Acuñado en 2015 y posteriormente. actualizado en 2017 por GartnerSOAR (orquestación, automatización y respuesta de seguridad) describe una plataforma diseñada para orquestar la respuesta a incidentes, aprovechando procesos automatizados diseñados en el mapeo de árboles de decisión, generalmente llamados manuales.
El valor de una plataforma SOAR se centra en mejorar la precisión, la velocidad y la profundidad de los datos para responder a la letanía de incidentes con los que se enfrentan constantemente los equipos de operaciones (especialmente las operaciones de seguridad). Para cumplir con estos valores, la mayoría de las plataformas SOAR aprovechan los manuales mencionados anteriormente.
Estos manuales tienen una lista de todas las tareas, datos e implicaciones circundantes que se necesitan para responder a un tipo específico de incidente, que luego se puede automatizar tanto como sea posible para las tareas rutinarias. Esto incluye (pero no se limita a) lo siguiente:
- Crea un billete.
- Reúna datos preliminares en un único repositorio.
- Notificar a las partes involucradas.
- Compare el incidente con ataques conocidos.
- Pausa para la entrada del usuario.
¿Cómo se originó SOAR?
Gartner® creó el término «SOAR» durante una época en la que el enorme crecimiento de la virtualización, la contenedorización, «como servicio» y la nube realmente alcanzaron su ritmo en la automatización del crecimiento. Esto trajo cantidades abrumadoras de datos, activos, aplicaciones y servicios en una empresa, lo que genera la necesidad de asegurarlo todo. SOAR era el concepto que buscaba llevar el crecimiento de la automatización a esta necesidad de cobertura de seguridad en expansión explosiva.
¿Por qué es importante en ciberseguridad?
Los conceptos de SOAR están diseñados para aliviar un problema creciente que los programas de seguridad enfrentan continuamente a medida que se expanden las empresas a las que sirven: la sobrecarga de eventos e incidentes.
Este dolor surge de la necesidad de analizar todos y cada uno de los eventos para verificar cualquier nivel de impacto o preocupación para el negocio. Cuando los humanos tienen que manejar las revisiones de eventos manualmente, la cantidad máxima de eventos manejables es relativamente baja y costosa, y tampoco puede seguir el ritmo de la capacidad de la tecnología para crecer y crear más eventos que necesitan revisión.
¿Cuál es el significado de esta palabra de moda SOAR?
De lejos, la afirmación más atroz de SOAR es que es la “única” herramienta que una empresa necesita para gestionar su seguridad. Esto generalmente proviene del entusiasmo por lo que una plataforma SOAR aporta a la seguridad de una empresa y de la falta de comprensión y apreciación de cómo una plataforma SOAR es codependiente de todas las demás herramientas incluidas en una estrategia de seguridad.
Otra afirmación interesante es que “cualquier proceso programático se puede realizar a través de SOAR”, lo cual no es intrínsecamente incorrecto, simplemente pierde el enfoque o la “S”/seguridad y se convierte en OAR. Esta falta de enfoque crea problemas abrumadores y de escala exacta a medida que la cantidad de integración, procesamiento, personalización y mantenimiento crece más allá de la capacidad de mantenimiento de cualquier departamento.
Nuestro consejo: lo que los ejecutivos deberían considerar al adoptar SOAR
Acercarse a la adopción de SOAR debería ser un paso en el camino de mejora de la organización de seguridad. Cuando su empresa busca mejorar la ineficiencia del SOC en la reducción de tiempo y errores o optimizar los procesos de seguridad para eliminar y reducir el riesgo de bloquear otras iniciativas de crecimiento empresarial, SOAR se vuelve altamente compatible con ese viaje.
SOAR tiene un potencial increíble para resolver problemas masivos de escalabilidad cuando se adopta y mantiene adecuadamente. Las integraciones deben ser simplificadas, sólidas y prolíficas, centrándose en las herramientas y soluciones de seguridad que ya están disponibles.
La simplicidad sigue siendo un enfoque clave para la implementación de las capacidades de orquestación, automatización y respuesta de la plataforma, para evitar que la complejidad se limite a expandirse a esta herramienta SOAR y no resolver la eliminación/reducción de dicha complejidad.
Aquí hay algunas preguntas para hacerle a su equipo para una adopción SOAR exitosa:
- Si el negocio duplicara o más el tamaño de nuestra DAAS¿cómo podría el SOC mantener nuestra postura de seguridad sin la capacidad de aumentar el número de trabajadores?
- ¿Cuáles son los procesos y flujos de trabajo rutinarios que repetimos continuamente para mantener nuestra integridad de seguridad y qué factores desencadenantes podemos definir para iniciar estos flujos de trabajo?
- ¿Qué sistemas y seguridad específicos DAAS ¿Tendrá que integrarse en nuestro enfoque hacia esta nueva automatización de nuestra estrategia de orquestación y respuesta y qué tan difícil será lograr un estado completamente integrado?
- ¿Qué otras operaciones basadas en TI se beneficiarían de tener una plataforma OAR y qué tan bien podemos permitirles desde la plataforma SOAR alcanzar nuevas alturas?
- ¿Con qué eficacia y rapidez podrán los equipos de operaciones comprender, crear y actualizar los manuales y los sistemas de gestión de casos, y cuánto conocimiento sobre productos y/o codificación será necesario conocer?
Para saber más, visítenos aquí.