¿Qué es SOAR?

La organización, automatización y respuesta de la seguridad (SOAR) describe un conjunto de funciones que se utilizan para proteger los sistemas de TI de las amenazas.

SOAR hace referencia a tres funciones clave del software que utilizan los equipos de seguridad: la gestión de los casos y los flujos de trabajo; la automatización de las tareas; y un método centralizado para acceder a la información sobre las amenazas, realizar consultas y compartir los datos. El grupo analista Gartner fue el que acuñó este término. Los analistas de seguridad también lo describen de otras maneras: IDC se refiere al concepto como análisis, inteligencia, respuesta y organización de la seguridad (AIRO), mientras que Forrester utiliza el término automatización y organización de la seguridad (SAO).

La SOAR se suele implementar en colaboración con el Centro de operaciones de seguridad (SOC) de las empresas. Las plataformas que emplean este concepto pueden supervisar las fuentes de información sobre amenazas y generar respuestas automáticas para mitigar los problemas de seguridad. De esta forma, los equipos de TI reducen las amenazas de forma rápida y eficiente en muchos sistemas complejos.

Independientemente de si tiene un SOC sólido y consolidado o si acaba de comenzar a transformar la seguridad de su empresa, las prácticas recomendadas para ocuparse de los puntos vulnerables establecen que cada incidente de seguridad debe documentarse y gestionarse como un caso. Las prácticas de gestión de los casos son el medio por el cual se documentan los incidentes y se genera información en torno a las amenazas, lo cual permite identificarlas, asignarles un orden de prioridad según el riesgo que representan e investigarlas. También posibilita la documentación y el intercambio de la información recopilada sobre un incidente dentro de las empresas y las comunidades. 

La tecnología de SOAR suele incluir flujos de trabajo configurados previamente para casos de uso comunes. Si estos no satisfacen las necesidades específicas de su empresa, pueden adaptarse para que cumplan con sus requisitos mediante el desarrollo personalizado.

La automatización de la seguridad es el proceso por el cual se ejecutan operaciones de protección sin necesidad de intervención humana. En este ámbito, resulta cada vez más importante poder automatizar estas tareas debido a la complejidad de la infraestructura y a la posible falta de integración entre sus partes. Para saber qué tareas se deben automatizar, pregúntese:

1. ¿Es una tarea rutinaria? ¿Se debe realizar de forma regular?
2. ¿Es tediosa? ¿Implica un conjunto específico de acciones que se deben completar con precisión? 
3. ¿Consume mucho tiempo? ¿Su equipo tiene que destinar mucho tiempo a estas tareas?

Si respondió que sí a cualquiera de estas preguntas, significa que la automatización puede ayudarlo. Entre los resultados positivos que podría obtener su empresa, se encuentran la reducción de los errores humanos, el aumento de la eficiencia y la agilidad, y una mayor uniformidad en las respuestas a los incidentes de seguridad.

Una de las principales ventajas de la automatización de las tareas es que permite que los equipos de seguridad sean más eficientes y dispongan de su tiempo para dedicarlo a otras actividades. En pocas palabras, no hay suficientes especialistas en seguridad como para satisfacer las necesidades de todas las empresas, pero la automatización puede ayudarlos a obtener más resultados con mayor rapidez, y de esta forma abordar la falta de personal especializado.

Estos equipos deben lidiar con un enorme conjunto de herramientas y productos diferentes que probablemente no están integrados entre sí; por ejemplo, los sistemas de software para la detección y respuesta de los extremos (EDR), los firewalls y las soluciones para la gestión de la información y los eventos de seguridad (SIEM). La gestión manual de todos ellos puede ralentizar el proceso de detección y resolución de los problemas, dar lugar a errores en la configuración de los recursos y generar la falta de uniformidad en la aplicación de las políticas, lo cual expone a los sistemas a cuestiones de cumplimiento y ataques graves. La automatización puede ayudar a agilizar las operaciones cotidianas y a integrar la seguridad a los procesos, las aplicaciones y la infraestructura desde el comienzo, como si contara con un enfoque de DevSecOps.

Según Ponemon Institute, si detecta y evita los fallos de seguridad en un plazo de 200 días o menos, reducirá el costo promedio en USD 1,22 millones. La detección temprana de las amenazas reduce la probabilidad de que experimente fallos de seguridad y los costos asociados, pero resolver los problemas en muchas plataformas y herramientas puede ser complicado, propenso a errores y llevar mucho tiempo.

Mientras que las tareas manuales pueden retrasar la identificación de amenazas en los ecosistemas de TI complejos, la automatización de los procesos de seguridad permite que las empresas identifiquen, validen y remitan las amenazas con mayor rapidez y sin intervención manual. Los equipos de seguridad pueden usar la automatización para mejorar los tiempos de respuesta y aplicar de manera simultánea las correcciones en los sistemas afectados de todos los entornos.

La organización se basa en los procesos, mientras que la automatización se centra en las tareas. La organización de la seguridad es el medio por el cual puede conectar e integrar las diferentes herramientas y sistemas de seguridad a fin de optimizar los flujos de trabajo de respuesta. Esta conexión entre las herramientas y los sistemas, como también los procesos que los controlan, le permiten aprovechar al máximo la automatización en todos sus entornos.

La automatización simplifica los flujos de trabajo, pero se necesita de las personas para uno de los aspectos más importantes del concepto SOAR: la organización de la seguridad de alto nivel. Con esta función, los equipos de TI pueden definir los procesos mediante los cuales se ejecutan las tareas automatizadas. Para que la organización de los procesos de seguridad sea exitosa, es necesario que los integrantes de los equipos determinen los sistemas que se deben automatizar, así como los motivos y el momento para hacerlo.

El término inteligencia contra amenazas se refiere a la información sobre las amenazas nuevas y actuales a los recursos de su empresa. Muchas bases de datos sobre puntos vulnerables sirven como fuentes de información al respecto. Los métodos de referencia, como la lista de CVE, facilitan la identificación y el intercambio de estos puntos entre las bases de datos y las plataformas. Las plataformas de inteligencia contra las amenazas obtienen esta información de varias fuentes, las cuales también aprovechan las herramientas de la SOAR para identificar las amenazas posibles. La SOAR reúne todas estas fuentes en una sola, a la que los equipos pueden acceder para realizar consultas y activar las tareas de automatización.

Desde el punto de vista organizativo, el SOC es una parte esencial de su respuesta de seguridad, pero aun así puede ser difícil coordinar la gran cantidad de departamentos que componen su empresa y comunicarse con todos ellos. La automatización puede servir no solo como una fuerza unificadora, sino también como un lenguaje común entre ellos. Una solución de automatización en todas sus plataformas, y en todos los departamentos, establece canales claros de interacción que facilitan la identificación y la clasificación de las amenazas de seguridad más urgentes.

El software open source empresarial utiliza un modelo de desarrollo que mejora las pruebas y el ajuste del rendimiento. Normalmente lo hace por medio de un equipo de seguridad que lo respalda, de procesos para responder a los nuevos puntos vulnerables y de protocolos para informar a los usuarios sobre los problemas de seguridad con medidas para solucionarlos. Se trata de una versión mejorada de la Web open source de confianza, y garantiza que nunca estará solo en lo que respecta a la seguridad informática.

Con Red Hat® Ansible® Automation Platform, puede automatizar e integrar diferentes soluciones de seguridad para simplificar la investigación de las amenazas y la respuesta a ellas en toda la empresa, de forma coordinada y unificada, mediante un conjunto seleccionado de módulos, funciones y playbooks. También puede integrar las aplicaciones externas utilizando las API, el SSH, WinRM y otros métodos de acceso estándar o anteriores.

Ansible Automation Platform da lugar a procesos integrales, que abarcan desde la infraestructura hasta las aplicaciones, lo cual permite que todo se coordine con una capa de tecnologías de seguridad. Además, los equipos de operaciones de seguridad pueden utilizar esta plataforma para gestionar otras aplicaciones empresariales, como las soluciones de SOAR.