Iniciar sesión / Registrar Cuenta

SEGURIDAD

¿Qué es SOAR?

Jump to section

La organización, automatización y respuesta de la seguridad (SOAR) describe un conjunto de funciones que se utilizan para proteger los sistemas de TI de las amenazas.

SOAR hace referencia a tres funciones clave del software que utilizan los equipos de seguridad: la gestión de casos y flujos de trabajo, la automatización de tareas y un medio centralizado para acceder a la información sobre las amenazas, realizar consultas y compartir dicha información. El término SOAR fue acuñado por el grupo analista Gartner. Los analistas también lo describen de otras maneras: IDC se refiere al concepto como análisis, inteligencia, respuesta y organización de la seguridad (AIRO), mientras que Forrester utiliza el término automatización y organización de la seguridad (SAO). 

La SOAR se suele implementar en colaboración con el Centro de operaciones de seguridad (SOC) de las empresas. Las plataformas que emplean este concepto pueden supervisar las fuentes de información sobre amenazas y generar respuestas automáticas para mitigar los problemas de seguridad.

Gestión de casos y flujos de trabajo en SOAR

Tanto si tiene un SOC sólido y consolidado como si acaba de comenzar a transformar la seguridad de su empresa, las prácticas recomendadas prescriben que cada incidente de seguridad se documente y se gestione como un caso. Las prácticas de gestión de casos son el medio por el cual se documentan los incidentes y se genera información en torno a las amenazas, lo cual garantiza poder identificarlas, asignarles un orden de prioridad según el riesgo e investigarlas. También posibilita la documentación y el intercambio de la información recopilada sobre un incidente dentro de las empresas y las comunidades. 

La tecnología de SOAR suele incluir flujos de trabajo configurados previamente para casos de uso comunes. Si estos no satisfacen las necesidades específicas de su empresa, pueden adaptarse para que cumplan con sus requisitos mediante el desarrollo personalizado.

Automatización y organización de las tareas

La automatización de la seguridad es el proceso por el cual se ejecutan operaciones de seguridad sin necesidad de intervención humana. En este ámbito, resulta cada vez más importante poder automatizar estas tareas debido a la complejidad de la infraestructura y a la posible falta de integración entre sus partes. ¿Pero cómo sabemos qué tareas se deben automatizar? Pregúntese:

  1. ¿Es una tarea rutinaria? ¿Se debe realizar de forma regular?
  2. ¿Es tediosa? ¿Implica un conjunto específico de acciones que se deben completar con precisión? 
  3. ¿Consume mucho tiempo? ¿Su equipo tiene que destinar mucho tiempo a estas tareas?

Si respondió que sí a cualquiera de estas preguntas, significa que la automatización puede ayudarlo. Entre los resultados positivos que podría obtener su empresa, se encuentran la reducción de los errores humanos, el aumento de la eficiencia y la velocidad, y una mayor uniformidad en las respuestas.

¿Por qué conviene automatizar los procesos de seguridad?

Una de las principales ventajas de la automatización de las tareas es que permite que los equipos de seguridad sean más eficientes y dispongan de su tiempo para dedicarlo a otras actividades. La automatización puede ayudar a las empresas a abordar el problema relacionado con la falta de personal especializado en su sector. En pocas palabras, no hay suficientes especialistas en seguridad como para satisfacer las necesidades de todas las empresas. Gracias a la automatización, estos equipos pueden obtener más resultados en menos tiempo.

Los equipos de seguridad deben lidiar con un enorme conjunto de herramientas y productos diferentes que probablemente no están integrados entre sí. La gestión manual de todos estos puede ralentizar el proceso de detección y resolución de problemas, dar lugar a errores en la configuración de los recursos y generar una falta de uniformidad en la aplicación de políticas, lo cual expone a los sistemas a problemas de cumplimiento y ataques graves. La automatización puede ayudarlo a agilizar las operaciones cotidianas y a integrar la seguridad a los procesos, las aplicaciones y la infraestructura desde el comienzo, como si contara con un enfoque de DevSecOps. Si implementa la automatización de la seguridad por completo, puede reducir el costo promedio de un fallo de seguridad en un 95 %.

La detección temprana de amenazas reduce la probabilidad de que su empresa experimente fallos de seguridad, y disminuye los costos asociados en caso de que ocurran. Si detecta y evita los fallos de seguridad en un plazo de 200 días o menos, reducirá el costo promedio en US$ 1,22 millones. Los procesos manuales pueden retrasar la identificación de las amenazas en entornos de TI complejos y generar puntos vulnerables en la empresa. Gracias a su automatización, podrá identificar, validar y remitir las amenazas con mayor rapidez y sin intervención manual.

Sin embargo, el proceso de solución de problemas en múltiples plataformas y herramientas puede ser complicado, lento y propenso a errores. Los equipos de seguridad pueden usar la automatización para agilizar la aplicación simultánea de correcciones en los sistemas afectados de todo su entorno, y responder ante los incidentes con mayor rapidez.

Diferencias entre la automatización y la organización

La organización de la seguridad es el medio por el cual puede conectar e integrar las diferentes herramientas y sistemas de seguridad a fin de optimizar los procesos. Esta conexión le permite aprovechar al máximo la automatización en todos sus entornos. La organización se basa en los procesos, mientras que la automatización se concentra en las tareas. Una de las principales diferencias entre ambas son las personas. La organización de la seguridad de alto nivel representa la parte más valiosa de la SOAR. Con ella, los equipos pueden definir los procesos mediante los cuales se ejecutan las tareas automatizadas. Para que la organización de los procesos de seguridad sea exitosa, es necesario que los integrantes de los equipos determinen qué se debe automatizar, porqué y cuándo.

Inteligencia centralizada contra amenazas

El término inteligencia contra amenazas se refiere a la información sobre las amenazas nuevas y actuales a los recursos de su empresa. Muchas bases de datos sobre puntos vulnerables sirven como fuentes de información al respecto. Los métodos de referencia, como la lista de CVE, facilitan la identificación y el intercambio de estos puntos entre las bases de datos y las plataformas. Las plataformas de inteligencia contra amenazas recopilan esta información a partir de diversas fuentes, y las herramientas de SOAR las utilizan para identificar las posibles amenazas. La SOAR reúne todas estas fuentes en una sola, a la que los equipos pueden acceder para realizar consultas y activar las tareas de automatización.

Desde el punto de vista organizativo, el SOC es una parte esencial de su respuesta de seguridad, pero aun así puede ser difícil coordinar la gran cantidad de departamentos que componen su empresa y comunicarse con todos ellos. La automatización puede servir no solo como una fuerza unificadora, sino también como un lenguaje común entre ellos. Una solución de automatización en todas sus plataformas y en todos los departamentos establece canales claros de interacción a la hora de abordar las amenazas a la seguridad.

¿Cómo puede ayudarlo Red Hat?

El software open source empresarial utiliza un modelo de desarrollo que mejora las pruebas y el ajuste del rendimiento. Normalmente lo hace por medio de un equipo de seguridad que lo respalda, de procesos para responder a los nuevos puntos vulnerables y de protocolos para informar a los usuarios sobre los problemas de seguridad con medidas para solucionarlos. Se trata de una versión mejorada de la Web open source de confianza, y garantiza que nunca estará solo en lo que respecta a la seguridad informática.

Con Red Hat® Ansible® Automation Platform, puede automatizar e integrar diferentes soluciones de seguridad para simplificar la investigación de las amenazas y la respuesta a ellas en toda la empresa, de forma coordinada y unificada, mediante un conjunto organizado de módulos, funciones y playbooks. También puede integrar aplicaciones externas utilizando API, SSH, WinRM y otros métodos de acceso estándar o anteriores.

Red Hat Ansible da lugar a procesos integrales que abarcan desde la infraestructura hasta las aplicaciones, lo cual permite que todo se coordine con una capa de tecnologías de seguridad. Además, los equipos de seguridad pueden utilizar esta herramienta para gestionar otras aplicaciones empresariales, como las soluciones de SOAR.

Nosotros ofrecemos las herramientas; usted proporciona el personal especializado

Red Hat Ansible Automation Platform

Plataforma de automatización sin agentes.

Red Hat Insights

Identifique y aborde los riesgos de seguridad, cumplimiento y configuración en sus entornos de Red Hat® Enterprise Linux®.