¿Qué es SOAR y cómo pueden las agencias aprovecharlo en sus iniciativas de ciberseguridad?

Según Gartner, SOAR comprende “tecnologías que permiten a las organizaciones recopilar información monitoreada por el equipo de operaciones de seguridad… Las herramientas SOAR permiten a una organización definir procedimientos de análisis y respuesta a incidentes en un formato de flujo de trabajo digital”.*

Pero ¿qué es exactamente SOAR? ¿Se trata de un conjunto de tecnologías omniscientes que trabajan juntas para mitigar amenazas y realizar análisis, una especie de tecnología Skynet similar a Terminator de la vida real que previene ciberataques? ¿Existe un tipo particular de “software SOAR”? ¿O es un marco que proporciona un enfoque recomendado para la ciberseguridad?

ELEVARSE: Un marco para una seguridad sólida

Es mucho más que una herramienta o un conjunto de herramientas. SOAR es un modelo para crear un plan de seguridad sólido. Sí, pide a las agencias que automaticen el procesamiento de datos de seguridad y análisis de una pieza de tecnología (por ejemplo, una herramienta de inteligencia de amenazas, como un administrador de eventos e información de seguridad o un administrador de registros de seguridad). Pero hay otra parte de SOAR (la orquestación de seguridad) que fomenta la intervención humana.

Considere qué sucede cuando una solución de gestión de eventos e información de seguridad o una herramienta similar identifica un incidente potencial. Se crea un proceso de flujo de trabajo completo, comenzando con la herramienta y terminando con un administrador de seguridad.

Dentro de ese proceso, el incidente se evalúa en función de las políticas de seguridad que la organización (con suerte) ya tiene implementadas. Las consideraciones pueden incluir:

• ¿Cuál es el nivel de amenaza asignado a la aplicação que se ha visto comprometida?
• En función de ese nivel de amenaza, ¿qué acciones automatizadas deberían llevarse a cabo para mitigar el potencial daño?
• ¿Qué otras acciones deben tomarse para solucionar el problema?

Los administradores de seguridad pueden luego tomar la información sobre amenazas derivada de los datos forenses, usarla para investigar y remediar el problema de inmediato y ajustar las políticas de seguridad en consecuencia para fortalecer las fortificaciones de la agencia contra futuros ataques.

De esta manera entra en juego el factor humano de SOAR. A pesar de todo su énfasis en la automatización, las personas son un elemento esencial del marco SOAR porque son la última línea de defensa y son responsables de las mejoras de seguridad. Combinar su experiencia con las soluciones de seguridad adecuadas puede ayudar a las organizaciones a mantenerse un paso adelante de los adversarios maliciosos.

Las aplicações adaptativas son vitales para el modelo SOAR

SOAR se centra en construir un programa de seguridad altamente adaptable y que utiliza datos para mejorar continuamente la forma en que una organización responde a las amenazas. Fomenta el uso de inteligencia para identificar amenazas actuales, reaccionar ante esos incidentes, aprender de ellos y adaptarse y mejorar con el tiempo.

En F5, nos centramos en ayudar a las organizaciones a crear aplicações adaptables que puedan ajustar automáticamente sus estados de seguridad. Estas aplicações recopilan y analizan información derivada de varios puntos de contacto a lo largo de la ruta de datos de la aplicação (la ruta que toma el tráfico de la aplicação desde la aplicação hasta el usuario final), como cuando un usuario accede por primera vez a la aplicação (lo que requiere autenticación de la aplicação ), cuando los datos se envían a través de Internet (lo que activa el uso de un firewall de aplicação web ) y más.

Cada uno de estos puntos de contacto produce su propia telemetría y análisis. Estos datos se utilizan para detectar si la aplicação funciona como se espera o si puede haber algún tipo de anomalía que pueda indicar una infracción.

Si es esto último, la aplicação puede adaptarse automáticamente para mitigar la amenaza potencial, satisfaciendo así el pedido de SOAR de una respuesta automatizada. Digamos que se detecta un aumento repentino de tráfico sospechoso en algún punto durante la ruta de datos de la aplicação . Una solución de gestión de bots puede detectar automáticamente la actividad fraudulenta en función del tipo de tráfico (por ejemplo, humano o bot) que accede a la aplicação. La aplicação puede luego bloquear automáticamente el tráfico sospechoso basándose en políticas de seguridad predefinidas.

El poder del ser humano y de la máquina

El marco SOAR es un modelo excelente para construir un sistema automatizado, receptivo y ágil que aprovecha múltiples tecnologías y experiencia humana para aplicar y mejorar continuamente las políticas de seguridad. Crea una disuasión muy eficaz contra amenazas actuales y futuras.
____

*Glosario de Gartner, SOAR, https://www.gartner.com/en/information-technology/glossary/security-orchestration-automation-response-soar