Por: Sergio Hrabinski, Socio Xelere
Artículo escrito para la revista Cybersecurity de ITware Latam Ver artículo original
Si dividimos la etapas de la gestión de la seguridad en Prevención, Detección y Respuesta, las empresas suelen enfocarse en los dos primeros, dejando la Respuesta en manos de la experiencia propia de cada analista.
Para la Prevención y la Detección, las tecnologías de monitoreo y detección de amenazas juegan un papel clave en el camino a la mejora en la postura de seguridad. Las herramientas de gestión de eventos e información de seguridad (SIEM), ayudan a aumentar la visibilidad del entorno y detectar amenazas.
Pero si no se implementa una estrategia clara para la respuesta ante incidentes de seguridad, en los momentos en donde se requiera velocidad y organización, será más difícil mitigar el impacto del ataque.
Un proceso de respuesta es multidimensional e incluye:
- Procesos estandarizados: cada caso es único, pero la tipología debe tener lineamientos para la acción ya predefinidos, repetibles por todos los integrantes del equipo.
- Involucramiento de toda la organización: los incidentes pueden requerir que otros roles participen o al menos sean notificados (legales, RRHH, RRPP, Alta Dirección).
- Presentación de reportes: una vez ocurrido un incidente, es necesario recopilar información, tanto para cumplir con regulaciones internas o externas, como para analizar cómo se puede mejorar la respuesta ante incidentes similares en el futuro.
- Interacción con múltiples herramientas existentes: Dada la cantidad de soluciones de seguridad que se administran (unas 45 en promedio, según el Ponemon Institute). Esas herramientas sirven para alimentar de información al proceso de respuesta o bien permiten tomar acciones sobre los incidentes.
¿Cómo ayuda una plataforma SOAR a responder a los incidentes de seguridad?
SOAR significa Orquestación, Automatización y Respuesta de Seguridad. Una plataforma de este tipo permite acelerar la respuesta a incidentes de su organización. Los procesos de respuesta a incidentes manuales se estandarizan y codifican en playbooks, se aprovechan los scripts y las integraciones de terceros para automatizar y orquestar la respuesta.
Puntos claves:
Automatización – velocidad y menor complejidad: acciones automáticas y semiautomáticas, permiten que los analistas ahorren tiempo y se enfoquen en los temas críticos. La plataforma les brinda un punto central de información y remediación, sin cambiar a otras consolas.
Colaboración: la visibilidad e información oportuna de la gestión de casos mejoran la comunicación. También se pueden obtener eficiencias al optimizar las comunicaciones y los procesos con TI al permitir integraciones con otras herramientas de TI. La plataforma SOAR se puede convertir en la puerta de entrada para todos los incidentes y requerimientos de seguridad que actualmente se manejan informalmente o por múltiples canales.
Gestión y mejora continua: el equipo de seguridad puede realizar el seguimiento de las métricas de seguridad claves a lo largo del tiempo y proporcionar informes oportunos sobre el rendimiento y la productividad del SOC. Esto servirá como fuente para la mejora continua de los procesos de respuesta y de las tecnologías de seguridad utilizadas.
Apoyo a las auditorías regulatorias y de cumplimiento: reducción del tiempo que los equipos de seguridad dedican a compilar la información necesaria en alrededor del 80% según Forrester.
En la siguiente tabla se puede ver un análisis del ahorro de tiempos para los analistas al contar con una solución SOAR (ejemplo basado en la solución IBM Security Resilient que proveemos desde Xelere). Ver tabla
Conclusión
Una vez que determine que una plataforma SOAR sea parte integral de su SOC, ésta se convertirá en un espacio de trabajo en común para sus analistas. Se generará valor desde el primer día y progresivamente se obtendrán mayores beneficios y eficiencias.