciones en las que el CISO se ha dado cuenta que los entornos modernos de TI alcanzan una escala y una complejidad que no puede ser gestionada por operadores humanos.

SOAR, o Security Orchestration and Automation Response, agiliza la respuesta ante incidentes de seguridad y la toma de decisiones. Cada vez más incidentes de seguridad requieren de más especialistas capaces de hacer frente al creciente volumen de alarmas. SOAR llega para hacer frente a este reto, para sustituir los análisis manuales con decisiones a velocidad de máquina. Hablamos con Alessandro Perilli, GM, Management Strategy de Red HaT sobre este tipo de soluciones, a quiénes van dirigidas, qué hay que tener en cuenta o cuáles son los componentes a tener en cuenta.

Si queres saber más sobre las soluciones de SOAR no te pierdas el reportaje Orquestado la Seguridad, tema de portada del número de Octubre de la revista IT Digital Security, disponible desde este enlace.

• ¿Cuál es el perfil de un cliente SOAR?

Diría que es una organización donde el CISO se ha dado cuenta que los entornos modernos de TI alcanzan una escala y una complejidad que no puede ser gestionada por operadores humanos. Alguien que entiende cómo empeorará el espectro general de las amenazas de seguridad de TI. Yo creo que la inteligencia artificial se usará para tomar decisiones en tiempo real y hará que los ciberataques sean adaptables, con una velocidad y escala que los operadores humanos no podrán manejar.

• ¿Cuál es la principal ventaja que aporta la Orquestación y automatización de la seguridad?

En estos días, los CISOs tienen un extenso portfolio de soluciones de seguridad empresarial que juntas, con demasiada frecuencia, son ineficaces. La integración es mínima o nula. Es como tratar de proteger un edificio instalando cámaras de seguridad, guardias de seguridad y perros guardianes, pero luego los guardias de seguridad no miran a las cámaras y los perros son liberados de forma aleatoria.

Un cierto tipo de automatización podría convertirse en una capa de integración universal para la industria de seguridad de TI y aumentar significativamente la efectividad de las soluciones de seguridad existentes. Imagine cómo de efectiva sería su defensa de seguridad si su sistema de detección de intrusos pudiera hablar con su Sistema de gestión eventos e información de seguridad (SIEM por sus siglas en inglés) y éste a su vez podría hablar con el firewall de su empresa, etc., y el CISO podría coordinar una respuesta de seguridad automática a través de todas estas soluciones.

• ¿Qué impulsaría a una empresa a adoptar soluciones SOAR?

Creo que una organización debería tener en cuenta que la solución SOAR que se está evaluando en realidad aumenta la efectividad de las defensas corporativas, tanto en términos de análisis como a la hora de contrarrestar los ataques cibernéticos.

• ¿Cuáles serían los principales desafíos al adoptar una solución SOAR?

Según comentan los clientes y analistas de la industria, las soluciones de SOAR son complicadas de usar y rara vez cumplen lo que prometen. Por ejemplo, es imposible encontrar un desarrollador de Python para operar una solución SOAR que también sea un experto en seguridad. Esta solución es difícil de encontrar porque en el mercado no existe esta combinación de habilidades, dada la complejidad de la escritura y el mantenimiento de los flujos de trabajo automatizados.

• ¿Cuáles son los componentes críticos que debe tener cualquier solución SOAR?

En primer lugar, la solución SOAR perfecta tendría que tener una amplia gama de puntos de integración con muchos tipos diferentes de soluciones de seguridad en el mercado. Y para hacer eso, tendría que tener un mecanismo de integración potente y muy flexible.

En segundo lugar, la solución SOAR perfecta tendría que ser excepcionalmente fácil de implementar y administrar. La implementación está limitada por la complejidad. Y aquí estamos hablando de algo que debe ser implementado por toda la industria de la seguridad para que sea efectivo.

Por último, la solución SOAR perfecta tendría que estar abierta a la contribución y las mejoras de cualquier parte interesada, ya sea proveedores de seguridad u organizaciones de usuarios finales, para que nadie pueda controlar la agenda.

• Hay quienes comparan SOAR con SIEM, ¿qué piensas?

Para mí, son dos cosas completamente diferentes. Un SIEM es una forma especializada de solución de gestión de registros que puede correlacionar eventos registrados de una manera que tenga sentido para escenarios de seguridad específicos (como la búsqueda de amenazas). Una solución SOAR automatiza la ejecución de ciertos/todos los pasos en escenarios específicos.

Por supuesto, puede ampliar un SIEM para hacer SOAR, pero las dos son diferentes categorías de herramientas.

• ¿Podrías destacar los principales casos de uso de SOAR?

Hay muchos, pero yo diría que los tres principales son la evaluación de riesgos, donde se intenta evaluar el comportamiento anómalo de algún aspecto de los entornos de TI (como una aplicación corporativa); la búsqueda de amenazas, donde se investiga por qué una defensa de seguridad determinada está generando alertas (que podrían ser solo un falso positivo); y la reparación automatizada, donde se automatiza todos o una parte de los innumerables pasos que los analistas de seguridad tendrían que realizar manualmente para restaurar un entorno comprometido.

 

TAGS Seguridad, SOAR